Страница 12: ДСТУ ISO/IEC TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту (61301)

Експлуатація. Тестування безпеки можна використовувати для гарантування коректного функціонування програмного забезпечення, а контроль змін програмного забезпечення допоможе уникнути проблем цих програм, спричинених оновленнями чи іншими змінами програмного забез­печення (див. 8.1.5).З Резервування. Резервні копії, наприклад, зроблені останніми, можна використовувати для відновлення даних, оброблених програмним забезпеченням, що функціонує некоректно (див. 8.1.6).

  1. 0.4.12 Збої постачання (живлення, кондиціонування повітря)

Збої постачання можуть викликати проблеми доступності, якщо через них виникли інші збої. Наприклад, пошкодження постачання можуть спричинити збої апаратного забезпечення, технічні пошкодження чи проблеми з накопичувачами інформації. Засоби захисту від цих специфічних про­блем можна знайти у відповідних підпунктах; засоби захисту від збоїв постачання наведено нижче.

  1. Живлення та кондиціонування повітря. Треба використовувати засоби захисту живлення та кондиціонування повітря, наприклад, захист від сплесків напруги, коли необхідно уникнути будь- яких проблем, пов’язаних зі збоями постачання (див. 8.1.7).

  2. Резервування. Треба робити резервні копії всіх важливих файлів, ділових даних тощо. Якщо файл чи будь-яка інша інформація втрачена через збої постачання, для відновлення інформації треба використовувати резервну копію чи попередню резервну копію. Докладніше про резервуван­ня можна знайти в 8.1.6.

  3. 0.4.13 Технічні пошкодження

Технічні пошкодження, наприклад, у мережах, можуть знищити доступність будь-якої інфор­мації, що зберігається чи обробляється в цій мережі. Засоби захисту від технічних пошкоджень на­ведено нижче.

  1. Експлуатація. Керування конфігурацією та змінами, так само, як і керування потужностями, треба використовувати, щоб уникнути збоїв будь-якої IT системи. Документацію та обслуговування використовують для забезпечення безпроблемної роботи системи (докладніше про це в 8.1.5).

  2. Керування мережею. Для мінімізації ризиків технічних пошкоджень треба використовувати методику експлуатації, планування системи та відповідну конфігурацію мережі (див. 8.2.4).

З План неперервності бізнесу. Для захисту бізнесу від пагубних ефектів технічних пошкоджень, треба розробити план неперервності бізнесу та доступні резервні послуги, ресурси та копії важ­ливої інформації (див. 8.1.6).

  1. 0.4.14 Крадіжки

Крадіжки явно піддають небезпеці доступність інформації та IT обладнання. Засоби захисту від крадіжок наведено нижче.

  1. Фізичні засоби. Це може бути матеріальний захист, що робить доступ в будівлю, зону чи кімнату, яка містить комп’ютерне обладнання та інформацію, складнішим, або це можуть бути спе­цифічні засоби від крадіжок (обидва види описані в 8.1.7).

  2. Персонал. Для ускладнення крадіжок мають бути наявні засоби захисту персоналу (контро­лювання зовнішнього персоналу, угоди конфіденційності тощо) (див. 8.1.4).

З Контроль носіїв інформації. Будь-який носій, що містить важливий матеріал, треба захищати від крадіжок (див. 8.1.5).

  1. 0.4.15 Перевантаження каналів

Перевантаження каналів загрожує доступності інформації, що передається по цих каналах. Засоби захисту доступності наведено нижче.

  1. Надлишковість та резервування. Надлишкова реалізація компонентів комунікаційних послуг може бути використана для зниження ймовірності збоїв комунікаційних служб. Залежно від роз­міру максимального припустимого простою, запасне обладнання також треба використовувати для задоволення вимог. У будь-якому випадку, дані конфігурації та розташування мають бути також зарезервовані для забезпечення доступності у випадку надзвичайної ситуації. Загальну інформа­цію про резервування можна знайти в 8.1.6.

  2. Керування мережею. Щоб уникнути перевантаження треба використовувати відповідну кон­фігурацію, керування і адміністрування мереж та комунікаційних послуг.

