Главная | Обратная связь
МегаЛекции

Выводы и рекомендации.

· общий вердикт;

· рекомендации, которые могут быть полезны для органа по сертификации.

Перечень свидетельств оценки

Для каждого использованного при проведении оценки свидетельства указываются:

· составитель;

· название;

· уникальная ссылка.

Перечень сокращений и глоссарий терминов

Сообщения о проблемах

· полный перечень сообщений о проблемах;

· их текущее состояние.

Сообщения о проблемах (СП) представляют собой механизм для запроса разъяснений или для определения проблемы по тому или иному аспекту оценки. При отрицательном вердикте оценщик обязан представить СП для отражения результата оценки. При этом СП должны иметь следующую структуру:

· идентификатор оцениваемого ОО;

· задача/подвид деятельности по оценке, при выполнении которой/которого проблема была выявлена;

· суть проблемы;

· оценка ее серьезности (например, приводит к отрицательному вердикту, задерживает выполнение оценки или требует решения до завершения оценки);

· организация, ответственная за решение вопроса;

· рекомендуемые сроки решения;

· влияние на оценку отрицательного результата решения проблемы.

Адресаты рассылки СП и процедуры обработки сообщения определяются правилами, действующими в системе сертификации.

Документ «Безопасность информационных технологий. Типовая методика оценки профилей защиты и заданий по безопасности» предназначен для заявителей, испытательных центров (лабораторий) и органов по сертификации проводящих проверку, соответствии ПЗ/ЗБ, представляемых на испытания, требованиям «Общих критериев». В целом документ представляет собой дополнение «Общей методологии оценки», регламентирующее порядок проведения оценки профилей защиты и заданий по безопасности в соответствии с положениями классов доверия APE и ASE части 3 ОК.

Документ «Руководящий документ. Руководство по разработке профилей защиты и заданий по безопасности» содержит практические рекомендации для разработчиков ПЗ и ЗБ. Приводятся примеры типовых угроз, положений политики безопасности организации, предположений, целей и требований безопасности. В документе также содержатся подробные методические рекомендации по формированию профилей защиты для межсетевого экрана, СУБД и доверенного центра инфраструктуры открытых ключей.

Помимо трёх рассмотренных, используются следующие документы:

· «Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности».

Документ определяет общий порядок разработки, оценки, регистрации и

публикации ПЗ и ЗБ.

· «Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты».

Документ определяет порядок ведения реестра профилей защиты.

· «Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты».

Документ определяет порядок формирования семейств ПЗ, т.е. совокупностей упорядоченных взаимосвязанных профилей защиты, относящихся к определённому типу продуктов или систем.

Отметим, что в настоящее время в России отсутствует единый универсальный реестр профилей защиты. Как правило, при проведении сертификационных испытаний по «Общим критериям» используются задания по безопасности, для которых соответствие каким-либо профилям защиты не декларируется.

 

Стандарты в области управления информационной безопасностью

Общие положения

 

При рассмотрении ограничений «Общих критериев» обращалось внимание на то, что они не затрагивают вопросов, касающихся администрирования механизмов безопасности, непосредственно не относящихся к мерам безопасности информационных технологий. Действительно, при построении системы управления информационной безопасностью на предприятии возникает целый ряд вопросов, заслуживающих отдельного рассмотрения.

Наиболее распространёнными управленческими стандартами на сегодняшний день являются документы, разработанные Британским институтом стандартов (BSI – British Standards Institution). Стандарты BS 7799-1, BS 7799-2 и BS 7799-3 крайне популярны во всём мире, первые два из них имеют международный статус стандартов ISO (последние версии данных стандартов имеют обозначения ISO/IEC 17799:2005 и ISO/IEC 27001:2005 соответственно).

По сравнению с общими критериями, данные документы носят гораздо более неформальный характер и представляют собой скорее набор практических рекомендаций по развёртыванию и поддержанию системы управления информационной безопасностью.

 

ISO/IEC 17799:2005

Стандарт ISO/IEC 17799:2005 «Information technology – Security techniques – Code of practice for information security management» (Информационные технологии. Методы обеспечения безопасности. Практическое руководство по управлению информационной безопасностью) представляет собой набор практических рекомендаций по построению комплексной корпоративной системы управления информационной безопасностью.

Согласно положениям стандарта, информационная безопасность рассматривается как процесс защиты информационных активов организации от различного рода угроз, который достигается путём реализации тех или иных сервисов безопасности[1]. Требования к системе безопасности определяются по результатам предварительно проведённого анализа рисков, исходя из требований нормативных и законодательных актов, а также путём анализа специфических потребностей бизнеса. Сервисы выбираются таким образом, чтобы минимизировать идентифицированные информационные риски.

