Лекции КЗИ / Лекция_КЗИ_full
.pdfControl Enhancements. В данной секции представлены возможности по «улучшению» контроля, путём добавления к нему дополнительной функциональности или его усилению. Получается своеобразные подконтроли, которые можно использовать только совместно с основным. В данном примере контроль AU-3 (1)(2) фактически состоит из самого контроля AU-3, определяющего необходимость генерирования записей аудита и базовый состав таких записей, «усиления» (1) фиксирующего перечень дополнительной информации о регистрируемых события и «усиления» (2) описывающего организацию централизованного управления содержимым записей аудита. Как видно – эти расширения нельзя внедрить без самого контроля, однако и выделять в отдельные контроли не рационально. Также стоит отметить, что эти расширения также предоставляют организации возможности по гибкой настройке, путём определения, полного перечня необходимой информации в записях аудита и определении перечня ИС, записи аудита которых должны управляться централизованно.
6
References. Здесь собраны ссылки на законодательство (естественно американское), стандарты, требования регуляторов, различные руководства и т.д.
Priority and Baseline Allocation. В табличке представлена информация о рекомендуемом приоритете при упорядочивании в процессе принятия решений о реализации контролей, а также первоначальное распределение контроля и его «усилений» по базовым наборам для систем различной критичности. Приоритет внедрения позволяет организации осуществлять реализацию контролей в более эффективной и своевременной последовательности, в первую очередь внедряя основополагающие меры.
7
Типы контролей безопасности
Для упорядочивания и обеспечения структурного подхода авторы документа предусмотрели разделение контролей на разные типы, в зависимости от их назначения:
Common. Основные контроли, которые могут наследоваться различными системами и имеют воздействие вне масштабов отдельно взятой ИС. Система наследует контроль безопасности в случае, если он осуществляет свою функцию безопасности в этой ИС, однако был разработан, реализован, оценен, авторизован вне этой ИС.
System-specific. Контроль находится в зоне ответственности владельцев конкретной ИС.
Hybrid. Часть контроля функционирует в качестве общего, а часть в качестве системного контроля. Например, контроль может определять политики реагирования на инциденты в масштабах всей организации, однако конкретные процедуры реагирования определяются для отдельных систем.
8
Краткий обзор
Эта рекомендация обеспечивает меры безопасности и приватности для федеральных информационных систем и организаций, а также регламентирует процесс выбора мер безопасности для частных компаний, их активов, сотрудников. В качестве угроз предполагаются кибератаки, стихийные бедствия, отказы техники и человеческие ошибки.
Меры обеспечения адаптируются и реализуются как часть общего для организации процесса, который управляет информационными рисками безопасности и приватности. Меры обеспечения определяются разнообразным набором требований законодательства и стандартов по безопасности и приватности для федерального правительства и критической инфраструктуры.
Рекомендация также описывает процесс разработки специализированных наборов мер обеспечения определенных типов функций предназначенных для деятельности, технологий или сред эксплуатации.
Наконец представленный перечень мер обеспечивает безопасность и с точки зрения функциональности и с точки зрения доверия, что гарантирует достаточную доверенность продуктов информационных технологий и информационных систем, созданных из этих продуктов, используя системные и инженерные принципы обеспечения безопасности.
9
ХАРАКТЕРИСТИКИ МЕР БЕЗОПАСНОСТИ
Меры безопасности разрабатывались как нейтральные в отношении политик и технологий. Это означает, что меры безопасности сосредотачиваются на фундаментальных принципах защиты и контрмерах, необходимых, чтобы защитить информацию при обработке, во время хранения и при передаче.
Специализированные области определяются при помощи процесса адаптации.
В немногих случаях, когда конкретные технологии упомянуты в мерах безопасности, организациям дается предостережение, что потребность обеспечить адекватную безопасность находится вне требований к отдельной мере безопасности, связанной с определенной технологией.
Использование перечня мер безопасности, нейтрального в отношении технологий и политик, обладает следующими преимуществами:
-сосредоточение на возможностях безопасности, требуемых для защиты информации, независимо от информационных технологий;
-это поощряет организации анализировать каждую меру безопасности для ее применения в конкретных технологиях;
-это поощряет организации определять политику безопасности как часть процесса адаптации для мер безопасности, у которых есть
переменные параметры. |
10 |
УПРАВЛЕНИЕ РИСКОМ В ОТНОШЕНИИ ФУНКЦИЙ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИЙ
Меры безопасности разработаны в соответствии с федеральными законами, правительственными распоряжениями, нормативными актами, стандартами и руководствами. Соблюдение мер информационной безопасности включает использование всех соответствующих возможностей для организации программы управления рисками.
