Читайте также:
|
|
Данный раздел представляет аспекты, которые необходимо рассмотреть при реализации мер безопасности ИТ. Он описывает, как внедрение мер безопасности ИТ, определенных как отсутствующие или реализованных несоответствующим образом, можно планировать, выполнять, контролировать и проверять.
Перед началом реализации мер безопасности ИТ, анализ структуры ИТ, определение требований безопасности и моделирование следует завершить для каждой системы или рассматриваемых ресурсов. Результаты основной проверки безопасности и особенно целевого сравнения, которое является следствием основной проверки безопасности, также должны быть доступны. Если выполнялся какой-либо дополнительный анализ для выбранных областей из-за их более высоких требований безопасности, предложения для принятия дополнительных мер безопасности, которые предлагаются в результате, должны также быть доступны и продуманы.
Если есть множество мер безопасности, которые необходимо внедрить, но для них доступны только ограниченные финансовые и людские ресурсы, то реализация мер безопасности ИТ может выполняться как описано ниже. Пример для объяснения процедуры приведен в конце данного раздела.
Если определено только несколько недостающих мер безопасности, чье внедрение связывает только немного финансовых или людских ресурсов, часто на специальном основании можно решить, кому следует реализовывать эти меры и к какому сроку. Это может быть записано просто и без усложнения таблиц, используемых для регистрирования целевого сравнения. В таком случае шаги 1, 3 и4 могут быть опущены.
Шаг 1: Обзор результатов исследования
В качестве первого шага следует оценить в общем виде недостающих или только частично внедренных мер безопасности IT-Grundschutz. Все нереализованные или частично реализованные меры безопасности и их приоритеты получены из результатов основной проверки безопасности и сведены в таблицу.
Любые дополнительные меры безопасности, требующие реализации, могут быть определены с помощью дополнительного анализа безопасности. Они также должны быть отражены в форме таблицы. Эти дополнительные меры следует упорядочить по теме в соответствии с объектами, исследуемыми при моделировании, и с соответствующими модулями IT-Grundschutz.
Шаг 2: Объединение мер безопасности
Первое действие здесь должно объединить меры безопасности ИТ, которые еще требуют реализации. Если выполнялся какой-то дополнительный анализ безопасности, то он мог выявить дополнительные меры безопасности ИТ, которые дополняют или даже заменяют меры безопасности из Каталогов IT-Grundschutz. Теперь следует выполнить проверку того, какие меры безопасности IT-Grundschutz не нужно реализовывать, т.к. их следует заменить более строгими мерами безопасности ИТ.
Т.к. рекомендации сделаны в соответствии с IT-Grundschutz для множества различных типов организационных и технических конфигураций, возможно выбранные меры безопасности следует сделать более специфичными и приспособленными, чтобы отображать организационные и технические условия в рассматриваемой организации. Более того, все меры безопасности ИТ следует снова пересмотреть, чтобы убедиться, что они подходят. Они должны обеспечивать эффективную защиту от потенциального риска, и должны быть легко реализуемыми на практике; они не должны, напр., мешать другим процессам или ослаблять другие меры безопасности. В таких случаях может быть необходимо заменить определенные меры безопасности IT-Grundschutz альтернативными мерами безопасности ИТ.
Чтобы впоследствии иметь возможность отслеживать процедуру, сопровождаемую в составлении и усовершенствовании списка особых мер, это следует задокументировать соответствующим образом.
Примеры:
• во время дополнительного анализа рисков было установлено, что в дополнение к мерам безопасности IT-Grundschutz аутентификация с помощью смарт-карт и частичное кодирование жестких дисков необходимо реализовать на NT клиентах, используемых для обработки данных персонала. Эти дополнительные меры заменят меры безопасности S 4.48 Защита пароля под Windows NT;
• в основной проверке безопасности было установлено, что мера безопасности S 1.24 Устранение водопровода не была реализована и из-за структурных соображений ее реализация не будет рентабельной. В качестве альтернативы, металлические листы, позволяющие отклонять воду, должны быть установлены под водными трубами, и это также будет проконтролировано водным сигнальным устройством. Сигнал будет послан ответственному, чтобы в случае повреждения любая утечка воды могла быть обнаружена и устранена.
Шаг 3: Оценка затрат и вовлеченности персонала
Так как бюджет для реализации мер безопасности ИТ всегда на практике ограничен, необходимо определить сколько понадобится инвестировать и сколько работы потребуется для каждой внедряемой меры. Следует различать разовые и повторяющиеся затраты денег/труда. На этом этапе следует заметить, что опыт показывает, что экономия на технологии часто приводит к постоянным трудовым затратам.
В этом отношении следует выяснить, все ли меры определенные безопасности организация может себе позволить. Если есть какие-либо меры безопасности, которые не могут быть профинансированы, то следует рассмотреть, какие альтернативные меры могут быть предприняты, или приемлем ли остаточный риск из-за неудачной реализации мер. Это решение должно быть зарегистрировано аналогичным образом.
Если финансовые и человеческие ресурсы, оцененные как необходимые, доступны, тогда можно перейти к следующему шагу. Во многих случаях должно быть принято решение об уровне ресурсов, доступных для реализации мер безопасности ИТ. Здесь рекомендуется, чтобы результаты изучения безопасности были представлены персоне, ответственной за принятие таких решений (руководство, ИТ менеджер, сотрудник отдела безопасности ИТ и т.д.). Чтобы держать ответственных лиц осведомленными о проблемах в безопасности, выявленные слабые места в защите (т.е. отсутствующие или только частично реализованные меры безопасности ИТ) должны быть представлены, основываясь на требованиях безопасности. К тому же, целесообразно подготовить информацию о затратах, необходимых для реализации недостающих мер безопасности. Затем должно быть принято решение относительно бюджета.
Если оказывается, что невозможно обеспечить бюджет, способный охватить реализацию всех недостающих мер безопасности, то следует указать остаточный риск от сбоя реализации или задержки внедрения определенных мер. Чтобы помочь в этом, можно использовать Таблицу мер-угроз безопасности из дополнительных материалов IT-Grundschutz, чтобы установить, какие угрозы уже не охватываются корректно. Остаточный риск, относящийся к любым случайным или преднамеренным угрозам, должен быть ясно описан и представлен руководству для принятия решения. Оставшиеся шаги могут быть выполнены только после того, как руководство приняло решение, что остаточный риск приемлем, т.к. руководство должно нести ответственность за последствия.
Шаг 4: Определение порядка реализации мер безопасности
Если существующий бюджет или человеческие ресурсы не соответствуют требованиям для немедленного внедрения всех недостающих мер, должна быть определена после последовательность, в которой эти меры будут реализовываться. Когда последовательность определена, следует рассмотреть следующие аспекты:
• порядок реализации должен быть установлен в соответствии с назначением жизненного цикла меры безопасности. В каждом модуле есть краткое описание, в котором указано, какие меры безопасности следует реализовать на каком этапе жизненного цикла, т.е. в каком порядке. Конечно, меры безопасности должны начинаться с этапа "Планирования и проектирования" перед тем, как работать в "Реализации" и "Работе";
• к тому же, степень относительно уровня, требуемого для Квалификации IT-Grundschutz, назначена каждой мере безопасности. Уровень квалификации (A-начальный, B-вторичный, C-сертификат, Z-дополнительный) меры безопасности обычно дает информацию о значении, которую она имеет в концепции ИТ-безопасности. A-меры безопасности обычно важные и поэтому должны быть реализованы в первую очередь;
• для некоторых мер безопасности логические соединения производят обязательный порядок. Таким образом, меры безопасности S 2.25 Документирование конфигурации системы и S 2.26 Назначение администратора и заместителя являются важными, но очень сложно реализовать S 2.25 без администратора;
• некоторые меры безопасности имеют широкое влияние, а другие – ограниченное. Обычно целесообразно посмотреть степень влияния;
• некоторые модули имеют большее воздействие на желаемый уровень безопасности чем другие. Меры безопасности из таких модулей должны иметь преимущество, особенно если они устраняют слабые места на участках, которые нуждаются в высокой защите. Поэтому в первую очередь должны быть защищены сервера (напр., внедрив модуль M 3.102 сервер Unix), а затем клиентские соединения с ними;
• модули, в которых много недостающих мер безопасности, представляют области с большим количеством уязвимых мест. Им также должно быть отдано преимущество.
