Недоліки цього підходу: якщо базовий рівень захисту визначено як дуже високий, то це може або занадто дорого коштувати, або не забезпечувати необхідного захисту деяких систем, а якщо основний рівень дуже низький, то може виявитися, що для деяких систем немає достатнього рівня захисту.
Може виникнути утруднення в керуванні змінами, що залежать від захисту. Наприклад, якщо система модернізована, можуть виникнути труднощі у визначенні, чи є первинні основні засоби захисту, як і раніше, ефективними.
10.2Неформальний підхід
Другий підхід складається з неформального, прагматичного аналізування ризику для всіх систем. Неформальний підхід базується не на структурованих методах, а на обізнаності і досвіді осіб. Якщо експертизу захисту не можна провести своїми силами, то залучають зовнішніх консультантів.
Переваги цього підходу: немає потреби набувати додаткових навичок або проводити навчання для здійснення неформального аналізування і воно може бути проведено значно швидше, ніж докладне аналізування ризику. Отже, цей підхід ефективний з точки зору вартості і найбільше підходить для малих організацій.
Проте у цього підходу є недоліки:
10.3Докладне аналізування ризику
Третій підхід полягає в докладному аналізуванні ризику для всіх систем. Докладне аналізування ризику включає визначання й оцінювання активів, а також оцінювання рівнів загроз для цих активів і їх уразливості. Цю інформацію використовують для визначання ризиків. Виконання цього аналізу ризику сприяє ідентифікуванню, вибору і впровадженню засобів захисту, скоригованих ідентифікованими ризиками стосовно активів, а також знижує ці ризики до прийнятного визначеного рівня керування. Докладне аналізування ризику може бути ресурсомістким процесом і тому вимагає чіткого визначення меж і постійної уваги адміністрації.
Переваги цього підходу:
Основний недолік цього підходу: він потребує значної кількості часу, зусиль і експертизи для отримання корисних результатів.
10.4Змішаний підхід
Четвертий підхід насамперед ідентифікує ті системи, які мають підвищений ризик або є кри-
тичними щодо ділової активності і передбачає високорівневе аналізування ризику. Ґрунтуючись на отриманих при цьому результатах, системи поділяються на ті, які потребують докладного аналізування ризику для досягнення відповідного захисту, і ті, для яких є достатнім базовий захист.
Цей підхід — комбінація кращих положень, описаних в 10.1 і 10.3. Таким чином, він забезпечує рівновагу та мінімізацію часу і зусиль, що їх витрачають на ідентифікацію засобів захисту, для того щоб гарантувати відповідну захищеність усіх систем.
Переваги цього підходу:
Недоліки цього підходу: якщо високорівневий аналіз ризику дає неточні результати, то деяким системам, для яких необхідне докладне аналізування ризику, не буде приділено належної уваги. Звичайно, така ситуація малоймовірна, якщо результати аналізування ризику відповідно перевірені, але в будь-якому випадку такі системи все ж повинні додатково підтримуватися базовими засобами захисту.
У більшості випадків цей підхід є найрентабельнішим рішенням, і його рекомендовано до застосування більшістю організацій.
11 РЕКОМЕНДАЦІЇ ЩОДО ЗАХИСТУ IT
Будь-який з підходів, наведених у розділі 10, повинен надати мінімальний набір рекомендацій для доведення ризику захисту до допустимого рівня. Ці рекомендації повинні бути схвалені адміністрацією і включати:
11.1 Вибирання засобів захисту
Є декілька типів засобів захисту: ті, які попереджають, зменшують, контролюють, виявляють або виправляють небажані інциденти, і ті, які відновлюють після них. Запобігання може охоплювати засоби, що стримують небажані дії і що забезпечують краще розуміння захисту. Основні сфери, де можна застосовувати відповідні захисні засоби, і деякі приклади для кожної сфери такі:
—адміністрування (повноваження, розподіл апаратних засобів, ліцензоване керування).Засоби захисту не є незалежними один від одного, і їх часто використовують спільно. Процес
вибирання повинен враховувати залежність засобів захисту. У процесі вибирання засобів захисту треба також перевіряти, чи не залишилося прогалин. Такі прогалини роблять можливим обхід наявних засобів захисту і дають змогу випадковим загрозам викликати пошкодження.
Для нових систем або для тих, де зроблені корінні зміни, вибирання засобів захисту повинно враховувати структуру захисту. Структура захисту є частиною загальної структури системи і відображає, наскільки задовольняються вимоги безпеки системи IT. Це також стосується і технічних засобів захисту, навіть коли розглядають нетехнічні аспекти.
Усі засоби захисту вимагають уваги, щоб гарантувати ефективне використання. Багато засобів захисту вимагають підтримки керівництвом для досягнення ефективності. Ці чинники треба враховувати протягом всього процесу вибирання засобів захисту.
