4. Каталоги it-Grundschutz

Варто зазначити, що на практиці, в умовах сучасних українських організацій, нашими фахівцями успішно використовується методика IT-Grundschutz, яка розроблена урядовим відомством з інформаційної безпеки Німеччини (BSI), та досить часто використовується разом із міжнародним стандартом ISO 27001 для побудови системи менеджменту інформаційною безпекою (СМІБ).

Найвідомішими публікаціями BSI з інформаційної безпеки є керівництво IT-Grundschutz (IT-Grundschutz Manual), яке з першої появи в 1994 році не лише детально описує принципи управління інформаційною безпекою, але й зазначає заходи захисту інформаційної безпеки в області технологій, організації, персоналу та інфраструктури. Різні області керівництва IT-Grundschutz не лише були оновлені, але також були реорганізовані в 2005 році. Це зумовило те, що опис методології IT-Grundschutz та каталоги IT-Grundschutz були відокремлені один від одного.

Каталоги IT-Grundschutz (IT-Grundschutz Catalogues) мають модульну структуру і містять модулі для типових процесів, систем та ІТ-компонентів. На додаток до рекомендованих заходів захисту для кожного елемента ІТ-систем також описані найважливіші загрози, від яких компанія повинна себе захистити. Користувач може зосередити свою увагу на модулі, які мають відношення до їх області функціонування. Дані каталоги є опублікованими в Інтернеті та вільними для користування.

В даному випадку IT-Grundschutz опирається на той факт, що більшість ІТ-систем та програм, що використовуються на практиці, виконуються таким самим чином і в схожих умовах експлуатації. Сервери Unix, клієнтські ПК на базі ОС Windows і додатки баз даних є такими прикладами. Завдяки використанню цих типових компонентів, загрози ІТ-операцій знаходяться на повторюваній основі. Якщо немає спеціальних вимог до інформаційної безпеки, ці загрози багато в чому залежать від конкретних сценаріїв застосування. Це зумовлює дві ідеї для розгляду:

1. Всеохоплююча оцінка ризику не завжди необхідна: загрози ІТ-операцій і ймовірність збитку в результаті цих загроз можна умовно розрахувати з певними припущеннями.

2. Не завжди необхідно розробляти нові заходи інформаційної безпеки для будь-якого застосування: групи стандартних засобів захисту можуть бути ефективними, пропонуючи відповідні й адекватні заходи захисту від цих небезпек при нормальних вимогах інформаційної безпеки.

Основна структура каталогів IT-Grundschutz наведена нижче:

1. Каталог модулів (Modules-Catalogues)

• основні аспекти ІТ-безпеки (B1 Generic aspects of IT security);

• безпека інфраструктури (B2 Security of the infrastructure);

• безпека ІТ-систем (B3 Security of IT systems);

• безпека мережі (B4 Security in the network);

• безпека додатків (B5 Security of applications).

2. Каталог загроз (Threats Catalogues)

• каталог загроз при надзвичайних ситуаціях (T1 Threats Catalogue Force Majeure);

• каталог загроз при організаційних недоліках (T2 Threats Catalogue Organisational Shortcomings);

• каталог загроз внаслідок людського фактору / помилок персоналу (T3 Threats Catalogue Human Failure);

• каталог загроз при технічних відмовах (T4 Threats Catalogue Technical Failure);

• каталог загроз при навмисних атаках (T5 Threats Catalogue Deliberate Acts).

3. Каталог заходів захисту (Safeguard Catalogues)

• каталог заходів захисту інфраструктури (S1 Safeguard Catalogue Infrastructure);

• каталог організаційних заходів захисту (S2 Safeguard Catalogue Organisation);

• каталог заходів захисту персоналу (S3 Safeguard Catalogue Personnel);

• каталог заходів захисту апаратного та програмного забезпечення (S4 Safeguard Catalogue – Hardware & Software);

• каталог заходів захисту зв’язку (S5 Safeguard Catalogue Communications);

• каталог заходів захисту при плануванні неперервності функціонування (S6 Safeguard Catalogue Contingency Planning).