використовування базового підходу для всіх IT систем,
використовування детального аналізування ризиків для всіх IT систем та
використовування «рекомендованого підходу», тобто дотримуватися високорівневого аналізування ризиків для всіх IT систем, базового підходу для IT систем малого ризику і детального аналізування ризиків для IT систем високого ризику.
Якщо для визначення засобів захисту було вирішено використовувати детальне аналізування ризиків для всіх IT систем, інформація про те, як вибирати засоби захисту, і як ефективно використовувати результати детального аналізування ризиків, наведено в пункті 11.2 цієї частини ISO/IEC TR 13335. Проте може використовуватися інформація про засоби захисту для специфічних IT систем та зв’язок між проблемами безпеки, загрозами і засобами захисту, які містяться в розділах 8—10 цієї частини ISO/IEC TR 13335.
11.2 Принципи вибору
Є чотири основних аспекти, на які спрямований засіб захисту, впливи, загрози, вразливості та ризики самі по собі. Засоби спрямовують на самі ризики, коли приймається рішення зменшити чи уникнути ризиків, а не приймати їх, наприклад, для зменшення ризику — проведення страхування, а прикладом, щоб уникнути ризику, є переміщення контрольованої інформації на інший комп’ютер. Компоненти, що всі разом створюють ризики, тобто впливи, загрози та вразливості, є головними цілями засобів захисту. Способи, якими засоби можна направляти на ці аспекти, такі:
загрози — засоби захисту можуть зменшити ймовірність виникнення загрози (наприклад, розглянемо загрозу втрати даних через помилки користувача, тоді навчальний курс для користувачів зменшить кількість цих помилок), чи, у випадку зловмисного нападу, вони можуть спинити його через збільшення технічної складності успішної атаки;
вразливість — засоби захисту можуть усунути вразливість чи зробити її менш серйозною (наприклад, якщо внутрішня мережа, що з’єднана із зовнішньою мережею, вразлива до несанкціонованого доступу, то реалізація відповідного брандмауера зробить з’єднання менш вразливим, а роз’єднання усуне цю вразливість), чи
вплив — засоби захисту можуть зменшити чи усунути вплив (якщо зловмисний вплив являє собою недоступність інформації, він зменшується через створення копій інформації, які надійно зберігаються в іншому місці, та готовність до активування плану неперервності бізнесу). Добре організоване реєстрування і аналізування журналів аудиту та засобів сигналізації!' може допомогти ранньому виявленню інциденту та знизити зловмисний вплив на бізнес.
Як і де використовують засіб захисту, може бути суттєва різниця від тієї користі, яку отримано завдяки його запровадженню. Дуже часто, загрози можуть використовувати більше ніж одну вразливість. Тому, якщо засіб захисту використовують, щоб запобігти виникненню такої загрози, він може бути спрямованим на декілька вразливостей одночасно. Зворотнє також вірно — засіб захисту, що захищає вразливість, може бути спрямованим на декілька загроз. Ці переваги слід розглядати, за можливості, під час вибору засобів захисту. Ці додаткові переваги потрібно завжди документувати, щоб мати повноту вимог безпеки, яким задовольняє будь-який засіб захисту.
Взагалі, засоби захисту можуть забезпечувати один чи більше з таких типів захисту: запобігання, стримування, виявлення, зменшення, відновлення, виправлення, моніторинг та обізнаність. Яка з цих властивостей найкраща, залежить від конкретних обставин та від призначення кожного засобу. В багатьох випадках засоби захисту забезпечують більше одного типу захисту, що знову ж таки, забезпечує додаткові переваги. За можливості, треба надавати перевагу тим засобам, які мають багато переваг, ніж ті, що їх стільки не мають.
Безпека повинна завжди показувати розумний баланс щодо ефектів, згаданих вище. Якщо занадто великий акцент робиться на типі засобу захисту, малоймовірно, що загальна безпека буде ефективною. Наприклад, якщо більшість засобів стримування використовують без адекватних засобів виявлення, щоб визначити, коли стримування не спрацювало, загальна безпека не буде ефективною.
Перед реалізацією, запропоновані засоби захисту треба порівняти з наявними засобами, щоб оцінити, що треба розширяти чи оновлювати. Якщо є, то це може бути дешевше, ніж запровадження нових засобів захисту.
Під час вибору засобів захисту важливо зважувати на вартість реалізації засобів захисту відносно вартості цінностей, що захищаються, та терміни повернення інвестицій, пов’язаних зі зниженням ризику. Вартість реалізації та обслуговування засобу може бути набагато вищою, ніж вартість самого засобу, тому це треба враховувати під час вибору.
Технічні обмеження, а саме: вимоги продуктивності, керованості (вимоги обслуговування діяльності) та питань сумісності можуть заважати використанню деяких засобів захисту. В цих випадках керівники системи та безпеки мають працювати разом для прийняння оптимальних рішень. Може трапитися випадок, коли засіб захисту буде знижувати продуктивність. Знову таки, керівники системи та безпеки разом повинні прийняти рішення, що дозволить забезпечити необхідну продуктивність за умови гарантованої достатньої безпеки.
