Специальные защитные меры систем ИТ

В дополнение к обычно применяемым защитным мерам, должны быть выбраны специальные защитные меры для каждого типа компонента системы. Алгоритм выбора специальных защитных мер системы ИТ приведен в качестве примера в таблице 9.2. В этом примере знак " " обозначает защитные меры, которые должны быть применены в нормальных условиях, а "()" - защитные меры, которые могут потребоваться в особых случаях. Процесс выбора защитных мер должен быть продолжен путем рассмотрения их характеристик, представленных в 8.2. Дополнительная информация может быть получена из документов по базовой защите, перечисленных в приложениях А-Н.

 

Выбор защитных мер в соответствии с проблемами безопасности и угрозами

Выбор защитных мер в соответствии с проблемами и угрозами безопасности, изложенными в настоящем разделе, может быть использован следующим образом:

- на первом этапе должна быть проведена идентификация и оценка проблем безопасности. Организация должна рассмотреть требования по обеспечению конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности. Прочность защиты и число выбранных защитных мер должны соответствовать оценкам проблем обеспечения безопасности;

- на втором этапе для каждой из выявленных проблем безопасности должны быть перечислены типичные угрозы и для каждой угрозы в зависимости от рассматриваемой системы ИТ должны быть предложены соответствующие защитные меры. Различные типы систем ИТ приведены в 7.1, краткий перечень защитных мер приведен в подпунктах раздела 8. В некоторых случаях у организации могут возникнуть дополнительные потребности и цели при обеспечении безопасности.

 

Оценка проблем безопасности

Для выбора соответствующих эффективных защитных мер организация должна исследовать и оценить проблемы безопасности, связанные с коммерческой деятельностью, которую обслуживает рассматриваемая система ИТ. После идентификации проблем безопасности и с учетом соответствующих угроз можно выбирать защитные меры согласно 10.2-10.5.

Если подобная оценка покажет необходимость высокого уровня безопасности, то рекомендуется детальный подход к решению этой проблемы. Дополнительный материал можно найти в разделе 11.

Проблемы безопасности могут включать в себя потерю:

- конфиденциальности;

- целостности;

- доступности;

- подотчетности;

- аутентичности;

- достоверности.

Оценка должна включать в себя рассматриваемую систему ИТ, хранимую или обрабатываемую в ней информацию и коммерческие операции, которые она обеспечивает. На основе этого идентифицируются задачи выбираемых защитных мер. Различные части системы ИТ или хранимой и обрабатываемой информации могут иметь различные проблемы обеспечения безопасности. Важно напрямую соотнести проблемы безопасности с активами системы, так как это может повлиять на возможные угрозы и, как следствие, на выбор защитных мер.

Проблемы обеспечения безопасности могут быть оценены с позиции воздействия неисправностей или нарушений безопасности, которое может стать причиной серьезного или незначительного сбоя в коммерческих операциях, или не причинить никакого вреда. Например, если конфиденциальная информация организации обрабатывается в системе ИТ, то несанкционированное раскрытие этой информации конкуренту дает ему возможность сделать предложения по более низкой цене, нанося тем самым ущерб бизнесу организации. С другой стороны, если общедоступная информация обрабатывается в системе ИТ, то ее раскрытие не принесет никакого вреда. Рассмотрение возможных угроз (см. 10.2, 10.3) может помочь в выявлении проблем безопасности. Приведенные ниже оценки, должны быть сделаны отдельно для каждого актива системы, так как проблемы обеспечения безопасности для каждого актива могут быть различными. В случае, если проблемы безопасности достаточно изучены, то активы организации и соответствующие проблемы обеспечения безопасности могут быть сгруппированы.

Если система ИТ обрабатывает информацию более одного типа, то для различных типов информации может быть необходимо отдельное рассмотрение. Защита, которую в состоянии предоставить система ИТ, должна быть достаточной для всех типов обрабатываемой информации. Таким образом, если отдельная информация имеет высокий уровень проблем обеспечения безопасности, то вся система должна быть соответствующим образом защищена. В случае, если объем информации с высоким уровнем проблем безопасности небольшой, то должна быть рассмотрена возможность перевода этой информации в другую систему, если она совместима с бизнес-процессами организации.

В случае, если идентифицированы все возможные варианты потери конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности, способные причинить незначительный ущерб, то для рассматриваемой системы ИТ должен быть применен подход начиная от пункта 10.2 и далее по тексту настоящего стандарта. В случае, если любая из идентифицированных выше потерь способна причинить серьезный ущерб организации, должна быть проведена оценка необходимости выбора защитных мер, предложенных дополнительной 10.2-10.5. Предложения по более подробным оценкам и выбору защитных мер на основе результатов этих оценок приведены в ИСО/МЭК ТО 13335-3 и разделе 11 настоящего стандарта. Тем не менее в качестве базовых для более точного выбора защитных мер, должны рассматриваться защитные меры, предложенные в 10.2.

Потеря конфиденциальности

Организация должна рассмотреть возможный ущерб при потере конфиденциальности определенного актива(ов) (преднамеренно или случайно). Например, потеря конфиденциальности может привести к:

- потере общественного доверия или снижению ее имиджа в обществе;

- ответственности перед законом, включая ответственность за нарушение законодательства в области защиты данных;

- отрицательному влиянию на политику организации;

- созданию угрозы безопасности персонала;

- финансовым потерям.

Рассмотрев вышеперечисленные возможные виды потери конфиденциальности, организация должна принять решение о том, будет ли общий ущерб от потери конфиденциальности серьезным, незначительным или не будет никакого ущерба. Принятое решение должно быть документировано.

Потеря целостности

Организация должна рассмотреть возможный ущерб при потере целостности определенного актива(ов) (преднамеренно или случайно). Например, потеря целостности может привести к следующим последствиям:

- принятию неправильных решений;

- обману;

- прерыванию коммерческих операций организации;

- потере общественного доверия или снижению общественного имиджа организации;

- финансовым потерям;

- ответственности перед законом, включая ответственность за нарушение законодательства в области защиты данных.

Рассмотрев вышеперечисленные последствия потери целостности, организация должна принять решение о том, будет ли общий ущерб от потери целостности серьезным, незначительным или не будет никакого ущерба. Принятое решение должно быть задокументировано.