Читайте также:
|
|
Стандарт
BSI-100-2
Методика внедрения системы менеджмента информационной безопасности
«ИТ-Грундшутц»
Содержание
1 Введение. 2
1.1 История версий. 2
1.2 Цель. 2
1.3 Адресаты.. 2
1.4 Применение. 3
1.5 Ссылки. 4
2 Управление безопасность ИТ с помощью IT-Grundschutz. 5
2.1 Представление терминов. 6
2.2 Обзор Процесса ИТ безопасности. 7
2.3 Создание Концепции безопасности ИТ. 8
2.4 Принятие на себя ответственности руководством.. 9
3 Запуск процесса безопасности ИТ. 11
3.1 Проектирование и планирование процесса безопасности ИТ. 11
3.1.1 Определение условий окружения. 11
3.1.2 Формулировка общих целей безопасности ИТ. 12
3.1.3 Составление информационной политики безопасности. 15
3.2 Установка организации безопасности ИТ. 17
3.3 Предоставление ресурсов для безопасности ИТ. 23
3.4 Приобщение всех сотрудников к процессу безопасности ИТ. 25
4 Разработка концепции безопасности ИТ в соответствии с IT-Grundschutz. 28
4.1 IT Анализ структуры.. 31
4.1.1 Регистрирование ИТ-ресурсов. 31
4.1.2 Подготовка плана сети. 31
4.1.3 Сбор информации об ИТ-системах. 34
4.1.4 Сбор информации об ИТ-приложениях и относящихся к ним данных. 36
4.1.5 Регистрация участков. 37
4.1.6 Упрощение с помощью определения групп подобных ресурсов. 39
4.2 Определение требований защиты.. 39
4.2.1 Определение требований безопасности для ИТ-приложений. 40
4.2.2 Определение требований безопасности для ИТ-систем.. 49
4.2.3 Определение требований безопасности для линий связи. 51
4.2.4 Определение требования безопасности для участков. 53
4.2.5 Обработка результатов определения требований безопасности. 54
4.3 Выбор мер защиты: Моделирование в соответствии с IT-Grundschutz. 56
4.3.1 Каталоги IT-Grundschutz. 56
4.3.2 Моделирование ИТ-ресурсов. 57
4.4 Основная проверка безопасности. 60
4.4.1 Организационная предварительная работа. 60
4.4.2 Выполнение целевого сравнения. 62
4.4.3 Запись результатов. 63
4.5 Интеграция дополнительного анализа безопасности в подход IT-Grundschutz. 64
4.6 Реализация (внедрение) мер безопасности ИТ. 67
5 Поддержка безопасности ИТ и постоянное усовершенствование. 74
5.1 Проверка процесса защиты ИТ на всех уровнях. 74
5.2 Поток информации в процессе защиты ИТ. 76
5.3 Сертификация IT-Grundschutz. 77
Введение
История версий
Дата | Версия | Авторы |
Декабрь 2005 | 1.0 | BSI |
Цель
IT-Grundschutz Methodology – это BSI методология для эффективного управления безопасностью ИТ, которая может легко приспосабливаться к ситуации определенной организации.
Процедура, описанная в следующих разделах, основывается на BSI Standard 100-1 "Management Systems for Information Security (ISMS)" (системы управления для безопасности информации) (ссылка на [BSI1]), а также объясняет методологию IT-Grundschutz, описанную там. Система управления для информационной безопасности (ISMS) – спланированный и организованный курс действий для достижения и поддержки необходимого уровня информационной безопасности. С этой целью реализация, предложенная IT-Grundschutz для каждой отдельной фазы, описанной в BSI Standard 100-1, описана детально.
IT-Grundschutz представляет стандарт для установки и поддержки необходимого уровня безопасности ИТ в организации. Этот метод, представленный BSI в 1994 и разрабатывался дальше с тех пор, предоставляет и методологию для наладки системы управления информационной безопасностью и исчерпывающее основание для оценки риска, мониторинга существующего уровня безопасности ИТ и внедрения необходимой безопасности ИТ.