З Керування мережею. Зараз ISO розробляє документи, що містять подальшу інформацію про детальні засоби захисту мережної безпеки, яка може бути застосована для захисту від переван­таження каналів.

  1. 0.4.16 Помилки передавання

  1. Помилки передавання можуть зруйнувати доступність інформації, що передається. Засоби захисту доступності наведено нижче.Прокладання кабелю. Ретельне планування та прокладання кабелю можуть допомогти уникнути помилок передавання, наприклад, якщо помилка викликана перевантаженням (див. також 8.1.7).

  2. Керування мережею. Керування мережею не може захистити від помилок передавання, а може використовуватись для виявлення проблем, що виникають через помилки передавання та підняття тревоги в таких випадках. Це дозволяє своєчасно реагувати на такі проблеми. Зараз ISO розробляє документи, що містять подальшу інформацію про детальні засоби захисту мережної безпеки, яка може бути застосована для захисту від помилок передавання.

  3. 0.4.17 Несанкціонований доступ до комп’ютерів, даних, служб та програм

Несанкціонований доступ до комп’ютерів, даних, служб та програм може бути загрозою до­ступності інформації, якщо можливий несанкціонований доступ. Засоби захисту від несанкціоно­ваного доступу охоплюють відповідну ідентифікацію та автентифікацію, контроль логічного доступу, аудит на рівні інформаційної системи та поділ мережі на мережному рівні.

  1. І&А. Відповідні засоби ідентифікації та автентифікації треба використовувати разом з кон­тролем логічного доступу для запобігання несанкціонованому доступу.

  2. Контроль та аудит логічного доступу. Треба використовувати засоби захисту, описані в 8.2.2, для забезпечення контролю логічного доступу через використання механізмів контролю доступу. Переглядання та аналізування журналів аудиту може виявити неуповноважені дії співробітників з правами доступу до системи.

З Поділ мережі. Щоб несанкціонований доступ до мережі був важчим, треба здійснити поділ мережі (див. 8.2.4).

  1. Контроль фізичного доступу. Крім логічного контролю доступу, захист можна забезпечува­ти фізичним контролем доступу (див. 8.1.7).

  2. Контроль носіїв інформації. Якщо важливі дані зберігаються на інших носіях інформації (на­приклад, дискетах), для захисту цих носіїв від несанкціонованого доступу потрібно застосовува­ти контроль носіїв інформації (8.1.5).

  3. 0.4.18 Використання несанкціонованих програм та даних

Використання несанкціонованих програм та даних піддає небезпеці доступність інформації, що зберігається та обробляється в системі, в якій це відбувається, якщо програми та дані викори­стовують для вилучення інформації несанкціонованим шляхом, або якщо програми та дані містять зловмисний код (наприклад, ігри). Засоби захисту від цього наведено нижче.

  1. Інформування про безпеку та навчання. Всі працівники мають бути попереджені про те, що вони не повинні запускати жодне програмне забезпечення без дозволу керівника інформаційної безпеки або будь-кого, хто може відповідати за безпеку системи (див. також 8.1.4).

  2. Резервування. Резервні копії треба використовувати для відновлення пошкодженої інфор­мації (див. 8.1.6).

  3. І&А. Відповідні засоби ідентифікації та автентифікації треба використовувати разом з кон­тролем логічного доступу для запобігання несанкціонованому доступу.

  4. Контроль та аудит логічного доступу. Контроль логічного доступу, описаний в 8.2.2, повинен гарантувати, що тільки уповноважені особи можуть застосовувати програмне забезпечення для обробляння та вилучення інформації. Переглядання та аналізування журналів аудиту може вия­вити несанкціоновані дії.

  5. Захист від зловмисного коду. Перед використанням всі програми та дані треба перевіряти на наявність зловмисного коду (див. 8.2.3).

  6. 0.4.19 Несанкціонований доступ до носіїв даних

Несанкціонований доступ та використання носія даних може піддавати небезпеці доступність, оскільки він може спричинити несанкціоноване знищення інформації, яка зберігається на цьому носії. Засоби захисту конфіденційності наведено нижче.

