Раздел 3 Концепции безопасности и взаимосвязи

Воздействие

 

Воздействие - это результат инцидента информационной безопасности, вызванного угрозой и нанесшего ущерб ее активу. Результатом воздействия могут стать разрушение конкретного актива, повреждение ИТТ, нарушение их конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности. Непрямое воздействие может включать в себя финансовые потери, потерю доли рынка или репутации. Контроль за воздействием позволяет достичь равновесия между предполагаемыми последствиями инцидента и стоимостью защитных мер. Следует учитывать вероятность возникновения инцидента. Это особенно важно в тех случаях, когда ущерб при каждом возникновении инцидента невелик, но суммарный эффект накопившихся со временем инцидентов может быть существенным. Оценка воздействия является важным элементом оценки риска и выбора защитных мер.

3.6 Риск

Сценарий риска описывает, как определенная угроза или группа угроз могут использовать уязвимость или группу уязвимостей подверженного угрозе актива. Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием. Любое изменение активов, угроз, уязвимостей или защитных мер может оказать значительное влияние на риск. Раннее обнаружение или знание обо всех этих изменениях увеличивает возможности по принятию необходимых мер для обработки риска. Обработка риска включает в себя устранение, снижение, перенос и принятие риска.

Следует учитывать, что риск никогда не устраняется полностью. Принятие остаточного риска является частью заключения о соответствии уровня безопасности потребностям организации. Руководство организации должно быть поставлено в известность обо всех остаточных рисках, их опасных последствиях и вероятности возникновения инцидентов. Решение о принятии риска должно приниматься специалистами, имеющими право принимать решение о допустимости опасных последствий при возникновении инцидента и применении дополнительных мер защиты в случае, если уровень остаточного риска неприемлем.

 

Защитные меры

Защитные меры - это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов. Эффективная безопасность обычно требует комбинации различных защитных мер для обеспечения заданных уровней безопасности при защите активов.

3.8 Ограничения

 

Обычно ограничения устанавливает или признает руководство организации, а также определяет среда, в которой действует организация.

Пример - Такие ограничения могут включать в себя:

 

- организационные;

 

- коммерческие;

 

- финансовые;

 

- по окружающей среде;

 

- по персоналу;

 

- временные;

 

- правовые;

 

- технические;

 

- культурные/социальные.

 

Ограничения, присущие организации, должны учитываться при выборе и реализации защитных мер. Необходимо периодически пересматривать существующие и учитывать новые ограничения. Следует отметить, что ограничения могут со временем изменяться в зависимости от положения организации и изменения внешней среды. Внешняя среда, в которой действует организация, имеет отношение к нескольким компонентам безопасности, в частности к угрозам, рискам и защитным мерам.

Организационные аспекты безопасности информационно-телекоммуникационных технологий

 5.1 Служебные обязанности и ответственность

 

Обязательства

Для обеспечения безопасности активов организации должны существовать обязательства руководства организации в отношении обеспечения безопасности ИТТ. Дальше Обязательства руководства организации в отношении задач безопасности.

Следует пропагандировать цели безопасности во всей организации. Каждый сотрудник, работающий на постоянной основе или по контракту, должен знать о своих обязанностях, ответственности, о вкладе в безопасность ИТТ и ему должны быть предоставлены полномочия для их достижения.

Последовательный подход

 

Необходим последовательный подход ко всей деятельности по планированию, реализации и управлению безопасностью ИТТ. Безопасность должна быть обеспечена на протяжении всего жизненного цикла информации и ИТТ - от планирования до приобретения, тестирования и эксплуатации.

Область применения

Настоящий стандарт представляет собой руководство по управлению безопасностью сетями для персонала, ответственного за эту деятельность, и содержит основные положения по выявлению и анализу факторов, имеющих отношение к компонентам безопасности связи. Эти факторы следует учитывать при установлении требований по безопасности сети.

Термины и определения взяты из первой части.

Обозначения и сокращения

 

В настоящем стандарте применены следующие обозначения и сокращения:

EDI - электронный обмен данными;

IP - протокол Интернет;

ИТ - информационная технология;

ПК - персональный компьютер.

PIN - личный идентификационный номер;

SecOPs - защитные операционные процедуры.

Структура

Настоящий стандарт основан на следующем подходе: вначале проводится процесс идентификации и анализа факторов, влияющих на средства связи, в целях установления требований по сетевой безопасности, и затем определяются потенциальные контролируемые зоны.

