Страница 3: ДСТУ ISO . ДСТУ ISO/TR 13335-2:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування та планування безпеки IT (41033)

Недоліки цього підходу: якщо базовий рівень захисту визначено як дуже високий, то це може або занадто дорого коштувати, або не забезпечувати необхідного захисту деяких систем, а якщо основний рівень дуже низький, то може виявитися, що для деяких систем немає достатнього рівня захисту.

Може виникнути утруднення в керуванні змінами, що залежать від захисту. Наприклад, якщо система модернізована, можуть виникнути труднощі у визначенні, чи є первинні основні засоби захисту, як і раніше, ефективними.

10.2Неформальний підхід

Другий підхід складається з неформального, прагматичного аналізування ризику для всіх систем. Неформальний підхід базується не на структурованих методах, а на обізнаності і досвіді осіб. Якщо експертизу захисту не можна провести своїми силами, то залучають зовнішніх консультантів.

Переваги цього підходу: немає потреби набувати додаткових навичок або проводити навчання для здійснення неформального аналізування і воно може бути проведено значно швидше, ніж докладне аналізування ризику. Отже, цей підхід ефективний з точки зору вартості і найбільше підходить для малих організацій.

Проте у цього підходу є недоліки:

  • відсутність структурованого підходу збільшує імовірність неврахування деяких ризиків ісфер їхнього впливу;
  • оскільки підхід є неформальним, результатам властива суб'єктивність поглядів і упередженість рецензентів;
  • існує лише незначне мотивування для вибору засобів захисту, отже, складно визначативитрати на них;
  • може виникнути складність у керуванні безпекою під час змін без частого аналізування.

10.3Докладне аналізування ризику

Третій підхід полягає в докладному аналізуванні ризику для всіх систем. Докладне аналізування ризику включає визначання й оцінювання активів, а також оцінювання рівнів загроз для цих активів і їх уразливості. Цю інформацію використовують для визначання ризиків. Виконання цього аналізу ризику сприяє ідентифікуванню, вибору і впровадженню засобів захисту, скоригованих ідентифікованими ризиками стосовно активів, а також знижує ці ризики до прийнятного визначеного рівня керування. Докладне аналізування ризику може бути ресурсомістким процесом і тому вимагає чіткого визначення меж і постійної уваги адміністрації.

Переваги цього підходу:

  • визначають рівень захисту відповідно до вимог безпеки для кожної системи;
  • додаткова інформація, що отримана з детального аналізування ризику, сприяє керуваннюзмінами, пов'язаними із захистом.

Основний недолік цього підходу: він потребує значної кількості часу, зусиль і експертизи для отримання корисних результатів.

10.4Змішаний підхід

Четвертий підхід насамперед ідентифікує ті системи, які мають підвищений ризик або є кри-

тичними щодо ділової активності і передбачає високорівневе аналізування ризику. Ґрунтуючись на отриманих при цьому результатах, системи поділяються на ті, які потребують докладного аналізування ризику для досягнення відповідного захисту, і ті, для яких є достатнім базовий захист.

Цей підхід — комбінація кращих положень, описаних в 10.1 і 10.3. Таким чином, він забезпечує рівновагу та мінімізацію часу і зусиль, що їх витрачають на ідентифікацію засобів захисту, для того щоб гарантувати відповідну захищеність усіх систем.

Переваги цього підходу:

  • поєднання на початку швидкості і простоти підходу підвищує імовірність прийняття програми аналізування ризику;
  • можливість швидко отримати уявлення про стратегію програми захисту в організації, щоможе сприяти покращенню планування;
  • ресурси і кошти можуть бути спрямовані на отримання максимальної вигоди, і системиз найбільшою потребою в захисті можуть бути враховані на ранніх стадіях.

Недоліки цього підходу: якщо високорівневий аналіз ризику дає неточні результати, то деяким системам, для яких необхідне докладне аналізування ризику, не буде приділено належної уваги. Звичайно, така ситуація малоймовірна, якщо результати аналізування ризику відповідно перевірені, але в будь-якому випадку такі системи все ж повинні додатково підтримуватися базовими засобами захисту.

У більшості випадків цей підхід є найрентабельнішим рішенням, і його рекомендовано до застосування більшістю організацій.

