Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Моделирование ИТ-ресурсов

Методология IT-Grundschutz | IT Анализ структуры | Сбор информации об ИТ-системах | Сбор информации об ИТ-приложениях и относящихся к ним данных | Регистрация участков | Определение требований безопасности для ИТ-приложений | Кастомизация таблицы назначений | Определение требований безопасности для ИТ-систем | Представление результатов | Определение требований безопасности для линий связи |


Читайте также:
  1. D-моделирование) автобусной остановки
  2. Компьютерное Моделирование системы в пакете Model Vision Studium
  3. Лофтинг-моделирование рамы
  4. Моделирование
  5. Моделирование бизнеса. П и О модели проектирования информационного управления.
  6. Моделирование Вселенной
  7. Моделирование данных

Не делается различий между созданными моделями IT-Grundschutz, состоят ли ИТ-ресурсы их ИТ-систем уже действующих или рассматриваемые ИТ-ресурсы все еще на стадии планировании. Однако, модель может использоваться по-разному, в зависимости от того, ресурсы уже используются или еще нет.

• Модель IT-Grundschutz для ИТ-ресурсов, которые уже используются, определяет стандартные меры безопасности, которые относятся непосредственно к используемым модулям. Ее можно использовать как план тестирования для выполнения сравнений;

• В отличие от этого, модель IT-Grundschutz для запланированного набора ИТ-ресурсов, представляет концепцию развития. При помощи выбранных модулей, она определяет, какие стандартные меры безопасности должны внедряться, когда ИТ-ресурсы поступают в работу.

 

Диаграмма, показанная ниже, поясняет роль моделирования и его возможные результаты:

Рисунок: Результат моделирования IT-Grundschutz

Обычно, набор используемых ИТ-ресурсов будет содержать не только элементы уже внедренные, но также элементы, которые находятся на стадии планирования. Результирующий модуль IT-Grundschutz содержит и план тестирования и дополнительные элементы концепции развития. Все меры безопасности ИТ, предусмотренные в плане тестирования или концепции развития, совместно формируют основу для разработки концепции безопасности ИТ. В дополнение к мерам внедренным безопасности, которые были определены во время процесса сравнения как несоответствующие или отсутствующие, эта модель содержит их для частей ИТ-ресурсов, которые еще только планируются.

Чтобы отобразить в общем сложные ИТ-ресурсы, используя модули IT-Grundschutz, уместно рассмотреть аспекты безопасности ИТ как сгруппированные по отдельным темам.

 

Рисунок: Уровни в модели IT-Grundschutz

Аспекты безопасности ИТ набора ресурсов ИТ относятся к отдельным уровням следующим образом:

• Уровень 1 охватывает общие аспекты безопасности ИТ, которые применяются в равной степени ко всем или к большинству ИТ-ресурсов. Это относится в частности к общей концепции и итоговым требованиям. Модули типичного уровня 1 включают "Управление безопасностью ИТ", "Организацию", "Политику резервирования данных" и "Концепцию защиты компьютеров от вирусов".

•Уровень 2 имеет отношение к архитектурным и структурным факторам, в которых объединены аспекты инфраструктурной безопасности. Это влияет особенно на здание, серверную комнату, защитный шкаф и модули домашнего рабочего места.

• Уровень 3 относится к отдельным ИТ-системам в ИТ-ресурсах, которые были объединены в группы как требуется. Относится к проблемам ИТ безопасности клиентов, серверов и отдельных систем. Этот уровень охватывает, напр., оборудование связи, ноутбуки и клиентские модули с Windows 2000.

• Уровень 4 рассматривает сетевые вопросы ИТ-систем, которые не относятся к отдельным ИТ-системам, но относятся к сетевым соединениям и связям. Сюда относятся, напр., гетерогенные сети, модемы и модули удаленного доступа.

• Наконец, уровень 5 имеет дело с реальными ИТ-приложениям, которые используют ресурсы ИТ. Этот уровень включает почту, web сервер, факс сервер и базы данных для модулей моделирования.

