Лекции КЗИ / Лекция_КЗИ_full
.pdfКонцепция «перекрытий» вводится для обеспечения возможности разработки как отраслевых, так и специализированных наборов компенсирующих мер ИБ для информационных систем и организаций. «Перекрытие» – это полностью определённый набор контролей безопасности, «усилений» и дополнительной информации по их реализации, разработанный в соответствии с правилами проведения процесса «подгонки».
«Перекрытия» дополняют базовые наборы контролей безопасности путём:
–предоставления возможности добавления и удаления контролей;
–обеспечивая применимость контролей безопасности и их трактовку для специализированных информационных технологий, компьютерных парадигм, типов информации, сред выполнения, технологических отраслей, требований законодательства и регуляторов и так далее.
–установки в масштабах отрасли значений параметров контролей безопасности и «усилений»;
–расширения дополнительной информации о применении контролей при необходимости.
36
Идентификация и обозначение общих мер безопасности
Общие меры безопасности являются мерами, которые могут быть наследованными одной или более информационными системами организации. Если информационная система наследовала общие меры безопасности, то эта система не должна явно реализовывать эти меры безопасности - то есть, возможности безопасности обеспечиваются другой сущностью. Поэтому, когда меры безопасности указывают на то, чтобы информационная система реализовала или выполнила определенную функцию безопасности, это не должно быть интерпретировано так, чтобы означать, что все системы, которые являются частью больших, более сложных систем или все компоненты определенной системы, должны реализовать эту меру или функцию.
Решения организации, в соответствии с которыми меры безопасности определяются как общие меры безопасности, могут значительно влиять на обязанности отдельных владельцев систем относительно реализации мер безопасности в конкретном базовом наборе мер. Выбор общих мер безопасности может также влиять на полные расходы ресурсов организаций (то есть, чем больше число реализованных общих мер безопасности, тем больше потенциальное снижение издержек).
37
Использование объектовых особенностей
Объектовые особенности, используемые совместно с руководством по управлению рисками, предоставляют организациям более гарантированную основу, на которой можно сделать обоснованные решения.
Использование объектовых особенностей может устранить ненужные меры безопасности из начальных базовых наборов мер безопасности и помочь гарантировать, что организации выбирают только те меры безопасности, которые необходимы, чтобы обеспечить соответствующий уровень защиты для информационных систем организации - защиту, основанную на функциях предназначения и деятельности, поддерживаемых этими системами и средами, в которых они работают.
Организации могут применить объектовые особенности, чтобы помочь с разработкой основанных на риске решений относительно выбора и спецификации мер безопасности - решений, которые могут потенциально влиять на то, как меры базового уровня безопасности применены и реализованы.
38
Выбор компенсирующих мер безопасности
Организации могут счесть необходимым иногда использовать компенсирующие меры безопасности. Это может произойти, например, когда организации не способны эффективно реализовать конкретные базовые меры безопасности или когда, вследствие специфического характера информационных систем или сред эксплуатации, меры в базовых наборах не являются рентабельным средством получения необходимого уменьшения риска.
Компенсирующие меры безопасности, как правило, выбираются после изучения объектовых особенностей и адаптации к применимому базовому набору мер безопасности. Компенсирующие меры безопасности могут быть использованы организациями при следующих условиях:
–организации выбирают доступные и подходящие компенсирующие меры безопасности;
–организации проводят обоснование того, что компенсирующие меры безопасности обеспечивают эквивалентные возможности безопасности для информационных систем организаций и объясняют почему меры базового уровня безопасности не могут быть использованы;
–организации оценивают и принимают риск, связанный с реализацией компенсирующих мер безопасности в информационных системах организаций.
39
Итеративный и динамический характер адаптации мер безопасности
У процесса адаптации мер безопасности, являющегося последовательным по сути, может также быть итеративный аспект. Организации могут выполнять шаги адаптации в любом порядке, основанном на потребностях организации и информации, полученной от оценок степени риска.
Например, некоторые организации могут установить значения параметров для мер безопасности в начальных базовых наборах мер до выбора компенсирующих мер безопасности. Другие организации могут задержать завершение операций назначения и выбора в мерах безопасности, пока работы дополнения не будут завершены.
Организации могут также обнаружить, что, когда полностью определены меры безопасности для намеченных сред эксплуатации, там могут возникнуть трудности, которые могут инициировать потребность в дополнительных или расширенных мерах безопасности. Наконец, процесс адаптации мер безопасности не статичен - то есть, организации пересматривают шаг адаптации так часто как им это необходимо, основываясь на продолжающихся оценках риска организации.