Дуже важливо, щоб використання засобів захисту було ефективним і не викликало зайвого
втручання користувача або органу керування. Якщо засоби захисту спричинюють істотні зміни, то їх застосування потрібно враховувати в програмі компетентності захисту, а також в керуванні змінами і настроюванням системи.
11.2 Врахування ризику
Після застосування вибраних засобів захисту завжди буде існувати залишковий ризик. Це пов'язано з принциповою неможливістю побудови абсолютно захищеної системи, а також з тим, що деякі активи, можливо, залишаються навмисно незахищеними (наприклад, через низький ризик або високі витрати на засоби захисту порівняно з розрахунковою вартістю активів, які треба захищати).
Перший крок процесу враховування ризику полягає в оцінці вибраних засобів захисту, в ідентифікації і визначенні всіх залишкових ризиків. Наступний крок повинен кваліфікувати залишкові ризики як такі, що «можуть бути допущеними», і такі, що «не можуть бути допущеними» організацією.
Очевидно, що неприйнятні ризики не можна допускати і тому необхідні додаткові засоби захисту, що обмежують ураження або наслідки ризиків. У кожному з цих випадків необхідно прийняти відповідне рішення. Або ризик треба оцінювати як допустимий, або необхідні додаткові витрати на засоби захисту, які понизять ризик до допустимого рівня.
12 МЕТОДИКА ЗАХИСТУ СИСТЕМИ IT
Методики, що їх розробляють для захисту системи IT, повинні ґрунтуватись на корпоративній або відомчій методиці захисту. Ці методики захисту системи містять багато принципів і правил для убезпечнювання систем і служб. Методики повинні бути реалізовані у вигляді застосування відповідних засобів захисту до систем і служб, щоб гарантувати, що досягнуто належного рівня захисту.
Методики захисту системи IT повинні бути затверджені вищим керівництвом як обов'язкові набори принципів і правил, щоб гарантувати, що фінансові і трудові ресурси використовують за призначенням.
Ключові моменти, які треба враховувати під час визначання кожної методики захисту системи IT:
Захист IT вимагає планового підходу і не повинен розглядатися окремо. Це має бути головним питанням у процесі стратегічного планування для гарантування, що захист був запланований та інтегрований в систему спочатку. У більшості випадків затримка в застосуванні засобів захисту веде до більших витрат або стає непрактичним.
13ПЛАН ЗАХИСТУ IT
План захисту IT — документ, який визначає узгоджені заходи, які необхідно здійснити для реалізації методики захисту системи IT. Цей план повинен включати короткі, середні і довготривкі першорядні заходи з відповідними капіталовкладеннями, термінами фінансування, вартістю експлуатації, навантаженнями тощо, а також графіком впровадження. Він повинен містити:
9)компетентність у захисті і вимоги до навчання персоналу IT та кінцевих користувачів;
10)вимоги до умов експлуатації засобів захисту і процедур керування.
Крім того, план повинен охоплювати заходи, що визначають умови і дії із затвердження кожного з вище перерахованих положень, включаючи і внесення змін до плану.
14ВПРОВАДЖУВАННЯ ЗАСОБІВ ЗАХИСТУ
Після затвердження проекту безпеки IT необхідно його впровадити. Як правило, за це відповідає системний контролер безпеки IT. У процесі застосування засобів захисту досягнення цілей повинно гарантувати, що:
Більшість технічних засобів захисту потребують експлуатаційного й адміністративного регламентування, їх не можна використовувати як звичайні технічні засоби. Відповідні інструкції повинні бути підтримані і впроваджені керівництвом.
Обізнаність в питаннях захисту (компетентність у захисті) і навчання також включають у заходи безпеки. Це важливе положення буде детально розглянуте в розділі 15. Оскільки весь персонал повинен бути обізнаним у захисті, потрібно провести навчання:
—персоналу, відповідального за керування безпекою, наприклад за контролювання доступу.Після реалізації плану безпеки IT треба формально затвердити застосування засобів захисту,
зазначених у проекті безпеки системи IT. Після затвердження дозвіл передають у систему IT або послуги вводять в дію. Процес затвердження в деяких комітетах проводять як акредитацію.
Будь-які істотні зміни в системі IT або послугах повинні викликати повторне перевіряння, повторні випробовування і затвердження системи IT або послуг.
15КОМПЕТЕНТНІСТЬ У ЗАХИСТІ
Програму обізнаності у захисті треба застосовувати до всіх рівнів організації, від вищого керівництва до користувачів. Без участі персоналу на рівні користувачів програма компетентності у захисті не може бути успішною. Користувачі повинні розуміти своє значення в успіху програми.