На основе анализа взаимосвязи компонентов безопасности, представленной на рисунке 1, модель безопасности может быть представлена пятью возможными сценариями. Эти сценарии включают в себя:
- сценарий 1 - защитная мера S может быть эффективна для снижения рисков R, связанных с угрозой Т, способной использовать уязвимость актива V. Угроза может достичь цели, только если активы уязвимы для данной угрозы;
- сценарий 2 - защитная мера может быть эффективной для снижения риска, связанного с угрозой, использующей группу уязвимостей актива;
- сценарий 3 - группа защитных мер может быть эффективна в снижении рисков, связанных с группой угроз, использующих уязвимость актива. Иногда требуется несколько защитных мер для снижения риска до приемлемого уровня для получения допустимого остаточного риска RR;
- сценарий 4 - риск считают приемлемым и никакие меры не реализуются даже в присутствии угроз и при наличии уязвимостей актива;
- сценарий 5 - существует уязвимость актива, но не известны угрозы, которые могли бы ее использовать.
В качестве защитной меры может быть использован мониторинг угроз для того, чтобы убедиться, что угрозы, способные использовать уязвимость актива, не появились. Ограничения влияют на выбор защитных мер.
Ограничения
 | |
| 1601 × 1273 пикс. Открыть в новом окне | |
Любая ИТТ включает в себя активы (в первую очередь информацию, а также технические средства, программное обеспечение, связь и т.д.), важные для успешной деятельности организации. Эти активы представляют для организации ценность, которая обычно определяется по их влиянию на бизнес-операции неавторизованного раскрытия информации, ее модификации или отказа от авторства, а также недоступностью или разрушением информации или услуг. Для того, чтобы точнее оценить реальное значение воздействия, вначале его определяют вне зависимости от угроз, которые могут его вызвать. Затем отвечают на вопрос о том, какие угрозы могут возникнуть и вызвать подобное воздействие, какова вероятность их появления и могут ли активы подвергаться нескольким угрозам. Далее изучают вопрос о том, какие уязвимости активов могут быть использованы угрозами для того, чтобы вызвать воздействие, т.е. могут ли угрозы использовать уязвимости, чтобы воздействовать на активы. Каждый из этих компонентов (ценности активов, угрозы и уязвимости) может создать риск. От оценки риска далее зависят общие требования безопасности, которые выполняются или достигаются реализацией защитных мер. В дальнейшем применение защитных мер снизит риск, защитит от воздействия угроз и уменьшит уязвимость активов.
Взаимосвязь защитных мер и риска, показывающая эффективность некоторых защитных мер в снижении риска, представлена на рисунке 2. Часто требуется применение нескольких защитных мер для снижения риска до приемлемого уровня. Если риск считается приемлемым, то реализация защитных мер не требуется.
 | |
| 1735 × 1312 пикс. Открыть в новом окне | |
4 Цели, стратегии и политика
В качестве основы действенной безопасности ИТТ организации должны быть сформулированы цели, стратегии и политика безопасности организации. Они содействуют деятельности организации и обеспечивают согласованность всех защитных мер. Для того, чтобы обеспечить подобную согласованность, особенно важно, чтобы цели, стратегия и политика безопасности были интегрированы в программы обучения и повышения квалификации в области безопасности.
Цели (чего необходимо достичь), стратегии (способы достижения цели), политика (правила, которые следует соблюдать при реализации стратегий) и процедуры (методы осуществления политики) могут быть определены и раскрыты в соответствующих подразделениях и на соответствующих уровнях организации. Руководящие документы должны отражать организационные требования и учитывать организационные ограничения. Поскольку многие угрозы (например атаки хакеров, удаление файлов, пожар) являются распространенными, важна согласованность между соответствующими документами.
Более того, общие цели, стратегии и политика должны быть отражены и уточнены в детальных и специфических целях, политике и процедурах во всех сферах интереса организации, таких как управление финансами, персоналом и безопасностью. Далее безопасность подразделяют на составляющие (связанную с персоналом, физическую, информационную, ИТТ безопасность и т.д.). Иерархия документации должна поддерживаться и актуализироваться по результатам периодического анализа безопасности (например по результатам оценки рисков, внешнего и внутреннего аудита безопасности) и в связи с изменениями целей деятельности организации.
Цели, стратегии, политика и методы безопасности ИТТ должны отображать то, что ожидается от ИТТ в сфере безопасности. Как правило, их излагают на общепринятом языке, однако в некоторых случаях может возникнуть и потребность изложить их более формально с использованием специфической терминологии. Цели, стратегия, политика определяют уровень безопасности для организации и порог приемлемого риска.
4.1 Цели и стратегии безопасности информационно-телекоммуникационных технологий
После установления целей безопасности ИТТ организации должны быть разработаны стратегии безопасности ИТТ, являющиеся фундаментом развития политики безопасности ИТТ организации. Развитие безопасности ИТТ необходимо для того, чтобы гарантировать достоверность и эффективность результатов процесса управления рисками. Для развития и успешной реализации политики безопасности ИТТ в организации требуется обеспечить ее всестороннее управление. Важно, чтобы политика безопасности ИТТ учитывала цели и особенности данной организации. Политика безопасности ИТТ должна объединяться с политикой безопасности и бизнес-политикой организации. Такое объединение поможет достичь наиболее эффективного использования ресурсов и обеспечить согласованный подход к безопасности в различных условиях окружающей среды.
Может оказаться необходимым развивать отдельные специфические аспекты политики безопасности для каждой или нескольких ИТТ. Эти направления должны базироваться на оценке риска и согласовываться с политикой безопасности ИТТ, тем самым учитывая рекомендации по безопасности для тех систем, с которыми они связаны.