Именно каталог рекомендуемых сервисов безопасности и составляет основное содержание стандарта. Сервисы сгруппированы по следующим тематическим разделам:

1. Политика безопасности.

2. Организация информационной безопасности.

3. Управление активами.

4. Безопасность человеческих ресурсов.

5. Физическая безопасность и безопасность окружающей среды.

6. Управление телекоммуникациями и операциями.

7. Управление доступом.

8. Приобретение, разработка и внедрение информационных систем.

9. Управление инцидентами в сфере информационной безопасности.

10. Управление непрерывностью бизнеса.

11. Соответствие.

Для каждого сервиса приведены его определение, руководство по реализации и дополнительная информация.

Политика информационной безопасности рассматривается как базовый высокоуровневый документ, утверждённый высшим руководством организации и определяющий общий подход к организации и управлению информационной безопасности. Политика также содержит ссылки на низкоуровневые стандарты, руководства и процедуры, определяющие практические аспекты реализации механизмов безопасности. Пересмотр политики осуществляется через запланированные промежутки времени или в случае принципиальных изменений в информационной системе.

Требования по организации информационной безопасности включают в себя вопросы разделения обязанностей и распределения ответственности между всеми участниками информационного взаимодействия, существующего в организации. Отдельно рассматриваются вопросы взаимодействия с органами власти, контрагентами и другими сторонними организациями, а также возникающие в ходе такого взаимодействия вопросы конфиденциальности.

Управление активами предполагает проведение инвентаризации активов и обеспечение корректного их использования. В качестве одного из базовых механизмов обеспечения информационной безопасности предлагается проведение категорирования информации с точки зрения её ценности, секретности, критичности для организации, или же по требованиям законодательных и нормативных актов.

Вопросы безопасности человеческих ресурсов призваны обеспечить соблюдении установленного режима информационной безопасности сотрудниками и контрагентами. Во всех случаях права и обязанности сторон в сфере информационной безопасности должны быть строго оговорены в трудовом договоре. Регламентируются порядок найма и корректного увольнения сотрудников, а также вопросы обучения и образовательных тренингов в области информационной безопасности.

Физическая безопасность и безопасность окружающей среды достигаются путём применения комплекса механизмов управления физическим доступом к активам организации, использования противопожарных систем, систем кондиционирования, а также путём своевременного и полноценного технического обслуживания сооружений и инфраструктуры. Рассматриваются вопросы корректной утилизации активов и повторного использования оборудования.

Управление телекоммуникациями и операциями реализуется путём чёткой формализации всех процедур, связанных с обработкой информации в АС. Все изменения в процедурах и самих средствах обработки информации должны строго документироваться. Определяются механизмы борьбы с вредоносным программным обеспечением и методы обеспечения безопасности мобильного кода. Предлагаются подходы к обеспечению безопасности специфических сетевых сервисов, таких, например, как механизмы электронной платежей. Отдельно рассматриваются вопросы безопасности носителей информации.

При рассмотрении вопросов управления доступом особое внимание уделяется рекомендациям по корректной реализации механизмов парольной защиты. Определяется порядок организации удалённого доступа пользователей к информационной системе, приводятся рекомендации по работе с мобильными вычислительными устройствами.

В ходе приобретения, разработки и внедрения информационных систем предполагается устанавливать акцент на обеспечении целостности информационных активов и программных компонентов системы, достигаемой, в частности, с использованием криптографических механизмов. Предлагаются также механизмы защиты от утечки информации на различных этапах жизненного цикла информационной системы.

Управление инцидентами в сфере информационной безопасности может осуществляться силами специалистов организации или с привлечением уполномоченных органов безопасности. Данная деятельность в общем случае включает в себя сбор улик, проведение расследования и анализ результатов расследования в целях недопущения повторных инцидентов и повышения общей защищённости информационной системы.

Обеспечение непрерывности бизнеса является одной из основных задач системы управления информационной безопасностью и должно реализовать защиту критических бизнес-процессов от сбоев или стихийных бедствий. Разрабатываемые планы непрерывности бизнеса должны гарантировать доступность критических информационных ресурсов и сервисов на требуемом уровне. Планы непрерывности бизнеса должны тщательно тестироваться и своевременно обновляться при изменении структуры информационной системы или бизнес-модели организации.

