Лекции КЗИ / Лекция_КЗИ_full
.pdfЧто касается получаемых свидетельств безопасности, глубина и покрытие таких свидетельств могут влиять на уровень доверия к реализованной функциональности. Глубина и покрытие - атрибуты, связанные с методами оценки и получением свидетельств безопасности.
Методы оценки могут быть применены к доверию связанному и с разработкой и с эксплуатацией. Глубина связана со строгостью, уровнем детализации и формальностью образцов, полученных при проектировании и разработке аппаратных средств, программного обеспечения и компонентов встроенного микропрограммного кода информационных систем. Уровень детализации, доступный в образцах разработки, может влиять на тип тестирования, оценки и анализа, проведенного во время жизненного цикла разработки систем.
Для эксплуатационного доверия атрибут глубины определяет количество и типы связанных с доверием мер безопасности, выбранных и реализованных. Напротив, атрибут покрытия связан с методами оценки, используемыми во время разработки и эксплуатации, определяя область и размер включенных объектов оценки (например, число или типы тестов, проведенных на исходном коде, число проанализированных программных модулей, число сетевых узлов или мобильных устройств, проверенных на уязвимость, число людей, проверенных на понимание обязанностей по непредвиденным ситуациям).
26
ДОВЕРЕННОСТЬ (Системы и компоненты)
Облегчает реакцию на риски от множество угроз, включая
враждебные кибератаки, стихийные бедствия, структурные отказы, и
человеческие ошибки, намеренные и неумышленные.
Способствует
Требования безопасности Полученные из потребностей предназначения/деятельности, законов, E.O., политик, директив, инструкций, стандартов
Удовлетворяют
Возможности безопасности
Взаимно усиливающие меры безопасности (Технические, физические, процедурные средства)
Обеспечивает
уверен ность в
Предоставляют
Функциональность безопасности
Свойства, функции, сервисы, механизмы, процессы, процедуры (Меры, связанные с функциональностью
Способствует прослеживаемости от требований до возможностей функциональности со степенью доверия
Доверие к безопасности Действия при разработке/эксплуатации (Меры, направленные на доверие))
Формирует
Свидетельство безопасности
Образцы разработки, отчеты о недостатках, результаты оценки, результаты сканирования, проверка целостности, установки конфигурации
27
ВЫБОР БАЗОВЫХ НАБОРОВ МЕР БЕЗОПАСНОСТИ
При подготовке к выбору и определению надлежащих мер безопасности для информационных систем организаций и соответствующих сред эксплуатации, организации сначала определяют критичность и чувствительность информации, которая будет обрабатываться, храниться или передаваться этими системами.
Этот процесс, известный как категорирование безопасности, основан на простой и известной концепции - определении потенциального неблагоприятного воздействия для информационных систем организации. Результаты категорирования безопасности помогают в руководстве и информации для выбора соответствующих мер безопасности, чтобы соответственно защитить эти информационные системы. Меры безопасности, выбранные для информационных систем, соразмерны с потенциальным неблагоприятным воздействием на деятельность и активы организаций, сотрудников, другие организации или общество, если имеется потеря конфиденциальности, целостности или доступности.
Потенциальные значения воздействия, предназначенные для целей безопасности, являются самыми высокими значениями (то есть, наивысшими значениями) для категорий безопасности, которые были определены для каждого типа обрабатываемой, хранимой или передаваемой информации этими информационными системами.
28
После определения уровня критичности ИС начинается процесс определения необходимых контролей безопасности. Первым шагом является выбор базового набора контролей, основываясь на результатах категоризации. Выбирается один из трех наборов, соответствующий низкому, среднему и высокому уровню критичности.
Безусловно, стоит отметить, что далеко не все контроли входят в эти наборы. Меньше всего их представлено в наборе для низкого уровня.
Базовые наборы являются лишь отправной точкой дальнейшего процесса по создание подходящего набора контролей. В дальнейшем, в процессе «подгонки» какие-то меры могут быть добавлены, убраны или уточнены для соответствия требованиям безопасности организации.
Также важным является тот факт, что в силу своей универсальности базовые наборы, представленные в документе, имеют определённые допущения, в рамках которых они являются актуальными. Иначе говоря, эти наборы создавались для определённых, вполне конкретных условий применения. Однако не стоит упрекать авторов в узости взглядов, ведь эти условия специально подобраны таким образом, чтобы охватить самый 29 массовый сегмент ИС.
