Страница 2: ДСТУ ISO/IEC TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту (61301)

Основними цілями цього технічного звіту є:

• визначити і описати поняття, пов’язані з керуванням інформаційною безпекою,

• визначити відносини між керуванням інформаційною безпекою та керуванням ІТ взагалі,представити декілька моделей, які можна використовувати для пояснення інформаційної безпеки, та

• надати загальну настанову з керування інформаційною безпекою.

Багаточастинний стандарт ISO/IEC TR 13335 містить п’ять частин. Частина 1 описує базові поняття та моделі, що використовуються для описування інформаційної безпеки. Цей матеріал призначений для керівників, відповідальних за інформаційну безпеку, та відповідальних за загаль­ну програму безпеки організації.

Частина 2 описує аспекти керування та планування. Вона доцільна для керівників, до ком­петенції яких належать інформаційні системи організації. До таких керивників можуть належати:

• керівники IT, обов’язок яких — слідкувати за проектуванням, реалізацією, тестуванням, закупівлею чи експлуатацією інформаційних систем, або

• керівники, відповідальні за сфери діяльності, де використовують інформаційні системи.

Частина 3 описує методи захисту для процесів керування протягом життєвого циклу проек­ту, таких як планування, проектування, реалізація, тестування, придбання чи експлуатація.

Частина 4 описує настанови з вибору засобів захисту, а також, як цьому можуть сприяти базові моделі та засоби нагляду. Вона також описує, як ці засоби доповнюють методи захисту, описані в частині 3, і як додаткові методи оцінювання можна використовувати для вибору засобів захисту.ДСТУ ISO/IEC TR 13335-4:2005

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ

НАСТАНОВИ З КЕРУВАННЯ БЕЗПЕКОЮ
ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Частина 4: Вибір засобів захисту

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

РЕКОМЕНДАЦИИ ПО УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Часть 4: Выбор средств защиты

INFORMATION TECHNOLOGY

GUIDELINES FOR THE MANAGEMENT
OF IT SECURITY
Part 4: Selection of safeguards

Чинний від 2006-07-01

1. СФЕРА ЗАСТОСУВАННЯ

Цей стандарт надає настанову з вибору засобів захисту, беручи до уваги ділові потреби та проблеми безпеки. Вона описує процес вибору засобів захисту згідно з ризиками безпеки та спе­цифікою навколишнього середовища. Цей стандарт показує, як досягнути достатньо високого рівня захисту, як його підтримувати, застосовуючи базову безпеку. Надається пояснення того, як підхід, описаний у цій частині ISO/IEC TR 13335, забезпечує методи керування інформаційною безпекою, викладені в ISO/IEC TR 13335-3.

2. НОРМАТИВНІ ПОСИЛАННЯ

У цьому стандарті є посилання на такі стандарти:

ISO/IEC TR 13335-1:1997 Information technology — Guidelines for the management of IT Security — Part 1: Concepts and Models

ISO/IEC TR 13335-2:1997 Information technology — Guidelines for the management of IT Security — Part 2: Managing and Planning IT Security

ISO/IEC TR 13335-3:1997 Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the Management of Security

ISO/IEC 10181-2:1996 Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework

ISO/IEC 11770-1:1996 Information technology — Security techniques — Key Management — Part 1: Framework

Видання офіційне

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC TR 13335-1:1997 Інформаційні технології. Настанови з керування безпекою інфор­маційних технологій. Частина 1. Поняття та моделі забезпечення інформаційної безпеки

ISO/IEC TR 13335-2:1997 Інформаційні технології. Настанови з керування безпекою інфор­маційних технологій. Частина 2. Планування та керування інформаційною безпекою

ISO/IEC TR 13335-3:1997 Інформаційні технології. Настанови з керування безпекою інфор­маційних технологій. Частина 3. Методи керування інформаційною безпекою

ISO/IEC 10181-2:1996 Інформаційні технології. Взаємозв’зок відкритих систем. Структура без­пеки відкритих систем. Структура автентифікації

ISO/IEC 11770-1:1996 Інформаційні технології Методи захисту. Керування ключами. Части­на 1. Структура

З ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цій частині стандарту використовують такі терміни, визначені в ISO/IEC TR 13335-1: іден- тифікованість (accountability), цінність (asset), автентичність (authenticity), доступність (availability), базові засоби контролю (baseline controls), конфіденційність (confidentiality), цілісність даних (data integrity), вплив (impact), цілісність (integrity), інформаційна безпека (IT security), політика інформаційної безпеки (IT security policy), надійність (reliability), залишковий ризик (residual risk), ризик (risk), аналіз ризиків (risk analysis), керування ризиками (risk management), засіб захисту (safeguard), цілісність системи (system integrity), загроза (threat) та вразливість (vulnerability). Окрім зазначеного вище використовують такі терміни:

