ПЕРЕДМОВА

1ВНЕСЕНО: Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20) при Держ-споживстандарті України та Міжнародний науково-навчальний центр інформаційних технологійта систем НАН України та Міністерства освіти та науки України

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Анісімов, д-р фіз.-мат. наук; О. Марковсь-кий, канд. техн. наук; Є. Осадчий, канд. техн. наук; В. Осадчий; О. Осадчий; В. Ткаченко; Т. Кальчук; В. Чорноморець; М. Афанасенко; В. Кравченко

  1. НАДАНО ЧИННОСТІ: наказ Держспоживстандарту від 31 жовтня 2003 р. № 189 з 2004-10-01
  2. Національний стандарт відповідає ISO/IEC TR 13335-2:1997 Information technology — Guidelinesfor the management of IT Security — Part 2: Managing and planning IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування тапланування безпеки IT)

Ступінь відповідності — ідентичний (IDT) Переклад з англійської (en)

4УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

  1. Сфера застосування
  2. Нормативні посилання
  3. Терміни та визначення понять
  4. Структура
  5. Призначеність
  6. Оглядання
  7. Керування безпекою IT
  8. Планування і загальне оглядання процесів планування і керування
  9. Загальне оглядання керування ризиком
  10. Загальне оглядання застосування
  11. Загальне оглядання механізму доопрацювання
  12. Інтеграція захисту IT

8Корпоративна методика безпеки IT

  1. Цілі
  2. Зобов'язання керівництва
  3. Взаємозв'язки методик
  4. Елементи корпоративної методики безпеки IT

9Організаційні аспекти безпеки IT

  1. Функції та обов'язки
  2. Відповідальність
  3. Послідовний підхід

10Вибір стратегії корпоративного аналізування ризику

  1. Основний підхід
  2. Неформальний підхід
  3. Докладне аналізування ризику
  4. Змішаний підхід

11Рекомендації щодо захисту IT

  1. Вибирання засобів захисту
  2. Врахування ризику
  3. Методика захисту системи IT
  4. План захисту IT
  5. Впроваджування засобів захисту
  6. Компетентність у захисті
  7. Механізм доопрацювання
  8. Обслуговування
  9. Відповідність засобів захисту
  10. Контролювання
  11. Обробляння інцидентів

17Висновки

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт є тотожний переклад ISO/IEC TR 13335-2:1997 Information technology — Guidelines for the management of IT Security — Part 2: Managing and planning IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування та планування безпеки IT).

Призначеність ДСТУ ISO/IEC TR 13335 — надати рекомендації, а не конкретні рішення з керування безпекою інформаційних технологій (IT). Кваліфікація осіб, відповідальних за безпеку IT у межах організацій повинна бути достатньою для адаптування матеріалів, поданих у цьому стандарті, до конкретних потреб організацій.

Технічний комітет, відповідальний за ISO/IEC TR 13335-2:1996, — ISO/IEC JTC 1.

Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».

ISO/IEC TR 13335 складено з п'яти частин.

Частина 1 описує фундаментальні концепції та моделі, що їх використовують для описування процесів керування безпекою IT. Цей документ призначено для адміністраторів, відповідальних за безпеку IT та за загальну безпеку в організації.

Частина 2 описує аспекти керування і планування, її призначено для адміністраторів, до компетенції яких належить взаємодія із системами IT організації. До них належать адміністратори IT, які відповідальні за спостереження над процесами розробляння, реалізування, випробовування, постачання або оперування системами IT, та адміністратори, відповідальні за отримання максимальної користі від використовування систем IT.

Частина 3 описує методи захисту і призначена для використовування тими, хто залучений до керування протягом усього життєвого циклу проекту, зокрема під час планування, проектування, реалізування, випробовування, аналізування або застосовування.

Частина 4 містить настанови щодо вибору засобів захисту та їх супровід основними моделями й елементами керування безпекою. Вона також показує, як ці засоби можуть доповнювати техніку безпеки, описану в частині 3, і як можна використовувати додаткові методи оцінювання під час вибору засобів захисту.

Частина 5 містить настанови щодо організації взаємозв'язку систем IT із зовнішніми мережами. Вона містить також настанови щодо вибирання і використовування засобів захисту, для убез-печнювання з'єднань і послуг, що надають з'єднання і додаткові засоби захисту, які застосовують для під'єднаних систем IT.

Структура ДСТУ ISO/IEC TR 13335 відповідає структурі ISO/IEC TR 13335 і також буде складатися з п'яти частин, три з яких згармонізовані тепер, а саме:

ДСТУ ISO/IEC TR 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепції та моделі безпеки IT;

ДСТУ ISO/IEC TR 13335-2:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 2. Керування та планування безпеки інформаційних технологій;

ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом інформаційних технологій; а дві інші частини:

ДСТУ ISO/IEC TR 13335-4 та ДСТУ ISO/IEC TR 13335-5 будуть згармонізовані в майбутньому.

