OIBD

потенційних сфер застосування засобів захисту наводять короткий вступний опис.

Міжнародні стандарти, які використовуються у держааі, але не стандартизовані в Україні. До них відносяться:

Глава 16. Міжнародні стандарти щодо забезпечення інформаційної безпеки

Міжнародний стандарт ISO/IEС 18028 (27033)

Призначення ISO/IEC 18028 (27033) полягає в тому, щоб надати докладні рекомендації з аспектів безпеки менеджменту, функіонування та використання мереж інформаційних систем і їх сполук. Особи, відповідальні за забезпечення в організації інформаційної безпеки в цілому і мережевої безпеки зокрема, повинні бути здатні адаптувати матеріал, теперішнього стандарту для відповідності своїм конкретним вимогам. Основними цілями частин стандарту

ISO/IEC 27033 є:

-Для ІСО/ІЕС 27033-1 «Огляд і концепція» - визначення та опис концепцій, пов'язаних з мережевою безпекою, і надання рекомендацій з менеджменту мережевої безпеки. Стандарт містить загальний огляд мережевої безпеки та пов'язані з нею визначення, рекомендації щодо ідентифікації та аналізу ризиків мережевої безпеки, і, крім того, визначення вимог мережевої безпеки. Він також знайомить з тим, як досягати високої якості спеціалізованої архітектури безпеки, а також з аспектами ризику, проектування, аспектами заходів і засобів контролю та управління, пов'язаними з типовими мережевими сценаріями і областями мережевих «технологій» (які докладно розглядаються в наступних частинах стандарту ISO/IEC 27033);

-Для ІСО/ІЕС 27033-2 «Рекомендації з проектування та реалізації безпеки» - визначення того, яким чином організації повинні домагатися необхідної якості спеціалізованої архітектури мережевої безпеки, проектування та реалізації, які забезпечать упевненість мережевої безпеки, відповідної середовищу діяльності, використовуючи при необхідності послідовний підхід до планування, проектування та реалізації мережевої безпеки із застосуванням моделей/систем (у даному контексті терміни «модель/система» використовуються для формулювання в загальних рисах подання або опису, що показує структуру і високорівневу діяльність деякого виду спеціалізованої архітектури/проекту безпеки). Даний стандарт призначений для всього персоналу, залученого в планування, проектування і реалізацію аспектів архітектури мережевої безпеки (наприклад, для проектувальників і розробників

151

мережевої архітектури, мережевих менеджерів і співробітників, відповідальних за мережеву безпеку),

- Для ІСО/ІЕС 27033-3 Ризики, методи проектування і питання, що стосуються заходів і засобів контролю та управління для типових, мережевих сценаріїв - визначення конкретних ризиків, методів проектування і питань, що стосуються заходів і засобів контролю та управління, пов'язаних з типовими мережевими сценаріями. Даний стандарт призначений для персоналу, залученого в планування, проектування і реалізацію аспектів архітектури мережевої безпеки (наприклад, для проектувальників і розробників стільникового архітектури, мережевих менеджерів і співробітників, відповіповідальних за мережеву безпеку}.

Передбачається, що наступні частини ISO/IEC 27033 розглядатимуть: ISO/IEC 27033-4 «Ризики, методи проектування і питання, що стосуються

заходів і засобів контролю та управління та забезпечення безпеки передачі інформації між мережами з використанням стандартів.

ГОСТ ІСО/ІЕС 27033-1-2011

Даний стандарт буде представляти інтерес для всього персоналу, залученого в детальне планування, проектування і реалізацій шлюзів безпеки (наприклад, для проектувальників і розробників мережевий архитектури, мережевих менеджерів і співробітників, відповідальні за мережеву безпеку);

ІСО (ІЕС 27033-5 «Ризики, методи проектування і питання, що стосуються заходів і засобів контролю і управління для забезпечення безпеки віртуальних «мереж» - визначення конкретних ризиків, методів проектування і питань, що стосуються заходів і засобів контролю та управління для забезпечення безпеки з'єднань, встановлених з використанням VPN. Даний стандарт буде представляти інтерес для всього персоналу, залученого в детальне планування, проектування і реалізацію боеопасності віртуальних приватних мереж (наприклад, для проектувальників і розробників мережевої архітектури, мережі в їх менеджерів і співробітників, відповідальних за мережеву безпеку);

ISO/IEC 27033-6 - визначення конкретних ризиків, методів проектування питань, що стосуються заходів і засобів контролю та управління для забезпечення безпеки мереж з iP-конвергенцією, т. з. з конвергенцією даних, мови і відео. Даний стандарт буде представляти інтерес для всього персонала, залученого в детальне планування, проектування і реалізацію безпеки мереж з IP-конвергенцією (наприклад, для проектувальників і розробників мережевої

