Страница 13: ДСТУ ISO/IEC TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту (61301)

  • використовування базового підходу для всіх IT систем,

  • використовування детального аналізування ризиків для всіх IT систем та

  • використовування «рекомендованого підходу», тобто дотримуватися високорівневого ана­лізування ризиків для всіх IT систем, базового підходу для IT систем малого ризику і детального аналізування ризиків для IT систем високого ризику.

Якщо для визначення засобів захисту було вирішено використовувати детальне аналізуван­ня ризиків для всіх IT систем, інформація про те, як вибирати засоби захисту, і як ефективно ви­користовувати результати детального аналізування ризиків, наведено в пункті 11.2 цієї частини ISO/IEC TR 13335. Проте може використовуватися інформація про засоби захисту для специфіч­них IT систем та зв’язок між проблемами безпеки, загрозами і засобами захисту, які містяться в роз­ділах 8—10 цієї частини ISO/IEC TR 13335.

11.2 Принципи вибору

Є чотири основних аспекти, на які спрямований засіб захисту, впливи, загрози, вразливості та ризики самі по собі. Засоби спрямовують на самі ризики, коли приймається рішення зменши­ти чи уникнути ризиків, а не приймати їх, наприклад, для зменшення ризику — проведення стра­хування, а прикладом, щоб уникнути ризику, є переміщення контрольованої інформації на інший комп’ютер. Компоненти, що всі разом створюють ризики, тобто впливи, загрози та вразливості, є головними цілями засобів захисту. Способи, якими засоби можна направляти на ці аспекти, такі:

  1. загрози — засоби захисту можуть зменшити ймовірність виникнення загрози (наприклад, розглянемо загрозу втрати даних через помилки користувача, тоді навчальний курс для користу­вачів зменшить кількість цих помилок), чи, у випадку зловмисного нападу, вони можуть спинити його через збільшення технічної складності успішної атаки;

  2. вразливість — засоби захисту можуть усунути вразливість чи зробити її менш серйозною (наприклад, якщо внутрішня мережа, що з’єднана із зовнішньою мережею, вразлива до несанкці­онованого доступу, то реалізація відповідного брандмауера зробить з’єднання менш вразливим, а роз’єднання усуне цю вразливість), чи

  3. вплив — засоби захисту можуть зменшити чи усунути вплив (якщо зловмисний вплив являє собою недоступність інформації, він зменшується через створення копій інформації, які надійно зберігаються в іншому місці, та готовність до активування плану неперервності бізнесу). Добре організоване реєстрування і аналізування журналів аудиту та засобів сигналізації!' може допомогти ранньому виявленню інциденту та знизити зловмисний вплив на бізнес.

Як і де використовують засіб захисту, може бути суттєва різниця від тієї користі, яку отрима­но завдяки його запровадженню. Дуже часто, загрози можуть використовувати більше ніж одну вразливість. Тому, якщо засіб захисту використовують, щоб запобігти виникненню такої загрози, він може бути спрямованим на декілька вразливостей одночасно. Зворотнє також вірно — засіб за­хисту, що захищає вразливість, може бути спрямованим на декілька загроз. Ці переваги слід роз­глядати, за можливості, під час вибору засобів захисту. Ці додаткові переваги потрібно завжди документувати, щоб мати повноту вимог безпеки, яким задовольняє будь-який засіб захисту.

Взагалі, засоби захисту можуть забезпечувати один чи більше з таких типів захисту: запобі­гання, стримування, виявлення, зменшення, відновлення, виправлення, моніторинг та обізнаність. Яка з цих властивостей найкраща, залежить від конкретних обставин та від призначення кожно­го засобу. В багатьох випадках засоби захисту забезпечують більше одного типу захисту, що зно­ву ж таки, забезпечує додаткові переваги. За можливості, треба надавати перевагу тим засобам, які мають багато переваг, ніж ті, що їх стільки не мають.

Безпека повинна завжди показувати розумний баланс щодо ефектів, згаданих вище. Якщо занадто великий акцент робиться на типі засобу захисту, малоймовірно, що загальна безпека буде ефективною. Наприклад, якщо більшість засобів стримування використовують без адекватних за­собів виявлення, щоб визначити, коли стримування не спрацювало, загальна безпека не буде ефективною.

Перед реалізацією, запропоновані засоби захисту треба порівняти з наявними засобами, щоб оцінити, що треба розширяти чи оновлювати. Якщо є, то це може бути дешевше, ніж запроваджен­ня нових засобів захисту.

Під час вибору засобів захисту важливо зважувати на вартість реалізації засобів захисту відносно вартості цінностей, що захищаються, та терміни повернення інвестицій, пов’язаних зі зни­женням ризику. Вартість реалізації та обслуговування засобу може бути набагато вищою, ніж вартість самого засобу, тому це треба враховувати під час вибору.