Решение, на основании которого меры безопасности предпринимаются или отменяются, а также где остаточные риски приемлемы, должно быть аккуратно задокументировано на правовом основании. Когда есть сомнения, следует получить и записать дополнительные возможности, чтобы обеспечить данные (свидетельство, доказательства) желаемого уровня внимательности (тщательности), если есть дополнительные споры.
Шаг 5: Обсуждение задач и ответственности
После определения порядка реализации мер безопасности, необходимо обсудить, кто какую будет реализовывать и когда. Опыт показывает, что без такой регулировки реализация может быть существенно отсрочена или вообще не выполнена. Следует позаботиться о том, чтобы персона, кому назначена ответственность, обладала навыками и полномочиями для реализации мер безопасности, и чтобы необходимые ресурсы были доступны.
Также следует обсудить ответственную за контроль реализации персона, или того, кому будут отчитываться о реализации отдельных мер безопасности. Обычно это Сотрудник отдела безопасности ИТ, которому об этом сообщают. Следует проводить регулярные проверки в процессе реализации таким образом, чтобы она не задерживалась.
План реализации, который теперь следует завершить, должен содержать как минимум следующую информацию:
• Описание целевой операционной среды;
• Количество рассматриваемых модулей;
• Названия и описание мер безопасности;
• Расписание реализации мер;
• Структура бюджета;
• Лицо, ответственное за реализацию;
• Лицо, ответственное за контроль реализации.
Шаг 6: Меры безопасности, которые сопутствуют реализации
Также важно определить любые меры, которые требуется совершить параллельно реализации и спланировать их выполнение. В частности, такие меры включают те, которые разработаны для информирования персонала, а именно тех, кого затронут новые меры безопасности ИТ, а также осведомить их о важности защиты ИТ.
Рассматриваемый персонал должен пройти обучение, как правильно реализовывать и применять новые меры безопасности ИТ. Если такое обучение пропущено, то возможно, что меры безопасности могут быть нереализованы и/или они могут не достичь желаемого результата. К тому же сотрудники будут чувствовать себя информированными несоответствующим образом, что часто приводит к негативному отношению к безопасности ИТ.
После реализации и представления новых мер безопасности ИТ, Сотрудник отдела безопасности ИТ должен проверить принимают ли их сотрудники соответствующим образом. Если ясно, что новые меры безопасности не приняты, то сбои запрограммирован. Причины должны быть определении и устранены. Обычно это просто требует дополнительных объяснений к затронутым мерам.
Пример:
Выборки из вымышленного примера представлены ниже, чтобы показать шаги, перечисленные выше более детально. Таблица, приведенная ниже, показывает объединенный список мер безопасности, которые необходимо реализовать, вместе с оценкой связанных с ними затрат, которые являются результатом шагов 1-3.
Целевой объект | Модуль | Мера безопасности | Приоритет | Затраты | Заметки | ||
Вся организация | M 1.9: | S 2.11 условия, управляющие использованием паролей | P | a) €0 b) 2 рабочих дней c) €0ежегодно d) 0 рабочих дней ежегодно | |||
Серверная комната R 3.10 | M 2.4: | S 1.24 Устранение водопровода | X | a) €20000 b) 12 рабочих дней c) €0 ежегодно d) 0 рабочих дней ежегодно | Реализовывать эту меру безопасности нерентабельно. Вместо нее будет реализована мера безопасности A1 | ||
Серверная комната R 3.10 | M 2.4: | Z1 Установка металлических листов, чтобы отвести воду, контролируя с помощью водного сигнального устройства, которое предупреждает охранника | a) €4,000 b) 3 рабочих дней c) €0 ежегодно d) 0 рабочих дней ежегодно | Заменяет меру безопасности S 1.24 | |||
Сервер S4 | M 3,101: | M 1.28 Частичная приостановка источников питания | X | a) €1000 b) 1 рабочих дней c) €0 ежегодно d) 0 рабочих дней ежегодно | |||
C1 группа клиентов | M 3,207: | Z2 Смарт-карты, поддерживающие аутентификацию плюс частичное кодирование жестких дисков | a) €1400 b) 2 рабочих дней c) €0 ежегодно d) 2 рабочих дней ежегодно | Эта дополнительная мера безопасности заменяет меру безопасности S 4.1 в модуле M 1.9 | |||
... |
Ключ:
• мера безопасности
• Z1 = дополнительная мера 1 (в дополнение к мерам безопасности IT-Grundschutz)
• свойства
P = частично реализованная, X = отсутствует, не была реализована
• затраты:
• a) = единоразовые инвестиционные затраты
• b) = единоразовые расходы на персонал
• c) = повторяющиеся инвестиционные затраты
• d) = повторяющиеся расходы на персонал.
