Несанкционированный доступ в места хранения носителей информации

Несанкционированный доступ к местам хранения носителей информации может подвергать опасности доступность информации, так как в этом случае возможно несанкционированное уничтожение информации, записанной на этих носителях. Защитные меры в этой области включают в себя:

- эксплуатационные вопросы.

Организация может управлять носителями информации, например, для физической защиты и подотчетности носителей информации для того, чтобы не допустить несанкционированный доступ к информации, записанной на этих носителях (см.8.1.5). Особое внимание должно уделяться защите легко снимаемых носителей информации, например дискет, магнитных лент с записями резервных копий и бумажных носителей;

- физическую безопасность.

Соответствующая защита помещений (прочные стены и окна, а также физическое управление доступом) и офисное оборудование могут защитить от несанкционированного доступа (см. 8.1.7).

Ошибка пользователя

Ошибка пользователя может нарушить доступность информации. Защитные меры в этой области включают в себя:

- осведомленность в вопросах безопасности и обучение.

Организация должна провести соответствующее обучение всех пользователей для того, чтобы они не допускали ошибок при обработке информации (см. 8.1.4). В программу обучения должно быть включено обучение определенным методикам для специальных действий, например процедурам по эксплуатации или обеспечению безопасности;

- резервные копии.

Резервные копии, например, предыдущее поколение программного обеспечения, могут быть использованы для восстановления информации, поврежденной в результате ошибок пользователя (см. 8.1.6).

 

Защитные меры для подотчетности, аутентичности и достоверности

Область применения подотчетности, аутентичности и достоверности широко различается в разных доменах. Эти различия подразумевают возможное применение множества разных защитных мер. Поэтому для них могут быть приведены только общие рекомендации.

Защитные меры, перечисленные в 8.1, предоставляют общую защиту, т.е. они направлены на ряд угроз и обеспечивают защиту путем поддержки общего эффективного управления безопасностью ИТ. Настоящий подраздел их не содержит, но влияние этих мер не следует приуменьшать и они также подлежат реализации для обеспечения общей эффективной безопасности.

Подотчетность

При защите подотчетности должна учитываться любая угроза, которая может привести к выполнению действий, не свойственных рассматриваемому объекту или субъекту. Ниже приведены примеры некоторых подобных угроз:

- коллективное пользование учетными записями;

- отсутствие возможности оперативного контроля действий;

- имитация законного пользователя;

- сбой программного обеспечения;

- несанкционированный доступ к компьютеру, данным, услугам и приложениям;

- неудовлетворительная аутентификация.

Существуют два типа подотчетности, которые должны быть приняты во внимание. Первый тип связан с идентификацией пользователя, подотчетного за определенные действия с информацией и системами ИТ. Контрольные журналы регистрации предоставляют такую подотчетность. Второй - касается подотчетности между пользователями в системе. Это может быть достигнуто путем применения услуг по обнаружению неотказуемости, дробления знаний или двойного контроля.

Многие защитные меры могут внести вклад в улучшение подотчетности, начиная от политики обеспечения безопасности, логического управления и аудита доступа и до внедрения одноразовых паролей и средств управления носителями информации. Реализация политики в области владения информацией является предпосылкой для обеспечения подотчетности. Выбор специальных защитных мер будет зависеть от специфики использования подотчетности в пределах домена.

Аутентичность

Доверие к аутентичности может быть снижено любой угрозой, которая заставляет человека, систему или процесс усомниться в том, что объект является тем, что он представляет из себя. Примерами возникновения такой ситуации является изменение данных без надлежащего контроля, происхождение непроверенных или неподдерживаемых данных.

Многие защитные меры могут внести свой вклад в улучшение аутентичности, начиная от использования утвержденных справочных данных, логического управления и аудита доступа и до цифровых подписей. Выбор специальных защитных мер зависит от специфики использования аутентичности в пределах данной области.

Достоверность

Любая угроза, которая может привести к непоследовательному поведению систем или процессов, приводит к снижению достоверности. Примерами таких угроз являются нелогичное функционирование системы и ненадежные поставщики. Снижение достоверности приводит к плохому обслуживанию потребителей и потере их доверия.

Многие защитные меры могут внести свой вклад в усиление достоверности, начиная от планов непрерывности бизнеса, внедрения резервирования в физическую структуру и техническое обслуживание системы и до идентификации, аутентификации, логического управления и аудита доступа. Выбор специальных защитных мер будет зависеть от специфики выбора показателей достоверности в пределах данной области.

 

Выбор защитных мер согласно детальным оценкам

Выбор защитных мер согласно детальным оценкам основывается на тех же принципах, которые применялись в предыдущих разделах. Проведение детального анализа риска позволяет учесть специальные требования и обстоятельства систем ИТ и их активы. Отличие от предыдущих разделов заключается в уровне усилий и детализации процесса оценивания. Поэтому, возможно квалифицированное обоснование выбранных защитных мер. Подраздел 11.1 настоящего стандарта направлен на то, чтобы использовать положения о методах анализа риска, установленные в ИСО/МЭК ТО 13335-3, для процесса выбора защитных мер, установленных в настоящем стандарте. Принципы выбора защитных мер рассмотрены в 11.2.