Такі аспекти, як законодавство про захист приватного життя та право можуть вимагати, щоб були наявні певні засоби захисту, тому використовується визначення незмінних базових елементів.
12 РОЗРОБЛЯННЯ БАЗОВОЇ БЕЗПЕКИ ОРГАНІЗАЦІЇ
Коли організація вирішує запровадити базову безпеку до всієї організації чи до її частин, треба розглянути такі питання.
Які частини організації чи систем можуть бути захищені певним базовим рівнем, а які потребують іншого, і чи може той самий базовий рівень запроваджуватись для цілої організації?
На який рівень безпеки має бути орієнтована базова безпека (чи різні базові безпеки)?
Як можуть бути визначені засоби захисту, що формують іншу базову безпеку (за потреби)?
На рисунку 4 зображено різні способи застосування базової безпеки:
Рисунок 4 — Різні базові рівніПеревага застосування різних базових рівнів в одній організації — це те, що більшість систем будуть захищені належним чином, тобто застосовується не надмірно малий та не надмірно великий захист (наприклад, для IT з базовим рівнем 1 — системи 1, 2, 6, 8 та IT з базовим рівнем 2 — це системи 3, 4 та 5, як зазначено на рисунку 4). Якщо інформаційні системи з різними вимогами безпеки є «насправді різними» (в тому сенсі, що більшість засобів захисту, які потрібні для захисту IT системи, різні), тоді для організації рекомендовано використовувати різні бази. Якщо вимоги до безпеки фундаментально відрізняються, рішення про використання базового підходу має бути переглянуто.
З іншого боку, якщо єдина відмінність між різними базовими рівнями — це та, що виникає потреба у деяких додаткових засобах захисту для формування вищих базових рівнів, тоді можливо не варто запроваджувати декілька різних базових рівнів. Якщо запроваджений тільки один базовий рівень, накладні видатки організації можуть бути значно зменшені, і кожен в організації зможе покладатися на наявність однакового рівня безпеки.
Рівень базової безпеки, на який треба орієнтуватися, звичайно, залежить від рішення, скільки рівнів базової безпеки можна логічно запровадити: один чи більше. Якщо вибрані різні базові рівні, ці рівні можуть бути встановлені достатньо точно до вимог безпеки IT систем, які потрібно захищати. Загалом, жоден базовий рівень не повинен бути спрямований на безпеку нижче найнижчих вимог до безпеки IT систем, які треба захищати (наприклад, нижче вимог IT системи 2 на рисунку 4). Доцільно орієнтуватись на рівень, що є достатнім для більшості (базовий рівень 1а на рисунку 4) чи всіх (базовий рівень 1b) IT систем, призначених для захисту. Часто доцільно орієнтуватись на найвищий рівень безпеки інформаційних систем для захисту їх базовими засобами, оскільки це зазвичай не дуже дорого, але забезпечує достатню безпеку для всіх задіяних IT систем. Необхідно уважно розглянути запроваджені IT систем для прийняття остаточного рішення, які IT системи будуть захищатись тим же базовим рівнем. Деякі IT системи багато в чому схожі за сутністю та (або) за вимогами до захисту — в цьому випадку є корисно захищати їх тим же самим базовим рівнем. З іншого боку, якщо декілька IT систем повністю відрізняються в своїх вимогах до захисту, дуже часто найпростіше розглядати їх окремо.
Теж саме і у випадку, якщо організація вирішує реалізовувати однаковий базовий рівень по всій організації. Ця базова безпека може бути орієнтована на три різні рівні:
низький рівень, долучаючи специфічні засоби захисту, щоб захистити всі IT системи з вищими вимогами;
середній рівень, долучаючи специфічні засоби захисту, щоб захистити всі IT системи з вищими вимогами, чи
високий рівень, що є достатнім для захисту всіх IT систем, передбачених для захисту базовою безпекою.
Як описано вище, середній та високий рівні базової безпеки можуть бути зручними для багатьох організацій, щоб досягти достатнього захисту, надійної безпеки по всій організації та зниження організаційних видатків. У підсумку, рішення треба приймати відповідно до політики безпеки організації та вимог IT систем, що розглядаються.
