2015-01-21
595
Средства контроля выбираются в соответствии с вопросами безопасности, идентифицированными в результате оценки риска (стандарт ISO/IES 27005 посвящен именно управлению рисками), принимая в расчет угрозы и наконец, вид рассматриваемого информационного процесса или системы.
Выбор средств контроля всегда включает баланс операционных (нетехнических) и технических средств контроля.
Операционные средства контроля включают те, которые обеспечивают физическую, кадровую и административную безопасность.
Физические средства контроля безопасности включают прочность внутренних стен строения, дверные замки с кодовым набором, противопожарные системы и охрану.
Кадровая безопасность охватывает проверки, связанные с набором персонала (особенно лиц, занимающих ответственные посты), мониторинг персонала и программы повышения осознания безопасности.
Административная (Процедурная) безопасность включает надежное документирование операционных процедур, процедуры разработки и одобрения приложений, а также процедуры менеджмента инцидентов информационной безопасности. В связи с этой категорией очень важно, чтобы для каждой системы разрабатывались соответствующие планы и стратегия обеспечения непрерывности бизнеса, включая планирование действий в чрезвычайных ситуациях/восстановление после сбоев.
План должен включать подробности об основных функциях и приоритетах для восстановления, потребности обработки и организационные процедуры, которым нужно следовать в том случае, если происходит бедствие или прерывание обслуживания. Такие планы должны включать шаги, необходимые для контроля значимой информации, которая обрабатывается или хранится, позволяя все же при этом организации вести дела.
Техническая безопасность охватывает аппаратную и программную защиту, а также средства контроля системы связи. Эти средства контроля выбираются в соответствии с рисками для обеспечения функциональных возможностей безопасности и доверия.
Функциональные возможности будут, например, охватывать идентификацию и аутентификацию, требования логического контроля доступа, потребности контрольного журнала/журнала безопасности, обеспечение безопасности с помощью обратного звонка, аутентификацию сообщений, шифрование и т.д. Требования доверия документируют необходимый уровень доверия к функциям безопасности и, следовательно, объем и вид проверок, тестирования безопасности и т.д., необходимых для подтверждения этого уровня. При вынесении решения о дополняющем сочетании операционных и технических средств контроля будут существовать различные варианты выполнения технических требований безопасности. Для каждого варианта должна быть определена техническая архитектура безопасности, чтобы способствовать установлению того, что безопасность может быть обеспечена, как необходимо, и что это осуществимо с доступной технологией.
Организация может решить использовать оцененные (сертифицированные) продукты и системы как часть окончательного системного решения. Оцененными продуктами являются те, которые были изучены третьей стороной. Третья сторона может быть другой частью той же организации или независимой организацией, специализирующейся на оценивании продуктов и систем. Оценивание может проводиться по совокупности заранее установленных критериев, специально разработанных для создаваемой системы, или может использоваться обобщенная совокупность критериев, которая может применяться в разнообразных ситуациях. Критерии оценивания могут определять функциональные требования и/или требования доверия. Существует целый ряд систем оценивания, многие из которых финансируются правительством или международными организациями, занимающимися стандартизацией. Организация может решить использовать оцененные продукты и системы, когда ей необходима уверенность в том, что совокупность реализованных функциональных возможностей является такой, как требуется, и когда ей необходимо доверие к правильности и завершенности реализации этих функциональных возможностей. Альтернативным образом, сконцентрированное практическое тестирование безопасности может предоставить гарантию уверенности в обеспечиваемой безопасности.
При выборе средств контроля для реализации следует рассматривать ряд факторов, включая:
- виды выполняемых функций — предотвращение, сдерживание, обнаружение, восстановление, исправление, мониторинг, информированность;
- относительную стойкость средств контроля;
- капитальные, операционные и эксплуатационные расходы на средства контроля;
- помощь, предоставляемую пользователям для выполнения их функций;
- простоту использования средства контроля для пользователя.
Обычно средство контроля будет выполнять более чем одну из этих функций. При изучении общей безопасности или совокупности средств контроля, которые должны использоваться, следует поддерживать баланс видов функций, если вообще это возможно. Это способствует тому, чтобы общая безопасность была более эффективной и продуктивной. Может требоваться анализ затрат и выгод, как и анализ компромиссных решений (метод сравнения соперничающих альтернатив, используя совокупность критериев, которые взвешиваются на предмет относительной значимости в отношении к конкретной ситуаций).
Существует две различные совокупности средств контроля, механизмов и/или процедур, которые могут использоваться для защиты информационных систем. С одной стороны, есть довольно много организационных категорий средств контроля, которые обычно применимы к каждой информационной системе или системе информационно-коммуникационных технологий, если конкретные обстоятельства вызывают в них необходимость, независимо от индивидуальных компонентов. С другой стороны, существуют средства контроля, характерные для систем ИКТ; выбор этих средств контроля зависит от вида и характеристик рассматриваемой системы ИКТ. Конечно, всегда возможно, что одна или более из этих категорий или специфических средств контроля не нужны в данной системе ИКТ. Например, в шифровании может не быть необходимости, если для посылаемой или получаемой информации нет потребности в конфиденциальности.
Перед реализацией выбранных средств контроля их следует тщательно проверить на соответствие уже существующим и/или планируемым средствам контроля. Следует обдумать использование более детального анализа для выбора дополнительных средств контроля. Если средства контроля выбираются в соответствии с разными критериями (например, базовые средства контроля и дополнительные средства контроля), окончательная совокупность требующих реализации средств контроля должна объединяться с осторожностью.
После проверки нескольких систем ИКТ должно быть рассмотрено, может ли быть установлена базовая линия в масштабах организации. Другой возможностью выбора средств контроля без детального рассмотрения является применение характерных для приложений базовых линий. Например, руководства по базовым линиям доступны для телекоммуникаций, здравоохранения, банковского дела и много другого. При использовании этих руководств, например, есть возможность проверки существующих или планируемых средств контроля на соответствие рекомендованным.
Процесс выбора средств контроля всегда требует некоторых знаний о виде и характеристиках рассматриваемой информационной системы (например, автономная рабочая станция или рабочая станция, подсоединенная к сети), поскольку это оказывает существенное влияние на средства контроля, выбранные для защиты системы. Также полезно иметь представление об инфраструктуре, с точки зрения строений, помещений и т.д. Еще одним важным фактором, вовлеченным в выбор средств контроля, является оценка существующих и/или планируемых средств контроля. Это помогает избежать ненужной работы, излишней траты времени, усилий и денежных средств.