152

архітектури. Мережевих менеджерів і співробітників, відповідальних за мережеву безпеку);

ISO/IEC 27033-7 - визначення конкретних ризиків, методів проектування і питань, що стосуються заходів і засобів контролю та управління, для забезпечення боеопасності бездротових мереж і радіомереж. Даний стандарт буде представляти інтерес для всього персоналу, залученого в детальне планування, проектування і реалізацію безпеки бездротових мереж і радіомереж {наприклад, для проектувальників і розробників мережевої архітектури, мережевих менеджерів і співробітників, відповідальних за мережеву безпеку).

Слід підкреслити, що ISO / IEC 27033 надає додаткові деталізовані рекомендації з реалізації заходів і засобів контролю та управління мережевою безпекою, визначених у базовому стандарті ISO / IEC 27002.

Якщо у майбутньому будуть з'являться інші частини стандарту, він і може становити інтерес для всього персоналу. залученого в детальне планування, проектування і реалізацію мережевих аспектів, охоплених цими частинами (наприклад, для проектувальників і розробників мережевої архітектури, мережевих менеджерів і співробітників, відповідальних за мережеву безпеку).

Слід зазначити, що справжній стандарт не є довідковим або нормативним документом для регулюючих та законодавчих вимог безпеки. Хоча в ньому підкреслюється важливість вплив факторів, які не можуть бути сформульовані конкретно, тому що залежать від країни, виду основної діяльності і т. д.

Структура даного стандарту включає в себе:

-Огляд підходу до забезпечення мережевої безпеки (см. розділ 6);

-Короткий виклад процесу ідентифікації ризиків, пов'язаних з мережами, та підготовки до идентифікації заходів і засобів контролю та управління безпекою, т. з. встановлення вимог мережевої безпеки (див. Розділ 7);

-Огляд заходів і засобів контролю та управління, що підтримують спеціалізовані архитектури мережевої безпеки та пов'язані з ними технічні заходи і засоби контролю і управління, тобто огляд інших заходів і засобів контролю та управління (технічних і нетехнічсскіх}, які застосовні не тільки до мереж (див. розділ 8). Представляються відповідні посилання на ІСО 27001,

ІСО 27002 та ISO/IEC 27005;

-Ознайомлення з можливостями спеціалізованих архітектур безпеки, які забезпечуватимуть мережеву безпеку, відповідну середовищі основної діяльності організацій, застосовуючи послідовний підхід до планування і

153

проектування мережевої безпеки з використанням при необхідності моделей (см . розділ 9);

-Знайомство з конкретними ризиками, методами проектування і питаннями, що стосуються заходів і засобів контролю та управління, пов'язаними з типовими мережевими сценаріями (тобто введення до змісту ІСО 27033-3) (див. розділ 10);

-Знайомство з конкретними ризиками, методами проектування і питаннями, що стосуються заходів і засобів контролю та управління для мережевої «технології» (т. в. Введення до частин 4-7 ІСО27033 і до інших частин ISO / IEC 27033, поява яких можливе в майбутньому) (див. розділ 11 і додаток А);

-Короткий виклад питань, пов'язаних з розробкою, реалізацією і тестуванням комплексу програмних і технічних засобів і послуг із забезпечення мережевої безпеки (див. розділ 12), експлуатації комплексу програмних і технічних засобів і послуг із забезпечення мережевої безпеки (див. розділ 13) і постійним моніторингом та перевіркою реалізації мережевої безпеки (див. Розділ 14);

-Таблицю, що містить перехресні посилання між розділами ІСО27001, ІСО27002 і розділами цього стандарту, де розглядаються заходи і засоби контролю і управління, пов’язані з мережевою безпекою (див. додаток В).

Міжнародний стандарт ISO/IEС 18043

ISO / IEC 18043:2006 Інформаційні технології. Методи захисту. Вибір, застосування та операції систем виявлення вторгнення.