Технічні обмеження, а саме: вимоги продуктивності, керованості (вимоги обслуговування діяльності) та питань сумісності можуть заважати використанню деяких засобів захисту. В цих ви­падках керівники системи та безпеки мають працювати разом для прийняння оптимальних рішень. Може трапитися випадок, коли засіб захисту буде знижувати продуктивність. Знову таки, керівники системи та безпеки разом повинні прийняти рішення, що дозволить забезпечити необхідну продук­тивність за умови гарантованої достатньої безпеки.

Такі аспекти, як законодавство про захист приватного життя та право можуть вимагати, щоб були наявні певні засоби захисту, тому використовується визначення незмінних базових елементів.

12 РОЗРОБЛЯННЯ БАЗОВОЇ БЕЗПЕКИ ОРГАНІЗАЦІЇ

Коли організація вирішує запровадити базову безпеку до всієї організації чи до її частин, треба розглянути такі питання.

  1. Які частини організації чи систем можуть бути захищені певним базовим рівнем, а які по­требують іншого, і чи може той самий базовий рівень запроваджуватись для цілої організації?

  2. На який рівень безпеки має бути орієнтована базова безпека (чи різні базові безпеки)?

  3. Як можуть бути визначені засоби захисту, що формують іншу базову безпеку (за потреби)?

На рисунку 4 зображено різні способи застосування базової безпеки:

Рисунок 4 — Різні базові рівніПеревага застосування різних базових рівнів в одній організації — це те, що більшість систем будуть захищені належним чином, тобто застосовується не надмірно малий та не надмірно великий захист (наприклад, для IT з базовим рівнем 1 — системи 1, 2, 6, 8 та IT з базовим рівнем 2 — це системи 3, 4 та 5, як зазначено на рисунку 4). Якщо інформаційні системи з різними вимогами без­пеки є «насправді різними» (в тому сенсі, що більшість засобів захисту, які потрібні для захисту IT системи, різні), тоді для організації рекомендовано використовувати різні бази. Якщо вимоги до безпеки фундаментально відрізняються, рішення про використання базового підходу має бути переглянуто.

З іншого боку, якщо єдина відмінність між різними базовими рівнями — це та, що виникає по­треба у деяких додаткових засобах захисту для формування вищих базових рівнів, тоді можливо не варто запроваджувати декілька різних базових рівнів. Якщо запроваджений тільки один базо­вий рівень, накладні видатки організації можуть бути значно зменшені, і кожен в організації змо­же покладатися на наявність однакового рівня безпеки.

Рівень базової безпеки, на який треба орієнтуватися, звичайно, залежить від рішення, скільки рівнів базової безпеки можна логічно запровадити: один чи більше. Якщо вибрані різні базові рівні, ці рівні можуть бути встановлені достатньо точно до вимог безпеки IT систем, які потрібно захи­щати. Загалом, жоден базовий рівень не повинен бути спрямований на безпеку нижче найнижчих вимог до безпеки IT систем, які треба захищати (наприклад, нижче вимог IT системи 2 на рисун­ку 4). Доцільно орієнтуватись на рівень, що є достатнім для більшості (базовий рівень 1а на ри­сунку 4) чи всіх (базовий рівень 1b) IT систем, призначених для захисту. Часто доцільно орієнту­ватись на найвищий рівень безпеки інформаційних систем для захисту їх базовими засобами, оскільки це зазвичай не дуже дорого, але забезпечує достатню безпеку для всіх задіяних IT систем. Необ­хідно уважно розглянути запроваджені IT систем для прийняття остаточного рішення, які IT сис­теми будуть захищатись тим же базовим рівнем. Деякі IT системи багато в чому схожі за сутністю та (або) за вимогами до захисту — в цьому випадку є корисно захищати їх тим же самим базовим рівнем. З іншого боку, якщо декілька IT систем повністю відрізняються в своїх вимогах до захис­ту, дуже часто найпростіше розглядати їх окремо.

Теж саме і у випадку, якщо організація вирішує реалізовувати однаковий базовий рівень по всій організації. Ця базова безпека може бути орієнтована на три різні рівні:

  1. низький рівень, долучаючи специфічні засоби захисту, щоб захистити всі IT системи з ви­щими вимогами;

  2. середній рівень, долучаючи специфічні засоби захисту, щоб захистити всі IT системи з ви­щими вимогами, чи

  3. високий рівень, що є достатнім для захисту всіх IT систем, передбачених для захисту ба­зовою безпекою.