 

Использование этого поуровневого подхода имеет следующие преимущества:

• Уменьшается сложность защиты ИТ, т.к. отдельные аспекты делятся осмысленным образом;

• Так как аспекты более высокого порядка и обычные вопросы инфраструктуры рассматриваются отдельно от ИТ-систем, избегается дублирование попыток, т.к. с этими аспектами следует иметь дело один только раз, а не повторно для каждой ИТ-системы.

• Разные уровни определены, таким образом ответственность за рассматриваемые аспекты сгруппирована. Уровень 1 связан с фундаментальными вопросами, относящимися к использованию ИТ, Уровень 2 – с узлом технического обслуживания, Уровень 3 – с вопросами, которые касаются администраторов и пользователей ИТ, Уровень4 – с вопросами, которые касаются сетевых и системных администраторов, и наконец, Уровень 5 – с вопросами, которые касаются ответственных за ИТ-приложения или тех, кто их запустил.

• Разбиение аспектов безопасности на уровни делает возможным простое обновление и расширение отдельных предметных областей в пределах будущих концепций безопасности ИТ, без существенного влияния на другие уровни.

 

Моделирование IT-Grundschutz ведет к определению могут ли, если да, то как, модули данного уровня использоваться для отображения ресурсов ИТ. В зависимости от рассматриваемого модуля, объекты, отображаемые таким образом, могут быть различных типов: отдельные бизнес-процессы или компоненты, группы компонентов, здания, свойства, организационные единицы и т.д.

Модель IT-Grundschutz, т.е. распределение модулей между целевыми объектами, следует регистрировать в форму таблицы, содержащей следующие колонки:

• Номер и название модуля;

• Целевой объект или целевая группа. Напр., это может быть идентификационный номер компонента или группы либо наименование здания или организационной единицы;

• Контактное лицо: эта колонка первоначально служит только меткой. Контактное лицо не определяется на этапе моделирования, а только на стадии, когда планируется цель в основной проверке безопасности;

• Заметки: Второстепенная и не основная информация по моделированию, может быть записана в эту колонку.

 

Пример: Bundesamt für Organisation und Verwaltung (Федеральная служба организации и администрирования, Federal Agency for Organisation and Administration, BOV) – Часть 8

Таблица, показанная ниже, ‑ выборка из моделирования, выполненного для вымышленного отдела BOV.

No. Имя модуля Целевой объект / целевая группа Контакт-ное лицо Заметки
1.1 Организация Узел в Бонне   Модуль Организация должен прорабатываться отдельно для Боннского и Берлинского узлов, так как в Берлине есть свои организационные процедуры
1.1 Организация Узел в Берлине    
1.2 Персонал Весь BOV   Отдел персонала BOV находится в Бонне
2.5 Архивы носителей данных R U.02 (Бонн)   Резервные носители данных находятся на этом участке
3.203 Ноутбук C5   Ноутбуки в Бонне/Берлине в каждом случае объединяются в одну группу
3.203 Ноутбук C6    
5.4 Web сервер S5   S5 работает как сервер для внутренней сети
5.7 Базы данных S5   База данных используется на сервере

 

Детальное описание этого подхода к моделированию ИТ-ресурсов находится в разделе "Модель уровней и моделирование" Каталогов IT-Grundschutz. Текущую версию Каталогов IT-Grundschutz [GSHB] можно загрузить с web-сервера BSI. Особенная важность здесь придается любым ограничениям, которые применяются, когда уместно использовать данный модуль и к каким целевым объектам его следует применить.

Выполненные действия:

• Систематическая проработка раздела "Модель уровней и моделирование" в Каталогах IT-Grundschutz;

• Определение целевых объектов в рассматриваемых ИТ-ресурсах, к которым каждый модуль Каталогов IT-Grundschutz должен применяться;

• Регистрация назначения модулей к целевым объектам ("Модель IT-Grundschutz") и соответствующих контактных лиц;

• Отметить целевые объекты, которые не могут быть смоделированы соответствующим образом для дополнительного анализа безопасности.

 


Дата добавления: 2015-11-14; просмотров: 46 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Области с переменными требованиями безопасности| Организационная предварительная работа

mybiblioteka.su - 2015-2024 год. (0.007 сек.)