Здесь представлен табличный план реализации, который является результатом решений руководства из таблицы выше.
План реализации (на 01.09.04) | ||||||
Целевой объект | Модуль | Мера безопасности | Реализо-вать к | Ответственный персонал | Структура бюджета | Заметки |
Вся организация | M 1.9: | S 2.11 Условия, управляющие использованием паролей | 31.12.04 | a) A. Miller b) P. Meier | a) €0 b) 2 рабочих дней c) €0 ежегодно d) 0 рабочих дней ежегодно | |
Сервер-ная комната R 3.10 | M 2.4: | Z1 Установка металлических листов для отвода воды, контролируя с помощью водного сигнального устройства, которое оповещает охранника | 30.04.05 | a) C. Schmitzb) F. Hofmann | a) €1000 b) 1 рабочих дней c) €0 ежегодно d) 0 рабочих дней ежегодно | Установка листов только под новыми и канализационными трубами |
Сервер S4 | M 3,101: | M 1.28 Частичная приостановка источников питания | 31.10.04 | a) C. Schulz b) P. Meier | a) €500 b) 1 рабочих дней c) €0 ежегодно d) 0 рабочих дней ежегодно | |
C1 группа клиентов | M 3,207: | Z2 Смарт-карты, поддерживающие аутентификацию плюс частичное кодирование жестких дисков | 31.12.04 | a) C. Schulz b) P. Meier | a) €1400.- b) 2 рабочих дней c) €0.- ежегодно d) 2 рабочих дней ежегодно | |
... |
Ключ:
• Ответственность:
• a) = Ответственный за реализацию мер безопасности
• b) = Ответственный за наблюдение за реализацией
• Структура бюджета: доступный для реализации мер безопасности
• a) = единоразовые инвестиционные затраты
• b) = единоразовые расходы на персонал
• c) = повторяющиеся инвестиционные затраты
• d) = повторяющиеся расходы на персонал
Выполненные действия:
• Сведение в таблицу недостающих или частично реализованных мер безопасности IT-Grundschutz или дополнительных мер безопасности;
• Консолидация мер безопасности ИТ, т.е. удаление ненужных мер безопасности, адаптация общих мер безопасности к определенной ситуации и проверка всех мер безопасности на пригодность;
• Определение единоразовых и повторяющихся затрат и расходов для мер безопасности, которые необходимо реализовать;
• Определение замены мер безопасности для тех мер, которые не могут финансироваться или обеспечиваться;
• Принятие решения о том, какие ресурсы необходимо использовать для реализации мер безопасности;
• При необходимости подчеркните информацию об остаточном риске и получите ответ от руководства;
• Обсуждение, обоснование и документирование порядка реализации;
• Обсуждение конечных сроков реализации и назначение ответственности;
• Контроль реализации и следование назначенным срокам;
• Обучение и осведомление задействованных сотрудников;
• Проверка, приняты ли меры безопасности ИТ и усовершенствование их при необходимости.
Дата добавления: 2015-11-14; просмотров: 48 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Интеграция дополнительного анализа безопасности в подход IT-Grundschutz | | | Сертификация IT-Grundschutz |