Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница3/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   2   3   4   5   6   7   8   9   ...   17

NIST 800-26 «Руководство по самооценке безопасности для систем информационной технологии»

Документ «Руководство по самооценке безопасности для систем информационной технологии» (NIST Special Publication 800-26 Security Self-Assessment Guide for Information Technology Systems) определяет метод для проведения самооценки безопасности систем или групп взаимосвязанных систем. Кроме того, он обеспечивает руководство по использованию результатов самооценки для определения состояния программы информационной безопасности в масштабе организации. Результаты получаются в той форме, которую легко использовать для определения того, какого из пяти уровней, установленных в документе «Федеральная структура оценки безопасности информационных технологий» (Federal Information Technology Security Assessment Framework), организация достигает для каждой тематической области средств управления, охватываемой в анкете.

Данный документ служит дополнением к «Федеральной структуре оценки безопасности информационных технологий», разработанной Национальным институтом стандартов и технологий (National Institute of Standards and Technology, NIST) для Федерального совета директоров по информационным технологиям (Federal Chief Information Officer Council). Он обеспечивает руководство по применению «Федеральной структуры оценки безопасности информационных технологий» путем идентификации семнадцати областей средств управления.

Кроме того, данное Руководство определяет цели и методы управления, которые могут быть измерены для каждой области.

Документ может использоваться руководителями любого уровня и теми лицами, которые несут ответственность за безопасность ИТ на системном и организационном уровнях. Кроме того, внутренние и внешние аудиторы могут использовать анкету как руководство при проведении анализа безопасности ИТ систем.

Данный документ содержит обширную анкету, определяющую специфические цели и методы управления, использование которых позволяет тестировать и измерять безопасность системы или группы взаимосвязанных систем.

Предлагаемая анкета представляет собой инструмент для выполнения внутренней оценки имеющихся средств управления для главного приложения или системы общей поддержки. Перед тем как использовать анкету, необходимо определить границы системы, а также чувствительность и критичность информации, содержащейся в ней, обрабатываемой или передаваемой системой (системами).

Система идентифицируется посредством определения границ вокруг совокупности процессов, коммуникаций, памяти и связанных ресурсов. Элементы внутри данных границ составляют единую систему, каждый элемент которой должен:

  • находиться под одним и тем же административным средством управления;

  • иметь одну и ту же функцию или цель выполнения; иметь одни и те же операционные характеристики и требования безопасности;

  • находиться в одной и той же общей операционной среде.

Важный элемент оценки — определение эффективности граничных средств управления безопасностью, если система является частью взаимосвязанных систем. Граничные средства управления должны защищать систему или группу систем от несанкционированных воздействий. Если такие граничные средства управления неэффективны, тогда безопасность анализируемых систем зависит от безопасности других систем, связанных с ними. Если отсутствуют эффективные граничные средства управления, то руководством указывается необходимость определять и документировать адекватность средств управления каждой системы, которая связана с рассматриваемой системой.

Эффективное использование анкеты предполагает понимание значимости оцениваемых систем и информации. Оценка может выражаться в уровне чувствительности или критичности систем и информации относительно каждой из пяти категорий защиты:

  • целостности,

  • конфиденциальности,

  • доступности,

  • аутентичности,

  • неотказуемости.

Причем аутентичность и неотказуемость рассматриваются как свойства целостности. Руководство предлагает три степени чувствительности: высокую, среднюю и низкую. Например, система и ее информация могут требовать высокую степень целостности и доступности, но низкую степень конфиденциальности.

Оценочная анкета содержит три раздела: титульный лист, вопросы и примечания. Анкета начинается с титульного листа, требующего описательную информацию о главном приложении, системе общей поддержки или группе оцениваемых взаимосвязанных систем. Анкета обеспечивает иерархический подход к оценке системы посредством включения критических элементов и второстепенных вопросов.

Уровень критических элементов следует определять на основе ответов на второстепенные вопросы. Второстепенные вопросы отражают цели и методы управления, которые могут реализовываться для соответствия критическим элементам. Допускается, что не все цели и методы

управления требуются для достижения критического элемента. В качестве примера на рисунке 11 представлена часть анкеты из рассматриваемого Руководства.



