Information technology. Security techniques. Part 5. Management guidance on network security
Дата введения - 1 июня 2007 г.
Введен впервые
Введен впервые
1 Область применения
Настоящий стандарт представляет собой руководство по управлению безопасностью сетями для персонала, ответственного за эту деятельность, и содержит основные положения по выявлению и анализу факторов, имеющих отношение к компонентам безопасности связи. Эти факторы следует учитывать при установлении требований по безопасности сети.
Настоящий стандарт основан на положениях ИСО/МЭК 13335-4 путем описания метода идентификации и анализа выбора контролируемых зон, имеющих отношение к сетевым соединениям, с точки зрения обеспечения безопасности.
Аспекты детального проектирования и технической реализации контролируемых зон не входят в область применения настоящего стандарта. Такие рекомендации планируется включить в разрабатываемые международные документы.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ИСО/МЭК ТО 7498-1:1994 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Базовая модель
ИСО/МЭК ТО 7498-2:1998 Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты
ИСО/МЭК ТО 7498-3:1997 Информационная технология. Взаимодействие открытых систем. Базовая эталонная модель: присвоение имен и адресация
ИСО/МЭК ТО 7498-4:1989 Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 4. Структура управления
ИСО/МЭК 13335-1:2004 Информационная технология. Методы обеспечения менеджмента безопасности информационных и телекоммуникационных технологий. Часть 1. Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий
ИСО/МЭК ТО 13335-3:1998 Информационная технология. Рекомендации по менеджменту безопасности информационных технологий. Часть 3. Методы управления безопасностью информационных технологий
ИСО/МЭК ТО 13335-4:2000 Информационная технология. Рекомендации по менеджменту безопасности информационных технологий. Часть 4. Выбор мер защиты
ИСО/МЭК 13888 (все части) Информационная технология. Методы защиты. Строгое выполнение обязательств
ИСО/МЭК ТО 14516:2002 Информационная технология. Руководящие указания по использованию и управлению услугами доверительной третьей стороны
ИСО/МЭК ТО 15947:2002 Информационная технология. Методы защиты. Основные положения по обнаружению проникновения в информационные технологии
Ссылки на другие документы, имеющие отношение к рассматриваемой теме, приведены в библиографии [1] - [3].
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 13335-1.
4 Обозначения и сокращения
В настоящем стандарте применены следующие обозначения и сокращения:
| EDI | - электронный обмен данными; |
| IP | - протокол Интернет; |
| ИТ | - информационная технология; |
| ПК | - персональный компьютер; |
| PIN | - личный идентификационный номер; |
| SecOPs | - защитные операционные процедуры. |
5 Структура
Настоящий стандарт основан на следующем подходе: вначале проводится процесс идентификации и анализа факторов, влияющих на средства связи, в целях установления требований по сетевой безопасности, и затем определяются потенциальные контролируемые зоны. При этом указывается, где можно использовать соответствующие положения других частей ИСО/МЭК 13335.
В настоящем стандарте приведено описание трех основных критериев идентификации потенциальных контролируемых зон в помощь лицам, ответственным за обеспечение безопасности ИТ. Эти критерии распознают:
1) разные типы сетевых соединений;
2) характеристики разной организации сети, соответствующие доверительные отношения и
3) потенциальные виды рисков обеспечения безопасности, связанного с сетевыми соединениями (использованием услуг, предоставляемых через эти соединения).
Результаты комбинирования этих критериев затем используют для индикации потенциальных контролируемых зон. Приводится также краткое описание потенциальных контролируемых зон с указанием источников, где они характеризуются более подробно.
6 Цель
Цель настоящего стандарта - дать руководство для идентификации и анализа факторов, относящихся к безопасности средств связи. Эти факторы следует учитывать для того, чтобы устанавливать требования по безопасности сети и указывать на потенциальные контролируемые зоны.
7 Общее представление
7.1 Предпосылка
Государственные и коммерческие организации в большой степени полагаются на использование информации при ведении своего бизнеса. Нарушение таких характеристик информации и услуг, как конфиденциальность, целостность, доступность, неотказуемость, подотчетность, аутентичность и достоверность, может иметь неблагоприятное воздействие на деловые операции и бизнес организации. Поэтому существует необходимость в обеспечении безопасности информации и управлении безопасностью систем ИТ в пределах организации.
Необходимость в обеспечении безопасности информации особенно важна в современном информационном пространстве, так как многие системы ИТ организаций объединяются в сети. Сетевые соединения могут находиться в границах самой организации, между разными организациями и иногда между организацией и сетями общего пользования. Государственные и коммерческие организации ведут свою деятельность универсально. Поэтому организации зависят от всех видов связи - от использующих автоматизированные системы информационного обслуживания до использующих "классические" средства. Их потребности в сетях должны быть удовлетворены, при этом обеспечению безопасности сетей придается все большее значение.
Рекомендации по идентификации и анализу факторов, относящихся к обеспечению безопасности средств связи, приведены в 7.2. Эти факторы следует принимать во внимание для того, чтобы устанавливать требования к безопасности сетей и указывать на потенциальные контролируемые зоны. Эти процессы более подробно рассмотрены в последующих разделах.
7.2 Процесс идентификации
При рассмотрении сетевых соединений всем ответственным специалистам организации следует четко представлять себе требования бизнеса и преимущества конкретных средств связи. Кроме того, специалисты и другие пользователи соединений должны быть осведомлены о рисках обеспечения безопасности и соответствующих контролируемых зонах сетевых соединений. Требования бизнеса и преимущества в обеспечении безопасности оказывают влияние на многие решения и действия, осуществляемые в процессе рассмотрения сетевых соединений, выявления контролируемых зон и последующего выбора, проектирования, внедрения и поддержания безопасности с помощью защитных мер. Следовательно, в течение всего процесса следует помнить об этих требованиях бизнеса и ожидаемых преимуществах. Для того, чтобы идентифицировать заданные требования безопасности, имеющие отношение к сети, и контролируемые зоны, необходимо решить следующие задачи:
- анализ общих требований к обеспечению безопасности сетевых соединений, изложенных в политике безопасности ИТ организации (см. раздел 8);
- анализ сетевой структуры и ее применения, который имеет отношение к сетевым соединениям, чтобы иметь необходимую основу для выполнения последующих задач (см. раздел 9);
- идентификация типа или типов рассматриваемого соединения сети (см. раздел 10);
- анализ характеристик предложенного объединения в сеть (используя при необходимости имеющуюся информацию о применении структуры сети) и связанные с этим доверительные отношения (см. раздел 11);
- определение видов рисков безопасности, если это возможно, с помощью анализа рисков и управления результатами проведенного анализа, включая оценки деловых операций и информацию, которую предполагается передавать через соединения, и любую другую информацию, потенциально доступную для несанкционированного получения через эти соединения (см. раздел 12);
- идентификация потенциально контролируемых зон, которые могут быть использованы на основе анализа типа(ов) соединения и характеристик организации сети и связанных с этим доверительных отношений, а также видов установленных рисков безопасности (см. раздел 13);
- разработка документации и анализ вариантов структуры обеспечения безопасности (см. раздел 14);
- распределение задач по детальному выбору защитных мер, проектированию, реализации и их обслуживанию, используя идентифицированные потенциально контролируемые зоны и согласованную структуру обеспечения безопасности (см. раздел 15).