11 РЕКОМЕНДАЦІЇ ЩОДО ЗАХИСТУ IT

Будь-який з підходів, наведених у розділі 10, повинен надати мінімальний набір рекомендацій для доведення ризику захисту до допустимого рівня. Ці рекомендації повинні бути схвалені адміністрацією і включати:

  • критерії для визначання допустимих рівнів ризиків для систем IT, що розглянуті;
  • вибирання засобів захисту, які доводять ризики до допустимого рівня;
  • переваги, отримані внаслідок застосування цих засобів захисту, і значне зниження ризиків;
  • приймання ризиків, що залишаються після застосування всіх засобів захисту.

11.1 Вибирання засобів захисту

Є декілька типів засобів захисту: ті, які попереджають, зменшують, контролюють, виявляють або виправляють небажані інциденти, і ті, які відновлюють після них. Запобігання може охоплювати засоби, що стримують небажані дії і що забезпечують краще розуміння захисту. Основні сфери, де можна застосовувати відповідні захисні засоби, і деякі приклади для кожної сфери такі:

  • апаратні засоби (резервне копіювання, ключі);
  • програмне забезпечення (електронні підписи, реєстрація, антивірусні засоби);
  • зв'язок (мережні пристрої захисту (firewall), кодування інформації);
  • фізичне оточення (огороджувальні споруди, контрольні пункти);
  • персонал (компетентність персоналу, процедури для швидкого анулювання доступу службовця);

—адміністрування (повноваження, розподіл апаратних засобів, ліцензоване керування).Засоби захисту не є незалежними один від одного, і їх часто використовують спільно. Процес

вибирання повинен враховувати залежність засобів захисту. У процесі вибирання засобів захисту треба також перевіряти, чи не залишилося прогалин. Такі прогалини роблять можливим обхід наявних засобів захисту і дають змогу випадковим загрозам викликати пошкодження.

Для нових систем або для тих, де зроблені корінні зміни, вибирання засобів захисту повинно враховувати структуру захисту. Структура захисту є частиною загальної структури системи і відображає, наскільки задовольняються вимоги безпеки системи IT. Це також стосується і технічних засобів захисту, навіть коли розглядають нетехнічні аспекти.

Усі засоби захисту вимагають уваги, щоб гарантувати ефективне використання. Багато засобів захисту вимагають підтримки керівництвом для досягнення ефективності. Ці чинники треба враховувати протягом всього процесу вибирання засобів захисту.

Дуже важливо, щоб використання засобів захисту було ефективним і не викликало зайвого

втручання користувача або органу керування. Якщо засоби захисту спричинюють істотні зміни, то їх застосування потрібно враховувати в програмі компетентності захисту, а також в керуванні змінами і настроюванням системи.

11.2 Врахування ризику

Після застосування вибраних засобів захисту завжди буде існувати залишковий ризик. Це пов'язано з принциповою неможливістю побудови абсолютно захищеної системи, а також з тим, що деякі активи, можливо, залишаються навмисно незахищеними (наприклад, через низький ризик або високі витрати на засоби захисту порівняно з розрахунковою вартістю активів, які треба захищати).

Перший крок процесу враховування ризику полягає в оцінці вибраних засобів захисту, в ідентифікації і визначенні всіх залишкових ризиків. Наступний крок повинен кваліфікувати залишкові ризики як такі, що «можуть бути допущеними», і такі, що «не можуть бути допущеними» організацією.

Очевидно, що неприйнятні ризики не можна допускати і тому необхідні додаткові засоби захисту, що обмежують ураження або наслідки ризиків. У кожному з цих випадків необхідно прийняти відповідне рішення. Або ризик треба оцінювати як допустимий, або необхідні додаткові витрати на засоби захисту, які понизять ризик до допустимого рівня.

12 МЕТОДИКА ЗАХИСТУ СИСТЕМИ IT

Методики, що їх розробляють для захисту системи IT, повинні ґрунтуватись на корпоративній або відомчій методиці захисту. Ці методики захисту системи містять багато принципів і правил для убезпечнювання систем і служб. Методики повинні бути реалізовані у вигляді застосування відповідних засобів захисту до систем і служб, щоб гарантувати, що досягнуто належного рівня захисту.

Методики захисту системи IT повинні бути затверджені вищим керівництвом як обов'язкові набори принципів і правил, щоб гарантувати, що фінансові і трудові ресурси використовують за призначенням.