Міжнародна організація по стандартизації (ISO) і Міжнародна електротехнічна комісія (IEC) створили спеціалізовану систему всесвітньої стандартизації. Національні організації, які є комітетами-членами ISO або IEC, беруть участь у розробці міжнародних стандартів через технічні комітети, засновані відповідною організацією для того, щоб займатися окремими областями технічної діяльності. Технічні комітети ISO і IEC співпрацюють у галузях, що становлять взаємний інтерес. Інші урядові та неурядові міжнародні організації, які співпрацюють з ISO і IEC, також беруть участь у цій роботі. В області інформаційної технології ISO і IEC заснували Спільний Технічний комітет ISO / IEC JTC1. Проекти міжнародних стандартів розробляються згідно з правилами, наведеними в Директивах ISO / IEC, Частина 2. Основним завданням технічних комітетів є підготовка міжнародних стандартів. Проекти міжнародних стандартів, прийняті технічними комітетами, розсилаються комітетам-членам на голосування. Для публікації в якості міжнародного

154

стандарту потрібно схвалення не менше 75% комітетів-членів, які взяли участь у голосуванні. Слід мати на увазі, що, можливо, деякі елементи цього документа можуть бать об'єктом патентних прав. ISO не несе відповідальність за визначення деяких чи всіх цих патентних прав.

ISO / IEC 18043 підготовлений Спільним Технічним комітетом ISO / IEC JTC1, Інформаційні технології, Підкомітетом SC 27, Методи захисту в Інформаційних технологіях.

Організації повинні не тільки знати коли, де і як відбулося вторгнення в їхню мережу, систему або додаток, вони також повинні знати яке слабке місце було використано і які заходи безпеки або відповідні опції обробки ризиків (тобто перенесення ризику, прийнятна ступінь ризику, виключення ризику) повинні бути реалізовані, щоб запобігти подібне вторгнення в майбутньому. Організації повинні також розпізнавати і відображати кібернетичні проникнення. Це вимагає аналізу хост і мережевого трафіку і / або контрольного сліду для сигнатур атаки або специфічного шаблону, які зазвичай вказують зловмисні чи підозрілі наміри.

У середині 1990 років організації почали використовувати системи виявлення вторгнень (IDS) для здійснення цих потреб. Загальне застосування IDS продовжує розширюватися з більш широким набором продуктів IDS, які стали доступні для задоволення зростаючого рівня запитавши організацій в підвищених можливостях виявлення вторгнення.

Для організації в порядку речей витягувати максимальні вигоди від IDS, тому процес вибору IDS, введення в дію та операції повинні ретельно плануватися і реалізовуватися належним чином підготовленим і досвідченим персоналом. У випадку, коли цей процес успішно виконується, продукти IDS можуть допомогти організації отримати інформацію про вторгнення і можуть використовуватися як важливе запобіжний засіб у загальній інфраструктурі інформаційної та комунікаційної технології (ICT).

Даний міжнародний стандарт забезпечує керівні принципи для ефективного вибору IDS, введення в дію та експлуатацію, а також основні відомості про IDS. Він також придатний для тих. організацій, які розглядають залучення співвиконавців для реалізації можливостей виявлення вторгнення. Інформацію за угодами на рівні послуг зовнішніх співвиконавців можна знайти в процесах Менеджменту послуг в Інформаційних технологіях (ITSM) на базі

ISO / IEC 20000.

Область застосування

155

У даному міжнародному стандарті передбачаються керівні принципи для допомоги організаціям у використанні системи виявлення вторгнень (IDS). Зокрема, в стандарті звертається увага на вибір, застосування та операції IDS. Він також містить додаткову інформацію, на підставі якої ці керівні принципи були отримані. Даний міжнародний стандарт може бути корисний:

a) організації в задоволенні таких вимог ISO / IEC 27001:

-Організація повинна реалізувати процедури та інші керуючі впливи, здатні до

швидкому виявленню і відповідних діям при інцидентах захисту.

-Організація повинна виконувати процедури моніторингу і аналізу та інші керуючі

впливу для належного розпізнавання невдалих і успішних порушень захисту і

інцидентів.

b) організації в реалізації засобів управління, які задовольняють наступним цілям захисту ISO / IEC 17799.

-Виявити несанкціоновані дії при обробці інформації.

-Системи повинні відслідковуватися, і події інформаційної безпеки повинні реєструватися. Повинні використовуватися операторські журнали реєстрації і журнали реєстрації несправностей для ідентифікації проблем інформаційної системи ..

-Організація повинна дотримуватися всі відповідні юридичні вимоги, застосовні до дій з моніторингу та реєстрації.

-Повинен використовуватися моніторинг системи для перевірки ефективності прийнятих засобів управління і перевірки відповідності моделі стратегії доступу.

Організація повинна визнати, що використання IDS не є єдиним і / або вичерпним вирішенням для задоволення та відповідності вищеназваним вимогам. Більш того, даний міжнародний стандарт не призначений бути критерієм для оцінок відповідності будь-якого виду, наприклад, для сертифікації як Системи Менеджменту Захисту Інформації (ISMS), сертифікації продуктів і послуг IDS.