Организация может дополнять вопросы, но из анкеты не разрешается удалять вопросы или модифицировать их. После каждого вопроса следует поле комментария и начальное поле. Поле комментария может использоваться для того, чтобы делать ссылку на поддерживающую документацию, которая прилагается к анкете. Начальное поле может использоваться, если принимается решение (на основе результатов оценки риска) не реализовывать средство управления или если средство управления является неприменимым для системы.

Вопросы делятся на три основные области управления:

1) административные средства управления;

2) операционные средства управления;

3) технические средства управления.

В каждой из трех областей управления имеется несколько тем: например, безопасность персонала, планирование чрезвычайных ситуаций и реагирование на инциденты представляют собой темы, находящиеся в операционной области управления. В анкете в общей сложности семнадцать тем; каждая тема содержит критические элементы и поддерживающие цели и методы управления безопасностью (вопросы) относительно системы. Если некоторые цели и методы управления не реализовываются, это не удовлетворяет требованиям критических элементов.

Каждая цель и метод управления могут или не могут реализовываться в зависимости от системы и риска, связанного с системой. По каждому вопросу, касающемуся целей и методов управления, осуществляется ссылка на один или более документов-первоисточников.

Области управления безопасностью, предлагаемые данным Руководством для оценивания, представлены на рисунке 12.



Для того чтобы измерять реализацию необходимого средства управления безопасностью, предлагается пять уровней эффективности для каждого ответа на вопрос о средстве управления безопасностью:

  • уровень 1 — цель средства управления задокументирована в политике безопасности;

  • уровень 2 — средства управления безопасностью задокументированы в качестве процедур;

  • уровень 3 — процедуры реализованы;

  • уровень 4 — процедуры и средства управления безопасностью тестируются и анализируются;

  • уровень 5 — процедуры и средства управления безопасностью полностью интегрируются во всеобъемлющую программу.

Метод для ответов на вопросы может основываться прежде всего на рассмотрении имеющих отношение к вопросам документов и тщательном исследовании и тестировании средств управления. Анализ, например, должен состоять из:

  • тестирования имеющихся методов управления доступом путем выполнения испытания на проникновение;

  • рассмотрения системной документации, такой, как формы запросов на изменение программного обеспечения, планы тестирования и приемки;

  • просмотра журналов безопасности и записей аудита.

Эксперт должен по каждому вопросу определить совместно с владельцем системы и с теми, кто несет ответственность за администрирование системы, подтверждает ли уровень чувствительности системы реализацию средства управления, определенного в вопросе. Если средство управления применяется, то следует проверить, имеются ли документированные политики (уровень 1), процедуры для реализации средства управления (уровень 2), реализовывается ли средство управления (уровень 3), тестируется ли средство управления, и, если оно оказывается неэффективным, исправляется ли (уровень 4) и является ли средство управления частью культуры организации (уровень 5).

На основе ответов на вопросы, касающиеся целей и методов управления, совместно с владельцем системы и с теми, кто несет ответственность за администрирование системы, эксперту следует сделать вывод об уровне критического элемента. Вывод должен учитывать относительную важность каждой цели/метода для достижения критического элемента и точность, с которой метод реализовывается, эксплуатируется и тестируется.

Анкета может использоваться в двух целях. Во-первых, руководителями организации, которые знают системы своей организации и средства управления безопасностью, для того чтобы определить, где для системы, группы систем или всей организации требуется повышение безопасности. Во-вторых, ее можно использовать в качестве руководства для всесторонней оценки уровня безопасности системы.

Результаты таких анализов могут служить для:

  • отчета о выполнении требований;

  • подготовки к аудитам;

  • идентификации потребностей в ресурсах.

Заполненные анкеты самооценки могут являться источником для составления отчетов по безопасности, требуемых от организации.

В отчете необходимо рассматривать следующие темы по безопасности в масштабах организации:

  • менеджмент безопасности;

  • административные средства управления;

  • операционные средства управления;

  • технические средства управления;

  • планируемые действия.