В качестве первого шага к процессу управления безопасностью ИТТ можно рассмотреть вопрос о том, насколько широки границы уровня риска, приемлемого для организации. Тщательное определение приемлемых рисков и, следовательно, соответствующего уровня безопасности - это ключ к успешному управлению безопасностью.
Необходимость задания широких границ допустимого риска безопасности диктуется задачами безопасности ИТТ, которые должна выполнить организация. Для решения задач обеспечения безопасности нужно идентифицировать активы организации и провести оценку их ценности. При идентификации и оценке ценности активов необходимо учитывать роль, которую они играют в поддержании деятельности организации. ИТТ является лишь частью активов организации.
Чтобы оценить, в какой мере бизнес организации зависит от ИТТ, необходимо рассмотреть вопросы о том:
- какие важные составляющие бизнеса не могут осуществляться без ИТТ;
- какие задачи могут быть решены только при помощи ИТТ;
- какие важные решения зависят от конфиденциальности, целостности, доступности, неотказуемости, подотчетности и аутентичности информации, хранимой или обрабатываемой ИТТ, или оттого, насколько эта информация актуальна;
- какая хранимая или обрабатываемая информация должна защищаться;
- каковы для организации последствия инцидента безопасности?
Ответы на эти вопросы позволят установить задачи безопасности ИТТ организации. Если, например, некоторые важные или очень важные составляющие деятельности организации зависят от точности или актуальности информации, то одной из задач безопасности организации может стать обеспечение целостности и обновляемости информации в процессе ее хранения и обработки ИТТ. Определяя задачи безопасности ИТТ, необходимо также рассмотреть задачи бизнеса и их связь с безопасностью.
В зависимости от целей безопасности ИТТ необходимо согласовать стратегию достижения этих целей. Выбранная стратегия должна соответствовать ценности защищаемых активов. Если, например, ответ на один или более вопросов, рассмотренных выше, выявляет сильную зависимость от ИТТ, то организация, скорее всего, должна предъявлять высокие требования к безопасности ИТТ, и целесообразно выбирать стратегию, достаточную для выполнения этих требований.
Основные положения стратегии безопасности ИТТ сводятся к тому, как организация будет достигать своих целей в области безопасности ИТТ. Вопросы, к которым должна обращаться стратегия, будут зависеть от числа, вида и важности этих целей. Для организации обычно важно применять типовые решения этих вопросов. Характер вопросов может быть как очень конкретным, так и общим.
Примеры
1 Конкретный вопрос: организация (в силу специфики своей деятельности) может иметь первоочередной целью безопасности ИТТ обеспечение постоянной доступности всех своих систем. В этом случае одна из составляющих стратегии может быть направлена на уменьшение вероятности заражения вирусами путем установки антивирусного программного обеспечения.
2 Общий вопрос: организация, осуществляющая продажу своих информационно-телекоммуникационных услуг, может поставить целью безопасности ИТТ доказать потенциальным клиентам, что ее собственные системы организации защищены. В этом случае частью стратегии будет аттестация системы по требованиям безопасности информации, проведенная уполномоченной сторонней организацией.
Другими возможными аспектами стратегии безопасности ИТТ, в силу специфических задач или их комбинаций, могут быть:
- стратегия оценки риска и методы, адаптируемые в рамках организации;
- комплексная политика безопасности ИТТ для каждой системы;
- организационные методы безопасности для каждой системы;
- схема классификации ИТТ систем;
- осознание необходимости безопасности и повышение квалификации в области безопасности:
- условия безопасности соединений, которые должны выполняться и проверяться перед осуществлением соединения с другими устройствами;
- стандартные схемы управления инцидентами информационной безопасности в рамках всей организации.
После определения стратегия безопасности и ее составляющие должны быть включены в политику безопасности ИТТ организации.
4.2 Иерархия политик
Политика безопасности организации может состоять из принципов безопасности и директив для организации в целом. Политика безопасности организации должна отражать более широкий круг аспектов политики организации, включая аспекты, которые касаются прав личности, законодательных требований и стандартов.
Политика информационной безопасности может содержать принципы и директивы, специфичные для защиты чувствительной и ценной или иной важной для организации информации. Содержащиеся в ней принципы строятся на основе принципов политики безопасности и, таким образом, согласованы с ними.
Политика безопасности ИТТ организации должна отражать существенные принципы безопасности ИТТ и директивы, применимые к политике безопасности и политике информационной безопасности, и порядок использования ИТТ в организации.
Политика безопасности ИТТ должна отражать принципы безопасности и директивы, содержащиеся в политике безопасности ИТТ организации. Она должна также содержать детали особых требований безопасности и защитных мер, подлежащих реализации, и процедуры правильного использования защитных мер для обеспечения адекватной безопасности. Во всех случаях важно, чтобы принятый подход был эффективен в отношении потребностей бизнеса организации.
В некоторых случаях политика безопасности ИТТ может быть включена в состав технической и управленческой политики организации, которые вместе составляют основу политики ИТТ. Эта политика должна содержать несколько убедительных положений важности безопасности, если она необходима для соблюдения данной политики. Пример иерархических отношений, которые могут возникать между политиками, показан на рисунке 3. Вне зависимости от организационной структуры или документации, принятой в организации, важно, чтобы учитывались различные стороны политики и поддерживалась их согласованность.
Другие более детальные политики безопасности требуются для специфических систем и услуг или групп ИТТ и услуг. Эти политики обычно известны как политики безопасности ИТТ. С позиций управления очень важно, чтобы их предмет и границы были ясны и базировались одновременно на бизнес-требованиях и технических требованиях.