Читайте также:
|
|
В Каталогах IT-Grundschutz рекомендуются стандартизованные меры безопасности ИТ для типичного офисного окружения. Но так как каждый офис имеет свои особенности, то меры безопасности ИТ должны быть адаптированы к ним. Они должны соответствовать защищаемым бизнес-процессам, обрабатываемой информации и используемым ИТ-системам и приложениям. Обзор используемых ИТ-приложений и систем поэтому важен, т.к. многие меры безопасности очень отличаются в зависимости от используемого ИТ-окружения.
Регистрирование ИТ-ресурсов
На практике, критически важная для бизнеса информация и ИТ-приложения обычно определяются анализом бизнес-процессов и затем затронутые ИТ-системы документируются. Но в зависимости от ситуации, сначала может понадобиться задокументировать ИТ-системы, а затем ИТ-приложения, которые работают в них.
Даже когда используемый подход такой же, как описанный выше, обратное направление также очень рекомендуется: с одной стороны, проверка была выполнена на предмет, все ли системы ИТ задокументированы. Часто есть ИТ-системы, которые не были ранее отнесены ни к одному ИТ-приложению, т.к., напр., их важность не была известна владельцу информации. С другой стороны, целенаправленная проверка выполняется для ИТ-приложений, действительно установленных в ИТ-системах. Это определит, были ли пропущены критически важные приложения безопасности.
Анализ структуры ИТ используется для предварительного исследования информации, необходимой для дальнейшего подхода к разработке концепции безопасности ИТ в соответствии с IT-Grundschutz. Он делится на следующие подзадачи:
• Исследование плана сети;
• Сбор информации об ИТ-системах;
• Сбор информации об ИТ-приложениях и относящихся к ним данных;
• Сбор информации об участках ИТ;
• Упрощение с помощью выделения в группы сходных ресурсов.
Эти подзадачи описаны ниже и поясняются с помощью примера. Подробный вариант примера можно найти во вспомогательных материалах IT-Grundschutz.
Подготовка плана сети
Анализ плана сети
План сети (напр., в форме топологического плана сети) может быть полезной отправной точкой для анализа структуры ИТ. План сети – графическое представление компонент, используемых в ИТ и рассматриваемые коммуникационные технологии, а также способ их объединения в сеть. План должен отображать следующие объекты:
• ИТ-системы, т.е. клиентские и серверные компьютеры, активные сетевые компоненты (такие как концентраторы, коммутаторы, маршрутизаторы, точки доступа в беспроводную ЛВС), сетевые принтеры и т.д.;
• Сетевые соединения между этими системами, т.е. ЛВС соединения (такие как Ethernet, token ring), беспроводные ЛВС, базовые технологии (FDDI, ATM) и т.д.;
• Соединения между рассматриваемыми областями и внешним миром, т.е. dial-in доступ через ISDN или модем, Интернет-соединения с использованием аналоговых технологий или маршрутизаторов, радиоканалов или выделенных линий для удаленных зданий или узлов, и т.д.
Кроме того, для каждого из представленных объектов, должен быть минимальный набор данных, которые можно получить из определенного каталога. Как минимум, следующая информация должна быть записана для каждой ИТ-системы:
• Уникальное имя (напр., полное имя на сервере или идентификационный номер);
• Тип и функции (напр., база данных сервера для приложения X);
• Платформа, лежащая в основе (напр., аппаратная платформа и операционная система);
• Размещение (напр., здание, номер комнаты);
• Ответственный администратор;
• Доступные интерфейсы связи (напр., Интернет-соединение, Bluetooth, адаптер беспроводной ЛВС);
• Тип сетевого соединения и сетевой адрес.
Определенная информация необходима не только для самих ИТ-систем, но также для сетевых соединений между системами и для соединений с внешним миром, а именно:
• Тип кабельной системы или линий связи (напр., оптоволоконный кабель или беспроводная ЛВС, основанная на IEEE 802.11);
• Максимальная скорость передачи данных (напр., 10 Mb/с);
• Сетевые протоколы, используемые на нижних уровнях (напр., Ethernet, TCP/IP);
• Для внешних соединений, детали внешних сетей (напр., Internet, название провайдера).
Следует выделить области с разными требованиями защиты.