  1. Експлуатація. Контроль носіїв можна застосовувати для забезпечення, наприклад, фізичного захисту, обліку носіїв інформації для запобігання несанкціонованому доступу до інформації, що зберігають на цих носіях (див. 8.1.5). Спеціальні заходи треба вжити для захисту легко змінних носіїв інформації: дискети, магнітні стрічки та папір.

  2. Фізичний захист. Відповідний захист кімнат (міцні стіни та вікна, а також контроль фізично­го доступу) та аксесуари безпеки захищають від несанкціонованого доступу (див. 8.1.7).0.4.20 Помилки користувача

Помилки користувача можуть знищити доступність інформації. Засоби захисту від них наве­дено нижче.

  1. Інформування про безпеку та навчання. Всі користувачі мають бути відповідно навчені, щоб уникнути помилок під час обробляння інформації (див. також 8.1.4). Це навчання повинно охоплю­вати тренування, яке навчає визначеним таким діям, як процедури експлуатації чи безпеки.

  2. Резервування. Резервні копії, наприклад, створені попереднього разу, можна використову­вати для відновлення інформації, що була знищена через помилки користувача (див. 8.1.6).

  3. 0.5 Засоби захисту спостережності, автентичності та надійності

Сфера застосування спостережності, автентичності та надійності дуже відрізняється в різних галузях. Ці відмінності означають, що можна застосувати багато різних засобів захисту. Тому нижче наведено загальну настанову.

Засоби захисту, наведені у підрозділі 8.1, забезпечують «загальний» захист, тобто вони спря­мовані на низку загроз та забезпечують захист через підтримування загального ефективного ке­рування інформаційною безпекою. Тому вони не наведені тут, але їх вплив не треба недооціню­вати, і їх треба впроваджувати для загального ефективного захисту.

  1. Спостережність

Для захисту спостережності можна розглядати будь-яку загрозу, що може призвести до немож­ливості пов’язати якісь дії з конкретним об'єктом чи суб’єктом. Деякі приклади таких загроз: спільне використання облікового запису, відсутність трасування дій, приховування особистості користува­ча, збої програмного забезпечення, несанкціонований доступ до комп’ютерів, даних, служб та про­грам, а також слабка автентифікація особистості.

Є два типи спостережності, які необхідно розглянути. Один пов’язаний з визначенням кори­стувачів, відповідальних за конкретні дії над інформацією та інформаційними системами. Цю фун­кцію виконують журнали аудиту. Інший тип пов'язаний з ідентифікованістю між користувачами в системі. Його можна досягнути через послуги неспростовності, розділення знань та подвійний контроль.

Багато засобів захисту можна використовувати для впровадження неспростовності чи сприяти її запровадженню. Можна застосовувати засоби, що залежать від таких чинників: політика безпеки, інформування про безпеку та контроль і аудит логічного доступу до одноразових паролів та кон­тролю носіїв інформації. Впровадження політики володіння інформацією є необхідною умовою спостережності. Вибір специфічних засобів захисту буде залежати від визначеного використання спостережності в конкретній сфері.

  1. Автентичність

Може бути зменшена будь-яка загроза, яка може призводити до того, що суб’єкт, система чи процес не будуть упевнені в автентичності об'єкта. Наприклад, ситуації, що можуть призвести до виникнення цього, містять неконтрольовані зміни даних, неперевірене джерело даних та джере­ло даних, що не підтримується.

Багато засобів захисту можна використовувати для впровадження автентичності чи сприяти її впроваджено. Можна застосовувати засоби від підписаних довідкових даних, контролю та аудиту логічного доступу до використання цифрових підписів. Вибір специфічних засобів захисту буде залежати від визначеного використання автентичності в конкретній сфері.

  1. Надійність

Будь-яка загроза, що може призвести до суперечливої поведінки систем чи процесів, змен­шить рівень надійності. До таких загроз належать продуктивність системи та ненадійне обслуго­вування. Втрата надійності може проявитися в неякісний роботі з клієнтами чи втраті довіри клієнтів.