Отчет завершается кратким резюме планируемых шагов, касающихся безопасности ИТ. Резюме должно включать цели, действия, необходимые для реализации целей, планируемые ресурсы и предполагаемые даты выполнения.


NIST 800-55 «Руководство по метрикам безопасности для систем информационной технологии

Целью документа «Руководство по метрикам безопасности для систем информационной технологии» (NIST Special Publication 800-55 Security Metrics Guide for Information Technology Systems) является обеспечение стандартизированного подхода к разработке, выбору и реализации метрик безопасности ИТ, подлежащих использованию для измерения эффективности применяемых в организации средств управления ИБ. В Руководстве представлена методология, рекомендованная для количественного измерения семнадцати тематических областей средств управления безопасностью, определенных в NIST 800-26 «Руководство по самооценке безопасности для систем информационной технологии». Методология измерения может использоваться для подтверждения выполнения системных задач безопасности и подтверждения эффективности средств управления ИБ.

Руководство описывает, как организация через использование метрик может оценить адекватность соответствующих средств управления ИБ, политик и процедур. Данный документ помогает менеджменту решать, финансировать ли дополнительные ресурсы обеспечения безопасности или идентифицировать и оценивать непродуктивные средства управления. Документ объясняет процесс разработки и реализации метрик, определяет роли и обязанности персонала организации, ответственного за разработку и реализацию метрик безопасности ИТ, и показывает, как метрики можно использовать для адекватного обоснования инвестиций в управление ИБ. Целевой аудиторией Руководства являются менеджеры по ИТ и профессиональные работники в сфере безопасности всех уровней.

Структура программы метрик безопасности ИТ в организации представлена на рисунке 13.



Программа метрик безопасности ИТ в организации состоит из четырех взаимосвязанных частей:

  • первый, базовый, уровень — сильная поддержка программы руководством высшего уровня организации. Без этой поддержки невозможны не только реализация программы метрик безопасности, но и успешная реализация программы информационной безопасности организации в целом. Данный элемент заостряет внимание представителей высших уровней управления организации на ее информационной безопасности. Как отмечается, без поддержки со стороны должностных лиц, управляющих ИТ-ресурсами, реализация программы метрик безопасности в организации может оказаться абсолютно неэффективной из- за возможного политического давления и ограничений бюджета;

  • второй компонент эффективной программы — практические политики и процедуры безопасности, разработанные органом, отвечающим за вопросы обеспечения соответствия. Такие политики и процедуры должны быть в первую очередь практически достижимыми и обеспечивать обоснованную безопасность при помощи соответствующих средств управления (защитных мер). Если данные процедуры и политики не будут реализованы, то крайне затруднительно получить метрики;

  • третий компонент программы — разработка и внедрение количественных метрик, которые спроектированы для сбора и предоставления значащей информации об эффективности безопасности систем ИТ организации. Чтобы количественные метрики безопасности могли обеспечивать значащую информацию, они должны строиться на основе целей и задач эффективного обеспечения безопасности ИТ, вместе с этим они должны легко формироваться и должны позволять провести измерение. Метрики также должны быть повторяемыми, показывать соответствующие тренды эффективности на заданном временном интервале и быть полезными для слежения за эффективностью и для управления ресурсами;

  • четвертый компонент программы — периодический анализ данных, полученных при помощи метрик.

Результаты анализа служат: для дальнейшего использования полученного опыта, для повышения эффективности используемых средств управления безопасностью (защитных мер) и для планирования новых средств управления в целях обеспечения соответствия новым требованиям безопасности. Если предполагается, что собранные данные должны быть значащими для менеджмента и улучшения программы ИБ организации в целом, то сбор точных данных должен стать приоритетом для заинтересованных сторон и пользователей.