Соответствие требованиям законодательных актов, отраслевых стандартов и других нормативных документов является обязательным для всех информационных систем. Требования безопасности также могут быть определены в договорных обязательствах. Рассматриваются также вопросы обеспечения защиты от злоупотреблений пользователей различными сервисами и информационными ресурсами.

В России аутентичный перевод стандарта в настоящее время планируется к принятию в качестве ГОСТ.

 

ISO/IEC 27001:2005

Стандарт ISO/IEC 27001:2005 «Information technology – Security techniques – Information security management systems – Requirements» (Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования.) представляет собой расширение ISO/IEC 17799:2005, устанавливающее требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию корпоративных систем управления информационной безопасностью (СУИБ).

Реализация СУИБ осуществляется путём внедрения четырёхфазной модели PDCA (Plan-Do-Check-Act, Планирование – Реализация – Оценка - Корректировка). Структура модели показана на рис. 3.5.3.

Рис. 3.5.3. Модель PDCA

Система управления информационной безопасностью получает в качестве исходных данных требования информационной безопасности и ожидания заинтересованных сторон и путём применения необходимых мер и процессов реализует необходимые механизмы безопасности.

Предварительным условием начала работ по планированию СУИБ является принятие политики безопасности, устанавливающей общие принципы обеспечения информационной безопасности в организации и задающей область действия СУИБ. Планирование осуществляется путём проведения оценки рисков и выбора сервисов безопасности, соответствующих требованиям, идентифицированным по результатам анализа рисков. Каталог сервисов безопасности, полностью соответствующих приведённым в ISO/IEC 17799:2005, содержится в приложении А к стандарту ISO/IEC 27001:2005.

На этапе реализации необходимо, решив вопросы финансирования и распределения обязанностей, реализовать выбранные на этапе планирования сервисы безопасности и обеспечить корректную их эксплуатацию. Необходимо предусмотреть наличие механизмов оценки эффективности сервисов безопасности и реализовать программы обучения пользователей вопросам информационной безопасности. При осуществлении эксплуатации СУИБ необходимо тщательно контролировать и корректно отрабатывать инциденты, связанные с информационной безопасностью.

Проведение оценки СУИБ предполагает проведение анализа эффективности функционирования как отдельных сервисов безопасности, так и СУИБ в целом. Отслеживание изменений, происходящих в системе, должно сопровождаться пересмотром результатов анализа рисков. Внутренний аудит СУИБ должен проводиться через запланированные интервалы времени.

Фаза корректировки должна обеспечить непрерывное совершенствование системы управления информационной безопасностью с учётом изменяющихся рисков и требований. В ряде случаев проведение корректировки может потребовать возврата к предыдущим фазам модели – например, к этапам планирования и реализации.

Реализация СУИБ сопровождается разработкой системы документации, которая должна включать следующие материалы:

· положения политики безопасности организации;

· область действия СУИБ;

· процедуры и сервисы безопасности, поддерживающие СУИБ;

· описание применяемых методов оценки рисков;

· отчёты, содержащие результаты оценки рисков;

· план управления рисками;

· методики оценки эффективности применяемых сервисов безопасности;

· декларация применимости;

· записи, подтверждающие эффективность функционирования СУИБ и предоставляющие свидетельства её соответствия положениям стандарта.

Аналогично ISO/IEC 17799:2005, стандарт ISO/IEC 27001:2005 в ближайшее время должен быть принят в Российской Федерации в качестве ГОСТ.

 

BS 7799-3:2006

Британский стандарт BS 7799-3:2006 «Information security management systems – Part 3: Guidelines for information security risk management» (Системы управления информационной безопасностью – Часть 3: руководство по управлению рисками в информационной безопасности) пока не имеет международного статуса, однако рассматривается возможность его принятия в качестве стандарта ISO. Поскольку на момент написания этих строк русскоязычный перевод стандарта отсутствует и документ не получил должного освещения в отечественной литературе, остановимся на нём несколько подробнее.

Стандарт представляет собой набор руководств и рекомендаций, направленных на удовлетворение требований стандарта ISO/IEC 27001:2005 в части управления рисками, которое рассматривается как непрерывный четырёхфазный процесс (рис. 3.5.4).

Рис. 3.5.4. Модель управления рисками

Отметим, что стандарт не содержит требований по использованию какой-либо конкретной методики оценки рисков. Предъявляются лишь требования к этой методике – так она должна обеспечивать:

· возможность определения критериев для принятия риска;

· возможность идентификации приемлемых уровней риска;

· возможность проведения идентификации и оценки рисков;

· покрытие всех аспектов системы управления информационной безопасностью.

