Интегрирование безопасности информационно-телекоммуникационных технологий

 

Деятельность по безопасности более эффективна, если в рамках организации она осуществляется единообразно и с начала жизненного цикла системы ИТТ.

Жизненный цикл системы ИТТ может быть разделен на четыре основные фазы. Каждая из этих фаз связана с безопасностью ИТТ следующим образом:

 

- планирование - потребности безопасности ИТТ должны быть учтены при планировании и в процессе принятия решений;

 

- приобретение - требования безопасности ИТТ должны быть включены в процессы конструирования, разработки, закупки, модернизации систем ИТТ. Интеграция требований безопасности в указанную деятельность гарантирует, что рентабельные средства и меры, относящиеся к сфере безопасности, будут своевременно реализованы в данной системе;

 

- тестирование - тестирование системы ИТТ должно включать в себя тестирование компонентов, свойств и обслуживания безопасности ИТТ. Новые или измененные компоненты безопасности должны тестироваться отдельно с тем, чтобы подтвердить, что они функционируют должным образом, а далее, в операционном окружении, - для подтверждения того, что их интеграция в систему ИТТ не нарушит характеристик качества или свойств безопасности. В течение всех стадий жизненного цикла системы должно быть запланировано ее периодическое тестирование;

 

- эксплуатация - безопасность ИТТ должна быть интегрирована в операционную среду. Поскольку систему ИТТ используют для выполнения определенных функций, она должна поддерживаться в рабочем состоянии и, как правило, подвергаться серии модернизаций, включающих в себя закупку новых компонентов технических средств, а также модификации или дополнению программного обеспечения. К тому же она подвержена частым изменениям операционной среды. Эти изменения могут создать новые уязвимости системы, которые должны быть проанализированы и оценены и либо снижены, либо приняты. Столь же важны безопасная замена или переподчинение систем.

И так же показана взаимосвязь этих фаз с безопасностью ИТТ.

6 Функции управления безопасностью информационно-телекоммуникационными технологиями

6.1 Общие вопросы

Раскрыта взаимосвязь управления безопасностью ИТТ с видами деятельности внутри организации.

6.2 Внешние условия

При управлении функциональной деятельностью в области безопасности необходимо учитывать внешнюю среду, в которой действует организация, поскольку она может оказывать значительное влияние на общий подход к организации информационной безопасности.

6.3 Управление рисками

 

Процесс управления рисками должен быть непрерывным. В новых системах и в системах, находящихся на стадии планирования, управление рисками должно быть частью процесса конструирования и разработки. В уже существующих системах управление рисками должно осуществляться в любой подходящий момент.

 

Пятая часть Руководство по менеджменту безопасности сети.

 

Область применения

Настоящий стандарт представляет собой руководство по управлению безопасностью сетями для персонала, ответственного за эту деятельность, и содержит основные положения по выявлению и анализу факторов, имеющих отношение к компонентам безопасности связи. Эти факторы следует учитывать при установлении требований по безопасности сети.

Термины и определения взяты из первой части.

Обозначения и сокращения

 

В настоящем стандарте применены следующие обозначения и сокращения:

EDI - электронный обмен данными;

IP - протокол Интернет;

ИТ - информационная технология;

ПК - персональный компьютер.

PIN - личный идентификационный номер;

SecOPs - защитные операционные процедуры.

Структура

Настоящий стандарт основан на следующем подходе: вначале проводится процесс идентификации и анализа факторов, влияющих на средства связи, в целях установления требований по сетевой безопасности, и затем определяются потенциальные контролируемые зоны.

Цель

Цель настоящего стандарта - дать руководство для идентификации и анализа факторов, относящихся к безопасности средств связи.

 

Общее представление

Предпосылка

Государственные и коммерческие организации в большой степени полагаются на использование информации при ведении своего бизнеса. Нарушение таких характеристик информации и услуг, как конфиденциальность, целостность, доступность, неотказуемость, подотчетность, аутентичность и достоверность, может иметь неблагоприятное воздействие на деловые операции и бизнес организации.

Процесс идентификации

 

При рассмотрении сетевых соединений всем ответственным специалистам организации следует четко представлять себе требования бизнеса и преимущества конкретных средств связи. Кроме того, специалисты и другие пользователи соединений должны быть осведомлены о рисках обеспечения безопасности и соответствующих контролируемых зонах сетевых соединений. В пункте перечислены задачи, которые необходимо решить, для того, чтобы идентифицировать заданные требования безопасности имеющие отношение к сети.  А так же изображен процесс идентификации и анализа факторов, относящихся к средствам связи и ведущих к установлению требований безопасности сети.

8 Анализ требований политики безопасности ИТ организации

Политика организации по безопасности ИТ включает в себя решения о необходимости обеспечения характеристик конфиденциальности, целостности, неотказуемости, подотчетности, аутентичности и достоверности передачи/приема сообщений, а также взгляды на типы угроз и требования безопасности, имеющие непосредственное отношение к сетевым соединениям.