Одной из самых важных целей IT-Grundschutz является уменьшение стоимости безопасности ИТ, предлагая пакет сходных процедур для повышения информационной безопасности и многократного использования. Поэтому, IT-Grundschutz Catalogues (Каталоги IT-Grundschutz) содержат стандартные риски и меры безопасности для типичных ИТ-систем, которые при необходимости могут быть использованы в своих ISMS. С помощью применения соответствующих стандартных, технических, организационных, персональных и инфраструктурных мер, рекомендованных IT-Grundschutz, уровень безопасности ИТ для рассматриваемых бизнес-процессов достигнут, что является соответствующим и адекватным для стандартных требований защиты и может использоваться как основа для бизнес-процессов, которые требуют более мощную защиту.
Адресаты
Этот документ в первую очередь адресован ответственным за безопасность ИТ, экспертам, консультантам и каждому, кто знаком с управлением безопасностью ИТ. Он также предоставляет соответствующую основу для ответственных за ИТ, руководства и менеджеров проектов, которые гарантируют, что аспекты ИТ безопасности их организации должным образом приняты во внимание.
Методология IT-Grundschutz предназначена для организаций любых размеров и типов, которые нуждаются в рентабельном и целенаправленном методе настройки и поддержки соответствующего уровня безопасности их информационной технологии. Термин "организация" используется в данном случае для компаний, государственных органов и других государственных и частных организаций. IT-Grundschutz может использоваться как в маленьких, так и в больших организациях, но следует заметить, что организациям следует индивидуально изучить и соответствующим образом внедрить все рекомендации, в соответствии с их контекстом.
Применение
Стандарт BSI Standard 100-1 "Системы управления информационной безопасностью" описывает общие методы для инициации и управления информационной безопасность в организации. Методология IT-Grundschutz предоставляет определенную помощь, как внедрить систему управления информационной безопасностью шаг за шагом. ИТ также рассматривают отдельные фазы этого процесса и предоставляют типовые, практические решения, так называемые подходы "лучших практик", для завершения задач.
Эта методология предоставляет комплексную структуру для ISMS и должна быть приспособлена к индивидуальному окружению в организации, чтобы настроить подходящую систему управления информационной безопасностью. Чтобы успешно организовать непрерывную и эффективную работу системы безопасности ИТ, следует выполнить много действий. Подход IT-Grundschutz и Каталоги IT-Grundschutz предоставляют информацию о методологии и ресурсах практического внедрения.
Более того, методология IT-Grundschutz также предоставляет стандарт, в соответствии с которым организация может разглашать качество своих ISMS на основании сертификата и критериев, по которым оценивается уровень зрелости ISMS в других организациях.
Сертификация в соответствии с IT-Grundschutz также может быть использована как требование безопасности для потенциальных партнеров, чтобы определить необходимый уровень безопасности ИТ в организации партнера. Даже если различные методологии используются в качестве основы для ISMS, все равно возможно извлечь выгоду из методологии IT-Grundschutz. Поэтому, IT-Grundschutz также предоставляет потенциальные решения различных проблем, относящихся к безопасности ИТ, например, создание концепции безопасности ИТ, проверка и сертификация. В зависимости от задачи, могут применяться разные способы использования IT-Grundschutz, в которых, например, могут использоваться характерные для них подходы. В зависимости от прикладной области, отдельных модулей, опасные и безопасные каталоги и другие вспомогательные материалы, предоставленные IT-Grundschutz, формируют основу для работы системы управления безопасностью.
Раздел 2 предоставляет обзор важных шагов для внедрения ISMS и подход для разработки концепции безопасности ИТ.
Раздел 3 описывает, какой может быть основная фаза в инициации работы системы безопасности ИТ и какие организационные структуры подходят для этого. А также показан путь для настройки функционального управления безопасностью ИТ и для дальнейшего его непрерывной развития.
Раздел 4 описывает методологию IT-Grundschutz для разработки концепции безопасности ИТ. Сначала перечисляет, как основная информация об ИТ ресурсах может быть собрана и упрощена, формируя группы. Затем, исходя из бизнес-процессов, требования защиты для ИТ-приложений, систем, линий и участков связи должны быть определены. Соответствующие модули и меры из рекомендаций в Каталогах IT-Grundschutz затем должны быть выбраны для соответствующих ресурсов ИТ – т.е. они созданы в соответствии с IT-Grundschutz. Перед осуществлением мер по безопасности ИТ, существующие и дополнительные меры безопасности должны быть интегрированы в Методологию IT-Grundschutz.