Забезпечення гарантії заявленої ідентичності об’єкта (ISO/IEC 10181-2)

Процес однозначного визначення унікальної ідентичності об’єкта

4 МЕТА

Мета цього стандарту — надати настанову з вибору засобів захисту. Ця настанова застосовна тоді, коли приймають рішення про вибір засобів захисту інформаційної системи:

• відповідно до типу і характеристик інформаційної системи,

• відповідно до загального оцінювання загроз та наявних потреб безпеки,

• відповідно до результатів детального аналізування ризиків.

В доповнення до цієї настанови надані перехресні посилання для того, щоб показати, де вибір засобів захисту може бути підтриманий використанням загально доступних довідників, що містять засоби захисту.

Цей стандарт також визначає, як можна розробити довідник з базової безпеки організації (чи частини організації). Детальні засоби захисту мереж головним чином описані у документах, зазначених у додатках А— Н; на сьогодні ISO розробляє декілька інших документів з мережної безпеки.

• ОГЛЯД

Розділ 6 містить вступ до вибору засобів захисту та концепцію базової безпеки. У розділах 7—10 описано створення базової безпеки для оцінювання інформаційної системи. Для вибору відпові­дних засобів захисту необхідно зробити деякі основні оцінювання, незалежно від того, чи будуть пізніше виконуватись детальніші дослідження ризику. Ці оцінювання описані в розділі 7, який містить аналіз такого:

— який тип інформаційної системи задіяний (наприклад, окремий ПК або підключений до мережі),

— яке місцезнаходження інформаційної системи та умови навколишнього середовища,

— які засоби захисту вже задіяні та (або) заплановані, і

— чи дають одержані результати оцінювання достатньо інформації для вибору базових за­собів захисту для інформаційної системи?

Розділ 8 містить огляд засобів захисту, які мають вибирати, вони поділені на організаційні, фізичні засоби (їх вибирають відповідно до потреб, наявних проблем і обмежень безпеки) та спе­цифічні засоби інформаційної системи, які, в свою чергу, згруповані категоріями засобів захисту. Для кожної категорії засобів захисту описано найтиповіші представники, охоплюючи коротке по­яснення захисту, який вони забезпечуватимуть. Специфічні засоби захисту за цими категоріями та їхній детальний опис можна знайти в документах з базової безпеки, посилання на які наведено в додатках А—Н цього стандарту. Для того, щоб полегшити використання цих документів, у таб­лиці для кожної категорії заходів наведено перехресні посилання між частинами цього докумен­та та структурними елементами інших документів, зазначених у додатках.

Якщо вирішено, що тип оцінювання, описаний у розділі 7, є достатньо детальним для вибо­ру засобів захисту, то у розділі 9 наведено список придатних засобів для кожної з типових інфор­маційних систем, описаних у підрозділі 7.1. Якщо засоби захисту вибрані відповідно до типу інфор­маційної системи, можуть знадобитися окремі базові засоби захисту для автономних робочих станцій, мережних робочих станцій або серверів. Для досягнення потрібного рівня безпеки все, що необхідно для вибору заходів, прийнятих за певних обставин, — це порівняти їх із засобами за­хисту, що вже є (або заплановані) та реалізувати ті, які ще не реалізовані.

Якщо для вибору ефективних та прийнятних засобів захисту необхідне глибше оцінювання, у розділі 10 описано вибір засобів захисту, який враховує високий рівень безпеки (відповідно до важливості інформації) та можливі загрози. Тому в цьому розділі заходи безпеки наводять відпові­дно до визначених питань безпеки, враховуючи важливі загрози, і, на закінчення, розглядається приклад. На рисунку 1 наведено шляхи вибору заходів захисту, описаних у розділах 7, 9 та 10.

Розділи 9 та 10 описують спосіб вибору засобів захисту документів з базової безпеки, що мо­жуть застосовуватись, або для інформаційної системи, або для формування набору засобів захи­сту, застосовних для інформаційних систем за визначених обставин. Зосереджуючись на типі роз­глянутої інформаційної системи, підхід, що пропонується в розділі 9, створює можливість того, що деякі ризики не управляються в достатній мірі, та що деякі засоби захисту, які вибираються, не є необхідними чи придатними. Підхід, запропонований в розділі 10, для зосередження на пробле­мах безпеки та пов’язаних з ними загрозах, імовірно, створить більш оптимізований набір засобів захисту. Розділи 9 та 10 можна використовувати для полегшення вибору засобів захисту без більш детального оцінювання у всіх випадках, що знаходяться в межах базового захисту. Однак, якщо використовується більш детальне оцінювання, наприклад, аналіз ризиків, розділи 9 та 10 можуть також підтримувати вибір засобів захисту.