Метрики являются средствами, которые упрощают принятие решений и в то же время позволяют улучшить качество работы и отчетность организации. Такой эффект достигается посредством сбора и анализа необходимых данных о качестве работы и подготовкой соответствующих отчетов. Основу метрик составляют цели и задачи эффективного обеспечения безопасности ИТ. Цели эффективного обеспечения безопасности ИТ задают необходимые результаты, которые ожидаются от выполнения программы информационной безопасности в организации. Реализацию целей помогают осуществлять задачи эффективного обеспечения безопасности ИТ. Задачи определяют практики (согласно положениям политик и процедур безопасности), при помощи которых предполагается реализовать защитные меры во всей организации. Мониторинг процесса выполнения задач и достижения целей осуществляется при помощи метрик безопасности ИТ. При выполнении мониторинга измеряются уровень реализации, результативность и эффективность защитных мер, проводится анализ адекватности деятельности по обеспечению безопасности и определяются возможные действия по улучшению.

При разработке и выполнении программы по реализации метрик безопасности ИТ необходимо соблюдать следующие условия:

  • метрики должны давать результат в количественно измеримой форме (в процентах, в усредненных и абсолютных значениях);

  • данные для поддержки метрик должны быть легкодоступными;

  • измерению подлежат только повторяемые процессы;

  • метрики должны быть полезны для отслеживания эффективности защитных мер и распоряжения ресурсами.

Данный документ представляет примеры метрик, основывающихся на критических элементах управления безопасностью и методах, содержащихся в NIST 800-26. Представленные примеры метрик могут использоваться либо непосредственно без изменений, либо могут бытьскорректированы или дополнены согласно существующим целям и задачам эффективного обеспечения безопасности ИТ в организации.

Документ определяет три типа метрик безопасности ИТ:

  • метрики реализации — для измерения реализации принятых политик, стандартов и процедур ИБ в организации;

  • метрики эффективности/результативности — для измерения результатов, которые зависят от предоставляемых сервисов безопасности;

  • метрики влияний — для измерения влияния событий, связанных с безопасностью, на бизнес или миссию организации.

Типы метрик, которые реально можно получить и которые могут оказаться полезными для повышения эффективности, зависят от зрелости программы безопасности организации и от зрелости реализации системных средств управления безопасностью.

Разные типы метрик могут использоваться одновременно, однако исходная направленность метрик меняется по мере развития зрелости реализации средств управления безопасностью (т. е. происходит постепенный переход от использования метрик первого типа к использованию метрик третьего типа).

Руководство определяет подход и процесс разработки метрик безопасности ИТ для организации. Внедрение и использование программы метрик безопасности ИТ в организации осуществляются при помощи двух процессов: процесса разработки метрик и процесса реализации метрик.

Процесс разработки метрик задает исходную совокупность метрик и позволяет выбрать подмножество метрик, подходящее для организации на данный момент времени. Процесс реализации программы метрик позволяет осуществить программу метрик, которая является итеративной по своей природе, а также обеспечивает уверенность в том, что в заданный момент времени измеряются соответствующие аспекты безопасности ИТ.

Процесс разработки метрик представлен на рисунке 14.





Процесс разработки метрик безопасности ИТ состоит из двух основных деятельностей:

  • идентификация и определение действующей программы безопасности ИТ (элементы 1-4 на рис. 6);

  • разработка и выбор конкретных метрик для измерения реализации, результативности, эффективности и влияния на бизнес организации средств управления безопасностью (элементы 5-7 на рис. 13, которые соответствуют трем указанным выше типам метрик).

Как отмечается в документе, порядок следования шагов процесса разработки метрик может отклоняться от заданной последовательности. Более того, изображенный на рисунке 14 процесс предоставляет структуру для понимания метрик и упрощает идентификацию метрик, подлежащих разработке для каждой системы ИТ. Тип метрики зависит от этапа жизненного цикла системы ИТ и от зрелости программы безопасности системы ИТ. Представленная структура упрощает адаптацию метрик под нужды конкретной организации и под нужды различных заинтересованных сторон.