Ключові моменти, які треба враховувати під час визначання кожної методики захисту системи IT:

  1. визначання характеристик системи IT і її меж;
  2. визначання бізнесових цілей, яких буде досягнуто системою, оскільки вони можуть впливати на методику захисту системи, на вибір і застосування засобів захисту;
  3. потенційно несприятливі ураження від:

  • недоступності, відмови або знищення допоміжних, або основних активів, включаючиінформацію;
  • несанкціонованої зміни інформації або програмного забезпечення;
  • несанкціонованого розголошування даних, з наслідками, що їх вимірюють кількісно, такимияк прямі або непрямі фінансові втрати, а також із наслідками якісними, такими як втрата престижу,інформації, що викликає збитки або небезпеку, порушення особистої конфіденційності;

  1. рівень інвестування в IT;
  2. істотні загрози системі IT та оброблюваній інформації;
  3. уразливості через слабкі місця, які дозволяють ідентифікованим загрозам впливати насистеми IT;
  4. необхідність засобів захисту, адекватних ідентифікованим ризикам;
  5. витрати на захист в IT, тобто витрати на захист активів IT (кошти, вкладені в захист IT,треба розглядати як частину капіталу власника системи IT);
  6. структура принципів вибору зовнішніх провайдерів (наприклад обчислювальні центри,обслуговування персональних комп'ютерів).

Захист IT вимагає планового підходу і не повинен розглядатися окремо. Це має бути головним питанням у процесі стратегічного планування для гарантування, що захист був запланований та інтегрований в систему спочатку. У більшості випадків затримка в застосуванні засобів захисту веде до більших витрат або стає непрактичним.

13ПЛАН ЗАХИСТУ IT

План захисту IT — документ, який визначає узгоджені заходи, які необхідно здійснити для реалізації методики захисту системи IT. Цей план повинен включати короткі, середні і довготривкі першорядні заходи з відповідними капіталовкладеннями, термінами фінансування, вартістю експлуатації, навантаженнями тощо, а також графіком впровадження. Він повинен містити:

  1. повну структуру і проект захисту;
  2. короткий розгляд системи IT для узгодження з задачами захисту організації, відображеними в термінах максимальних фінансових втрат, утруднень, іміджу компанії тощо;
  3. визначення засобів захисту, підтриманих і затверджених вищим керівництвом згідно оцінених ризиків;
  4. оцінку фактичного рівня впевненості в засобах захисту, згідно визначання їхньої ефективності;
  5. аналіз оцінок залишкового ризику в аспекті системи або її використання;
  6. ідентифікацію і визначення пріоритетності заходів для впорядкованості впровадження засобів захисту;
  7. детальний робочий план впровадження засобів захисту, враховуючи пріоритети, фінансування і часовий графік;
  8. дії з керування проектом, що включають:

  • розподіл ресурсів, обов'язків і відповідальності;
  • визначання процедур звітності про хід роботи;

9)компетентність у захисті і вимоги до навчання персоналу IT та кінцевих користувачів;

10)вимоги до умов експлуатації засобів захисту і процедур керування.

Крім того, план повинен охоплювати заходи, що визначають умови і дії із затвердження кожного з вище перерахованих положень, включаючи і внесення змін до плану.

14ВПРОВАДЖУВАННЯ ЗАСОБІВ ЗАХИСТУ

Після затвердження проекту безпеки IT необхідно його впровадити. Як правило, за це відповідає системний контролер безпеки IT. У процесі застосування засобів захисту досягнення цілей повинно гарантувати, що:

  • вартість засобів захисту повинна залишитись у прийнятих межах;
  • засоби захисту використовують відповідно до вимог проекту безпеки IT;
  • використання і керування засобами захисту повинно відповідати вимогам проекту безпеки IT.

Більшість технічних засобів захисту потребують експлуатаційного й адміністративного регламентування, їх не можна використовувати як звичайні технічні засоби. Відповідні інструкції повинні бути підтримані і впроваджені керівництвом.