Нет необходимости готовить план сети на бумаге. Если информационная технология в компании или учреждении вышла за пределы определенного размера, следует использовать подходящую программу для регистрации и поддержки плана сети, т.к. бумажный документ будет очень сложным и подлежащим постоянным изменениям.
Обновление плана сети
Так как структура ИТ обычно приспосабливается к специфическим требованиям организации и поддержка плана сети объединяет определенные ресурсы, план сети не всегда будет актуальным. В действительности, часто только основные изменения в структуре ИТ на отдельных участках приводит к обновлению плана сети.
Принимая во внимание использование плана для анализа структуры ИТ, следующим шагом является сравнение существующего плана сети (или частичных планов, если общий план был разделен на меньшие части для удобства его чтения) с действительно существующей структурой ИТ и при необходимости его обновление, чтобы отразить текущую ситуацию. Во время выполнения этих действий ответственные за ИТ и все администраторы отдельных приложений и сетей должны консультироваться. Если для централизованного управления сетью и системой используется какая-то программа, то следует проверить, поддерживает ли эта программа составление плана сети. Однако, следует заметить, что функция автоматического или полуавтоматического обнаружения компонентов временно создает дополнительный трафик в сети. Должны предприниматься шаги, гарантирующие, что этот сетевой трафик не навредит другим операциям ИТ.
Пример: Bundesamt für Organisation und Verwaltung (Федеральная служба организации и администрирования, Federal Agency for Organisation and Administration, BOV) - Часть 1
Придерживаемся примерного скорректированного плана сети для вымышленного госучреждения – BOV. Следует заметить, что структура ИТ BOV далеко не оптимальна с точки зрения безопасности ИТ. Пример просто используется, чтобы показать применение IT-Grundschutz. Только обзор, предоставленный здесь, ‑ сложный пример, найденный во вспомогательных материалах для IT-Grundschutz.
Допустим, что BOV – это официальный орган с персоналом 150 человек, 130 из них имеют рабочие места. Географически, персонал делится на главный офис в Бонне и дополнительное размещение в Берлине, где они обрабатывают такие подзадачи как выполнение, стандарты и координирование. Из этих 130 человек со своими ИТ рабочими станциями 90 работают в Бонне и 40 в Берлине.
Все рабочие станции объединены в сеть, чтобы сотрудники могли выполнять свою работу. Берлинский филиал подключен по выделенной линии. Все сотрудники могут в любое время обращаться к необходимым им модулям рекомендаций, нормативов, форм и текстов. Все относящиеся к работе продукты размещены в центральной базе данных. Черновые документы готовятся, распространяются и подписываются исключительно в электронном виде. Чтобы внедрять и поддерживать всю необходимую функциональность, в Бонне был организован ИТ департамент.
Рисунок: Пример скорректированного плана сети
В показанном плане сети каждая ИТ-система (сервер, клиентский или другой активный сетевой компонент) показана с идентификационным номером (Sn, Cn, Nn и т.д.), а также в скобках указана функциональность и, при необходимости, операционная система.
И в Берлине и в Бонне клиенты собраны в соответствующие группы. Все 130 клиентов имеют одинаковую виртуальную конфигурацию, но есть разница между ними относительно приложений, интеграции в сеть и базовой инфраструктуры. Группа С1 представляет 5 клиентов в отделе персонала. У них есть доступ к серверу S1 в отделе персонала в Бонне. С2 и С3 представляют 10 клиентов в административном отделе и 75 клиентов в отделах конечных пользователей в Бонне. Единственное отличие здесь ‑ в отношении к используемым прикладным программам. Наконец, группа С4 представляет клиентов в отделах конечных пользователей в Берлине. Они отличаются от групп С1-С3 инфраструктурой окружения и их интеграцией в общую сеть.
Выполненные действия:
• Анализ с помощью существующих графических изображений сети, напр., топологические планы сети;
• При необходимости обновление или разработка планов сети;
• Анализ с помощью существующей дополнительной информации о содержащихся ИТ-системах и при необходимости их обновление и завершение;
• Анализ существующей дополнительной информации о каналах связи и при необходимости их обновление и завершение.
Дата добавления: 2015-11-14; просмотров: 78 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Методология IT-Grundschutz | | | Сбор информации об ИТ-системах |