Читайте также: |
|
При традиционном подходе к анализу риска, в первую очередь, определяются угрозы и вероятность их возникновения. Результаты этого анализа затем используются для выбора соответствующих мер безопасности ИТ, после которых может быть оценен остаточный риск. Для IT-Grundschutz эта задача уже решена для каждого модуля, и соответствующих мер безопасности ИТ, выбранных для типичного окружения офиса. При применении IT-Grundschutz эта задача уменьшается до намеченной, по сравнению с мерами безопасности, рекомендуемыми в Каталогах IT-Grundschutz и теми, которые уже используются. Меры безопасности, которые, как оказывается, отсутствуют или выполняются несоответствующим образом, показывают недостаток защиты, что может быть исправлено при внедрении рекомендованных мер безопасности. Только там, где требования к защите значительно выше, необходимо также выполнить дополнительный анализ безопасности, взвесить рентабельность внедрения дополнительных мер. Однако, в таком смысле, в общем случае уместно дополнить рекомендованные меры безопасности в Каталогах IT-Grundschutz важными, индивидуальными, высококачественными мерами безопасности. Простой подход к этому описан в документе BSI " Анализ риска, основанный на IT-Grundschutz" (" Risk Analysis Based on IT-Grundschutz").
Меры безопасности, перечисленные в Каталогах IT-Grundschutz, являются стандартными мерами безопасности, т.е. их следует применять для каждого модуля в соответствии с сегодняшним состоянием технологии, чтобы достичь основного уровня безопасности. В таком контексте, меры безопасности, необходимые для сертификации IT-Grundschutz, отображают минимальные меры предосторожности, которые должны применяться в любом случае. Меры безопасности, которые отмечены как "дополнительные" доказали свою ценность на практике, но они нацелены на приложения, у которых более высокие требования безопасности.
Концепции безопасности, которые разработаны с помощью IT-Grundschutz, компактны, т.к. в концепции просто необходимо сделать ссылки на соответствующие меры безопасности в Каталогах IT-Grundschutz. Это упрощает их понимание и рассмотрение в дальнейшем. Чтобы упростить внедрение рекомендуемых мер безопасности, они детально описаны в каталогах. Внимание уделяется при использовании специальной терминологии, чтобы описания были понятными тем, кто должен внедрять меры безопасности.
Чтобы упростить внедрение мер безопасности, текст Каталогов IT-Grundschutz также всегда предоставляется в электронном виде. К тому же, внедрение мер безопасности поддерживается с помощью вспомогательных материалов и примеров решений, которые частично предоставляются BSI и частично пользователями IT-Grundschutz.
Методология IT-Grundschutz приблизительно делится на следующие области:
Дата добавления: 2015-11-14; просмотров: 99 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Предоставление ресурсов для безопасности ИТ | | | IT Анализ структуры |