Читайте также:
|
При определении требований безопасности часто оказывается, что есть области среди рассматриваемых ресурсов ИТ, в которых обрабатывается информация с высокими или очень высокими требованиями защиты. Более высокие требования безопасности в одной области передаются в другую по принципу максимума. Даже если только несколько элементов данных имеют более высокие требования безопасности, сильная связь и взаимодействие ИТ-систем и приложений быстро приводит к более высоким требованиям безопасности, переданных в другие области, используя принцип максимума.
Поэтому, должны устанавливаться зоны безопасности, чтобы ограничить риски и затраты. Такие зоны безопасности могут характеризоваться в терминах участков, технологий или персонала.
Примеры:
• Географические зоны безопасности: нет необходимости постоянно блокировать или наблюдать отдельно каждый офис, зоны с большим количеством посетителей следует отделить от областей, которые имеют высокие требования безопасности. Поэтому, участки встреч, обучения и событий, а также буфет, которые привлекают внешних клиентов, следует разместить недалеко от входа в здание. Тогда для сотрудника безопасности на входе возможно контролировать доступ в части здания с офисами. Особенно важные области, такие как отдел разработки, должны иметь дополнительный контроль доступа, напр., чиповые карты.
• Технические зоны безопасности: чтобы ограничить доступ конфиденциальных данных в определенных областях в пределах ЛВС и чтобы предотвратить влияние ошибок на отдельные элементы или атаки на функции, полезно разделить ЛВС на несколько подсетей (см. также S 5.77 Установление подсетей).
• Зоны безопасности персонала: по большому счету, каждое лицо должно быть наделено только теми правами, которые необходимы ему для выполнения его задач. К тому же, существуют различные роли, которые одно лицо никогда не должно выполнять одновременно. Напр., аудитор не должен работать в бухгалтерии или администрации ИТ одновременно, т.к. он не может проверять сама себя.. Чтобы упростить назначение прав доступа, групп людей, выполняющих функции, которые не могут сочетаться друг с другом, должны работать в разных группах или отделах.
Если области с похожими требованиями безопасности соответствующе перестроены уже на этапе планирования, это сокращает много работы на всех этапах вплоть до проверки.
Выполненные действия:
• Проверка можно ли объекты с повышенными требованиями безопасности собрать в зонах безопасности;
• Отметьте объекты с повышенными требованиями безопасности для дополнительного анализа их защиты.
4.3 Выбор мер защиты: Моделирование в соответствии с IT-Grundschutz
Как только необходимая информация доступна после анализа ИТ-структуры и определения требований безопасности, следующей важной задачей является моделирование рассматриваемых ресурсов ИТ с помощью существующих модулей Каталогов IT-Grundschutz. Результатом данного этапа является модель IT-Grundschutz для ресурсов ИТ, которая состоит из разных модулей – некоторые из которых могут повторно использоваться – и включает описание модулей и аспектов, относящихся к безопасности ИТ-ресурсов.
Дата добавления: 2015-11-14; просмотров: 33 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Определение требований безопасности для линий связи | | | Моделирование ИТ-ресурсов |