Рисунок 2 — Способи вибору засобів захисту
Базовий підхід, що буде використаний, треба вибирати відповідно до ресурсів, які можуть бути витрачені у процесі вибору усвідомлених проблем безпеки, а також типу і характеристик інформаційної системи, що розглядається. Якщо організація не бажає витрачати багато часу та зусиль на вибір засобів захисту (з будь-якої причини), то можна скористатися базовим підходом, що пропонує засоби захисту без подальшого оцінювання. Однак, якщо ділові процеси організації до певної міри залежать від інформаційної системи чи послуг та (або) оброблювана інформація контрольована, то дуже ймовірно, що будуть необхідні додаткові засоби захисту. В цьому випадку настійно рекомендується, проводити високорівневий огляд важливості інформації та можливих загроз для того, щоб мати краще уявлення про засоби захисту, потрібні для найефективнішого захисту інформаційної системи. Якщо ділові процеси організації сильно залежать від інформаційної системи чи послуг, та (або) оброблена інформація є дуже чутливою, ризики можуть бути високі, і детальне аналізування ризиків є найкращим шляхом визначення прийнятних засобів захисту.
Специфічні засоби захисту повинні призначатися на основі детального аналізування ризиків, якщо
тип інформаційної системи, що розглядається, не відповідає типам, описаним у цьому стандарті,
діяльність чи потреби безпеки не відповідають рішенням, запропонованим у цих розділах, або
детальніше оцінювання є виправданим у разі потенційно високих ризиків, чи важливості інформаційної системи для діяльності організації.
Треба зазначити, що навіть, коли виконано детальне аналізування ризиків, все ще доцільно застосувати до системи базові засоби захисту.
Перше рішення, яке повинна ухвалити організація — чи використовувати базовий підхід сам по собі, чи як частину більш повної стратегії аналізування ризиків (див. ISO/IEC TR 13335-3). У разі прийняття цього рішення треба зазначити, що під час використання базового підходу самого по собі, результатний процес вибору засобів захисту може дати менш оптимізовану безпеку, ніж прийнята ширша стратегія аналізування ризиків. Однак, менші кошти та ресурси, необхідні під час вибору засобів забезпечення безпеки, та досягнення принаймні мінімального рівня безпеки для всіх інформаційних систем можуть бути причинами для прийняття рішення про використання тільки базового підходу.
Базовий захист для інформаційної системи може бути досягнутий через визначення та застосування набору відповідних засобів захисту, що є прийнятним за обставин наявності низького ризику, тобто вони задовольняють, принаймні, мінімальні потреби безпеки. Наприклад, прийнятні засоби захисту можуть бути визначені через каталоги, що містять набори засобів захисту безпеки від більшості загальних загроз для різних типів IT. Ці каталоги засобів захисту містять інформацію про категорії засобів захисту чи про окремі засоби, але загалом не зазначають, які засоби захисту треба застосовувати в конкретних обставинах. Можливо, якщо інформаційні системи організації (чи частини організації) є дуже схожі за природою та послугами, які вони надають, засоби захисту, вибрані за базовим підходом, можуть бути застосовані до всіх систем IT. На рисунку 3 показано різні способи використання базового підходу, який описано в цій частині ISO/IEC TR 13335.
Якщо організація вирішує впровадити базову безпеку до організації вцілому або її підрозділів, необхідно вирішити, для яких підрозділів організації прийнятні засоби захисту, і який рівень безпеки повинен забезпечувати цей захист. У більшості випадків, коли використовують базову безпеку, не застосовують менший рівень безпеки, доки не будуть реалізовані додаткові засоби захисту, обґрунтовані та необхідні для керування середніми та великими ризиками. Як альтернатива, базова безпека може визначити середній рівень для організації, тобто дозволяються винятки вище і нижче базового рівня, якщо вони були обґрунтовані, наприклад, результатами аналізування ризиків.
