Навигация по сайту
Информационная безопасность

Менеджмент информационной безопасности ИСО/МЭК 13335

Want create site? Find Free WordPress Themes and plugins.

Менеджмент информационной безопасности (МИБ) является процессом, используемым для достижения и обслуживания соответствующих уровней конфиденциальности, целостности, пригодности, ответственности, аутентичности и надежности информации и информационных технологий (ИТ). Функции МИБ могут быть сведены к следующим:

  • определение организационных целей и стратегий защиты ИТ;
  • определение организационных требований защиты ИТ;
  • идентификацию и анализ угроз активам ИТ в пределах организации;
  • идентификацию и анализ рисков;
  • определение соответствующих защитных мер;
  • контроль выполнения и функционирования защитных мер, которые являются необходимыми для обеспечения эффективной защиты информации и услуг в пределах организации;
  • разработку и реализацию программы осведомленности о защите;
  • обнаружение инцидентов и реагирование на них.

Этим целям и посвящен международный стандарт ИСО/МЭК 13335:

ИСО/МЭК TО 13335-1:2004 Информационная технология. Методы обеспечения безопасности. Управление безопасностью информационных и телекоммуникационных технологий. Часть 1. Концепция и модели управления безопасностью информационных и телекоммуникационных технологий

Российский аналог ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

Ниже кратко описываются основные положения стандарта ИСО 13335-1:2004.

Стандарт ИСО 13335-1 рассматривает аспекты менеджмента безопасности информационных и телекоммуникационных технологий на верхнем уровне. Этот документ полезен менеджерам и ответственным за программу общей безопасности организации или информационно-телекоммуникационных технологий (ИТТ). Данная часть посвящена концепции и моделям управления планированием, реализацией и поддержкой безопасности ИТТ. В ней содержатся:

  • определения, относящиеся ко всем разделам данного Международного стандарта (Раздел 2);
  • описания основных компонентов безопасности, являющихся частью управления безопасностью ИТТ, и их взаимосвязи (Раздел 3);
  • цели, стратегии и политики корпоративной безопасности, которые необходимы для обеспечения эффективной безопасности ИТТ организации (Раздел 4);
  • организация эффективной безопасности ИТТ, модели подотчетности, определение и признание ответственности за обеспечение безопасности (Раздел 5);
  • обзор функций менеджмента безопасности ИТТ (Раздел 6).

Для идентификации требований защиты ИТ в пределах организации необходим общий систематизированный подход. Это также достоверно для реализации защиты ИТ и для обеспечения работы администрации. Данный процесс относится к управлению защитой ИТ и включает следующие действия:

  • разработку стратегии защиты ИТ;
  • идентификацию функций и обязанностей в пределах организации;
  • управление риском, включая идентификацию и оценку: подлежащих защите активов, угроз, уязвимостей, воздействий, рисков, защитных мер, остаточных рисков, ограничений;
  • управление конфигурацией;
  • управление модификациями;
  • планирование сопряженности признаков и планирование восстановления разрушений от стихийных бедствий;
  • выбор и внедрение защитных мер;
  • осведомленность о защите;
  • проверка исполнения, включая: управление, аудит защиты, мониторинг, обзор, обработку инцидентов.

Цели и стратегии защиты систем ИТ должны охватывать следующие вопросы защиты ИТ:

  • конфиденциальность,
  • целостность,
  • пригодность,
  • прослеживаемость,
  • аутентичность,
  • надежность.

Исходя из целей, стратегии и имеющихся методов для организации устанавливается уровень защиты, пороговый уровень принятия риска и организационные требования на случай непредвиденных обстоятельств.

Защита – это ответственность всех уровней управления в пределах организации, и она осуществляется на всех этапах жизненного цикла системы, поэтому цели, стратегии и методы разрабатываются в иерархическом порядке от корпоративного уровня к функциональному уровню организации (см. рис.1).

Безымянный

Рис. 1. Иерархия целей, стратегий и методов.

