Лекции КЗИ / Лекция_КЗИ_full
.pdfПодобный подход позволяет обеспечить эффективное всеобъемлющее управление рисками со следующими явными преимуществами:
-прозрачность и простота отслеживания решений, основанных на рисках;
-осведомлённость о рисках в масштабах организации;
-взаимодействие как внутри, так и между различными уровнями;
-цикл обратной связи для обеспечения непрерывного совершенствования.
16
Уровень 1
Предоставляет возможность определения приоритетов бизнес задач и функций организации, которые выливаются в инвестиционную стратегию и решения по бюджетированию, тем самым обеспечивая финансово-выгодные («cost-effective») и эффективные ИТ решения, соответствующие требованиям производительности, а также целям и задачам организации.
Уровень 2
Включает:
–определение бизнес-процессов, необходимых для обеспечения бизнес задач и функций организации;
–определение категорий безопасности выделенных информационных систем, необходимых для исполнения бизнес-процессов;
–включение требований ИБ в бизнес-процессы;
–выбор ИТ архитектуры (включая ИБ) для способствования реализации требований ИБ в информационных системах организации и среде их функционирования.
17
Уровень 3
Для обработки рисков на уровне информационных систем используется Структура управления рисками — набор инструментов по управлению рисками. Эта Структура является одним из основополагающих и связующих звеньев многих публикаций NIST, посвящённых тематике информационной безопасности и управления рисками.
18
СТРУКТУРА УПРАВЛЕНИЯ РИСКОМ |
|||
Описание архитектуры |
Начальная |
Исходные положения для |
|
организации |
|||
|
|||
•Процессы |
точка |
•Законы, директивы |
|
предназначения/деятельности |
|
||
|
|
||
•Эталонные модели |
|
•Стратегические задачи и цели |
|
•Сегменты и архитектурные |
|
•Требования ИБ |
|
решения |
Шаг 1 |
•Приоритеты и доступность |
|
•Границы информационной |
КАТЕГОРИРОВАНИЕ |
ресурсов |
|
Информационных систем |
|||
системы |
|
||
FIPS 199 / SP 800-60 |
|
||
|
|
||
Шаг 6 |
|
Шаг 2 |
|
МОНИТОРИНГ |
|
ВЫБОР |
|
Мер безопасности |
|
Мер безопасности |
|
SP 800-137 |
|
FIPS 200 / SP 800- |
|
|
|
53 |
|
|
ОСНОВЫ |
|
|
|
УПРАВЛЕНИЯ |
|
|
|
РИСКОМ |
|
|
Шаг 5 |
Жизненный цикл |
Шаг 3 |
|
САНКЦИОНИРОВАНИЕ |
безопасности |
РЕАЛИЗАЦИЯ |
|
|
|
||
Информационных |
|
Мер безопасности |
|
систем |
|
SP 800-160 |
|
SP 800-37 |
|
||
Шаг 4 |
|
||
|
|
||
|
ОЦЕНКА |
|
|
|
Мер безопасности |
|
|
|
SP 800-53A |
|
|
|
|
19 |
|
Алгоритм безопасности организаций, связанных с проектированием, разработкой, реализацией, эксплуатацией и ликвидацией информационных систем и сред состоит из следующих шести шагов:
Шаг 1: Категорирование информационной системы, основанное на оценке воздействия;
Шаг 2: Выбор применимого базового набора мер безопасности, основанный на результатах категорирования безопасности и применении руководства по адаптации;
Шаг 3: Реализация меры безопасности и документирование деталей проектирования, разработки и реализации для мер безопасности;
Шаг 4: Оценка мер безопасности для определения степени, до которой меры безопасности реализованы правильно, работают как предназначено и производят желаемый результат для выполнения требований безопасности;
Шаг 5: Санкционирование эксплуатации информационной системы, основанное на определении риска деятельности и активов организации, сотрудникам и другим организациям, и решения, что этот риск приемлем;
Шаг 6: Контроль на непрерывной основе мер безопасности в информационной системе и среде эксплуатации для определения
эффективности мер безопасности, изменений в системе и |
|
соответствия законодательству. |
20 |
|
ХАРАКТЕРИСТИКИ МЕР БЕЗОПАСНОСТИ
Меры безопасности считают наследуемыми информационными системами или компонентами информационных систем, когда системы или компоненты получают защиту от реализованных мер безопасности, которые разработаны, реализованы, санкционированы и контролируются кем-то, кто не является ответственным за безопасность этих систем.