 

Взаимосвязь ИСО/МЭК ТО 13335-3 с настоящим стандартом

В ИСО/МЭК ТО 13335-3 представлены технические приемы управления безопасностью ИТ. В нем также рассматриваются варианты стратегии анализа возможных рисков организации и рекомендованный подход для анализа риска. Основными вариантами стратегии для применения в пределах организации является использование:

- базового подхода для всех систем ИТ;

- детального анализа риска для всех систем ИТ;

- рекомендованного подхода, т.е. после детального анализа риска всех систем ИТ используется базовый подход к системам ИТ с низким уровнем риска и детальный анализ риска для систем ИТ с высоким уровнем риска.

Если принято решение использовать детальный анализ риска для всех систем ИТ для идентификации защитных мер, то организация должна использовать информацию о выборе защитных мер и эффективном использовании результатов детального анализа риска, приведенную в 11.2. Кроме того, организация должна использовать информацию о защитных мерах, в том числе для специальных систем ИТ, и связь между проблемами безопасности и угрозами, приведенными в разделах 8-10.

 

 

Принципы выбора

Базовыми принято считать четыре аспекта, связанные с защитными мерами, т.е. воздействия, угрозы, уязвимость и риск. Риск сам по себе рассматривается, когда организация принимает решение о снижении или избежании риска до момента его принятия (примером снижения риска является получение страхового полиса, а примером избегания риска - перевод конфиденциальной информации в другой компьютер). Аспекты, формирующие риск (воздействия, угрозы, уязвимости), являются главной целью защитных мер. Существуют следующие пути борьбы защитных мер против этих аспектов:

- угрозы - защитные меры могут снижать вероятность возникновения угрозы (например рассмотрение угрозы потери данных вследствие ошибок пользователя, курс обучения пользователей, направленный на снижение числа ошибок) или в случае запланированной вредоносной атаки (воздействия) сдерживать угрозу путем увеличения технической сложности, которую надо преодолеть для достижения успешности атаки;

- уязвимость - защитные меры могут снять уязвимость или сделать ее менее серьезной (например, если внутренняя сеть, подсоединенная к внешней сети, уязвима для несанкционированного доступа, то реализация соответствующей межсетевой защиты делает это соединение более надежным, а разъединение снимает эту уязвимость);

- воздействие - защитные меры могут снизить воздействие или помочь его избежать (например, если вредное воздействие заключается в недоступности информации, то оно может быть снижено путем создания копий, хранящихся в безопасном месте, а также разработки и внедрения плана непрерывности бизнеса). Если существуют записи аудита, то анализ и средства предупреждения могут обеспечить раннее обнаружение инцидента и снизить вредное воздействие на бизнес.

От того, как и где используется конкретная защитная мера, во многом зависят те выгоды, которые получает организация от ее реализации. Очень часто угрозы могут относиться к нескольким уязвимостям. Поэтому, если применяется защитная мера, предотвращающая одну угрозу, то одновременно она может защищать несколько уязвимостей системы. Обратное утверждение тоже верно - мера безопасности, предохраняющая одну уязвимость, может быть принята против нескольких угроз. Эти выгоды следует учитывать при выборе защитных мер. Дополнительные выгоды должны быть подтверждены документально для того, чтобы иметь полную картину требований безопасности, которым удовлетворяют защитные меры.

Обычно, защитные меры могут обеспечить один или более типов защиты: предупреждение, сдерживание, обнаружение, снижение, восстановление, корректировку, мониторинг и осведомленность. Выбор защитных мер в данном случае зависит от особенностей ситуации и предназначении защитных мер. Во многих случаях защитные меры направлены на обеспечение нескольких типов защиты, что приносит дополнительные выгоды. Подобные защитные меры, предоставляющие многочисленные выгоды, должны быть выбраны в первую очередь.

Организация должна поддерживать в разумных пределах баланс безопасности и воздействий. Если слишком много внимания уделяется одному типу защиты, то маловероятно, что общий уровень безопасности будет эффективен. Например, если большинство сдерживающих защитных мер используется без адекватных мер обнаружения для определения того, когда сдерживание уже не работает, то общая безопасность не будет эффективной.

Предложенные защитные меры необходимо до их реализации сравнить с существующими мерами по обеспечению безопасности, чтобы оценить, какие меры могут быть усилены или усовершенствованы. В любом случае это будет дешевле, чем внедрять новую защиту.

Во время выбора защитных мер важно сравнить расходы по реализации защиты со стоимостью активов и оценить возврат вложений с точки зрения снижения рисков. Расходы на реализацию и техническое обслуживание могут быть выше стоимости самой защиты, и это следует учитывать при выборе защитных мер.

Технические ограничения, например требования к функционированию, управляемости (требования к операционной поддержке) и вопросам совместимости могут затруднять использование некоторых защитных мер. В этих случаях специалисты по системам ИТ и обеспечению безопасности должны работать совместно для выработки оптимальных решений. Если защитные меры снижают эффективность функционирования систем, то эти специалисты по системам ИТ и обеспечению безопасности должны находить решение, обеспечивающее эффективную работу системы ИТ при гарантированном достаточном уровне безопасности.

Для таких аспектов, как охрана неприкосновенности и юридическая защита личной информации, может потребоваться наличие специальных защитных мер. Таким образом, организация должна исследовать и идентифицировать базовые защищаемые элементы.