К числу защищаемых активов относятся:

  • физические активы (например, компьютерное аппаратное обеспечение, средства связи, недвижимость);
  • информацию/данные (например, документы, базы данных);
  • программное обеспечение;
  • способность производить определенные изделия или выполнять сервисное обслуживание;
  • коллектив;
  • нематериальные факторы (например, доброжелательность, имидж).

Атрибуты актива включают их ценность и/или критичную информацию и любые указания по защитным мерам. Требования защиты активов зависят от их уязвимости в присутствии конкретных угроз, примеры которых приведены в таблице 1.

Таблица 1. Примеры существующих угроз.

Имеющие социальное происхождение

Естественного происхождения

Преднамеренные Случайные
Подслушивание Ошибки и пропуски Землетрясение
Модификация Стирание Файла Молния
Системные хакеры Неправильная маршрутизация
Злонамеренное кодирование Физические инциденты Наводнения
Воровство Пожар

Угроза имеет потенциальную возможность стать причиной нежелательного инцидента, который может повлечь за собой нанесение вреда системе или организации и ее активам. Такое нанесение вреда может произойти в результате несанкционированного доступа, раскрытия и модификации информации, коррупции среди персонала, приведения активов в состояние непригодности или их утери. Угрозы могут иметь естественное происхождение или исходить от людей, и быть случайными или преднамеренными. Как случайные, так и преднамеренные угрозы должны быть определены, а их уровень и вероятность их реализации должны быть установлены. Подход к определению степени опасности от конкретной угрозы аналогичен методике определения степени риска от конкретной угрозы и использует определение вероятности возникновения конкретной угрозы и величины возможного ущерба, которые зависят в свою очередь от степени уязвимости актива и характера воздействия, а также от правильного использования защитных мер.

Величина ущерба, вызванного конкретной угрозой, может изменяться в широких пределах для каждого конкретного случая. Например:

  • программный вирус может причинить вред различной степени в зависимости от его действий;
  • землетрясения в конкретном месте могут иметь различную силу в каждом отдельном случае.

Такие угрозы обычно обладают определенным уровнем связанной с ними опасности. Например:

  • вирус может быть описан как разрушающий или неразрушающий;
  • сила землетрясения может быть описана в терминах интенсивности по шкале Рихтера.

Уязвимости, связанные с активами, включают слабые места в физическом расположении организации, процедурах, персонале, управлении, администрации, аппаратных средствах, программном обеспечении и информации. Уязвимость сама по себе не вызывает вред; уязвимость – это только условие или набор условий, которые могут позволить угрозе воздействовать на актив. Уязвимость может оставаться до тех пор, пока сам актив не изменится таким образом, чтобы она больше не появлялась.

Воздействие – это последствие нежелательного инцидента, вызванного преднамеренно или случайно, который оказал воздействие на активы. Последствиями могут быть разрушение некоторых активов, нанесение вреда системе ИТ, потеря конфиденциальности, целостности, пригодности, ответственности, аутентичности и надежности. Возможные косвенные последствия включают финансовые потери, потерю рыночного ресурса или имиджа компании. Измерение разрушающих воздействий позволяет достичь равновесия между результатами нежелательного инцидента и стоимости охраны, предназначенной для защиты от нежелательного инцидента. Частота возникновения нежелательного инцидента также должна быть принята во внимание. Это особенно важно, если объем ущерба, вызванного каждым происшествием, небольшой, но общий эффект от многих инцидентов через определенное какое-то время может быть значительным. Оценка разрушающих воздействий – это важный элемент в процедурах оценки рисков и выбора охранных средств и мероприятий.

Количественные и качественные измерения разрушающих воздействий (ущерба) могут осуществляться несколькими способами, например:

  • установлением финансовой стоимости,
  • назначением эмпирической шкалы степени опасности, например, десятибалльной,
  • использованием   в   качестве   критерия   качественной   оценки прилагательных, выбранных из определенного списка, например, “низкий, средний, высокий”.

Риск – это потенциальная возможность использования уязвимости данной конкретной угрозой, с целью вызвать потерю или повреждение актива или группы активов, и следовательно, непосредственно или косвенно, самой организации.