Безопасность систем, обеспеченная общими мерами безопасности, может быть наследована от многих источников включая, например, объекты информатизации, анклавы, среды эксплуатации или другие информационные системы. Кроме того, может быть множество общих мер безопасности. При централизованном документировании и управлении разработкой, реализацией и контролем общих мер безопасности, стоимость безопасности может быть амортизирована по многим информационным системам.
21
Организация возлагает ответственность за общие меры безопасности на соответствующих должностных лиц организации и координирует разработку, реализацию, оценку, санкционирование и мониторинг мер безопасности. Идентификация общих мер достигает наибольшего эффекта, если осуществляется в целом для организации с активным участием директоров по информации, или сотрудников по информационной безопасности, ответственных за риски безопасности информационных систем.
Осуществлять рассмотрение категорий безопасности информационных систем и мер безопасности для всей организации необходимо, чтобы соответственно смягчать риски, являющиеся результатом использования этих систем. Идентификация общих мер безопасности проводится для мер, которые влияют на многие информационные системы, но не все системы организации получают пользу от применения подобного подхода. Ключевые заинтересованные стороны сотрудничают, чтобы идентифицировать возможности эффективно использовать общие меры на уровне сферы предназначения или деятельности, объекта информатизации.
22
Когда общие меры безопасности защищают многие информационные системы организации, отличающиеся уровнями воздействия, меры безопасности реализуются относительно самого высокого уровня воздействия среди этих систем. Если общие меры безопасности не будут реализованы на самом высоком уровне воздействия на информационные системы, то владельцы систем будут нуждаться в учете этой ситуации в своих оценках риска и должны предпринимать соответствующие меры уменьшения риска (например, добавляя меры безопасности, изменяя значения параметров мер безопасности, реализуя компенсирующие меры безопасности или изменяя определенные аспекты процессов предназначения или деятельности). Реализация общих мер безопасности, которые недостаточно эффективны или обеспечивают недостаточную возможность безопасности в отношении информационных систем более высокого воздействия, может оказать существенное неблагоприятное влияние на функции или деятельности организации.
23
Общие меры, используемые в информационных системах организации или средах эксплуатации, санкционируются высшими должностными лицами, по крайней мере, с тем же самым уровнем ответственности по управлению риском, с каким должностные лица санкционировали информационные системы, наследовавших меры безопасности.
Результаты санкционирования для общих мер используются совместно владельцами соответствующих информационных систем и санкционирующими должностными лицами. План действий и вехи разрабатываются и сопровождаются для общих мер безопасности, которые были определены через независимые оценки, как менее стойкие. Владельцы информационных систем, зависящих от общих мер, которые менее стойкие, рассматривают, готовы ли они принять связанный с этим риск или требуется дополнительная адаптация, чтобы устранить слабые места или недостатки в мерах безопасности.
Такие основанные на риске решения принимаются санкционирующими должностными лицами и организациями с учетом доступных ресурсов, трастовых моделей, используемых организацией, и допустимого риска.
24
Возможности безопасности
Организации могут рассматривать определение совокупности возможностей безопасности как действие предшествующее процессу выбора мер безопасности. Концепция мер безопасности - конструкция, которая определяет, что защита информации, обрабатываемой, хранимой или переданной информационными системами, редко получается из отдельной меры защиты или контрмеры. В большинстве случаев, такая защита следует из выбора и реализации ряда взаимно подкрепляемых мер безопасности. Например, организации могут определить возможности безопасности для безопасной удаленной аутентификации. Эти возможности могут быть достигнуты выбором и реализацией ряда мер безопасности. Кроме того, возможности безопасности могут определять множество областей, которые могут включать, например, технические средства, физические средства, процедурные средства или любую комбинацию их. Таким образом, в дополнение к вышеупомянутым функциональным возможностям безопасного удаленного доступа, организациям, возможно, также понадобятся возможности безопасности, которые определяют физические средства, такие как обнаружение вторжений на криптографический модуль или обнаружение (анализ) аномалий.
25