До стандарту внесено такі редакційні зміни:

  • слова «ця частина ISO/IEC TR 13335» замінено на слова «ця частина стандарту», а «цейзвіт» — на «цей стандарт»;
  • до розділу 2 «Нормативні посилання» подано «Національне пояснення», яке виділенорамкою;
  • структурні елементи цього стандарту: «Обкладинку», «Передмову», «Зміст», «Національний вступ», «Бібліографічні дані», «Терміни та визначення понять» — оформлено згідно з вимогами національної стандартизації України.

Необхідно взяти до уваги, що в Україні чинний ДСТУ ISO/IEC TR 13335-1:2003 Information technology — Guidelines for the management of IT Security — Part 1: Concepts and models for IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 1. Концепції та моделі безпеки IT).

ДСТУ ISO/IEC TR 13335-2:2003

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології.

Настанови з керування безпекою інформаційних технологій (IT).

Частина 2.

Керування та планування безпеки IT

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

РЕКОМЕНДАЦИИ ПО УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ

ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Часть 2. Управление и планирование безопасности ИТ

INFORMATION TECHNOLOGY

GUIDELINES FOR THE MANAGEMENT OF IT SECURITY

Part 2. Managing and planning IT Security

Чинний від 2004-10-01

1СФЕРА ЗАСТОСУВАННЯ

У цьому стандарті подано рекомендації, призначені для тих, хто пов'язаний з керуванням безпекою IT, і які стосуються відносин між ними. Ці рекомендації можна використовувати для ідентифікації і керування усіма аспектами безпеки IT.

Для повноцінного розуміння цього стандарту необхідно ознайомитися з концепціями і моделями, описаними в частині 1.

2НОРМАТИВНІ ПОСИЛАННЯ

У цьому стандарті є посилання на такий стандарт:

ISO/IEC TR 13335-1:1996 Information technology — Guidelines for the management of IT Security — Part 1 :Concepts and models for IT Security.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC TR 13335-1:1996 Інформаційні технології. Настанови з керування безпекою IT. Частина 1. Концепції та моделі безпеки IT.

З ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цьому стандарті використано терміни і визначення, які наведено в ISO/IEC TR 13335-1. Зокрема такі: обліковість, активи, достовірність, доступність, базові засоби керування, конфіденційність, цілісність даних, ураження, цілісність, захист в інформаційних технологіях, стратегія захисту в інформаційних технологіях, надійність, залишковий ризик, ризик, аналіз ризику, керування ризиком, засоби захисту, цілісність системи, загроза, уразливість.

4СТРУКТУРА

Цей стандарт складається з 17 розділів. Розділи 5 і 6 подають інформацію про цілі та основні засади цього документа. Розділ 7 подає загальний огляд різних дій для успішного керування безпекою IT. Розділи з 8 по 16 конкретизують ці дії. У розділі 17 подано висновки.

5ПРИЗНАЧЕНІСТЬ

Призначеність цього стандарту — описати різні дії, пов'язані з керуванням і плануванням безпеки IT, і розподіл обов'язків персоналу в організації. Стандарт призначено для персоналу IT, який відповідає за впровадження, експлуатацію, застосування системи безпеки IT і ефективність використовування систем IT. Цей стандарт буде корисний усім, хто виконує службові обов'язки стосовно інформаційно-технологічних систем організацій.

6ОГЛЯДАННЯ

Організації від урядових до комерційних накопичують інформацію, яка відображає їхню діяльність. Втрата конфіденційності, цілісності, доступності, обліковості, достовірності і надійності інформації може шкодити роботі організацій. Отже, захист інформації і керування безпекою систем IT в організаціях є найголовнішими потребами. Необхідність захисту інформації є особливо актуальною, тому що багато організацій мають внутрішні й зовнішні мережні з'єднання систем IT.

Керування безпекою систем IT — це процес досягнення і забезпечення необхідних рівнів конфіденційності, цілісності, доступності, обліковості, достовірності й надійності. До функцій керування безпекою систем IT належать:

  • визначання цілей, стратегій і методик під час організовування захисту IT;
  • визначання необхідних умов організовування захисту IT;
  • ідентифікування й аналізування загроз безпеки для всіх активів IT в організації;
  • ідентифікування й аналізування ризиків;
  • визначання відповідних засобів захисту;
  • контролювання за застосовуванням і функціюванням засобів захисту, що є необхіднимидля ефективного захисту інформації і нормальної діяльності організації;
  • розробляння і реалізування програми компетентності в захисті;
  • виявляння інцидентів і реагування на них.