Сценарий риска описывает, как конкретная угроза или группа угроз могут использовать конкретную уязвимость или группу таких факторов с целью нанесения вреда активам. Риск характеризуется комбинацией двух факторов — вероятности нежелательного инцидента и его воздействия. Любые изменения в активах, угрозах, уязвимости и охранных мероприятиях и средствах могут оказывать существенное влияние на риски. Раннее обнаружение и распознавание изменений условий среды или изменений самой системы увеличивают возможность соответствующих действий, которые могут быть предприняты с целью снижения риска до минимума.

Защитные меры – это действия, процедуры или механизмы, которые могут защищать от угрозы нанесения вреда, снизить уязвимость, ограничить разрушающее воздействие нежелательного инцидента, обнаружить нежелательные инциденты и способствовать восстановлению системы или актива после нежелательного инцидента. Эффективная защита обычно требует комбинации различных защитных мер, чтобы обеспечить соответствующие уровни защиты для активов. Например, механизмы управления доступом к компьютерам должны быть обеспечены контрольными средствами аудита, соответствующими процедурами для персонала, методами обучения и средствами физической защиты. Некоторые защитные меры могут существовать уже как часть среды, или же как соответствующий аспект активов, или могут быть уже внедрены в системе или организации.

Защитные меры могут рассматриваться в свете выполнения одной или более из числа следующих функций: обнаружение, сдерживание, предотвращение, ограничение, исправление, восстановление, мониторинг и осведомленность. Соответствующий выбор защитных мер необходим для правильного осуществления программы защиты. Многие защитные меры могут обеспечивать несколько функции. Выбор таких защитных мер всегда является более дорогостоящим, но и более эффективным. Некоторые примеры областей использования защитных мер включают:

  • физическую среду;
  • техническую среду (аппаратные средства, программное обеспечение и средства коммуникации);
  • персонал;
  • администрацию.

Некоторые защитные меры формируют чрезмерно резкие и четкие сообщения об отношении организации к собственной защите. В этом отношении важно выбрать такие защитные меры, которые не вступают в конфликт с принципами культуры и/или социальных отношений, являющихся основой работы организации.

Примеры таких защитных мер:

  • сетевые системы защиты доступа;
  • сетевой мониторинг и анализ;
  • кодирование информации для обеспечения конфиденциальности;
  • электронные подписи;
  • антивирусное программное обеспечение;
  • дублирующие копии информации;
  • резервные источники питания;
  • механизмы управления доступом.

Риски обычно только незначительно снижаются посредством применения защитных мер. Частичное уменьшение риска – это все, чего обычно удается достичь, а более существенное уменьшение рисков требует и более существенных финансовых затрат. При этом подразумевается, что имеются обычно остаточные риски. Частью оценки соответствия защиты потребностям организации является принятие остаточного риска. Этот процесс известен как принятие риска.

Управление защитой ИТ – это продолжительный процесс, состоящий из множества других процессов. Несколько аспектов управления защитой ИТ, включая управление риском, анализ риска, управление изменением и управление конфигурацией, представлены на рис.2.

Управление конфигурацией – это процесс отслеживания изменений в системе. Первичная защитная цель управления конфигурацией системы состоит в том, чтобы гарантировать, что изменения в системе не приведут к снижению эффективности защитных мер, а также защиты организации в целом.

Защитная цель управления конфигурацией состоит в том, чтобы знать, какие изменения произошли, а не чтобы использовать защиту как средство предотвращения изменений систем ИТ. Другая цель управления конфигурацией состоит в том, чтобы гарантировать, что изменения системы отражены в других документах, например, в планах восстановления активов организации после стихийных бедствий или на случай непредвиденных обстоятельств. Если изменение является главным событием, то может возникнуть необходимость повторного анализа некоторых или всех защитных мер.

Безымянный2

Рисунок 2. Аспекты управления защитой ИТ.

Системы ИТ и условия среды, в которых они работают, постоянно изменяются. Появляются новые процедуры и средства, осуществляется модификации программного обеспечения и пересмотр аппаратного обеспечения, появляются новые виды пользователей, дополнительные компьютерные сети и их соединения. Все эти изменения являются результатом доступности новых возможностей и услуг ИТ, или же обнаружения новых угроз нанесения вреда системе либо новых видов уязвимости системы. Управление изменением – это процесс, используемый, чтобы помогать идентифицировать новые потребности защиты в случаях изменений системы.

Деятельность по менеджменту рисков наиболее эффективна, если она происходит на протяжении всего жизненного цикла системы. Процесс менеджмента рисков является главным направлением деятельности. Стратегия организации может потребовать, чтобы оценка рисков выполнялась в конкретных точках жизненного цикла системы, или же в конкретное время. Может существовать возможность использования данных предыдущего анализа с целью контроля реализации защитных мер. Допустимо также требование менеджмента риска в течение всего процесса проектирования и разработки систем, таким образом гарантируя, что защита была разработана и осуществлена с максимально эффективным соотношением стоимости и времени. На рис.3 представлены элементы, вовлеченные в процесс менеджмента риска.

Безымянный3

Рисунок 3. Взаимоотношения при менеджменте рисков.

Менеджмент рисков – это процесс сравнения оцененных рисков с полученными выгодами и/или затратами на защитные меры, а также формирования стратегии внедрения методов защиты, совместимых с корпоративной стратегией защиты ИТ и с целями деловой активности.

Необходимо также отметить, что защитные меры сами по себе могут включать уязвимости, и таким образом приводить к новым рискам. Следовательно, необходимо предпринимать меры предосторожности при выборе соответствующих защитных мер не только для того, чтобы снизить существующие риски, но также и для того, чтобы не вызвать появления потенциальных новых рисков. Для оценки рисков необходимо прежде всего провести их анализ.

Анализ риска — это часть процесса менеджмента риска, позволяющая идентифицировать риски, которые должны контролироваться или приниматься. В контексте защиты ИТ анализ риска для систем ИТ включает анализ характеристик актива, угроз и уязвимости. Риски оценены в терминах потенциального воздействия, которое может быть вызвано нарушениями конфиденциальности, целостности, пригодности, прослеживаемости, аутентичности и надежности. Результат анализа риска представляет собой руководство по вероятным рискам в отношении существующих активов.

Очень важны и такие аспекты информационной безопасности, как прослеживаемость, осведомленность о защите и мониторинг. Недостаток осведомленности о защите и недостаточная защитная практика персонала в пределах организации может значительно снизить эффективность защитных мер. Поэтому эффективность защитных мер должна периодически проверяться. Это достигается посредством мониторинга и проверки согласованности элементов защиты, чтобы гарантировать, что данные защитные меры функционируют и используются в соответствии со своим назначением.

Стандарт ИСЭ 13335:1 описывает также следующие модели информационной безопасности:

  • взаимоотношения элементов защиты,
  • взаимоотношения в процессе менеджмента риска,
  • управления процессами защиты ИТ.

Управление защитой ИТ является процессом, который должен учитывать весь жизненный цикл. Модель такого процесса, представленная на рисунке 8, объединяющая элементы защиты, связанные с обеспечением информационной безопасности приведена на рис. 4.

Безымянный4

Рисунок 4. Менеджмент безопасности ИТ.

Итак, менеджмент безопасности (управления защитой) ИТ – это процесс, применяемый для достижения и обеспечения соответствующих уровней конфиденциальности, целостности, готовности, прослеживаемости, аутентичности и надежности.

В общем случае функции менеджмента безопасности ИТ включают:

  • определение организационных объектов, стратегий и методов защиты ИТ;
  • определение организационных требований защиты ИТ;
  • идентификацию и анализ угроз в отношении защиты и уязвимости активов систем ИТ в пределах организации;
  • идентификацию и анализ рисков защиты;
  • указание соответствующих защитных мер;
  • мониторинг реализации и функционирования защитных мер, необходимых, чтобы обеспечить эффективную защиту информации и услуг в пределах организации;
  • разработку и реализацию программы осведомленности о защите;
  • обнаружение случайных отказов и реагирование на инциденты.
Did you find apk for android? You can find new Free Android Games and apps.
Оставить комментарий
Нажимая на кнопку «Отправить», я даю свое согласие на обработку персональных данных и соглашаюсь с условиями и политикой конфиденциальности