Читайте также:
|
|
Результаты оценки требований безопасности ИТ-систем должны последовательно храниться в таблице. Здесь также следует перечислять требования безопасности, которые каждая ИТ-система имеет относительно конфиденциальности, целостности и доступности. Общие требования безопасности для ИТ-системы, в свою очередь, получают из максимальных требований безопасности для трех основных ценностей: конфиденциальности, целостности и доступности. Поэтому ИТ-система имеет высокие общие требований безопасности, если одна из основных ценностей имеет "высокое" требование защиты. Но вообще целесообразно записывать требования безопасности ИТ-системы для всех трех основных ценностей, так как обычно из них разрабатываются разные типы мер безопасности.
Для ИТ-системы, напр., общие требования безопасности могут быть высокими, т.к. требования безопасности по конфиденциальности высокие, но нормальные для целостности и доступности. Поэтому, хотя общие требования безопасности высокие, подразумевается, что в результате требования безопасности для целостности и доступности должны быть подняты. Не требуется никаких дополнительных мер для защиты целостности и доступности.
Особая важность придается предоставлению объяснения сделанным оценкам, чтобы они были понятны третьим лицам. В таком случае можно сослаться на оценку требований безопасности для ИТ-приложений.
Пример: Bundesamt für Organisation und Verwaltung (Федеральная служба организации и администрирования, Federal Agency for Organisation and Administration, BOV) – Часть 5
Следующая таблица может быть создана:
ИТ-система | Оценка требований безопасности | |||
No. | Описание | Основной параметр | Требования безопасности | Обоснование |
S1 | Сервер для отдела персонала | Конфиден-циальность | Высокие | Принцип максимума |
Целостность | Нормальные | Принцип максимума | ||
Доступность | Нормальные | Принцип максимума | ||
S2 | Primary domain controller | Конфиден-циальность | Нормальные | Принцип максимума |
Целостность | Высокие | Принцип максимума | ||
Доступность | Нормальные | Согласно оценке требований безопасности для приложения А4, эта основная ценность может быть высокой. Однако следует принять во внимание, что это приложение распространяется на две компьютерные системы. Также возможно аутентифицировать персонал, работающий в офисе в Бонне, через резервный контроллер домена в Берлине. Ненадежность первичного контроллера домена приемлема на период до 72 часов. Поэтому требования безопасности "нормальные" в результате этого эффекта распространения. |
Замечания: Если большинство ИТ-приложений в системе имеют только нормальные требования безопасности и только одно или несколько имеют требования безопасности высокие, то следует рассмотреть, стоит ли экспортировать их в изолированную ИТ-систему, хотя намного проще и более целесообразно защитить такой тип системы, а также это было бы дешевле. Аргументы в пользу такой альтернативы можно подготовить для представления руководству для принятия решения.
Дополнительные средства:
Были разработаны формы в качестве дополнительных материалов для завершения определения требований безопасности; они доступны из ресурсов IT-Grundschutz.
Выполненные действия:
• Оценка требований безопасности ИТ-систем, используя требования безопасности для ИТ-приложений;
• Рассмотрены зависимости, принцип максимума и, при необходимо, совокупный эффект и эффект распространения;
• Запись результатов по конфиденциальности, целостности и доступности, а также обоснование для каждой ИТ-системы (группы).
Дата добавления: 2015-11-14; просмотров: 40 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Определение требований безопасности для ИТ-систем | | | Определение требований безопасности для линий связи |