Міжнародний стандарт ISO/IEС 18044

ISO / IEC TR 18044:2004 Інформаційна технологія Методи і засоби забезпечення безпеки МЕНЕДЖМЕНТ інцидентами інформаційної безпеки.

Типові політики інформаційної безпеки або захисні заходи інформаційної безпеки (ІБ) не можуть повністю гарантувати захист інформації, інформаційних

156

систем, сервісів чи мереж. Після впровадження захисних заходів, ймовірно, залишаться слабкі місця, які можуть зробити забезпечення інформаційної безпеки неефективним, і, отже, інциденти інформаційної безпеки - можливими. Інциденти інформаційної безпеки можуть надавати пряме чи непряме негативний вплив на бізнес-діяльність організації. Крім того, будуть неминуче виявлятися нові, раніше не ідентифіковані загрози. Недостатня підготовка конкретної організації до обробки таких інцидентів робить практичну реакцію на інциденти малоефективною, і це потенційно збільшує ступінь негативного впливу на бізнес. Таким чином, для будь-якої організації, серйозно відноситься до інформаційної безпеки, важливо приміняти структурний і плановий підхід до:

-Виявлення, оповіщення про інциденти інформаційної безпеки та їх оцінкою;

-Реагування на інциденти інформаційної безпеки, включаючи активізацію відповідних захисних заходів для запобігання, зменшення наслідків та (або) відновлення після негативних впливів (наприклад, в областях підтримки і планування безперервності бізнесу);

-Витяганню уроків з інцидентів інформаційної безпеки, введенню превентивних захисних заходів і поліпшенню загального підходу до менеджменту інцидентів інформаційної безпеки.

Положення цього стандарту містять уявлення про менеджмент інцидентів інфор ¬ маційно безпеки в організації з урахуванням сформованої практики на міжнародному рівні.

Цей стандарт призначений для використання організаціями усіх сфер діяльності при забезпеченні інформаційної безпеки в процесі менеджменту інцидентів. Його положення можуть використовуватися спільно з іншими стандартами, в тому числі стандартами, що містять вимоги до системи менеджменту інформаційної безпеки та системі менеджменту якості організації

Вцьому стандарті використані посилання на наступні міжнародні стандарти: ISO / IEC 13335-1:2004 Інформаційна технологія-Методи забезпечення

безпеки - Управління безпекою інформаційних і телекомунікаційних технологій-Частина 1 - Концепція і моделі управління безпекою інформаційних і телекомунікаційних технологій

ISO / IEC 17799:2000 Інформаційна технологія-Практичні правила управління інформаційної безпекою

157

В якості основи загальної стратегії ІБ організації необхідно використовувати структурний підхід до менеджменту інцидентів ІБ. Цілями такого підходу є забезпечення таких умов:

-Події ІБ повинні бути виявлені і ефективно оброблені, зокрема, визначені як відносяться або не відносяться до інцидентів ІБ;

-Ідентифіковані інциденти ІБ повинні бути оцінені, і реагування на них має бути здійснено найбільш доцільним і результативним способом;

-Впливу інцидентів ІБ на організацію та її бізнес-операції необхідно мінімізувати відповідними захисними заходами, що є частиною процесу реагування на інцидент, іноді поряд із застосуванням відповідних елементів плану (ів) забезпечення безперервності бізнесу;

-З інцидентів ІБ і їх менеджменту необхідно швидко витягти уроки. Це робиться з метою покращення шансів запобігання інцидентів ІБ в майбутньому, поліпшення впровадження і використання захисних заходів ІБ, поліпшення загальної системи менеджменту інцидентів ІБ.

Для досягнення цілей менеджмент інцидентів ІБ поділяють на чотири окремих етапи:

1) планування і підготовка;

2) використання;

3) аналіз;

4) поліпшення.

Будь-яка організація, що використовує структурний підхід до менеджменту інцидентів ІБ, може витягти з нього значні переваги, які можна об'єднати в такі групи:

-Поліпшення ІБ;

-Зниження негативних впливів на бізнес, наприклад, переривання бізнесу

іфінансові збитки як наслідки інцидентів ІБ;

-Посилення уваги до питань запобігання інцидентів;

-Посилення уваги до встановлення пріоритетів і збору доказів;

-Внесок в обгрунтування бюджету та ресурсів;

-Оновлення результатів менеджменту та аналізу ризиків на більш високому рівні;

-Надання матеріалу для програм підвищення обізнаності і навчання в області ІБ;

-Надання вхідних даних для аналізу політики ІБ та відповідної документації.

Кожне з цих переваг розглядається нижче.