Использование инструментов управления рисками и технологий, которые доступны организациям, реализации и поддержании мер защиты и контрмер с необходимой и достаточной стойкостью механизмов, чтобы противостоять текущим угрозам деятельности и активам организаций и сотрудникам.
Применение эффективных, основанных на риске процессов, процедур и технологий поможет гарантировать то, что у всех федеральных информационных систем и организаций будет необходимая устойчивость для поддержания имеющихся обязательств, критических приложений инфраструктуры и непрерывности руководства.
11
ПРИЛОЖЕНИЕ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПРИВАТНОСТИ ДЛЯ ФЕДЕРАЛЬНОЙ ИНФОРМАЦИИ
Обеспечивает структурированный набор мер обеспечения приватности, основанных на лучших методах, что поможет организациям выполнять требования федеральных законов, правительственных распоряжений, директив, инструкций, нормативных актов, стандартов.
Устанавливает зависимости и отношения между мерами обеспечения приватности и безопасности с целью определения соответствующих требований приватности и безопасности, которые могут появиться в проектах и в реализациях для федеральных информационных систем, программ и организаций.
Демонстрирует применимость основ управления рисками при выборе, реализации, оценке и постоянном мониторинге мер обеспечения приватности, реализуемых в федеральных информационных системах, программах и организациях.
Способствует более тесному сотрудничеству между
должностными лицами по обеспечению приватности и |
|
безопасности в рамках федерального правительства, чтобы |
|
помочь в достижении целей высших руководителей по |
|
установлению требований в федеральном законодательстве, |
|
нормативных актах, директивах, стандартах и руководствах по |
|
приватности. |
12 |
|
ПОТРЕБНОСТЬ ЗАЩИТИТЬ ИНФОРМАЦИЮ И ИНФОРМАЦИОННЫЕ СИСТЕМЫ
Выбор и реализация мер безопасности для организаций и информационных систем являются важными задачами, которые могут оказывать существенное влияние на деятельность и активы организаций, а так же на благосостояние людей. Меры безопасности и меры защиты, предписанные для информационных систем или организаций разработаны для защиты конфиденциальности, целостности и доступности, обрабатываемой, хранимой, передаваемой информации, и удовлетворяют ряду определенных требований безопасности. Есть несколько ключевых вопросов, на которые должны ответить организации, когда рассматривают вопрсы безопасности для информационных систем.
Какие меры необходимы, чтобы удовлетворить требованиям безопасности и соответственно смягчить риск, существующий при использовании информации и информационных систем в деятельности коммерческих организаций.
Каков желаемый или требуемый уровень доверия, что выбранные меры безопасности, при реализации, были эффективны.
13
МНОГОУРОВНЕВОЕ УПРАВЛЕНИЕ РИСКАМИ
Выбор спецификации мер безопасности для информационной системы выполняются как часть общей для организации программы информационной безопасности для управления риском - то есть, риском к деятельности и активам организации, сотрудникам, другим организациям, связанным с применением информационных систем.
Основанные на риске подходы к выбору спецификации мер безопасности рассматривают эффективность, действенность и ограничения обусловленные федеральными законами, правительственными распоряжениями, нормативными актами, стандартами и руководствами.
Чтобы интегрировать процесс управления рисками в организации и эффективнее определять интересы деятельности, использован трехуровневый подход, который разделяет риски на:
-уровень организации;
-уровень процесса предназначения или деятельности;
-уровень информационной системы.
Процесс управления рисками осуществляется на трех уровнях с целью непрерывного совершенствования в связанных с риском работах организации и эффективного межуровневого и внутриуровневого взаимодействия всех сторон, имеющих общий интерес в успехе предназначения или деятельности организации.
14
СТРАТЕГИЧЕСКИЙ РИСК
- Отслеживаемость и прозрачность
решений, основанных на риске
Освоение рисков во всей организации УРОВЕНЬ 1
ОРГАНИЗАЦИЯ
УРОВЕНЬ 2
ПРОЦЕСCЫ ПРЕДНАЗНАЧЕНИЯ ДЕЯТЕЛЬНОСТИ
УРОВЕНЬ 3 ИНФОРМАЦИОННЫЕ СИСТЕМЫ
ТАКТИЧЕСКИЙ РИСК
-Межуровневое и внутриуровневое взаимодействие
-Обратная связь для непрерывного совершенствования
Рисунок иллюстрирует трехуровневый подход к тактическому риску
15