|
Читайте также: |
Не делается различий между созданными моделями IT-Grundschutz, состоят ли ИТ-ресурсы их ИТ-систем уже действующих или рассматриваемые ИТ-ресурсы все еще на стадии планировании. Однако, модель может использоваться по-разному, в зависимости от того, ресурсы уже используются или еще нет.
• Модель IT-Grundschutz для ИТ-ресурсов, которые уже используются, определяет стандартные меры безопасности, которые относятся непосредственно к используемым модулям. Ее можно использовать как план тестирования для выполнения сравнений;
• В отличие от этого, модель IT-Grundschutz для запланированного набора ИТ-ресурсов, представляет концепцию развития. При помощи выбранных модулей, она определяет, какие стандартные меры безопасности должны внедряться, когда ИТ-ресурсы поступают в работу.
Диаграмма, показанная ниже, поясняет роль моделирования и его возможные результаты:
Рисунок: Результат моделирования IT-Grundschutz
Обычно, набор используемых ИТ-ресурсов будет содержать не только элементы уже внедренные, но также элементы, которые находятся на стадии планирования. Результирующий модуль IT-Grundschutz содержит и план тестирования и дополнительные элементы концепции развития. Все меры безопасности ИТ, предусмотренные в плане тестирования или концепции развития, совместно формируют основу для разработки концепции безопасности ИТ. В дополнение к мерам внедренным безопасности, которые были определены во время процесса сравнения как несоответствующие или отсутствующие, эта модель содержит их для частей ИТ-ресурсов, которые еще только планируются.
Чтобы отобразить в общем сложные ИТ-ресурсы, используя модули IT-Grundschutz, уместно рассмотреть аспекты безопасности ИТ как сгруппированные по отдельным темам.
Рисунок: Уровни в модели IT-Grundschutz
Аспекты безопасности ИТ набора ресурсов ИТ относятся к отдельным уровням следующим образом:
• Уровень 1 охватывает общие аспекты безопасности ИТ, которые применяются в равной степени ко всем или к большинству ИТ-ресурсов. Это относится в частности к общей концепции и итоговым требованиям. Модули типичного уровня 1 включают "Управление безопасностью ИТ", "Организацию", "Политику резервирования данных" и "Концепцию защиты компьютеров от вирусов".
•Уровень 2 имеет отношение к архитектурным и структурным факторам, в которых объединены аспекты инфраструктурной безопасности. Это влияет особенно на здание, серверную комнату, защитный шкаф и модули домашнего рабочего места.
• Уровень 3 относится к отдельным ИТ-системам в ИТ-ресурсах, которые были объединены в группы как требуется. Относится к проблемам ИТ безопасности клиентов, серверов и отдельных систем. Этот уровень охватывает, напр., оборудование связи, ноутбуки и клиентские модули с Windows 2000.
• Уровень 4 рассматривает сетевые вопросы ИТ-систем, которые не относятся к отдельным ИТ-системам, но относятся к сетевым соединениям и связям. Сюда относятся, напр., гетерогенные сети, модемы и модули удаленного доступа.
• Наконец, уровень 5 имеет дело с реальными ИТ-приложениям, которые используют ресурсы ИТ. Этот уровень включает почту, web сервер, факс сервер и базы данных для модулей моделирования.
Использование этого поуровневого подхода имеет следующие преимущества:
• Уменьшается сложность защиты ИТ, т.к. отдельные аспекты делятся осмысленным образом;
• Так как аспекты более высокого порядка и обычные вопросы инфраструктуры рассматриваются отдельно от ИТ-систем, избегается дублирование попыток, т.к. с этими аспектами следует иметь дело один только раз, а не повторно для каждой ИТ-системы.
• Разные уровни определены, таким образом ответственность за рассматриваемые аспекты сгруппирована. Уровень 1 связан с фундаментальными вопросами, относящимися к использованию ИТ, Уровень 2 – с узлом технического обслуживания, Уровень 3 – с вопросами, которые касаются администраторов и пользователей ИТ, Уровень4 – с вопросами, которые касаются сетевых и системных администраторов, и наконец, Уровень 5 – с вопросами, которые касаются ответственных за ИТ-приложения или тех, кто их запустил.
• Разбиение аспектов безопасности на уровни делает возможным простое обновление и расширение отдельных предметных областей в пределах будущих концепций безопасности ИТ, без существенного влияния на другие уровни.
Моделирование IT-Grundschutz ведет к определению могут ли, если да, то как, модули данного уровня использоваться для отображения ресурсов ИТ. В зависимости от рассматриваемого модуля, объекты, отображаемые таким образом, могут быть различных типов: отдельные бизнес-процессы или компоненты, группы компонентов, здания, свойства, организационные единицы и т.д.
Модель IT-Grundschutz, т.е. распределение модулей между целевыми объектами, следует регистрировать в форму таблицы, содержащей следующие колонки:
• Номер и название модуля;
• Целевой объект или целевая группа. Напр., это может быть идентификационный номер компонента или группы либо наименование здания или организационной единицы;
• Контактное лицо: эта колонка первоначально служит только меткой. Контактное лицо не определяется на этапе моделирования, а только на стадии, когда планируется цель в основной проверке безопасности;
• Заметки: Второстепенная и не основная информация по моделированию, может быть записана в эту колонку.
Пример: Bundesamt für Organisation und Verwaltung (Федеральная служба организации и администрирования, Federal Agency for Organisation and Administration, BOV) – Часть 8
Таблица, показанная ниже, ‑ выборка из моделирования, выполненного для вымышленного отдела BOV.
| No. | Имя модуля | Целевой объект / целевая группа | Контакт-ное лицо | Заметки |
| 1.1 | Организация | Узел в Бонне | Модуль Организация должен прорабатываться отдельно для Боннского и Берлинского узлов, так как в Берлине есть свои организационные процедуры | |
| 1.1 | Организация | Узел в Берлине | ||
| 1.2 | Персонал | Весь BOV | Отдел персонала BOV находится в Бонне | |
| 2.5 | Архивы носителей данных | R U.02 (Бонн) | Резервные носители данных находятся на этом участке | |
| 3.203 | Ноутбук | C5 | Ноутбуки в Бонне/Берлине в каждом случае объединяются в одну группу | |
| 3.203 | Ноутбук | C6 | ||
| 5.4 | Web сервер | S5 | S5 работает как сервер для внутренней сети | |
| 5.7 | Базы данных | S5 | База данных используется на сервере |
Детальное описание этого подхода к моделированию ИТ-ресурсов находится в разделе "Модель уровней и моделирование" Каталогов IT-Grundschutz. Текущую версию Каталогов IT-Grundschutz [GSHB] можно загрузить с web-сервера BSI. Особенная важность здесь придается любым ограничениям, которые применяются, когда уместно использовать данный модуль и к каким целевым объектам его следует применить.
Выполненные действия:
• Систематическая проработка раздела "Модель уровней и моделирование" в Каталогах IT-Grundschutz;
• Определение целевых объектов в рассматриваемых ИТ-ресурсах, к которым каждый модуль Каталогов IT-Grundschutz должен применяться;
• Регистрация назначения модулей к целевым объектам ("Модель IT-Grundschutz") и соответствующих контактных лиц;
• Отметить целевые объекты, которые не могут быть смоделированы соответствующим образом для дополнительного анализа безопасности.
Дата добавления: 2015-11-14; просмотров: 46 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Области с переменными требованиями безопасности | | | Организационная предварительная работа |