Цель

Цель настоящего стандарта - дать руководство для идентификации и анализа факторов, относящихся к безопасности средств связи.

 

Общее представление

Предпосылка

Государственные и коммерческие организации в большой степени полагаются на использование информации при ведении своего бизнеса. Нарушение таких характеристик информации и услуг, как конфиденциальность, целостность, доступность, неотказуемость, подотчетность, аутентичность и достоверность, может иметь неблагоприятное воздействие на деловые операции и бизнес организации.

Процесс идентификации

 

При рассмотрении сетевых соединений всем ответственным специалистам организации следует четко представлять себе требования бизнеса и преимущества конкретных средств связи. Кроме того, специалисты и другие пользователи соединений должны быть осведомлены о рисках обеспечения безопасности и соответствующих контролируемых зонах сетевых соединений. В пункте перечислены задачи, которые необходимо решить, для того, чтобы идентифицировать заданные требования безопасности имеющие отношение к сети.  А так же изображен процесс идентификации и анализа факторов, относящихся к средствам связи и ведущих к установлению требований безопасности сети.

8 Анализ требований политики безопасности ИТ организации

Политика организации по безопасности ИТ включает в себя решения о необходимости обеспечения характеристик конфиденциальности, целостности, неотказуемости, подотчетности, аутентичности и достоверности передачи/приема сообщений, а также взгляды на типы угроз и требования безопасности, имеющие непосредственное отношение к сетевым соединениям.

Введение

Указанно, что идентифицируют при выполнении следующих последовательных этапов процесса подтверждения потенциальных контролируемых зон.

В процессе принятия решения о структурах сети и их применении необходимо рассматривать разные их аспекты, в том числе:

- типы сети;

- протоколы сети;

- применение сети.

Типы сети

Протоколы сети

Сетевые приложения

Дополнительное соображение

 

При анализе структуры сети и ее применения следует рассмотреть существующие сетевые входящие или исходящие соединения в пределах организации, а также сеть, с которой предлагается соединение.

Характеристики сети

Характеристики существующих или планируемых сетей следует регулярно пересматривать. Важно также знать тип данных, транспортируемых сетью. Целесообразна также информация о том, является ли сеть коммутируемой или обеспечивает связь с коммутацией пакетов сообщений. Следует также определить, является ли соединение постоянным или устанавливается по потребности.

Доверительные отношения.

Поскольку характеристики существующих или предложенных сетей уже идентифицированы и, как минимум, установлено, является ли сеть общей или частной, то необходимо идентифицировать связанные с ними доверительные отношения. Так же указаны характеристики доверительной среды, Идентификация доверительных отношений, Категории доверительных отношений,

Введение

Описывается порядок идентификации потенциальных контролируемых зон из раздела 13.

Введение

Ключевое требование обеспечения безопасности для конкретной сети заключается в том, что осуществляются действия по управлению безопасностью услуг, устанавливающие и контролирующие операции по безопасности и реализацию безопасности. Далее показан состав деятельности управления сетевыми соединениями.

Обработка инцидентов

Организация с сетевыми соединениями должна предусмотреть документированные и осуществимые схемы действий при обработке инцидентов, обладать соответствующей инфраструктурой, способной быстро реагировать по мере идентификации инцидентов, уменьшать их воздействие, а также извлекать уроки из непредвиденных ситуаций в целях предотвращения их повтора.

Введение

 

Организация должна обеспечивать безопасность услуг, предоставляемых сетью, и защиту связанной с ними информации путем ограничения доступа через соединения с авторизованным персоналом (внутри или за пределами организации). Эти требования распространяются не только на использование сетевых соединений.

Результаты аудита

 

Важно обеспечить эффективность безопасности сети через обнаружение, расследование и составление отчетов инцидентов безопасности. Следует записывать подробную информацию по результатам аудита ошибочных и адекватных событий, чтобы иметь возможность составлять тщательный анализ потенциальных и фактических инцидентов безопасности. Однако следует признать, что запись огромных объемов связанной с аудитом информации может затруднить проведение анализа и неблагоприятно повлиять на проведение аудита. Для этого необходимо определить период времени, в течение которого следует отслеживать действия пользователей в контрольном журнале.

Все результаты аудита следует защищать надлежащим образом.

