Читайте также:
|
|
В Германии в 1998 г. вышло «Руководство по защите информационных технологий для базового уровня защищенности» [345]. Оно представляет собой гипертекстовый справочник объемом около 4 Мб (в формате HTML). Общая структура документа приведена на рис. 2.1.
Можно выделить следующие блоки этого документа:
– методология управления ИБ (организация менеджмента в области ИБ, методология использования руководства);
– компоненты информационных технологий:
- основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях);
- инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа);
- клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы);
- сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с ОС UNIX и Windows, разнородные сети);
- элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.);
- телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы);
- стандартное ПО;
- базы данных;
– каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге).
При этом все каталоги структурированы следующим образом.
Угрозы по классам:
– форс-мажорные обстоятельства;
– недостатки организационных мер;
– ошибки человека;
– технические неисправности;
– преднамеренные действия.
Контрмеры по классам:
– улучшение инфраструктуры;
– административные контрмеры;
– процедурные контрмеры;
– программно-технические контрмеры;
– уменьшение уязвимости коммуникаций;
– планирование действий в чрезвычайных ситуациях.
Все компоненты рассматриваются по такому плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данному компоненту угрозы из каталога угроз безопасности), возможные контрмеры (перечисляются возможные контрмеры из каталога контрмер). Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты информационных технологий и максимально учесть их специфику. Предполагается оперативное пополнение и обновление стандарта по мере появления новых компонентов. Версии стандарта на немецком и английском языках имеются на сайте BSI [346].
Этот информационный ресурс, безусловно, заслуживает внимания. Каталоги угроз безопасности и контрмер, содержащие по 600 позиций, являются наиболее подробными из общедоступных. Ими можно пользоваться самостоятельно - при разработке методик анализа рисков, управления рисками и при аудите информационной безопасности. Обзор каталогов (названия позиций) приводится в приложении 4.
Дата добавления: 2015-09-02; просмотров: 233 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Развитие стандарта BS 7799 (ISO 17799) | | | Сравнение стандартов ISO 17799 и BSI |