Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Интеграция дополнительного анализа безопасности в подход IT-Grundschutz

Регистрация участков | Определение требований безопасности для ИТ-приложений | Кастомизация таблицы назначений | Определение требований безопасности для ИТ-систем | Представление результатов | Определение требований безопасности для линий связи | Области с переменными требованиями безопасности | Моделирование ИТ-ресурсов | Организационная предварительная работа | Выполнение целевого сравнения |


Читайте также:
  1. CHINA (ПРОВЕДЕТ ПЕРЕГОВОРЫ ПО ВОПРОСАМ БЕЗОПАСНОСТИ) WITH JAPAN AND SOUTH KOREA
  2. D) сохранения точных записей, определения установленных методов (способов) и сохранения безопасности на складе
  3. Ex.10. А. Дополните предложения, выбрав подходящие фразы, данные в скобках. Example: It is late to go to school.
  4. Facepalm от учителя. Пока еще сдерживая себя, она подходит (или отходит, в зависимости как сделаем) от своего рабочего стола.
  5. H. Подходы к измерению деятельности, осуществляемой
  6. I. ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ ЛУЧЕВОГО ИССЛЕДОВАНИЯ. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ЛУЧЕВОГО ИССЛЕДОВАНИЯ.
  7. Safety Engineering (Техника безопасности)

Меры безопасности стандарта IT-Grundschutz обычно подходят для типичных ИТ-приложений и систем с нормальными требованиями безопасности. В определенных случаях эти меры безопасности стандарта IT-Grundschutz должны быть дополнены с помощью дополнительного анализа рисков, чтобы включить специальные меры безопасности ИТ.

Для этого принимается решение, требуется ли дальнейшая оценка риска для всех целевых объектов ИТ-ресурсов, которые:

• имеют высокие или очень высокие требования безопасности хотя бы для одной из трех основных ценностей: конфиденциальности, целостности или доступности;

• не могут быть удовлетворительно представлены (смоделированы) с помощью существующих модулей IT-Grundschutz;

• используются в рабочих сценариях (окружение, приложение), незапланированных в рамках IT-Grundschutz.

 

Примеры приложений или систем, которые следует подвергнуть дополнительному анализу безопасности, включают онлайновые банковские услуги, предоставляемые провайдером финансовых услуг и ИТ-системами в специальных операционных системах реального времени.

Причины за или против дополнительного анализа рисков должны быть кратко описаны в отчете руководству для каждого целевого объекта, который имеет одну или более из упомянутых характеристик. Целевые объекты, требующие дополнительного анализа рисков, объединяются в области риска. Это прояснит области, для которых необходим дополнительный анализ рисков.

Отчет руководству передается руководству и должен быть им утвержден. Это позволяет руководству принять ответственность.

На данном этапе BSI рекомендует использовать анализ риска, основанный на IT-Grundschutz. Такой подход опубликован на web-сервере BSI и в PDF-файле на CD-ROMе от BSI.

Описанная там методология может быть интегрирована в процесс IT-Grundschutz следующим образом:

Внимание сосредоточена на вопросе: какие угрозы для ИТ-решения рассмотрены не достаточно в мерах безопасности стандарта IT-Grundschutz, или вообще не рассмотрены?

Чтобы ответить на этот вопрос, следующие дополнительные рабочие шаги, которые кратко перечислены здесь, рекомендуются анализом риска, основанном на IT-Grundschutz:

• Подготовка обзора угроз;

• Определение дополнительных угроз;

• Оценка угроз;

• Выбор мер безопасности для борьбы с рисками;

• Риски, которые можно уменьшить с помощью подходящих мер безопасности;

• Риски, которых можно избежать (напр., реорганизовав бизнес-процесс или ИТ-ресурсы);

• Риски, которые можно переместить (напр., с помощью аутсорсинга или страхового полиса);

• Риски, которые можно принять;

• Закрепление концепции ИТ-безопасности.

 

Кроме того, в анализе рисков, основанном на IT-Grundschutz, объясняется, как методология должна применяться, если ИТ-ресурсы включают целевые объекты, для которых IT-Grundschutz еще не содержит подходящий модуль.

Оригинал документа содержит детальное описание методологии.

Важно: анализ риска, основанный на IT-Grundschutz, является методологией для определения гарантий безопасности ИТ, которые выходят за пределы мер безопасности, принятых в IT-Grundschutz, если это необходимо. Хотя эта методология была упрощена по сравнению с многими другими подобными процедурами, она часто сопровождается значительными затратами. Чтобы как можно быстрее устранить наиболее важные проблемы безопасности ИТ, иногда целесообразно сначала полностью внедрить IT-Grundschutz и только потом выполнять дополнительный безопасности (в отличие от схемы, описанной выше). Хотя это означает повторное выполнение некоторых шагов, меры безопасности IT-Grundschutz будут реализованы намного быстрее. Этот альтернативный порядок в частности уместен, если:

1. Рассматриваемые уже внедренные ИТ-ресурсы используются.

2. Настоящие целевые объекты могут быть правильно смоделированы с помощью существующих модулей IT-Grundschutz.

Для планируемых ИТ-ресурсов или тех, у которых нетипичные технологии или сценарии использования, рекомендуется нормальный порядок, описанный выше. Следующая таблица объединяет преимущества и недостатки двух альтернативных порядков:

Анализ риска сразу после основной проверки безопасности Анализ риска после полного внедрения мер безопасности IT-Grundschutz
Потенциальные преимущества: ‑ Устраняет дополнительные расходы, т.к. нет мер безопасности, которые необходимо было заменить более сильными, поскольку часть анализа риска выполнена; ‑ Любые важные меры высокой степени безопасности определяются и реализуются раньше. Потенциальные преимущества: ‑ Меры безопасности IT-Grundschutz реализуются раньше, т.к. часто анализ риска сложный; ‑ Элементарные трещины в безопасности обрабатываются до того, как анализируются повышенные угрозы.
Потенциальные недостатки: ‑ Меры безопасности IT-Grundschutz реализуются позже, т.к. часто анализ риска сложный; ‑ Элементарные трещины в безопасности могут игнорироваться, пока анализируются повышенные угрозы. Потенциальные недостатки: ‑ Может вызвать дополнительные расходы, т.к. меры безопасности IT-Grundschutz, которые необходимо заменить более сильными, поскольку часть анализа риска может быть выполнена; ‑ Любые важные меры высокой степени безопасности определяются и реализуются позже.

 

Также важно, что анализ риска, основанный на IT-Grundschutz, часто легче выполнить, если он используется впоследствии на маленьких под-элементах ИТ-ресурсов. На первом шаге, напр., анализ может быть ограничен географической, физической инфраструктурой, т.е. защитой от огня, воды и неавторизованного доступа, а также соответствующими источниками питания и кондиционирования воздуха.

Выполненные действия:

• Stipulate the target objects for which a risk analysis is to be performed and document rationale

• Take decision on whether the risk analyses should occur before or after implementing the IT-Grundschutz security measures

• Systematically work through the BSI "Risk analysis based on IT-Grundschutz" document – or mark it for later use

• Integrate the results of the risk analyses into the IT security concept

 


Дата добавления: 2015-11-14; просмотров: 41 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Запись результатов| Реализация (внедрение) мер безопасности ИТ

mybiblioteka.su - 2015-2024 год. (0.007 сек.)