Як описано вище, середній та високий рівні базової безпеки можуть бути зручними для бага­тьох організацій, щоб досягти достатнього захисту, надійної безпеки по всій організації та зниження організаційних видатків. У підсумку, рішення треба приймати відповідно до політики безпеки організації та вимог IT систем, що розглядаються.

13 ВИСНОВКИ

Ця частина ISO/IEC TR 13335 описує різні способи вибору засобів захисту, які можна викори­стовувати для досягнення базової безпеки чи для допомоги методам, описаним в ISO/IEC TR 13335-3. Ця частина ISO/IEC TR 13335 також містить огляд загальних засобів захисту, що можуть бути вибрані за допомогою будь-якого підходу, згаданому вище, та за допомогою посилання на різні довідники з базових засобів захисту, що містять детальніші описи цих засобів. Отже, описані різні способи розроблення базової безпеки організації та переваги і недоліки описаних варіантів. Ця частина ISO/IEC TR 13335 може бути використана будь-якою організацією, великою чи малою, яка хоче вибрати засоби захисту своїх інформаційних систем.БІБЛІОГРАФІЯ

A Code of Practice for Information Security Management В ETSI Baseline Security Standard — Features and

see Annex А

Mechanisms

see Annex В

C IT Baseline Protection Manual

see Annex С

D NIST Computer Security Handbook

see Annex D

E Medical Informatics: Security Categorization and Protection for Healthcare Information Systems

see Annex E

F TC 68 Banking and Related Financial Services

see Annex F

G Protection of sensitive information not covered by the Official Secrets Act — Recommendations for computer Workstations

see Annex G

H Canadian Handbook on Information Technology Security

see Annex H

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

А Практичні правила керування інформаційною безпекою

див. додаток A

В Стандарт базової безпеки ETSI. Функції та механізми

див. додаток В

С Довідник з базового захисту IT

див. додаток С

D Посібник з комп’ютерної безпеки NIST

див. додаток D

Е Медична інформатика: Категоризація безпеки та захист інформаційних систем охорони здоров’я

див. додаток Е

F Банківська справа та пов’язані з нею фінансові послуги ТС 68. Посібник з інформаційної безпеки

див. додаток F

G Захист контрольованої інформації, на яку не поширюється Закон про державну таємницю. Рекомендації для комп’ютерних робочих станцій

див. додаток G

Н Канадський посібник з безпеки інформаційних технологій

див. додаток Н

ДОДАТОК A



ПРАКТИЧНІ ПРАВИЛА КЕРУВАННЯ
ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

(Тип: загальний)

Сфера застосування

BS 7799 — це багаточастинний стандарт, який містить частини:

BS 7799-1:1999 Практичні правила керування інформаційною безпекою;

BS 7799-2:1999 Специфікація систем керування інформаційною безпекою.

Ці стандарти опубліковані під авторством Департаменту стандартів Британського інституту стандартів. BS 7799-1:1999 замінює версію 1995, яка на сьогодні не чинна. BS 7799 призначений для використовування директорами, керівниками та працівниками, які відповідають за ініціацію, реалізування та підтримування інформаційної безпеки в своїй організації, та може розглядатись як основа для розробляння стандартів з безпеки організації.

Версії 1999 року частин 1 та 2 були підготовлені під наглядом комітету BSI/DISC, BDD/2 «Ке­рування інформаційною безпекою». У цих нових версіях враховано останні напрацювання в час­тині технологій обробляння даних, особливо у сфері мереж та комунікацій. Вони також більше ак­центують на залучення бізнесу до інформаційної безпеки та відповідальність за неї. В процесі перегляду враховувались зауваження організацій з різних країн світу.

Ці документи забезпечують повний набір засобів керування, що містять найкращі приклади з інформаційної безпеки і мають бути настільки повними, наскільки це можливо. Вони мають бути єдиним джерелом посилань для визначання засобів керування, потрібних у більшості ситуацій, коли інформаційні системи використовують у виробництві та торгівлі, і тому можуть запроваджу­ватись великими, середніми та малими організаціями.Зміст BS 7799-1:1999

  1. Сфера застосування

  2. Терміни та визначення понять

  3. Політика безпеки

    1. Політика інформаційної безпеки

  4. Організація безпеки

    1. Інфраструктура інформаційної безпеки

    2. Безпека доступу третьої сторони

    3. Аутсорсінг

Національна примітка

Аутсорсінг — це виконання роботи на відстані від замовника і пересилання результатів роботи електронними засобами.