Для повноцінного реалізування цих функцій керування безпекою в системах IT захист має бути невід'ємною частиною загального плану керування організацією. Тому деякі описані в цьому стандарті положення захисту є більш значущі для керування. Завдання стандарту — зосереджуватись не на різноманітних схемах керування, а швидше — на конкретних аспектах захисту та їх зв'язку з керуванням IT у цілому.

7КЕРУВАННЯ БЕЗПЕКОЮ IT

7.1 Планування і загальне оглядання процесів планування і керування

Планування і керування захистом IT — загальний процес встановлювання і підтримування програми безпеки IT в організації. На рисунку 1 відображено основні положення цього процесу. Відмінність типів керування, розмірів і структур організацій спричинює орієнтацію процесу на середовище. Важливо, що всі аспекти та функції, які зображені на рисунку 1, пристосовані до типу, розміру і структури організації та способу ведення діяльності. Безумовно, ці огляди керування є лише частиною діяльності організації.

Відправною точкою є встановлювання чітких цілей захисту IT організації. Ці цілі виходять з цілей вищого рівня (наприклад, з цілей ділової активності) і, в свою чергу, визначають стратегію безпеки IT організації і корпоративну методику безпеки IT, розглянуті докладно в розділі 8. Отже, частиною корпоративної методики безпеки IT є створення відповідної структури організації, яка буде гарантувати досягнення певної мети.

Рисунок 1 — Загальна схема планування і керування безпекою IT

7.2Загальне оглядання керування ризиком

Керування ризиком складається з чотирьох різних дій:

  • визначання загальної стратегії керування ризиком згідно з корпоративною методологієюкерування безпекою IT;
  • вибирання засобів захисту для конкретної системи IT згідно з аналізуванням ризику або увідповідності з концепцією керування ризиком;
  • розробляння методик захисту системи IT, виходячи з рекомендацій безпеки, і за потреби,модифікація корпоративних методологій захисту IT (і відповідних відомчих методик захисту IT);
  • розробляння проектів безпеки IT щодо застосування засобів захисту на основі схваленихметодик захисту системи IT.

7.3Загальне оглядання застосування

Застосування необхідних засобів захисту для кожної системи IT має відповідати проектам безпеки IT. Поліпшення загальної компетентності в захисті IT, яким часто нехтують, є важливим аспектом ефективності засобів захисту. Рисунок 1 показує, що ці два завдання, а саме: застосування засобів захисту і програму компетентності в захисті — треба розв'язувати паралельно, оскільки звична поведінка конкретного користувача не може бути раптово змінена й для освоєння потрібен певний час.

7.4Загальне оглядання механізму доопрацювання

Діяльність, яка описана в розділі 16 «Механізм доопрацювання» охоплює:

  • обслуговування засобів захисту для забезпечення їхньої безперервної й ефективної роботи;
  • перевіряння, яке гарантує, що засоби захисту задовольняють обумовлені методики і проекти;
  • контролювання активів, загроз, уразливості і засобів захисту щодо відхилень, щоб виявитизміни, які впливають на ризики;

—відстежування інциденту, щоб гарантувати відповідну реакцію на небажані події.Механізм доопрацювання — тривалий процес, який повинен містити переоцінку рішень, прийнятих раніше.

7.5Інтеграція захисту IT

Усі дії щодо захисту IT будуть найефективнішими, якщо їх застосовують одночасно у всій організації і з самого початку всякого життєвого циклу системи IT. Процес захисту IT — це важливий окремий цикл діяльності, який повинен бути інтегрований в усі стадії життєвого циклу системи IT. Захист найефективніший, якщо його інтегрують в нові системи з самого початку; успадковані системи та їхня діяльність мають користь від інтеграції захисту протягом усього періоду.

Життєвий цикл системи IT може бути поділений на три базові стадії. Кожна з цих стадій стосується безпеки IT таким способом:

  • проектування: захист в IT треба враховувати протягом усього процесу проектування таприйняття рішень щодо діяльності;
  • комплектація: вимоги захисту IT потрібно інтегрувати в процеси проектування, розробляння, придбання, оновлювання або інші конструктивні зміни системи. Інтегрування вимог захистув ці процеси гарантує оптимальність вартісно-ефективних показників засобів захисту, задіяниху системі, а також їхню своєчасність і відсутність наслідків;
  • дії: захист IT треба інтегрувати в оперативне середовище. Система IT, що її використовують для виконання визначеної функції, звичайно зазнає ряду оновлень, які охоплюють закупівлюнових апаратних компонентів, зміни або доповнення програмного забезпечення. Крім того, частозмінюється оперативне середовище. Зміни в оточенні (середовищі) можуть створювати нові вразливості системи, які треба аналізувати, оцінювати і відповідно коригувати або сприймати. Такожє важливою призначеність або зняття захищеності системи.