У розділі 11 описано ситуацію, коли необхідне деталізоване аналізування ризиків, унаслідок висо­ких проблем та потреб безпеки. Настанову з аналізування ризиків наведено в ISO/IEC TR 13335-3. Розділ 11 описує взаємозв’язки між частинами 3 та 4 ISO/IEC TR 13335, а також як можуть бути використані результати методів, описаних в частині 3, для вибору засобів захисту. У розділі також описано інші чинники, що можуть впливати на вибір засобів захисту, а саме будь-які обмеження, що мають розглядатися, будь-які юридичні чи інші вимоги, що мають виконуватись тощо. Підхід, зазначений у розділі 11, відрізняється від підходів, описаних у розділах 9 та 10, тим, що у ньому описано настанову з вибору набору засобів захисту, оптимізовану до окремої ситуації. Цей підхід не є базовим, проте може використовуватись для вибору засобів захисту як доповнення до базо­вих за певних обставин. Як альтернатива, цей підхід можна використовувати без урахування ба­зового захисту.

У розділі 12 описано розробляння базового довідника (каталогу) з базової безпеки для цілої організації чи підрозділів організації. Для заснування базового довідника (каталогу) безпеки, ма­ють бути розглянуті засоби захисту, попередньо визначені для інформаційних систем або груп інформаційних систем, та має бути визначений загальний набір засобів захисту. Залежно від по­треб, проблем та обмежень безпеки, можуть бути вибрані різні рівні базової безпеки. Означені переваги та недоліки для полегшення вибору прийнятного рішення для кожної організації.

Підсумовуючи зазначимо, що розділ 13 — це підсумки цієї частини ISO/IEC TR 13335, потім наведено бібліографію, а додатки А—Н — це довідники із засобів безпеки, згаданих у розділі 8.

• ВСТУП ДО ВИБОРУ ЗАСОБІВ ЗАХИСТУ ТА КОНЦЕПЦІЯ БАЗОВОЇ БЕЗПЕКИ

Цей розділ дає короткий огляд вибору засобів захисту, та як і коли концепція базової безпе­ки може бути при цьому використана. Є два головних підходи до вибору засобів захисту, а саме:використання базового підходу та проведення детального дослідження ризиків. Є декілька різних шляхів проведення детального дослідження ризиків, один з яких детально описаний в ISO/IEC TR 13335-3 і називається детальний аналіз ризиків. У частині 3 також описано переваги та недоліки різних підходів під час аналізування ризиків, і, отже, до вибору засобів захисту.

Рисунок 1 — Вибір засобів захисту відповідно до типу системи або відповідно до проблем та загроз безпеці

Проведення детального аналізування ризиків має ту перевагу, що досягається повна карти­на ризиків. Це необхідно для вибору тих засобів захисту, що зумовлені ризиками, і, відповідно, мають бути реалізовані. Це запобігає забезпеченню занадто великого чи занадто малого захисту. Оскільки цей підхід може вимагати значної кількості часу, зусиль та кваліфікації, він найбільш підхо­дить для інформаційних систем з високим ризиком, тоді як простіший підхід може виявитись до­статнім для систем з низьким рівнем ризику. Використання високорівневого аналізування ризиків може визначити системи з низьким рівнем ризику. Цей високорівневий аналіз ризиків не потребує формалізованого чи складного процесу. Засоби захисту для систем з низьким рівнем ризику мо­жуть бути обрані шляхом застосування базової безпеки. Базова безпека забезпечує мінімальний рівень безпеки, визначений організацією для кожного типу IT системи. Цей рівень базової безпе­ки досягається реалізацією мінімального набору засобів захисту, що відомі як базові засоби.

Внаслідок відмінностей в процесі вибору засобів захисту, в цьому документі розглядають два різні шляхи застосування базового підходу:

• використання базового підходу, в якому засоби безпеки рекомендовано вибирати відповідно до типу та характеристик IT системи, що розглядається;

• використання базового підходу, в якому засоби безпеки рекомендовано вибирати відповідно до проблем та загроз безпеки, також враховувати і систему, що розглядається.

На рисунку 1 як частині рисунка 2, що відтворює взаємозв’язки між ISO/IEC TR 13335-4 та ISO IEC/TR 13335-5 розглянуто різні паралельні способи вибору засобів захисту, описані у цьому до­кументі.