Обнаружение вторжения

С увеличением числа соединений в сети облегчается проникновение в нее. Дальше следует перечисление причин. В пункте указаны пути снижения рисков потенциальных вторжений.

Виртуальные частные сети

 

Виртуальная частная сеть (VPN) является частной сетью, которая реализуется путем использования инфраструктуры уже существующих сетей. С точки зрения пользователей виртуальная частная сеть функционирует и предлагает частные функциональные возможности и услуги.

В виртуальной частной сети применяются криптографические методы обеспечения защиты функциональных возможностей и услуг, особенно в случае, если сеть, на которой построена VPN, является сетью общего пользования (например Интернет). Представлены примеры использования VPN.

Подготовка к распределению задач по выбору защитных мер, проектированию, реализации и техническому обслуживанию

Используя перечень потенциальных контролируемых зон и согласованную структуру безопасности, организация может начинать подготовку к планированию и распределению задач для детального выбора защитных мер обеспечения безопасности, а также к их проектированию, реализации и техническому обслуживанию.

Краткое изложение

 

Настоящий стандарт устанавливает руководящие указания по подсоединению системы информационных технологий организации к сетям.

 

 

Раздел 3 Концепции безопасности и взаимосвязи

В пункте 3.1 рассказывается, что для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:

 

- менеджмент риска - активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;

 

- обязательства - важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ;

 

- служебные обязанности и ответственность - руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала;

 

- цели, стратегии и политика - управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации;

 

- управление жизненным циклом - управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.

 

Ниже с позиций фундаментальных принципов безопасности приведено описание основных компонентов безопасности, вовлеченных в процесс управления безопасностью, и их связи. Приведены характеристики каждого компонента и указаны основные сопряженные с ним факторы.

 

В Пункт 3.2

Активы указан указ активов организации, то что организация должна идентифицировать свои активы для разработки и поддержки успешной программы по безопасности.

Степень детализации данной процедуры должна определяться отношением величины временных и финансовых затрат к ценности активов. Во всех случаях степень детализации должна быть установлена, исходя из целей безопасности.

Характеристики активов, которые необходимо рассмотреть, включают в себя следующие величины: ценность, чувствительность активов, и имеющиеся защитные меры. Наличие конкретных угроз уязвимости влияет на требования к защите активов. Внешние условия, социальная и правовая среда, в которых организация осуществляет свою деятельность, могут влиять на активы, их свойства и характеристики. Особенности в упомянутых условиях могут иметь существенное значение для международных организаций и трансконтинентального использования ИТТ.

Основываясь на определении угроз и уязвимостей и их комбинации, можно оценить риск и выбрать защитные меры и, тем самым, повысить безопасность активов. Далее необходимо оценивать остаточный риск для того, чтобы определить, адекватно ли защищены активы.

 

 

Пункт     3.3 Угрозы  Рассказывает,что

Активы подвержены многим видам угроз. Угроза обладает способностью наносить ущерб активам и, следовательно, организации в целом. Этот ущерб может возникать из-за атаки на информацию, обрабатываемую ИТТ, на саму систему или иные ресурсы, приводя, например, к их неавторизованному разрушению, раскрытию, модификации, порче, недоступности или потере. Ущерб активам может быть нанесен только при наличии у них уязвимости. Угрозы могут быть естественного происхождения или связаны с человеческим фактором. В последнем случае угрозы могут быть случайными или целенаправленными.

 

Угрозы могут быть также направлены на отдельные специфические части организации, например, на разрушение вычислительных средств. Некоторые угрозы могут быть общими для всей организации, например ущерб зданиям от урагана или молнии. Угроза может исходить как изнутри организации, например забастовка сотрудников, так и снаружи, например атаки хакеров или промышленный шпионаж. Размер ущерба от угрозы может варьироваться при каждом ее возникновении. Ущерб, наносимый нежелательным инцидентом, может быть временным или постоянным, как в случае разрушения актива.

 

Некоторые угрозы могут поражать не один вид актива. В этом случае угрозы могут наносить вред в зависимости от того, какие именно активы повреждены. Например, программный вирус на автономной персональной вычислительной машине может нанести ограниченный или локальный вред. Однако тот же программный вирус может оказать на сетевой сервер обширное воздействие.

Окружающие условия и социальная среда, в которых функционирует организация, могут иметь большое значение и существенно влиять на отношение к угрозам и активам. Некоторые угрозы в организациях могут вообще не рассматриваться. Когда речь идет об угрозах, необходимо учитывать влияние внешней среды.