158

Наявність зворотного зв'язку, по якій надходить інформація про те, як здійснюється менеджмент інцидентів ІБ, допомагає зберігати націленість дій персоналу на боротьбу з реальними ризиками для систем, сервісів і мереж організації. Ця важлива зворотний зв'язок не може бути ефективно реалізована через процес реагування на інциденти ІБ, оскільки інциденти ІБ відбуваються нерегулярно. Зворотній зв'язок може бути більш результативною за наявності структурованої, добре продуманої системи менеджменту інцидентів ІБ, що застосовує загальну структуру для всіх підрозділень організації. Дана загальна структура повинна безперервно забезпечувати отримання від системи як можна більш повних результатів і представляти собою надійну основу для швидкого визначення можливих умов виникнення інциденту ІБ до його появи, а також видавати відповідні сигнали оповіщення.

Менеджмент і аудит системи менеджменту ІБ забезпечують основу довіри, необхідного для розширення спільної роботи з персоналом і зниження недовіри щодо збереження анонімності, безпеки і доступності корисних результатів. Наприклад, керівництво і персонал організації повинні бути впевнені в тому, що сигнали оповіщення дадуть своєчасну, точну і повну інформацію щодо очікуваного інциденту.

При впровадженні систем менеджменту інцидентів ІБ організаціям слід уникати таких потенціальних проблем, як відсутність позитивних результатів і занепокоєння з приводу питань, связаних з проблемами недоторканності персональних даних. Необхідно переконати зацікавлені сторони в тому, що для запобігання появи вищезгаданих проблем були зроблені певні кроки.

Таким чином, для побудови оптимальної системи менеджменту інцидентів ІБ потрібно роздивитися ряд ключових питань, включаючи:

-Зобов'язання керівництва;

-Обізнаність;

-Правові та нормативні аспекти;

-Експлуатаційну ефективність і якість;

-Анонімність;

-Конфіденційність;

-Незалежність діяльності ГРІІБ;

-Типологію.

Міжнародний стандарт ISO/IEС 18045

Міжнародний стандарт ISO/IEC 18045:2005 підготовлений Спільним технічним комітетам ІСО. 'МЕКСТК 1’ «Інформаційні технології», підкомітет ПК 27 «Методи і спорідненості забезпечення безпеки VIT». Ідентичний

159

ІСОУМЕК13045: 2005 текст опублікований організаціями - спонсорами проекту «Загальні крітеріі» як« Загальна методологія оцінки безпеки інформаційних технологій», версія 2.3.

Методологія оцінки безпеки інформаційних технологій (ВТУ представлена в Настаящому стандарті, ідентичному ISO/IEC 18045.2005, обмежена оцінками для оціночних рівнів довіри (ОРД) ОРД1 - ОРД4, визначених у ISO/IEC 15403:2005. Це забезпечує керівництво для оцінки по ОРД 5-7, а також для оцінок, що використовують інші пакети довіри.

Потенційні користувачі цього стандарту - перш за все оцінювачі, що застосовують ISO/IEC 15400, і органи по сертифікації, що підтверджують дії оцінювача, заявника оцінки, разробника, автора профілів захисту (ПЗ) і завдань по безпеці (ЗБ) та інші сторони, зацікавлені в безпеці ІТ.

Цим стандартом визнано, що не на всі питання оцінки безпеки ІТ можна знайти в ньому відповіді і що подальші інтерпретації будуть необхідні. У конкретних системах оцінки має бути вирішено, як поводитися з такими інтерпретаціями, хоча вони можуть бути підпорядковані угодами про взаємне визнання. Список пов'язаних з методологією питань, які можуть бути визначені в конкретній системі оцінки, наведений у додатку А.

Структура стандарту

Розділ 6 визначає угоди, що використовуються в цьому стандарті.

Урозділі 7 описані загальні завдання оцінки без визначення вердиктів, пов'язаних з ними, оскільки ці завдання не відображаються на елементи дій оцінювача з ISO/IEC 15403-3.

Розділ 8 визначає оцінку профілю захисту. Розділ 9 визначає оцінку завдання з безпеки.

Урозділах 10-13 визначені мінімальні зусилля з оцінки, необхідні для успішного виконання оцінки по ОРД1-ОРД4 та надано керівництво по способам і засобам виконання оцінки. Розділ 14 визначає види діяльності з оцінки усунення недоліків.

Додаток А охоплює базові методи оцінки, які використовуються для надання технічних свідоцтв результатів.

Міжнародний стандарт ISO/IEС 17799-2000

Стандарт ISO/IEС 17799-2000 визначає практичні правила керування інформаційною безпекою.У ведені в цьому документі представлені основні цілі, що переслідуються при керування процесом управління безпекою організації.

160