40
В дополнение к итеративному и динамическому характеру процесса адаптации мер безопасности, могут также быть побочные эффекты, поскольку меры добавляются и удаляются из базовых наборов. У мер безопасности может быть определенная степень зависимости и функционального перекрытия. Во многих случаях, меры безопасности складываются, чтобы достичь нужного результата. Таким образом, от удаления определенной меры безопасности из базового набора во время процесса адаптации могут быть непредвиденные побочные эффекты (и потенциально неблагоприятные воздействия).
Альтернативно, добавление новой меры безопасности к базовому набору во время процесса адаптации может устранить или уменьшить потребность в некоторых конкретных мерах, потому что новая мера обеспечивает лучшие возможности безопасности, чем возможности, обеспеченные другими мерами.
Поэтому, дополнение или удаление мер безопасности рассматриваются относительно всего объема потребностей информационной безопасности организации и её информационных систем, а не просто относительно добавляемых или удаленных мер безопасности.
41
Новые разработки и унаследованные системы
Процесс выбора контролей безопасности может быть применен к информационным системам организации с двумя различными подходами: как к унаследованным системам или как к новым.
Для разрабатываемых систем процесс выбора контролей безопасности производится с точки зрения «определения требований на этапе проектирования», поскольку система ещё не существует в конченом виде и осуществляется лишь предварительная категоризация ИС. В данном случае контроли, включенные в план по безопасности информационной системы, служат требованиями по безопасности и включаются в систему на этапах разработки и внедрения.
Для унаследованных систем, процесс выбора контролей производится когда организация планирует произвести значительные изменения в ИС (например, в ходе обновления или модификации).
Поскольку унаследованность обозначает, что ИС уже используется и организацией уже производилась категоризация системы и выбор контролей безопасности, это выльется в корректировку подобранного ранее набора контролей, который уже должен присутствовать в согласованном плане по безопасности для
данной системы. |
42 |
|
Анализ может быть произведен следующим образом.
1.Производится подтверждение или же обновление значения критичности и уровней негативного влияния на ИС, исходя из информации, которая на настоящий момент обрабатывается, хранится или передается системой;
2.Осуществляется анализ существующего плана по безопасности, описывающего реализованные контроли безопасности. Берутся в расчёт любые изменения категорий безопасности, уровней негативного воздействия, а также другие изменения в организации, бизнеспроцессах, системах и среде функционирования. Повторная оценка рисков и плана по безопасности обязательны, также, как и документирование любых дополнительных контролей безопасности, которые должны быть реализованы для того, чтобы риски остались на приемлемом для организации уровне.
3.Производится реализация контролей, представленных в обновлённом плане по безопасности, а также документирование плана действий и ключевых моментов не реализованных контролей.
4.Также осуществляются шаги, представленные в цикле анализа управления рисками в той же манере, как это делается для вновь 43 разрабатываемых систем.
Документирование процесса выбора контролей
В рекомендации присутствует раздел, посвящённый вопросам документирования всех действия, осуществляемых в процессе работы с контролями безопасности. Конечно, американцы знатные бюрократы и, как и работники многих отечественных учреждений, любят подкреплять любую активность какой-нибудь бумажкой. Однако в этот раз речь идёт всё-таки о целесообразных вещах.
Итак, необходимо, чтобы все решения о выборе контролей сопровождались аргументацией принятого решения. Это необходимо для способствования успешному проведению последующих оценок потенциальных угроз активам организации. Итоговый набор контролей безопасности, включающий в себя любые ограничения относительно использования как отдельных информационных систем, так и их совокупности, должен быть отражен в соответствующем плане по безопасности. Необходимо обеспечить документирование любых значимых решений в рамках процесса управления рисками, для предоставления в дальнейшем ответственным лицам доступа к данной информации.
44
ФЗ от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Кто попадает под действие закона Субъекты КИИ:
•Госорганы
•Госучреждения
•Российские ЮЛ или ИП, обеспечивающие взаимодействие объектов КИИ
•Владеющие на праве собственности, аренды или на ином законном основании объектами КИИ, функционирующими в сферах:
–Здравоохранение
–Наука
–Транспорт
–Связь
–Энергетика
–Банковская сфера и иные сферы финансового рынка
–Атомная энергия
–Промышленность (оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая)
1