Основная цель ISMS – гарантировать поддержку безопасности ИТ. Этой целью занимается Раздел 5, а затем представлен вариант определения уровня безопасности ИТ в форме сертификации.
Методология IT-Grundschutz и в частности Каталоги IT-Grundschutz постоянно расширяются и адаптируются к текущим событиям. Дальнейшее развитие в соответствии с текущими требованиями возможно как результат постоянного обмена информацией с пользователями IT-Grundschutz. Конечные цели этих попыток – показать текущие рекомендации для общих проблем безопасности ИТ.
Ссылки
[BSI1] Information Security Management Systems (ISMS), BSI Standard 100-1, Version 1.0, December 2005, www.bsi.bund.de
[BSI2] IT-Grundschutz Methodology, BSI Standard 100-2, Version 1.0, December 2005, www.bsi.bund.de
[BSI3] Risk Analysis Based on IT-Grundschutz, BSI Standard 100-3, Version 1.0, February 2004, www.bsi.bund.de
[GSHB] IT-Grundschutz Manual – standard security measures, BSI, new each year, http://www.bsi.bund.de/gshb
[SHB] IT Security Manual – manual for the safe application of information technology, BSI, Version 1.0 – March 1992, Bundesdruckerei
[OECD] Organisation for Economic Co-operation and Development (OECD), Guidelines for the Security of Information Systems and Networks, 2002, www.oecd.org/sti/security-privacy
[ZERT] General information on the IT-Grundschutz Certificate, the Licensing Scheme for Auditors and IT-Grundschutz Certification Scheme from www.bsi.bund.de/gshb/zert
[13335] ISO/IEC 13335 "Management of Information and Communications Technology Security", ISO/IEC JTC1/SC27
[17799] ISO/IEC 17799:2005 "Information Technology - Code of Practice for Information Security Management", ISO/IEC JTC1/SC27
[27001] ISO/IEC 27001:2005 "Information Technology - Security Techniques - Information Security Management Systems Requirements Specification", ISO/IEC JTC1/SC27
Управление безопасность ИТ с помощью IT-Grundschutz
В последнее время невозможно представить современный бизнес и административный процесс без поддержки ИТ. Надежные информационные технологии существенны для работы организации. Поэтому несоответствующая защита информационных технологий – часто недооцененный фактор риска, который может стать угрозой для существования некоторых организаций. Но основная защита ИТ может быть достигнута с помощью относительно скромных ресурсов.
Однако, чтобы достичь уровня безопасности ИТ, который удовлетворяет потребности, необходимо больше, чем просто купить антивирусное ПО, системы сетевой защиты или системы резервирования данных. Единая концепция очень важна! Она включает, прежде всего, управление безопасностью ИТ, интегрированную в организацию. Управление безопасностью ИТ – часть общего управления рисками, целью которого является гарантировать конфиденциальность, целостность и доступность информации, приложений и ИТ-систем. Это непрерывный процесс контроля стратегий и концепций на постоянной основе для их работы и эффективности, а также для их обновления при необходимости.
Безопасность ИТ – это не только задача технологии, а скорее больше зависит от среды организации и персонала. Методология BSI IT-Grundschutz и Каталоги IT-Grundschutz приняли это во внимание на некоторое время, рекомендуя и технические и нетехнические стандартные меры безопасности для общих приложений и систем ИТ. В таком контексте фокус находится на практической информации и информации, основанной на активности, с целью поддержания барьера на входе процесса безопасности ИТ как можно ниже и избегая сложных подходов.
Методология IT-Grundschutz описывает, как эффективная система управления информационной безопасностью может быть настроена, и как для этого можно использовать Каталоги IT-Grundschutz. Методология IT-Grundschutz вместе с Каталогами IT-Grundschutz обеспечивает систематическую методологию для разработки концепций безопасности ИТ и практических стандартных мер безопасности, которые уже были успешно внедрены многими государственными органами и компаниями.
Каталоги IT-Grundschutz, опубликованные еще в 1993 году и сейчас занимают более 3000 страниц, в деталях описывают потенциальные риски и меры защиты. Каталоги IT-Grundschutz являются предметом постоянных пересмотров, и при необходимости добавляются текущие темы специалистов. Вся информация на IT-Grundschutz доступна бесплатно с сайта BSI. Чтобы поддерживать международное сотрудничество государственных учреждений и компаний, все документа IT-Grundschutz также доступны в английском и электронном варианте.