  1. Класифікація цінностей та керування ними

    1. Облік цінностей

    2. Класифікація інформації

  2. Безпека основного персоналу

    1. Безпека у разі визначення функціональних обов’язків

    2. Навчання користувачів

    3. Реагування на порушення

  3. Фізична безпека та безпека навколишнього середовища

    1. Безпечні зони

    2. Безпека обладнання

    3. Загальні засоби контролю

  4. Керування діяльністю та зв'язком

    1. Методика експлуатації та обов’язки

    2. Планування та прийняття системи

    3. Захист від зловмисного програмного забезпечення

    4. Догляд

    5. Керування мережею

    6. Поводження з носіями інформації та їхня безпека

    7. Обмін даними та програмами

  5. . Контроль доступу

    1. Ділові вимоги до доступу системи

    2. Керування доступом користувачів

    3. Обов’язки користувачів

    4. Контроль доступу до мережі

    5. Контроль доступу до комп’ютера

    6. Контроль доступу до програм

    7. Моніторинг доступу до системи та її використання

    8. Мобільні обчислення та віддалена робота

  6. . Розроблення та обслуговування системи

    1. Вимоги до безпеки систем

    2. Безпека у прикладних системах

    3. Криптографічні засоби

    4. Безпека системних файлів програм.

    5. Безпека у разі розроблення та середовища, що підтримує систему

  7. . Керування неперервністю бізнесу

    1. Аспекти керування неперервністю бізнесу

  8. . Сумісність

    1. Відповідність юридичним вимогам

    2. Перегляд політики безпеки та технічної сумісності

Скачать бесплатно
Предыдущий документ
Следующий документ
Предыдущая страница
Следующая страница


Нормативні акти про охорону праці Основні законодавчі акти Будівельні норми і правила (ДБН, СНиП) Стандарти (ГОСТ, ДСТУ) Санітарні норми і правила Пожежна безпека (НАПБ) Інструкції з охорони праці Реестр НПАОП 2020-2021 - Нормативно-правові акти з охорони праці

Про медичний огляд кандидатів у водії та водіїв транспортниїх засобів СНиП 2.04.05-91*У Отопление, вентиляция и кондиционирование Закон України Про теплопостачання НПАОП 10.0-5.41-13 Інструкція з визначення струмів короткого замикання, вибору і перевірки уставок максимального струмового захисту в мережах напругою до 1200 в ДБН А.3.1-5-96 Управління, організація і технологія організація будівельного виробництва Закон України "Про трубопровідний транспорт" ДБН Д.2.2-15-99 Сборник 15 ОТДЕЛОЧНЫЕ РАБОТЫ ПРАВО ІНТЕЛЕКТУАЛЬНОЇ ВЛАСНОСТІ ДБН В.1.2-2:2006 НАВАНТАЖЕННЯ І ВПЛИВИ Норми проектування Закон України "Про дорожній рух"
ГОСТ 12.2.140-2004 Тракторы малогабаритные. Общие требования безопасности СТОРІНКА: 3 НПАОП 10.0-5.03-04 Инструкция по ведению огневых работ в подземных выработках и надшахтных зданиях СТОРІНКА: 3 ДСТУ Б В.2.7-3-93 Камінь гіпсовий штучний із фосфогіпсу. Технічні умови / Камень гипсовый искусственный из фосфогипса. Технические условия СТОРІНКА: 3 Правила охорони праці для працівників театрів і концертних залів СТОРІНКА: 5 ДСТУ Б В.2.6-100:2010 Конструкції будинків і споруд. Методи визначення теплостійкості огороджувальних конструкцій СТОРІНКА: 4 ГОСТ 22687.0-85 Стойки железобетонные центрифугированные для опор высоковольтных линий электропередачи. Технические условия СТОРІНКА: 3 ДСТУ Б EN 1279-1:2013 Скло для будівництва. Склопакети. Частина 1: Загальні положення, допуски на розміри і правила опису системи / GlassinBuilding - Insulating glass units - Part 1: Generalities, dimensional tolerances and rules for the system description СТОРІНКА: 3 ГОСТ 1429.14-2004 Припои оловянно-свинцовые. Методы атомно-эмиссионного спектрального анализа СТОРІНКА: 4 ГОСТ 10554-74 Реактивы. Определение примеси меди колориметрическими методами СТОРІНКА: 3 ДСТУ ISO 6157-3:2005 Кріпильні вироби. Дефекти поверхні. Частина 3. Болти, ґвинти та шпильки спеціальної призначеності СТОРІНКА: 3
Смотрите также
Приказ від 10.08.2007 року N 468 Наказ від 10.08.2007 року N 468 Щодо подовження терміну дії галузевих стандартів О проекте государственных строительных норм "Мости и трубы. Правила проектирования О принятии национального стандартаНАОП 9.1.50-5.08-85 Типовая инструкция по технике безопасности при работе в стерилизационных