ДОПУЩЕНИЯ БАЗОВОГО НАБОРА
1.ИС расположены на физических объектах (изначально наборы не заточены под виртуализацию);
2.Информация пользователей в ИС организации относительно постоянна (пользователи не создают и не уничтожают информацию в значительных количествах на регулярной основе);
3.ИС функционируют в многопользовательском режиме;
4.Некоторая пользовательская информация в ИС организации недоступна другим пользователям, имеющим авторизованный доступ в те же ИС (ведь разграничение доступа — это базовый принцип);
5.ИС существуют в сетевом окружении;
6.ИС являются по сути системами общего назначения (т.е. не пытаемся защитить иранские центрифуги по обогащению урана);
7.Организация обладает необходимыми структурой, ресурсами и инфраструктурой для реализации контролей.
30
Ситуаций не охваченные базовым набором
1.Существует инсайдерская угроза в организации (как говорится, «против лома нет приёма»);
2.В отношении организации существуют постоянные угрозы со стороны серьёзных нарушителей (речь идёт, например, о
банковском секторе);
3.Отдельные типы информации требуют дополнительной защиты в соответствии с требованиями законодательства, регуляторов и т.д. ;
4.ИС должны взаимодействовать с другими системами через среды, отличающиеся уровнем защищённости (например,
через публичный сегмент сети).
Вслучае если какие-либо из этих предположений верны для организации, то необходимо обратиться к набору дополнительных контролей и осуществить «подгонку» защитных мер в соответствии с результатами оценки рисков в
организации.
31
Совет реализации
Определение уровня воздействия для информационной системы.
Во-первых, определите различные типы информации, которые обрабатываются, хранятся или передаются информационной системой.
Во-вторых, используя значения воздействий и прокатегорируйте конфиденциальность, целостность и доступность для каждого типа информации.
В-третьих, проведите категорирование безопасности информационной системы, то есть, определите самые высокие значения воздействий для каждой цели безопасности (конфиденциальности, целостности, доступности) из числа категорированных для типов информации, связанных с информационной системой.
В-четвертых, определите полный уровень воздействия для информационной системы как самого высокого значения воздействия среди целей безопасности в категорировании безопасности системы.
32
АДАПТАЦИЯ БАЗОВОГО НАБОРА МЕР БЕЗОПАСНОСТИ
После выбора применимого базового набора мер безопасности инициируют процесс адаптации, чтобы соответственно изменить и выровнять меры безопасности более близко с особыми условиями в организациях.
Процесс адаптации включает:
–идентификацию и определение общих мер безопасности в начальных базовых наборах мер безопасности;
–применение объектовых особенностей к остальным мерам базового набора мер безопасности;
–выбор компенсирующих мер безопасности, если необходимо;
–назначение конкретных значений для определенных организациями параметров мер безопасности через операции явного назначения и выбора;
–дополнение базовых наборов дополнительными мерами безопасности и улучшениями мер безопасности, если необходимо;
–и предоставление дополнительной специфичной информации
для реализации мер безопасности, если необходимо. |
33 |
|
Процесс «подгонки», входящий в состав этапа выбора и спецификации контролей, является частью применяемого в организации процесса управления рисками. По сути организация использует «подгонку» для достижения экономически выгодной безопасности, основанной на оценке рисков и способствующей достижению нужд бизнеса (ведь никому не нужна информационная безопасность, которая не способна закрыть актуальные угрозы или стоимость которой превышает возможные потери).
Все активности по «подгонке» контролей должны проходить обязательное согласование с назначенными в организации ответственными лицами прежде чем они будут реализованы.
В целом, процесс подгонки занимает в данной рекомендации одно из центральных мест и описан очень подробно, поскольку является одной из основополагающих активностей, способствующей построению системы ИБ, отвечающей потребностям организации и нивелирующей актуальные риски ИБ.
34
Перекрытия
В определённых ситуациях для организации может быть выгодно использовать инструмент «подгонки» для получения обобщенного набора контролей, именуемого «перекрытием», применимого в масштабах какой-либо отрасли, или, например, необходимого для соответствия каким-либо специфическим требованиям, технологиям или задачам функционирования. Разработка такого набора может быть выполнена как самой организацией, так и федеральными органами в рамках какой-либо отрасли. Таким образом набор контролей безопасности может разрабатываться любым заинтересованным лицом для адекватного реагирования на риски информационной безопасности и затем распространяться среди других участников какой-либо отрасли или пользователей каких-либо технологий, или оборудования. Такая особенность применения методологии «подгонки» предоставляет хороший базис для обеспечения стандартизации по обеспечению информационной безопасности в различных технологических областях или в конкретных условиях функционирования.
35