Бизнес-процессы все больше связаны друг с другом информацией и коммуникационными технологиями. Это сопровождается увеличением сложности технических систем и растущей зависимостью от правильной работы технологии. Поэтому подход всех вовлеченных в процесс должен быть спланирован и организован, чтобы внедрить и поддерживать необходимый уровень ИТ-безопасности. Можно только гарантировать, что этот процесс закрепляется во всех бизнес областях, если он становится задачей высшего руководства. Наивысший уровень руководства ответственен за надежную, запланированную работу организации и поэтому за гарантию безопасность ИТ внутри и снаружи. Таким образом, они ответственны за инициацию, контроль и наблюдение за процессом безопасности ИТ. Сюда также входят ключевые стратегические утверждения по ИТ-безопасности, концептуальные требования, а также организационная среда для достижения безопасности ИТ во всех бизнес-процессах.
Ответственность за безопасность ИТ остается на наивысшем уровне, но роль "безопасность ИТ" обычно назначается сотруднику Службы безопасности ИТ.
Если эта структура не существует в данной ситуации, первым шагом должна быть сделана попытка внедрения недостающих мер безопасности ИТ на уровне оборудования. Однако в любом случае, целью является повысить осведомленность руководства о проблемах безопасности ИТ, т.е. они несут ответственность за нее в будущем. Хотя много аспектов работы системы безопасности ИТ могут быть запущены на уровне оборудования и приведут к улучшению состояния безопасности, но нет гарантии, что подобные действия приведут к постоянному повышению уровня безопасности ИТ.
Методология IT-Grundschutz описывает метод настройки и интеграции системы управления безопасностью ИТ в организации. Если в организации эффективное управление безопасностью ИТ, интегрированный в бизнес-процессы, то можно предположить, что она имеет возможность достичь желаемый уровень безопасности, улучшить его, где это необходимо, а также решать новые проблемы.
Хорошее управление безопасностью ИТ ‑ важное основание для надежного и непрерывного применения мер безопасности в организации. Поэтому в дополнение к детальной информации в этом документе, есть модуль управления безопасностью ИТ в Каталогах IT-Grundschutz. Он используется и для достижения однородной методологии применения IT-Grundschutz и для включения управления безопасностью в той мере, которая соответствует его важности в сертификации в соответствии с IT-Grundschutz.
В дополнение к методологии IT-Grundschutz, Каталоги IT-Grundschutz также предоставляют средства внедрения для процесса безопасности ИТ в форме стандартных мер безопасности. Целью этих ИТ-рекомендаций является достижение уровня безопасности для систем ИТ, подходящий и достаточный для удовлетворения обычных требований защиты и также может служить основанием для ИТ-систем и приложений, которые требуют высокого уровня защиты. Он достигается с помощью применения соответствующих стандартных организационных, для персонала, инфраструктурных и технических мер безопасности.
Каталоги IT-Grundschutz описывают, как разработать и отслеживать выполнение концепции безопасности ИТ на основе обычных мер безопасности. Соответствующие наборы ("модули") стандартных мер безопасности доступны для обычных ИТ-процессов, приложений и компонент. Модули классифицированы на 5 уровней в соответствии с их фокусом:
• Уровень 1 охватывает все общие проблемы безопасности ИТ. Это включает модули HR, концепции резервирования данных и аутсорсинга;
• Уровень 2 охватывает все физические, технические проблемы. Примеры содержат модули здания, серверной комнаты и домашних рабочих станций;
• Уровень 3 относится к индивидуальным ИТ-системам. Примеры содержат модули системы связи, ноутбуков и мобильных телефонов;
• Уровень 4 касается проблем, относящихся к сетевым ИТ-системам. Примеры содержат модули однородных сетей, удаленного доступа, а также сетей и систем управления;
• Наконец, Уровень 5 имеет дело с реальными ИТ-приложениями. Примеры содержат модули почтовые, веб-сервера и компоненты баз данных.
Каждый модуль содержит краткое описание проблемы, информацию об относящихся к проблеме угрозах и информацию о соответствующих стандартных мерах безопасности. Риски и меры безопасности, в свою очередь, классифицированы в каталоги, отдельно друг от друга..
Дата добавления: 2015-11-14; просмотров: 187 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
DownUnder Variberk | | | Принятие на себя ответственности руководством |