Однією з переваг базової безпеки є те, що її застосовують до груп інформаційних систем, і всюди в цій групі можна покладатися на визначений рівень безпеки. В цих умовах зазвичай найкориснішим є розробити і вести базовий каталог засобів захисту в межах організації чи відділу.Для конкретної сфери
застосування
. організації,
Вибір відповідно до типу інформаційної системи (найпростіший підхід) (Розділ 9)
• лінії бізнесу,
• чи послуги тощо
до проблем безпеки
Засоби захисту для ситуації п
Засоби захисту для ситуації 2
та до загроз безпеці (покращений підхід) (розділ 10)
Вибір відповідно до результатів детального оцінювання (спеціалізований підхід для кожної ситуації) (розділ 11)
Засоби захисту для ситуації 1
Застосовувати відповідні базові засоби захисту у кожному випадку
Приклади:
Окрема робоча станція
Сервери, приєднані до внутрішньої мережі
Процеси, які забезпечують конфіденційність, щоб врахувати загрозу використання програмного забезпечення неупов- новаженими користувачами
Рисунок 3 — Базове оцінювання під час вибору засобів захисту
7 БАЗОВЕ ОЦІНЮВАННЯ
Процес вибору засобів захисту завжди потребує певного знання типу та характеристик інформаційної системи, що розглядається, (наприклад, окрема робоча станція або робоча станція, підключена до мережі), оскільки це має суттєвий вплив на вибрані засоби захисту. Корисно мати план інфраструктури, які містять будівлі, кімнати тощо. Інший важливий чинник, пов’язаний із вибором засобів захисту — це оцінювання наявних та (або) запланованих засобів захисту. Це звільняє від зайвої роботи та марнування часу, зусиль та коштів. Тому настійно рекомендується, щоб оцінювання, описане в розділі 7, завжди використовували як основу для вибору засобів захисту. Коли вибирають засоби захисту, треба брати до уваги вимоги бізнесу та підхід організації до безпеки (див. ISO/IEC TR 13335-2). Нарешті, необхідно визначити, чи надають ці результати оцінювання достатньо інформації для вибору базових засобів захисту, чи необхідне детальніше оцінювання (див. розділ 10) або детальне аналізування ризиків (див. розділ 11).
Визначання типу інформаційної системи
Для оцінювання наявної чи запланованої інформаційної системи її треба порівняти з нижче- наведеними компонентами та визначити складники, визначальні для системи. Засоби захисту, що пропонуються для кожного з перерахованих нижче компонентів, наведено в розділі 9. Компоненти для вибору такі:
— окрема робоча станція,
— робоча станція (клієнт без спільних ресурсів), підключена до мережі,
— сервер чи робоча станція зі спільними ресурсами, підключена до мережі.
Визначання фізичних умов та умов навколишнього середовища
Оцінювання оточення охоплює визначання фізичної інфраструктури, що підтримує наявну чи заплановану інформаційну систему, так само як і пов’язані з нею наявні та (або) заплановані засоби захисту. Оскільки всі засоби захисту мають бути сумісними з навколишнім середовищем, ці оцінки є істотними для успішного вибору. Нижченаведені питання можуть надати допомогу під час досліджування інфраструктури. Читач повинен також врахувати вплив навколишнього середовища та будь-які інші обставини.
Розташування та будівля:
— де розташована будівля — на своїй власній ділянці з огорожею по периметру, чи на вулиці в місці з інтенсивним рухом транспорту тощо?
— будівля зайнята однією організацією чи зайнята багатьма організаціями?
— якщо будівля зайнята багатьма організаціями, то хто ці мешканці?
— де знаходяться зони безпеки?
Керування доступом:
— хто має доступ до будівлі?
— чи є система керування фізичним доступом?
— наскільки міцна конструкція будівлі?
— наскільки міцні двері, вікна тощо та як вони захищені?
— чи охороняється будівля, якщо так, то цілодобово чи тільки протягом робочого часу?
— чи є в будівлі та (або) кімнаті, в якій розташоване критичне інформаційне обладнання, сигналізація для захисту від вторгнень?
Захист на місці:
— як захищається кімната (кімнати), що містить інформаційну систему?
— яка система виявлення пожежі, сигналізація та система гасіння встановлені, та де вони знаходяться?
— яка система виявлення витоку води/рідини, можливості її виведення та сигналізації?
— чи є допоміжні засоби, такі як система безперебійного живлення, водопровід та кондиціювання повітря (для контролю температури та вологості)?
Відповідаючи на ці питання, можна легше виявити наявні фізичні та пов’язані з ними засоби захисту. Варто відмітити, що під час дослідження місцезнаходження будівлі, необхідно одночасно з’ясувати все, що стосується дверей, замків та контролю і порядку фізичного доступу, ця процедура не займає багато часу.