При оценке уровень угрозы в зависимости от результата ее воздействия может быть определен как высокий, средний или низкий.

Пункт   3.4 Уязвимости

Слабость актива или нескольких видов активов, которые могут быть использованы одной или более угрозами, трактуется как уязвимость. Связанные с активами уязвимости включают в себя слабости физического носителя, организации, процедур, персонала, управления, администрирования, аппаратного/программного обеспечения или информации. Угрозы могут использовать уязвимости для нанесения ущерба ИТТ или целям бизнеса. Уязвимость может существовать и в отсутствие угрозы. Уязвимость сама по себе не причиняет ущерб, но это является только условием или набором условий, позволяющим угрозе воздействовать на активы. Следует рассматривать уязвимости, возникающие из различных источников, например внутренних и внешних по отношению к конкретному активу. Уязвимость может сохраняться, пока сам актив не изменится так, чтобы уязвимость уже не смогла проявиться. Уязвимость необходимо оценивать индивидуально и в совокупности, чтобы рассмотреть сложившуюся ситуацию в целом.

Примером уязвимости является отсутствие контроля доступа, которое может обусловить возникновение угрозы несанкционированного доступа и привести к утрате активов.

Оценка уязвимостей - это проверка слабостей, которые могут быть использованы существующими угрозами. Эта оценка должна учитывать окружающую среду и существующие защитные меры. Мерой уязвимости конкретной системы или актива по отношению к угрозе является степень того, с какой легкостью системе или активу может быть нанесен ущерб.

При оценке уровень уязвимости может быть определен как высокий, средний или низкий.

Воздействие

 

Воздействие - это результат инцидента информационной безопасности, вызванного угрозой и нанесшего ущерб ее активу. Результатом воздействия могут стать разрушение конкретного актива, повреждение ИТТ, нарушение их конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности. Непрямое воздействие может включать в себя финансовые потери, потерю доли рынка или репутации. Контроль за воздействием позволяет достичь равновесия между предполагаемыми последствиями инцидента и стоимостью защитных мер. Следует учитывать вероятность возникновения инцидента. Это особенно важно в тех случаях, когда ущерб при каждом возникновении инцидента невелик, но суммарный эффект накопившихся со временем инцидентов может быть существенным. Оценка воздействия является важным элементом оценки риска и выбора защитных мер.

3.6 Риск

Сценарий риска описывает, как определенная угроза или группа угроз могут использовать уязвимость или группу уязвимостей подверженного угрозе актива. Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием. Любое изменение активов, угроз, уязвимостей или защитных мер может оказать значительное влияние на риск. Раннее обнаружение или знание обо всех этих изменениях увеличивает возможности по принятию необходимых мер для обработки риска. Обработка риска включает в себя устранение, снижение, перенос и принятие риска.

Следует учитывать, что риск никогда не устраняется полностью. Принятие остаточного риска является частью заключения о соответствии уровня безопасности потребностям организации. Руководство организации должно быть поставлено в известность обо всех остаточных рисках, их опасных последствиях и вероятности возникновения инцидентов. Решение о принятии риска должно приниматься специалистами, имеющими право принимать решение о допустимости опасных последствий при возникновении инцидента и применении дополнительных мер защиты в случае, если уровень остаточного риска неприемлем.

 

Защитные меры

Защитные меры - это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов. Эффективная безопасность обычно требует комбинации различных защитных мер для обеспечения заданных уровней безопасности при защите активов.

3.8 Ограничения

 

Обычно ограничения устанавливает или признает руководство организации, а также определяет среда, в которой действует организация.

Пример - Такие ограничения могут включать в себя:

 

- организационные;

 

- коммерческие;

 

- финансовые;

 

- по окружающей среде;

 

- по персоналу;

 

- временные;

 

- правовые;

 

- технические;

 

- культурные/социальные.

 

Ограничения, присущие организации, должны учитываться при выборе и реализации защитных мер. Необходимо периодически пересматривать существующие и учитывать новые ограничения. Следует отметить, что ограничения могут со временем изменяться в зависимости от положения организации и изменения внешней среды. Внешняя среда, в которой действует организация, имеет отношение к нескольким компонентам безопасности, в частности к угрозам, рискам и защитным мерам.