Вторая деятельность в процессе разработки метрик (элементы 5- 7 на рисунке 14) предполагает разработку метрик для измерения процесса реализации стандартов, политик и процедур обеспечения безопасности систем ИТ организации, их эффективности и результативности и влияния на миссию организации. Конкретный аспект безопасности ИТ, на котором сосредоточены метрики в заданный момент времени, зависит от уровня эффективности безопасности, как определено в руководстве NIST SP 800-26 (т.е. от уровня зрелости программы ИБ организации). Метрики могут быть разработаны на основе примеров метрик безопасности ИТ из приложения А данного документа (или использованы непосредственно без доработки).

Руководство предлагает формировать метрики в виде, представленном в таблице 1.







В таблице 2 представлен пример метрик безопасности ИТ, содержащихся в приложении A NIST 800-55.







Процесс реализации программы метрик безопасности ИТ, определенный в данном документе, иллюстрируется на рисунке 15.




Фаза 1 «Подготовка к сбору данных» включает функции, которые являются основой для создания и реализации программы метрик безопасности ИТ, в том числе определение, разработку и выбор метрик и разработку плана реализации программы метрик.

В фазе 1 определяются шаги по сбору, анализу метрик и составлению по ним отчета. Данные шаги следует документировать в плане реализации программы метрик. В план могут включаться следующие вопросы:

  • роли и обязанности метрик, в том числе обязанности по сбору данных, анализу и отчету;

  • аудитория для плана;

  • процесс сбора, анализа и отчета о метриках, адаптированный к организационной структуре, процессам, политикам и процедурам;

  • создание, выбор и модификации инструментальных средств сбора и контроля данных;

  • форматы итоговых отчетов о метриках.

Фаза 2 «Сбор данных и анализ результатов» включает следующие функции:

  • сбор данных метрик в соответствии с процессами, определяемыми в плане реализации программы метрик;

  • объединение собираемых данных и сохранение в формате, способствующем анализу данных и отчета о данных, например в базе данных, в электронных таблицах;

  • проведение анализа недостатков — сравнение собираемых измерений с задачами и идентификация пробелов между фактическим и желаемым функционированием;

  • идентификация причин плохого функционирования;

  • идентификация областей, требующих улучшения (усовершенствования).

Фаза 3 «Идентификация корректирующих действий» включает следующие действия:

  • определение диапазона корректирующих действий.

  • обучение штатных сотрудников, системных администраторов или обычных пользователей; поставку инструментальных средств безопасности; изменение системной архитектуры;

  • учреждение новых процессов и процедур и модернизацию политик безопасности;

  • присвоение приоритета корректирующим действиям.

Фаза 4 «Разработка бизнес-портфеля» и фаза 5 «Получение ресурсов» обеспечивают финансирование цикла, необходимого для реализации корректирующих действий.

Фаза б «Применение корректирующих действий» включает реализацию корректирующих действий в технических, административных и операционных областях средств управления безопасностью.

После применения корректирующих действий цикл завершается и повторно запускается с помощью последующего сбора и анализа данных. Сбор итеративных данных, анализ и отчет будут отслеживать развитие корректирующих действий, измерять улучшение и идентифицировать области для дальнейшего усовершенствования.

Документ NIST SP 800-55 является необходимым дополнением к документу NIST SP 800-26 «Руководство по самооценке безопасности для систем ИТ», которое применяется федеральными учреждениями США при планировании собственных годовых бюджетов, в частности затрат на обеспечение ИБ (рис. 16).



В совокупности три данных руководства NIST определяют последовательность действий федеральных агентав, в результате которых формируются входные данные для составления документа «План действий и основные этапы» (Plan of Actions & Milestones — POA&M).

Вместе с этим определяется приоритетность полученных результатов, на основании которой обеспечивается уверенность в том, что наиболее важные потребности безопасности федерального агентства будут удовлетворены в первую очередь.

После этого формируются «подтверждающие документы», которые включают в себя выстроенные в контексте приоритетов корректирующие действия, и представляются через бюджетную заявку в Административное и бюджетное управление США (Office of Management and Budget, 0MB) с целью обеспечения финансирования агентства. Они могут представлять собой либо самостоятельные заявки на инвестирование, либо могут являться составной частью инвестиционного плана ИТ, которая касается расходов на обеспечение безопасности.

1   2   3   4   5   6   7   8   9   ...   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница