ГОСТ Р ИСО/МЭК ТО 13335-3-2007
Группа Т59
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Часть 3
Методы менеджмента безопасности информационных технологий
Information technology. Security techniques.
Part 3. Techniques for the management of information technology security
ОКС 13.110
35.020
Дата введения 2007-09-01
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России), Банком России, обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 7 июня 2007 г. N 122-ст
4 Настоящий стандарт идентичен международному отчету ИСО/МЭК ТО 13335-3:1998 "Информационная технология. Рекомендации по менеджменту безопасности информационных технологий. Часть 3. Методы менеджмента безопасности информационных технологий" (ISO/IEC TR 13335-3:1998 "Information technology - Guidelines for the management of information technology security - Part 3: Techniques for the management of information technology security").
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении F
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
1 Область применения
Настоящий стандарт устанавливает методы менеджмента безопасности информационных технологий. В основе этих методов лежат общие принципы, установленные в ИСО/МЭК 13335-1. Стандарт будет полезен при внедрении мероприятий по обеспечению безопасности информационных технологий. Для полного понимания настоящего стандарта необходимо знание концепций и моделей, менеджмента и планирования безопасности информационных технологий, установленных в ИСО/МЭК 13335-1.
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты:
ИСО/МЭК 13335-1:2004 Информационная технология. Методы обеспечения безопасности. Менеджмент безопасности информационных и телекоммуникационных технологий. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
ИСО/МЭК 13335-4:2004 Информационная технология. Рекомендации по менеджменту безопасности информационных технологий. Часть 4. Выбор мер защиты.
В настоящем стандарте применены термины по ИСО/МЭК 13335-1.
Настоящий стандарт содержит 12 разделов. Раздел 5 содержит информацию о цели настоящего стандарта. В разделе 6 приведен общий обзор способов управления безопасностью информационных технологий. В разделе 7 приведены цели, стратегия и политика обеспечения безопасности информационных технологий. Раздел 8 содержит описание вариантов стратегии анализа риска. В разделе 9 приведено детальное описание комбинированного подхода анализа риска. Раздел 10 посвящен вопросам применения защитных мер, а также подробному обсуждению программ ознакомления персонала с мерами обеспечения безопасности и процесса их одобрения. Раздел 11 содержит описание работ по последующему наблюдению за системой, необходимых для обеспечения эффективного действия средств защиты. И, наконец, в разделе 12 приведено краткое описание настоящего стандарта.
5 Цель
Цель настоящего стандарта - дать необходимые описания и рекомендации по способам эффективного управления безопасностью информационных технологий. Эти способы могут быть использованы для оценки требований по безопасности и рисков. Кроме того, они должны помочь устанавливать и поддерживать необходимые средства обеспечения безопасности, то есть правильный уровень обеспечения безопасности информационных технологий. Может возникнуть необходимость в том, чтобы результаты, полученные таким образом, были усилены за счет применения дополнительных средств защиты применительно к данной организации и данной среде. Настоящий стандарт предназначен для сотрудников организации, ответственных за управление безопасностью информационных технологий и/или за внедрение мер обеспечения их безопасности.
6 Способы управления безопасностью информационных технологий
Процесс управления безопасностью информационных технологий основывается на принципах, изложенных в ИСО/МЭК 13335-1, и может быть реализован как в масштабе всей организации, так и в конкретной ее части. На схеме (см. рисунок 1) приведены основные этапы этого процесса, а также показана обратная связь между результатами процесса и его отдельными частями. Такая обратная связь должна устанавливаться по мере необходимости как в пределах продолжительности одного из этапов, так и после завершения одного или нескольких этапов. Данная схема демонстрирует основные направления, рассматриваемые в настоящем стандарте.
Рисунок 1 - Схема управления безопасностью информационных технологий
Управление безопасностью информационных технологий включает в себя анализ требований по обеспечению безопасности, разработку плана выполнения этих требований, реализацию положений этого плана, а также управление и административный контроль над реализуемой системой безопасности. Этот процесс начинается с определения целей и стратегии, которые устанавливает для себя организация в целях обеспечения безопасности и разработки политики безопасности информационных технологий.
Важной частью процесса управления безопасностью информационных технологий является оценка уровня риска и методов снижения его до приемлемого уровня. Необходимо при этом учитывать направленность деловой деятельности организации, ее организационную структуру и условия эксплуатации системы ИТ, а также специфические вопросы и виды рисков, присущие каждой системе обеспечения безопасности информационных технологий.
После проведения оценки требований безопасности, предъявляемых к системам информационных технологий и отдельным видам услуг, следует выбрать стратегию анализа риска. Основные варианты такой стратегии подробно рассматриваются в разделе 8. Для выделения системы с высоким уровнем риска необходимо провести анализ уровня риска и выбрать варианты стратегии обеспечения безопасности информационных технологий. Затем выделенные системы рассматриваются с использованием метода детального анализа риска, а для остальных систем может применяться базовый подход (с принятием базового уровня риска). Применительно к системам с высоким уровнем риска подробно рассматриваются активы, возможные угрозы и уязвимости системы в целях проведения детального анализа риска, что позволит облегчить выбор эффективных защитных мер, которые будут соответствовать оценкам уровня риска. Использование данного варианта базового подхода позволит сосредоточить процесс управления риском на областях, отличающихся наивысшим уровнем риска или требующих наибольшего внимания. Таким образом может быть разработана программа, характеризующаяся наименьшими затратами времени и средств.
После оценки уровня риска для каждой системы информационных технологий определяют соответствующие меры защиты, направленные на снижение уровня риска до приемлемого уровня. Эти меры реализуются в соответствии с планом безопасности информационных технологий. Реализация плана должна сопровождаться выполнением программ знания и понимания мер безопасности и обучения использованию этих мер, что является важным результатом эффективности принятых защитных мер.
Кроме того, управление безопасностью информационных технологий включает в себя решение текущих задач, связанных с проведением различных последующих действий, что может привести к корректировке полученных ранее результатов и принятых решений. Последующие действия включают в себя обслуживание и проверку соответствия безопасности, управление изменениями, мониторинг и обработку инцидентов.
7 Цели, стратегия и политика безопасности информационных технологий
После того как организация сформулировала цели безопасности информационных технологий, должна быть выбрана стратегия безопасности с тем, чтобы сформировать основу для разработки политики безопасности информационных технологий. Разработка политики безопасности ИТ чрезвычайно важна для обеспечения приемлемости результатов процесса менеджмента риска и должного эффекта от снижения уровня риска. Для разработки и эффективной реализации политики безопасности ИТ требуется организационное решение в рамках организации. Важно, чтобы разработанная политика безопасности информационных технологий учитывала цели и конкретные особенности деятельности организации. Она должна соответствовать политике безопасности и деловой направленности организации. При наличии такого соответствия реализация политики безопасности информационных технологий будет способствовать наиболее эффективному использованию ресурсов и обеспечит последовательный подход к проблемам безопасности для широкого диапазона условий функционирования системы.
Может возникнуть необходимость в разработке отдельной и специфической политики безопасности для каждой из систем информационных технологий. Подобная политика должна быть основана на результатах анализа риска (или результатах базового подхода) и соответствовать политике безопасности систем информационных технологий, при этом политика безопасности должна учитывать рекомендации по обеспечению безопасности, выработанные для соответствующей системы.
7.1 Цели и стратегия безопасности информационных технологий
В качестве первого шага в процессе управления безопасностью информационных технологий необходимо рассмотреть вопрос о том, какой общий уровень риска является приемлемым для данной организации. Правильно выбранный уровень приемлемого риска и, соответственно, допустимый уровень безопасности являются ключевыми моментами успешного управления безопасностью. Допустимый общий уровень безопасности определяется целями, которые ставит перед собой организация при создании системы обеспечения безопасности информационных технологий. Для того, чтобы оценить и сформулировать такие цели, необходимо изучить имеющиеся активы и определить, насколько ценными они являются для данной организации. Критерием в этом случае является то, насколько важную роль играют информационные технологии в процессе проведения организацией своей деловой деятельности, при этом стоимость самих информационных технологий составляет лишь малую часть общих затрат. При рассмотрении вопроса о том, насколько важны для функционирования организации информационные технологии, необходимо ответить на следующие вопросы:
- какие важные (очень важные) элементы деловой практики предприятия не могут осуществляться без привлечения информационных технологий;
- какие вопросы могут решаться исключительно с помощью использования информационных технологий;
- принятие каких важных решений зависит от достоверности, целостности или доступности информации, обрабатываемой с использованием информационных технологий, или от своевременного получения такой информации;
- какие виды конфиденциальной информации, обрабатываемой с использованием информационных технологий, подлежат защите;
- какие последствия могут наступить для организации после появления нежелательного инцидента нарушения системы обеспечения безопасности?
Ответы на поставленные вопросы могут помочь сформулировать цели создания системы безопасности в организации. Если, например, какие-то важные или очень важные элементы деятельности предприятия зависят от достоверности или своевременности полученной информации, то одной из целей создания системы безопасности может стать необходимость обеспечения целостности и оперативности информации в процессе обработки последней системами информационных технологий. Кроме того, при рассмотрении целей создания системы безопасности необходимо учитывать степень важности целей проводимых деловых операций, а также их связь с вопросами безопасности.
В зависимости от поставленных организацией целей создания системы безопасности необходимо выработать стратегию достижения этих целей. Стратегия должна соответствовать ценности защищаемых активов. Если, например, ответ на один или несколько приведенных выше вопросов является положительным, то весьма вероятно, что данная организация должна предъявлять повышенные требования к обеспечению безопасности и ей необходимо выбрать стратегию, предусматривающую приложение значительных усилий для выполнения этих требований.
Любая стратегия, направленная на обеспечение информационной безопасности, должна содержать общие положения о том, как организация собирается обеспечить достижение своих целей в этой области. Основное содержание этих положений стратегии будет зависеть от числа, содержания и важности поставленных целей, при этом обычно организация считает необходимым распространить поставленные требования на все свои подразделения. По своему содержанию основные положения стратегий могут иметь как специфический, так и общий характер.
В качестве положений стратегии специфического характера можно привести следующий пример, когда первичной целью системы обеспечения безопасности информационных технологий является, исходя из деловых соображений, необходимость обеспечения высокого уровня доступности. В этом случае одно из направлений стратегии должно заключаться в сведении к минимуму опасности заражения системы информационных технологий вирусами путем повсеместного размещения антивирусных программных средств (или выделения отдельных сайтов, через которые должна проходить вся получаемая информация для ее проверки на наличие вирусов).
В качестве положений общего характера, имеющих общий характер, можно привести следующий пример, когда основная работа организации заключается в оказании информационных услуг, в связи с чем возможные потребители должны быть уверены в защищенности ее систем информационных технологий. В этом случае основным положением стратегии может быть проведение аттестации систем информационных технологий на безопасность с привлечением третьей стороны, обладающей соответствующим опытом.
В качестве других возможных основных положений стратегии безопасности информационных технологий можно, в зависимости от конкретных целей и их комбинаций, привести следующие положения:
- стратегия и методы анализа риска, используемые в масштабе всей организации;
- оценка необходимости разработки политики безопасности информационных технологий для каждой системы;
- оценка необходимости создания рабочих процедур безопасности для каждой системы;
- разработка схемы классификации систем по уровню чувствительности информации в масштабах всей организации;
- оценка необходимости учета и проверка условий безопасности соединений до места подключения к ним других организаций;
- разработка схем обработки инцидентов, связанных с нарушением системы безопасности для универсального использования.
После разработки стратегии безопасности эта стратегия и ее составные элементы должны быть включены в состав политики безопасности информационных технологий организации.
7.2 Политика безопасности информационных технологий
Политика безопасности информационных технологий должна вырабатываться на основе содержания стратегии и целей создания системы обеспечения безопасности. Важно сформировать политику безопасности и затем проводить ее в соответствии с направленностью деятельности организации, состоянием обеспечения безопасности, содержанием политики в области информационных технологий, а также с учетом положений законодательства и нормативных документов в области обеспечения безопасности.
Как было показано в разделе 7.1, важным фактором, влияющим на содержание политики в области обеспечения безопасности информационных технологий, является то, как в организации используются эти технологии. Чем большей является необходимость их использования и чем шире организации приходится их применять, тем более практичной является потребность в обеспечении безопасности информационных технологий для достижения организацией своих деловых целей. При формировании в организации политики безопасности информационных технологий необходимо учитывать сложившуюся практику деловой деятельности, организацию и культуру ведения производства, поскольку они могут повлиять как на подход к обеспечению безопасности, так и на отдельные защитные меры, которые легко встраиваются в одни условия производственной деятельности и могут оказаться неприемлемыми в других.
Перечисленные в политике безопасности информационных технологий мероприятия, касающиеся проблем обеспечения безопасности информационных технологий, могут основываться на целях и стратегии организации, результатах проведенного ранее анализа риска систем безопасности и принципов управления, результатах проведения дополнительных мероприятий, таких как проверка действенности состояния реализованных защитных мер, результатах мониторинга и изучения процесса повседневного использования систем безопасности, а также на содержании отчетов об экстренных ситуациях, связанных с вопросами обеспечения безопасности.
Необходимо рассматривать любые случаи обнаружения серьезных угроз или уязвимостей в системе безопасности, а политика безопасности информационных технологий должна содержать описание общих методов подхода организации к решению указанных проблем обеспечения безопасности. Более подробно методы и действия по обеспечению безопасности систем информационных технологий описываются в политиках безопасности различных систем информационных технологий либо в других подобных документах, например, в инструкциях по обеспечению безопасности.