О проекте документа ISO/IEC TR13335 “Guidelines For The Management Of IT Security (GMITS)”

Завадская Л. А, Савчук М. Н, Фаль А. М.
20.05.2005 | 13:59
В процессе создания национальной нормативной базы в области защиты информационных технологий (ИТ) необходимо учитывать как существующие, так и разрабатываемые в международных организациях по стандартизации аналогичные документы. Это становится особенно актуальным в связи с инициативой Гора по созданию глобальной информационной инфраструктуры (GII). Значительное количество стандартов и других документов, относящихся к ИТ, разрабатывается в Объединенном техническом комитете ISO/IEC "Information technology" (ISO/IEC JTC1). Стандарты, относящиеся к вопросам безопасности ИТ, разрабатываются в его подкомитете "Security techniques" (ISO/IEC JTC1/SC27). В одной из рабочих групп этого подкомитета осуществляется проект "Guidelines for the management of IT security (GMITS)" ("Руководство по обеспечению безопасности ИТ"). Наряду с международными стандартами ISO разрабатывает документы, называемые техническими отчетами (TR), причем они могут быть нескольких типов. Рассматриваемый технический отчет относится к типу документов, содержащих информацию, которая не может быть представлена в виде, характерном для международных стандартов. TR GMITS представляет собой методологическую основу для создания системы безопасности ИТ в организации, учреждении, на предприятии, фирме и т.п. (далее – в организации).

Технический отчет GMITS состоит из пяти частей.

Часть 1: Понятия и модели безопасности ИТ.
Часть 2: Планирование и обеспечение безопасности ИТ.
Часть 3: Способы обеспечения безопасности ИТ.
Часть 4: Выбор мер безопасности.
Часть 5: Меры безопасности для внешних каналов связи.

Первые три части утверждены; четвертая и пятая находятся в стадии разработки.

Целью первой части технического отчета является введение в основные понятия и модели безопасности ИТ. Она может быть полезной для руководителей служб безопасности организаций, а также является введением в безопасные ИТ для всех интересующихся более детальными и полными аспектами этой проблемы, которые изложены в последующих частях документа.

Согласно TR GMITS, управление безопасностью ИТ – это процесс, направленный на достижение и поддержание соответствующего уровня обеспечения конфиденциальности, целостности, доступности, наблюдаемости, достоверности и надежности. В документе приведены определения всех перечисленных, а также многих других понятий, относящихся к безопасности ИТ.

Процесс управления безопасностью ИТ включает:

– определение целей, стратегии и политики обеспечения безопасности ИТ;

– определение требований по безопасности ИТ;

– выявление и анализ угроз объектам защиты ИТ;

– определение и анализ рисков;

– выбор соответствующих средств защиты;

– мониторинг процессов внедрения и эксплуатации средств, необходимых для защиты информации и работоспособности организации;

– разработку и реализацию программ по обучению персонала;

– обнаружение случаев нарушения безопасности и необходимой реакции на них.

Для успешного выполнения этих задач безопасность ИТ должна быть составной частью общей политики руководства организацией, согласовываться с политикой общей безопасности и планом развития информационных технологий в организации, а также учитываться на всех этапах жизненного цикла системы информационного обеспечения.

Содержание мероприятий, входящих в состав процесса управления безопасностью ИТ, раскрывается во второй и третьей частях отчета. Особое внимание уделено выбору стратегии анализа рисков. В зависимости от размера и сферы деятельности организации предлагается четыре возможных подхода: базовый, неформальный, детальный и комбинированный. Последний предполагает предварительное выявление наиболее критичных с точки зрения информационной безопасности подсистем, применение к ним дорогостоящего детального анализа, а к остальным – более дешевого и быстрого базового. Базовый подход обеспечивает наличие стандартного набора средств защиты, отвечающих основным требованиям безопасности ИТ. Меры, соответствующие базовой безопасности, могут быть определены, например, с помощью специальных каталогов. Базовый и комбинированный подходы к анализу рисков рекомендуются как наиболее приемлемые в большинстве случаев. Анализ рисков служит основой для выработки рекомендаций по выбору мер защиты, которые, с учетом общих целей и требований, позволяют разработать политику безопасности ИТ в организации. Рассмотрены также вопросы организационного строения службы информационной безопасности, разработки плана внедрения мер защиты ИТ и его реализации, создания и работы системы обучения и воспитания сознательности персонала, а также весь комплекс вопросов, связанных с эксплуатацией и усовершенствованием системы безопасности ИТ. Более подробная и приближенная к практике третья часть содержит ряд приложений: примерное содержание документа “Политика безопасности ИТ в организации”, списки типичных угроз и уязвимостей, методики определения стоимости объектов защиты и оценки рисков.

Существует несколько различных подходов к выбору мер безопасности, наиболее общий из которых основан на анализе рисков. В четвертой части технического отчета рассматриваются три пути выбора мер безопасности, опирающиеся на различные подходы к анализу рисков, разработанные в третьей части. А именно:

– с использованием базового подхода;

– с использованием базового подхода и с учетом специфических требований безопасности и сопутствующих обстоятельств;

– с использованием детального анализа.

Вне зависимости от того, какой путь был избран, при выборе мер защиты необходимо провести предварительное обследование, которое выясняет следующие обстоятельства:

– какой тип информационной системы рассматривается (например, отдельно стоящие компьютеры или связанные в сеть);

– что представляет собой окружающая среда;

– какие меры безопасности уже применяются или планируются.

Меры безопасности поделены на 13 категорий: политика безопасности ИТ, персонал, организационные меры, аудит, физическая безопасность, планирование мероприятий по ликвидации последствий стихийных бедствий и аварий, управление доступом, защита от вирусов, администрирование сети, управление внешними связями, идентификация и аутентификация, брандмауэры, криптография. Описаны наиболее типичные меры защиты из каждой категории. За описанием более специфических средств защиты читатель отсылается к справочникам и каталогам по базовому уровню безопасности, принятым в некоторых странах и международных организациях, краткое содержание которых приводится в приложениях к четвертой части. Представляется полезным привести список этих изданий:

– Cоde of Practice for Information Security Management (Англия),
– ETSI Baseline Security Standard Features and Mechanisms (ETSI),
– IT Baseline Protection Manual (Германия);
– NIST Computer Security Handbook (США);
– Medical Informatics: Security Categorisation and Protection for Healthcare Information Systems (Англия);
– TC68 Banking and Related Financial Servicies – Information Security Guidelines (ISO).

Пятая часть представляет собой руководство по определению мер безопасности, предназначенных для защиты:

– информационных систем организаций от нежелательных внешних воздействий;

– внешней связи;

– услуг, реализуемых с помощью внешней связи.

Виды связи, рассматриваемые в этом документе, могут быть отнесены к различным категориям, как то: связь между территориально разнесенными частями одной и той же организации, между различными организациями, но с одним и тем же видом деятельности, например, банками, связь между клиентами и банками и т.д. Сети, образуемые этими связями, могут быть как корпоративными, так и общедоступными; каналы могут быть как выделенными, так и коммутируемыми. Для всего этого разнообразия видов связи рассмотрены возможные нарушения безопасности и предложены меры по их предотвращению. Большое внимание уделено вопросам построения брандмауэров и вопросам восстановления после происшедших нарушений безопасности.

GMITS