Оцінювання наявних/планованих засобів захисту
Після оцінювання умов навколишнього середовища та компонентів інформаційної системи треба визначити всі інші засоби захисту: вже наявні та заплановані. Це необхідно, щоб уникнути повторного вибору наявних чи запланованих засобів, а знання цих засобів захисту допомагає вибрати інші засоби, що будуть діяти разом з ними. Коли вибирають засоби захисту, треба розглядати сумісність наявних засобів захисту з вибраними. Засіб захисту може бути несумісний з іншими засобами захисту чи унеможливлюватиме успішну діяльність та захист, що забезпечується.
Для визначення наявних чи планованих засобів захисту, можуть бути корисними такі дії:
— перегляньте документи, що містять інформацію про засоби захисту (наприклад, плани чи концепції інформаційної безпеки) — якщо процес убезпечення добре документований, всі наявні чи заплановані засоби та статус їх реалізації повинні бути там перераховані
,перевірте з відповідальними особами (наприклад, керівник інформаційної безпеки, управитель будинком чи директор-розпорядник) та користувачами, які засоби захисту дійсно реалізовані для інформаційної системи, що розглядається, та
продивіться схему розташування засобів захисту в будівлі, порівняйте запроваджені засоби захисту зі списком тих, що мають бути, та перевірте як запроваджено засоби захисту, чи вони працюють коректно та ефективно.
Може бути виявлено, що наявні засоби захисту перевищують поточні потреби. В цьому випадку, треба розглянути можливість видалення цих засобів. Якщо розглядати вилучення надлишкових засобів чи засобів, що не є необхідними, треба взяти до уваги чинники безпеки та вартості. Оскільки засоби захисту впливають один на одного, видалення надлишкових засобів може зменшити загальну безпеку. Треба зазначити, що іноді дешевше залишити ці засоби на місці, ніж вилучати їх, чи, особливо, якщо засоби захисту мають високу вартість обслуговування, дешевше вилучити їх.
8 ЗАСОБИ ЗАХИСТУ
У цьому розділі подано огляд засобів захисту, які можна реалізувати для підвищення безпеки. Деякі з цих засобів є механізмами, інші можуть розглядатися, як процедури, яких треба дотримуватись. Організаційні та фізичні засоби, що можуть бути застосовані в інформаційних системах, наведено у підрозділі 8.1. Засоби захисту, специфічні для окремих IT систем, розглянуто в 8.2. Треба зазначити, що засоби захисту описані незалежно від способу, яким вони можуть бути вибрані, тобто деякі з цих засобів захисту можуть бути вибрані одним способом, інші можуть бути визначені тільки після проведення детального аналізування ризиків.
Для полегшення опису різних типів засобів захисту, були введені категорії цих засобів. Ниж- ченаведені підрозділи містять короткий опис цих категорій та які типи засобів захисту їм відповідають. У додатках від А до Н наведено посилання на джерела, наведені у бібліографії в кінці цього документа (див. сторінку 35), в яких зазначено, де можна знайти грунтовнішу інформацію про засоби захисту, згадані тут.
Організаційні та фізичні засоби захисту
У кінці цього підрозділу наведені таблиці, що стосуються кожного пункту, в яких зазначено, де можна знайти додаткову інформацію про згадані категорії засобів захисту.
Керування інформаційною безпекою та політика безпеки
Ця категорія засобів захисту містить всі ті засоби, що стосуються керування інформаційною безпекою, планування якої повинно містити відповідальність за ці процеси, та іншу діяльність, що стосується безпеки. Ці засоби захисту вже було введено в перших трьох частинах ISO/IEC TR 13335. Мета цих засобів захисту — досягнути прийнятного рівня безпеки в організації. Засоби захисту в цій сфері наведено нижче.
Корпоративна політика інформаційної безпеки.
Треба розробити письмовий документ, який має містити правила, вказівки та практичні рекомендації з керування цінностями, їх захист і поширення в організації. Він повинен містити відомості про необхідність документів з інформаційної безпеки та настанову щодо їх змісту.
Політика безпеки інформаційної системи.
Для кожної інформаційної системи має бути розроблена політика її безпеки, що описує засоби захисту, які існують чи мають бути реалізовані. Також вона повинна містити процедури, що стосуються захисту цієї системи, також, за потреби, виклад проблем безпеки та (або) ризиків, що обґрунтовують засоби захисту.
Керування інформаційною безпекою
Керування інформаційною безпекою має бути формалізованим та скоординованим у межах організації відповідно до її розміру, наприклад, заснуванням комітету інформаційної безпеки та призначенням особи (часто керівник інформаційної безпеки), відповідальної за безпеку кожної інформаційної системи.
