В настоящем разделе приведен краткий обзор процесса выбора защитных мер, а также способа и времени применения в этом процессе концепции базовой безопасности. Существуют два главных подхода к выбору защитных мер: использование базового подхода и выполнение детального анализа риска. Выполнение детального анализа риска может проводиться различными подходами, один из которых подробно изложен в ИСО/МЭК ТО 13335-3 и называется детальным анализом риска. В ИСО/МЭК ТО 13335-3 также рассматриваются преимущества и недостатки разных подходов к оценке риска и, следовательно, выбору защитных мер.
Проведение детального анализа риска позволяет всесторонне рассмотреть риск. Результаты детального анализа могут применяться для выбора защитных мер, вызванных этими рисками, и подобные защитные меры должны быть внедрены. Таким образом, можно избежать крайностей в обеспечении безопасности систем ИТ организации. Так как для анализа риска требуется много времени, усилий и проведение многочисленных экспертиз, то он более подходит для систем ИТ с высоким уровнем риска, тогда как более простой подход считается достаточным для систем с низким уровнем риска. Использование анализа риска высокого уровня позволяет выявлять системы с более низким уровнем риска. Анализ риска высокого уровня не должен быть формализованным или сложным. Защитные меры для систем с более низким уровнем риска могут быть выбраны путем применения защитных мер по базовой безопасности. Этот уровень обеспечения безопасности может быть не ниже минимального уровня безопасности, установленного организацией для каждого типа системы ИТ. Уровень базовой безопасности (далее - базовый подход) достигается путем реализации минимального пакета защитных мер, известных как базовые защитные меры.
Вследствие различий в процессах выбора защитных мер в настоящем стандарте рассматриваются два пути применения базового подхода:
- в случае, если рекомендуются защитные меры в соответствии с типом и характеристиками рассматриваемой системы ИТ;
- в случае, если рекомендуются защитные меры в соответствии с угрозами и проблемами безопасности, а также в зависимости от рассматриваемой системы ИТ.
Пути выбора защитных мер приведены на рисунке 2. На рисунке 2 также показаны взаимоотношения между ИСО/МЭК ТО 13335-3 и настоящим стандартом.
Рисунок 2 - Пути выбора защитных мер
Базовый подход следует выбирать в зависимости от ресурсов, которые могут быть потрачены на процесс выбора выявленных проблем безопасности, типа и характеристик рассматриваемой системы ИТ. Если организация не желает тратить (по какой-либо причине) много времени и усилий на выбор защитных мер, то она может выбрать базовый подход, предлагающий защиту без дальнейших оценок. Однако, если коммерческая деятельность организации хотя бы частично зависит от системы или услуг ИТ и/или обрабатываемая информация является конфиденциальной то, по всей вероятности, могут потребоваться дополнительные защитные меры. В этом случае настоятельно рекомендуется рассмотреть проблемы безопасности информации на более высоком уровне и выявить вероятные угрозы для применения соответствующих защитных мер, необходимых для обеспечения более эффективной безопасности системы ИТ. Если коммерческая деятельность организации в большой степени зависит от системы и услуг ИТ и/или обрабатываемая информация является строго конфиденциальной, то степень риска может быть высокой, поэтому детальный анализ риска является наилучшим способом идентификации защитных мер.
Специальные защитные меры должны быть идентифицированы на основе детального анализа риска в случае если:
- тип рассматриваемой системы ИТ не приведен в настоящем стандарте;
- потребности организации, связанные с коммерческой деятельностью или обеспечением безопасности, несоизмеримы с требованиями настоящего стандарта;
- более детальная оценка необходима вследствие высокого уровня потенциального риска или значимости системы ИТ для бизнеса.
Следует отметить, что даже при детальном анализе риска для организации полезно применять к системе ИТ базовые защитные меры.
Первое решение, которое в этой области должна принять организация, касается вопроса использования базового подхода: его самостоятельного применения или применения в качестве части более всесторонней стратегии анализа риска (см. ИСО/МЭК ТО 13335-3).
Следует заметить, что при принятии решения об использовании базового подхода самостоятельно процесс выбора защитных мер может в результате привести к менее оптимальному уровню безопасности, чем в случае принятия стратегии более широкого анализа рисков. Однако меньшие расходы и меньшая потребность в ресурсах для выбора защитных мер и достижение минимального уровня безопасности для всех систем ИТ оправдывают решение о применении собственного базового подхода.
Базовая защита системы ИТ может быть достигнута через идентификацию и применение пакета соответствующих защитных мер, которые применимы в условиях с низким уровнем риска, т.е. соответствуют минимальной потребности обеспечения безопасности. Например, соответствующие защитные меры обеспечения безопасности могут быть идентифицированы по каталогам, которые предлагают пакеты защитных мер для различных типов систем ИТ для обеспечения их защиты от большинства общих угроз. Каталоги защитных мер содержат информацию о категориях защитных мер или отдельных защитных мерах, или их совместном применении, но обычно в них отсутствуют указания о типах защитных мер, применяемых в конкретных условиях. Если системы ИТ организации (или ее подразделений) аналогичны, то защитные меры, выбранные путем применения базового подхода, могут быть применены ко всем системам ИТ. Различные пути применения базового подхода выбора защитных мер, рассмотренного в ИСО/МЭК ТО 13335-3, представлены на рисунке 3.
Рисунок 3 - Подходы к выбору защитных мер
Если организация применяет базовый подход ко всей структуре или отдельным своим подразделениям, то необходимо принять решение, какие подразделения организации подходят для применения одного и того же уровня безопасности, а также какой уровень обеспечения безопасности следует выбрать для данных подразделений организации. В большинстве случаев при использовании базовой безопасности снижение ее уровня недопустимо, в то время как применение дополнительных защитных мер может быть оправдано и необходимо для управления риском среднего и высокого уровня.
В качестве альтернативы базовый подход к безопасности может отражать средний уровень безопасности организации, т.е. в организации допускается обоснованное применение более высокого или более низкого относительно базового уровня безопасности, например по результатам анализа риска. Одним из преимуществ применения базового подхода безопасности к группе систем ИТ является обеспечение определенного уровня безопасности в пределах всей группы систем ИТ. В этих условиях может быть полезным разработка и документирование базового каталога защитных мер для всей организации или ее отдельных подразделений.