Процесс оценки рисков в общем случае включает в себя анализ и вычисление рисков. Проведение анализа рисков предполагает следующие действия:

· идентификация активов;

· идентификация бизнес-требований и требований законодательства, имеющих отношение к активам организации;

· оценка активов, учитывающая идентифицированные ранее требования к ним и возможный ущерб, возникающий в случае реализации в отношении этих активов угроз нарушения конфиденциальности, целостности или доступности;

· идентификация угроз и уязвимостей, связанных с активами организации;

· оценка вероятности реализации угроз и уязвимостей.

Вычисление рисков, в свою очередь, включает:

· непосредственно вычисление рисков, выполненное по некоторой методике;

· соотнесение вычисленных значений рисов с установленной шкалой приемлемых уровней риска.

По результатам анализа рисков необходимо выбрать одну из четырёх возможных стратегий управления рисками[2]:

1. Уменьшение риска. Риск считается неприемлемым, и для его уменьшения выбираются и реализуются те или иные сервисы безопасности.

2.Осознанное и обоснованное принятие риска. Риск в данном случае считается допустимым. Обычно это означает, что стоимость внедрения сервисов безопасности значительно превосходит финансовые потери в случае реализации угрозы.

3. Передача риска. Риск считается неприемлемым и на определённых условиях – например, в рамках страхования – передаётся сторонней организации.

4. Избежание риска. Риск считается неприемлемым, и в качестве корректирующих мер осуществляются изменения в бизнес-модели организации – например, отказ от осуществления того или иного вида деятельности.

Вне зависимости от того, какие стратегии управления рисками будут выбраны, после их реализации всегда будут существовать остаточные риски, которые также подлежат оценке. Тот факт, что остаточные риски являются неприемлемыми, служит основанием поиска более эффективных механизмов управления рисками.

Деятельность, связанная с реализацией результатов управления рисками, должна сопровождаться разработкой плана управления рисками, содержащего:

1) ограничения и зависимости между сервисами безопасности;

2) приоритеты;

3) сроки и ключевые промежуточные этапы реализации;

4) требуемые ресурсы;

5) ссылки на разрешения использования требуемых ресурсов;

6) критические маршруты выполнения плана.

Непрерывный процесс управления рисками в организации должен контролироваться уполномоченным специалистом или командой специалистов, которые должны удовлетворять следующим требованиям:

· способность реализовать систематический и организованный подход к выявлению известных рисков и предпринимать адекватные действия;

· ориентация на бизнес-процессы организации и учёт актуальных в данный момент приоритетов бизнеса;

· настойчивость и независимость суждений, способность учитывать альтернативные точки зрения;

· способность решать вопросы на всех уровнях корпоративной иерархии организации;

· хорошее понимание рисков, технологий и сервисов информационной безопасности.

Большинство сервисов безопасности для обеспечения их корректного и эффективного функционирования требуют непрерывной поддержки и мониторинга. Соответствующая деятельность может, например, включать:

· анализ файлов системных журналов;

· модификацию параметров, связанную с произошедшими в системе изменениями;

· повторный анализ корректности использования сервисов безопасности;

· обновление сервисов, политик и процедур.

Результаты первоначальной оценки рисков должны регулярно пересматриваться. Возникновение изменений в значениях рисков может быть связано со следующими факторами:

· изменения в бизнес-модели организации;

· появление новых данных относительно корректности и эффективности используемых сервисов безопасности;

· изменения, связанные с политической обстановкой, социальными факторами или окружающей средой;

· возникновение новых, ранее неизвестных угроз и уязвимостей.

Результаты повторного анализа рисков, проводимого с учётом возникших изменений, должны накапливаться в специальной базе данных, позволяющей отследить динамику происходящих изменений.

В приложении к стандарту содержатся примеры активов, угроз, уязвимостей, а также приводится типовая методика оценки рисков.

 


[1] Устоявшийся перевод англоязычного термина control на русский язык в настоящее время отсутствует. Наиболее распространённые варианты перевода - сервис, контрмера, механизм контроля. В дальнейшем изложении мы будем придерживаться первого варианта.

 

[2] Наиболее корректным переводом двух англоязычных терминов – risk management и risk treatment является управление рисками. О каком из двух понятий идёт речь, обычно очевидно по контексту.

 





©2015- 2017 megalektsii.ru Права всех материалов защищены законодательством РФ.