Обізнаність в питаннях захисту (компетентність у захисті) і навчання також включають у заходи безпеки. Це важливе положення буде детально розглянуте в розділі 15. Оскільки весь персонал повинен бути обізнаним у захисті, потрібно провести навчання:

  • персоналу, відповідального за впровадження системи IT;
  • персоналу, відповідального за експлуатування системи IT;
  • контролерів безпеки проекту і системи IT;

—персоналу, відповідального за керування безпекою, наприклад за контролювання доступу.Після реалізації плану безпеки IT треба формально затвердити застосування засобів захисту,

зазначених у проекті безпеки системи IT. Після затвердження дозвіл передають у систему IT або послуги вводять в дію. Процес затвердження в деяких комітетах проводять як акредитацію.

Будь-які істотні зміни в системі IT або послугах повинні викликати повторне перевіряння, повторні випробовування і затвердження системи IT або послуг.

15КОМПЕТЕНТНІСТЬ У ЗАХИСТІ

Програму обізнаності у захисті треба застосовувати до всіх рівнів організації, від вищого керівництва до користувачів. Без участі персоналу на рівні користувачів програма компетентності у захисті не може бути успішною. Користувачі повинні розуміти своє значення в успіху програми.

Скачать бесплатно
Предыдущий документ
Следующий документ
Предыдущая страница
Следующая страница


Нормативні акти про охорону праці Основні законодавчі акти Будівельні норми і правила (ДБН, СНиП) Стандарти (ГОСТ, ДСТУ) Санітарні норми і правила Пожежна безпека (НАПБ) Інструкції з охорони праці Реестр НПАОП 2020-2021 - Нормативно-правові акти з охорони праці

Лісовий кодекс україни Закон України Про теплопостачання ДБН В.2.2-15-2005 Будинки і споруди житлові будинки. основні положення ГОСТ 24705-2004 Основные нормы взаимозаменяемости. Резьба метрическая. Основные размеры ДСТУ 2793-94 Сумісність технічних засобів електромагнітна. Стійкість до потужних електромагнітних завад. Загальні положення ДК 009:2010 Класифікація видів економічної діяльності Закон України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності" Правила пожарной безопасности в Украине Закон України "Про залізничний транспорт" Закон України "Про трубопровідний транспорт"
ТСН 12-301-96 А д м и н и с т р а ц и я п е р м с к о й о б л а с т и п о с т а н о в л е н и е 25.03.96 n 97 о территориальных строительных нормах СТОРІНКА: 2 ДСТУ ГОСТ 2.612:2014 Єдина система конструкторської документації. Електронний формуляр. Загальні вимоги СТОРІНКА: 2 ВНТП 02-92 НОРМЫ ТЕХНОЛОГИЧЕСКОГО ПРОЕКТИРОВАНИЯ ПРЕДПРИЯТИЙ ХЛЕБОПЕКАРНОЙ ПРОМЫШЛЕННОСТИ ЧАСТЬ II. ПЕКАРНИ ВНТП 02-92 СТОРІНКА: 7 ГОСТ 3.1428-91 Единая система технологической документации. Правила оформления документов на технологические процессы (операции) изготовления печатных плат СТОРІНКА: 2 ДСТУ Б EN 15459:2014 Енергетична ефективність будівель. Процедура економічної оцінки енергетичних систем будівель СТОРІНКА: 6 ДБН В.1.2-5:2007 Науково-технічний супровід будівельних об'єктів СТОРІНКА: 3 ГОСТ 10546-80 Волокно вискозное. Технические условия СТОРІНКА: 5 ТИ РМ-068-2002 Типовая инструкция по охране труда для электромонтера по обслуживанию подстанций СТОРІНКА: 3 ДСТУ 7113:2009 Вибухонебезпечні середовища. Частина 0. Електрообладнання. Загальні вимоги СТОРІНКА: 6 ГОСТ Р 12.4.244-2007 Система стандартов безопасности труда. Средства индивидуальной защиты, предназначенные для работ с радиоактивными веществами, и материалы для их изготовления. Метод определения дезактивирующей способности растворов СТОРІНКА: 2
Смотрите также
ГОСТ 12.1.026-80 Шум. Определение шумовых характеристик источников шума в свободном звуковом поле над звукоотражающей плоскостью. Технический метод Правила з безпечної експлуатації систем вентиляції у хімічних виробництвахГОСТ 12.1.001-89 Ультразвук. Общие требования безопасностиДБН Д.2.7-2000 Изменение n 3 к ресурсным сметным