Широкий комплекс методологических задач, которые необходимо решать при проектировании
безопасности систем, отражает стандарт ISO 13335:1996-1998 — 1-5 .
Руководство по управлению безопасностью. В его пяти частях
- Концепция и модели обеспечения безопасности информационных технологий;
- Планирование и управление безопасностью информационных технологий;
- Техника управления безопасностью ИТ;
- Селекция (выбор) средств обеспечения безопасности;
- Безопасность внешних связей
внимание сосредоточено на основных принципах и методах проектирования, равнопрочных
систем обеспечения безопасности информационных систем от угроз различных
видов. Это руководство достаточно полно систематизирует основные методы и
процессы подготовки проекта защиты для последующей разработки конкретной
комплексной системы обеспечения безопасности функционирования ИС. Изложение
базируется на понятии риска от угроз любых негативных воздействий на ИС.
В первой части стандарта представлены функции средств защиты и необходимые
действия по их реализации, модели уязвимости и взаимодействие средств защиты.
При проектировании систем защиты, рекомендуется учитывать: необходимые функции
защиты; угрозы; уязвимость; негативные воздействия; риски; защитные меры;
ресурсы (аппаратные, информационные, программные, специалистов) и их ограниченность.
В остальных частях стандарта предложена и развивается концепция и модель
управления и планирования построения системы обеспечения безопасности, упрощенная
схема компонентов которой представлена на Рис.
3.
Рисунок 3.
Исходные
данные: угрозы, критерии защиты, ресурсы - предварительный анализ их
влияния на безопасность ИС |
Общая
политика построения защиты ИС - выделение объектов защиты, управление
их взаимодействием и объединение компонентов средств защиты |
Предварительный
план проектирования защиты ИС: оценка доступных средств, анализ и планирование
разработки и интеграции средств защиты |
Организационные
аспекты защиты ИС - формирование обязательств поставщика и обязанностей
специалистов по созданию равнопрочной защиты |
Стратегия
защиты на основе анализа рисков - факторный и информационный методы,
детальный анализ рисков |
Результирующая
концепция построения системы защиты ИС - варианты средств защиты, утверждение
допустимых рисков |
Систематизированная
политика построения и совершенствования системы защиты ИС |
Утвержденные
планы организации и проведения работ по защите ИС |
Комплекс
методов, средств и их взаимодействия в проекте системы защиты ИС |
Оценка
достиганмой защищенности ИС - планирование совершенствования системы
защиты, регистрации и мониторинга инцидентов |
В стандарте выделены функциональные компоненты и средства обеспечения безопасности,
а также их взаимодействие. Процессы управления безопасностью должны включать:
- управление изменениями и конфигурацией функций и компонентов системы
безопасности;
- анализ и управление рисками;
- прослеживаемость функций и результатов комплексов средств обеспечения
безопасности;
- регистрацию, обработку и мониторинг инцидентов.
Приводятся общие требования к оценке результатов обеспечения безопасности,
а также возможные варианты организации специалистов для комплексного обеспечения
безопасности ИС. Систематизирована политика и техника планирования, выбора,
построения и использования средств обеспечения безопасности для ограничения
допустимых рисков при различных схемах взаимодействия и средствах защиты.
Рекомендуются различные подходы и стратегии при создании систем защиты и
поддержке их последующего развития. Содержание частей стандарта детализирует
общие концепции и достаточно точно определяется их названиями. Изложенную
в стандарте модель планирования обеспечения безопасности, целесообразно конкретизировать
и использовать как фрагмент проекта функциональной безопасности ПС.
содержание назад вперед
🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях
Виртуальные VPS серверы в РФ и ЕС
