Як показати міжнародним замовникам відповідність NIST 800-53 на основі НД ТЗІ покриття.
Українська експертиза захищеності — національний документ, який міжнародні замовники не розуміють. Натомість NIST 800-53 — фактичний lingua franca кібербезпеки у англомовному світі: банки, критична інфраструктура, охоронні компанії, ООН-структури, transatlantic-партнери питають «які 800-53 controls покриті». Стаття описує, як побудувати mapping НД ТЗІ → NIST 800-53 без повторної сертифікації.
NIST SP 800-53 Rev. 5 «Security and Privacy Controls for Information Systems and Organizations» — каталог controls для управління кібербезпекою і приватністю інформаційних систем. Опубліковано у вересні 2020, з регулярними оновленнями.
Структура:
| Family | Назва | Приклад control |
|---|---|---|
| AC | Access Control | AC-3 (Access Enforcement) |
| AT | Awareness and Training | AT-2 (Literacy Training and Awareness) |
| AU | Audit and Accountability | AU-2 (Event Logging) |
| CA | Assessment, Authorization, Monitoring | CA-7 (Continuous Monitoring) |
| CM | Configuration Management | CM-6 (Configuration Settings) |
| CP | Contingency Planning | CP-9 (System Backup) |
| IA | Identification and Authentication | IA-2 (Identification and Authentication) |
| IR | Incident Response | IR-4 (Incident Handling) |
| MA | Maintenance | MA-4 (Nonlocal Maintenance) |
| MP | Media Protection | MP-7 (Media Use) |
| PE | Physical and Environmental Protection | PE-3 (Physical Access Control) |
| PL | Planning | PL-2 (System Security Plan) |
| PM | Program Management | PM-9 (Risk Management Strategy) |
| PS | Personnel Security | PS-3 (Personnel Screening) |
| PT | PII Processing and Transparency | PT-3 (PII Processing Purposes) |
| RA | Risk Assessment | RA-3 (Risk Assessment) |
| SA | System and Services Acquisition | SA-11 (Developer Testing) |
| SC | System and Communications Protection | SC-8 (Transmission Confidentiality) |
| SI | System and Information Integrity | SI-2 (Flaw Remediation) |
| SR | Supply Chain Risk Management | SR-3 (Supply Chain Controls) |
Приклади з конкретними кодами controls:
| Функція UBD | НД ТЗІ вимога | NIST 800-53 control | Покриття |
|---|---|---|---|
| Ідентифікація користувачів | Б.1 (ідентифікація) | IA-2 (Identification and Authentication) | Повне |
| Контроль доступу | Б.3 (керування доступом) | AC-3 (Access Enforcement) | Повне |
| WORM-журнал | Б.2 (реєстрація подій) | AU-2 (Event Logging), AU-9 (Protection of Audit Information) | Повне |
| Криптографія | Б.6 (криптозахист) | SC-13 (Cryptographic Protection) | Повне (з ДСТУ 4145, 7624) |
| Шифрування at-rest | Б.7 (захист від спостереження) | SC-28 (Protection of Information at Rest) | Повне |
| Шифрування in-transit | Частково Б.7 | SC-8 (Transmission Confidentiality) | Повне (TLS 1.3) |
| Резервне копіювання | Б.10 (резервування) | CP-9 (System Backup), CP-10 (System Recovery) | Повне (з конфігурованими скриптами) |
| Виявлення інцидентів | Б.11 (моніторинг) | SI-4 (System Monitoring), IR-4 (Incident Handling) | Часткове (UBD журналює; SOC будується окремо) |
| Двофакторна автентифікація | Не явно в НД ТЗІ | IA-2(1), IA-2(2) (MFA) | Повне |
| Контроль цілісності журналу | Б.2 | AU-10 (Non-repudiation), AU-9 | Повне (chain integrity) |
Класифікація сили покриття:
UBD реалізує control повністю на технічному рівні. Замовнику достатньо посилання на функцію UBD + підтвердження її коректного налаштування.
Приклади: AC-3 (Access Enforcement), AU-2 (Event Logging), SC-8 (Transmission Confidentiality), SC-13 (Cryptographic Protection), IA-2 (Authentication).
UBD реалізує technical частину, але control також вимагає процесних/організаційних заходів від замовника.
Приклад: IR-4 (Incident Handling). UBD журналює події, дає інструменти для дослідження. Але сам процес реагування (хто, коли, як) — встановлюється замовником.
Control стосується процесів, не технології. UBD не може його реалізувати — це робить замовник.
Приклади: PS-3 (Personnel Screening), PE-3 (Physical Access Control), AT-2 (Awareness Training), PM-9 (Risk Management Strategy).
Структура документа:
Орієнтовний обсяг: 40-150 сторінок для Moderate baseline. Підготовка — 2-6 тижнів якщо КСЗІ-пакет вже існує.
Багато міжнародних замовників питають про ISO 27001, а не про NIST. Mapping простіший:
UBD має готові mapping-таблиці НД ТЗІ → NIST 800-53 → ISO/IEC 27001 для більшості control families. Це не маркетинговий PDF, а робочий документ з посиланнями на конкретні функції платформи, конфігураційні параметри, описи у експертному висновку Г-3. Документ надається партнерам для прискорення підготовки compliance-документації під конкретних замовників.