Багато засобів захисту можна використовувати для впровадження надійності чи сприяти її впровадженню. Можна застосовувати такі засоби, як плани неперервності бізнесу, введення над- лишковості у фізичну архітектуру та обслуговування системи до ідентифікації і автентифікації, контролю і аудиту логічного доступу. Вибір специфічних засобів захисту буде залежати від визна­ченого використання автентичності в конкретній сфері.11 ВИБІР ЗАСОБІВ ЗАХИСТУ ВІДПОВІДНО ДО ДЕТАЛЬНИХ ОЦІНОК

Вибір засобів захисту відповідно до детальних оцінок здійснюють згідно з принципами, наве­деними в попередніх розділах. Детальне аналізування ризиків дозволяє враховувати спеціальні вимоги та обставини інформаційної системи та її цінностей. Відмінність від використання, наве­деного у попередніх розділах — це обсяг робіт та подробиці, зібрані протягом процесу оцінювання. Тому можливе кваліфіковане обґрунтування вибраних засобів захисту. У пункті 11.1 зазначено, як ISO/IEC TR 13335-3, що описує метод аналізування ризиків, може бути використаний у процесі ви­бору засобів захисту, наведених у цій частині ISO/IEC TR 13335. Принципи вибору описано в 11.2.

11.1 Взаємозв’язок ISO/IEC TR 13335-3 та ISO/IEC TR 13335-4

В ISO/IEC TR 13335-3 описано керування інформаційною безпекою. Крім того, наведено інші питання, можливі варіанти корпоративної стратегії аналізування ризиків та рекомендований підхід до аналізування ризиків. Головними варіантами стратегій для використання в організації є:

Скачать бесплатно
Предыдущий документ
Следующий документ
Предыдущая страница
Следующая страница


Нормативні акти про охорону праці Основні законодавчі акти Будівельні норми і правила (ДБН, СНиП) Стандарти (ГОСТ, ДСТУ) Санітарні норми і правила Пожежна безпека (НАПБ) Інструкції з охорони праці Реестр НПАОП 2020-2021 - Нормативно-правові акти з охорони праці

ДБН В.1.2-2:2006 НАВАНТАЖЕННЯ І ВПЛИВИ Норми проектування НПАОП 0.00-1.81-18 Правила охорони праці під час експлуатації обладнання, що працює під тиском ДСТУ 2904-94 Кислота соляна синтетична технічна. Технічні умови Закон України 2498-XII Про ветеринарну медицину ДБН В.2.2-15-2005 Будинки і споруди житлові будинки. основні положення ДБН В.2.2-9-99 Громадські будинки та споруди ДСТУ Б А.2.4-4:2009 Основні вимоги до проектної та робочої документації Про механізм впровадження Закону України "Про приватизацію державного житлового фонду" ДСТУ 4100:2014 Безпека дорожнього руху. Знаки дорожні. Загальні технічні умови. Правила застосування ДСП 173-96 Державні санітарні правила планування та забудови населених пунктів
ГОСТ 17039-71 Метчики. Исполнительные размеры СТОРІНКА: 9 ДСТУ 4339:2005 Масло вершкове СТОРІНКА: 2 НПАОП 63.12-1.03-96 Правила охраны труда при эксплуатации баз, складов и хранилищ, выполнении погрузочно-разгрузочных работ на объектах оптовой торговли СТОРІНКА: 40 ДСТУ 4378:2005 Риба океанічного промислу заморожена СТОРІНКА: 3 ДСТУ Б В.2.3-1-2000 ДСТУ Б В.2.3-1-95 (ГОСТ 26775-97). Габариты подмостовые судоходных прогонок мостов на внутренних водных путях СТОРІНКА: 3 Ценник на пусконаладочные работы 7 теплосиловое оборудование СТОРІНКА: 6 ГОСТ 95-77 Трансформаторы однофазные. Однопостовые для ручной дуговой сварки. Общие технические условия. Межгосударственный стандарт СТОРІНКА: 2 ОСТ 5.9034-84 Заготовки из стального проката. Общие технические требования СТОРІНКА: 4 ГОСТ 18698-79 Рукава резиновые напорные с текстильным каркасом. Технические условия СТОРІНКА: 4 Вопросы документации при международных перевозках опасных грузов. СТОРІНКА: 2
Смотрите также
О проекте государственных строительных норм "Мости и трубы. Правила проектирования О принятии национального стандартаНАОП 9.1.50-5.08-85 Типовая инструкция по технике безопасности при работе в стерилизационных