13 ВИСНОВКИ
Ця частина ISO/IEC TR 13335 описує різні способи вибору засобів захисту, які можна використовувати для досягнення базової безпеки чи для допомоги методам, описаним в ISO/IEC TR 13335-3. Ця частина ISO/IEC TR 13335 також містить огляд загальних засобів захисту, що можуть бути вибрані за допомогою будь-якого підходу, згаданому вище, та за допомогою посилання на різні довідники з базових засобів захисту, що містять детальніші описи цих засобів. Отже, описані різні способи розроблення базової безпеки організації та переваги і недоліки описаних варіантів. Ця частина ISO/IEC TR 13335 може бути використана будь-якою організацією, великою чи малою, яка хоче вибрати засоби захисту своїх інформаційних систем.БІБЛІОГРАФІЯ
A Code of Practice for Information Security Management В ETSI Baseline Security Standard — Features and |
see Annex А |
Mechanisms |
see Annex В |
C IT Baseline Protection Manual |
see Annex С |
D NIST Computer Security Handbook |
see Annex D |
E Medical Informatics: Security Categorization and Protection for Healthcare Information Systems |
see Annex E |
F TC 68 Banking and Related Financial Services |
see Annex F |
G Protection of sensitive information not covered by the Official Secrets Act — Recommendations for computer Workstations |
see Annex G |
H Canadian Handbook on Information Technology Security |
see Annex H |
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ А Практичні правила керування інформаційною безпекою |
див. додаток A |
В Стандарт базової безпеки ETSI. Функції та механізми |
див. додаток В |
С Довідник з базового захисту IT |
див. додаток С |
D Посібник з комп’ютерної безпеки NIST |
див. додаток D |
Е Медична інформатика: Категоризація безпеки та захист інформаційних систем охорони здоров’я |
див. додаток Е |
F Банківська справа та пов’язані з нею фінансові послуги ТС 68. Посібник з інформаційної безпеки |
див. додаток F |
G Захист контрольованої інформації, на яку не поширюється Закон про державну таємницю. Рекомендації для комп’ютерних робочих станцій |
див. додаток G |
Н Канадський посібник з безпеки інформаційних технологій |
див. додаток Н |
ДОДАТОК A
ПРАКТИЧНІ ПРАВИЛА КЕРУВАННЯ
ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
(Тип: загальний)
Сфера застосування
BS 7799 — це багаточастинний стандарт, який містить частини:
BS 7799-1:1999 Практичні правила керування інформаційною безпекою;
BS 7799-2:1999 Специфікація систем керування інформаційною безпекою.
Ці стандарти опубліковані під авторством Департаменту стандартів Британського інституту стандартів. BS 7799-1:1999 замінює версію 1995, яка на сьогодні не чинна. BS 7799 призначений для використовування директорами, керівниками та працівниками, які відповідають за ініціацію, реалізування та підтримування інформаційної безпеки в своїй організації, та може розглядатись як основа для розробляння стандартів з безпеки організації.
Версії 1999 року частин 1 та 2 були підготовлені під наглядом комітету BSI/DISC, BDD/2 «Керування інформаційною безпекою». У цих нових версіях враховано останні напрацювання в частині технологій обробляння даних, особливо у сфері мереж та комунікацій. Вони також більше акцентують на залучення бізнесу до інформаційної безпеки та відповідальність за неї. В процесі перегляду враховувались зауваження організацій з різних країн світу.
Ці документи забезпечують повний набір засобів керування, що містять найкращі приклади з інформаційної безпеки і мають бути настільки повними, наскільки це можливо. Вони мають бути єдиним джерелом посилань для визначання засобів керування, потрібних у більшості ситуацій, коли інформаційні системи використовують у виробництві та торгівлі, і тому можуть запроваджуватись великими, середніми та малими організаціями.Зміст BS 7799-1:1999
Сфера застосування
Терміни та визначення понять
Політика безпеки
Політика інформаційної безпеки
Організація безпеки
Інфраструктура інформаційної безпеки
Безпека доступу третьої сторони
Аутсорсінг
Національна примітка
Аутсорсінг — це виконання роботи на відстані від замовника і пересилання результатів роботи електронними засобами.
Класифікація цінностей та керування ними
Облік цінностей
Класифікація інформації
Безпека основного персоналу
Безпека у разі визначення функціональних обов’язків
Навчання користувачів
Реагування на порушення
Фізична безпека та безпека навколишнього середовища
Безпечні зони
Безпека обладнання
Загальні засоби контролю
Керування діяльністю та зв'язком
Методика експлуатації та обов’язки
Планування та прийняття системи
Захист від зловмисного програмного забезпечення
Догляд
Керування мережею
Поводження з носіями інформації та їхня безпека
Обмін даними та програмами
. Контроль доступу
Ділові вимоги до доступу системи
Керування доступом користувачів
Обов’язки користувачів
Контроль доступу до мережі
Контроль доступу до комп’ютера
Контроль доступу до програм
Моніторинг доступу до системи та її використання
Мобільні обчислення та віддалена робота
. Розроблення та обслуговування системи
Вимоги до безпеки систем
Безпека у прикладних системах
Криптографічні засоби
Безпека системних файлів програм.
Безпека у разі розроблення та середовища, що підтримує систему
. Керування неперервністю бізнесу
Аспекти керування неперервністю бізнесу
. Сумісність
Відповідність юридичним вимогам
Перегляд політики безпеки та технічної сумісності