ПЕРЕДМОВА
1ВНЕСЕНО: Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20) при Держ-споживстандарті України та Міжнародний науково-навчальний центр інформаційних технологійта систем НАН України та Міністерства освіти та науки України
ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Анісімов, д-р фіз.-мат. наук; О. Марковсь-кий, канд. техн. наук; Є. Осадчий, канд. техн. наук; В. Осадчий; О. Осадчий; В. Ткаченко; Т. Кальчук; В. Чорноморець; М. Афанасенко; В. Кравченко
Ступінь відповідності — ідентичний (IDT) Переклад з англійської (en)
4УВЕДЕНО ВПЕРШЕ
ЗМІСТ
Національний вступ
8Корпоративна методика безпеки IT
9Організаційні аспекти безпеки IT
10Вибір стратегії корпоративного аналізування ризику
11Рекомендації щодо захисту IT
17Висновки
НАЦІОНАЛЬНИЙ ВСТУП
Цей стандарт є тотожний переклад ISO/IEC TR 13335-2:1997 Information technology — Guidelines for the management of IT Security — Part 2: Managing and planning IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування та планування безпеки IT).
Призначеність ДСТУ ISO/IEC TR 13335 — надати рекомендації, а не конкретні рішення з керування безпекою інформаційних технологій (IT). Кваліфікація осіб, відповідальних за безпеку IT у межах організацій повинна бути достатньою для адаптування матеріалів, поданих у цьому стандарті, до конкретних потреб організацій.
Технічний комітет, відповідальний за ISO/IEC TR 13335-2:1996, — ISO/IEC JTC 1.
Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».
ISO/IEC TR 13335 складено з п'яти частин.
Частина 1 описує фундаментальні концепції та моделі, що їх використовують для описування процесів керування безпекою IT. Цей документ призначено для адміністраторів, відповідальних за безпеку IT та за загальну безпеку в організації.
Частина 2 описує аспекти керування і планування, її призначено для адміністраторів, до компетенції яких належить взаємодія із системами IT організації. До них належать адміністратори IT, які відповідальні за спостереження над процесами розробляння, реалізування, випробовування, постачання або оперування системами IT, та адміністратори, відповідальні за отримання максимальної користі від використовування систем IT.
Частина 3 описує методи захисту і призначена для використовування тими, хто залучений до керування протягом усього життєвого циклу проекту, зокрема під час планування, проектування, реалізування, випробовування, аналізування або застосовування.
Частина 4 містить настанови щодо вибору засобів захисту та їх супровід основними моделями й елементами керування безпекою. Вона також показує, як ці засоби можуть доповнювати техніку безпеки, описану в частині 3, і як можна використовувати додаткові методи оцінювання під час вибору засобів захисту.
Частина 5 містить настанови щодо організації взаємозв'язку систем IT із зовнішніми мережами. Вона містить також настанови щодо вибирання і використовування засобів захисту, для убез-печнювання з'єднань і послуг, що надають з'єднання і додаткові засоби захисту, які застосовують для під'єднаних систем IT.
Структура ДСТУ ISO/IEC TR 13335 відповідає структурі ISO/IEC TR 13335 і також буде складатися з п'яти частин, три з яких згармонізовані тепер, а саме:
ДСТУ ISO/IEC TR 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепції та моделі безпеки IT;
ДСТУ ISO/IEC TR 13335-2:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 2. Керування та планування безпеки інформаційних технологій;
ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом інформаційних технологій; а дві інші частини:
ДСТУ ISO/IEC TR 13335-4 та ДСТУ ISO/IEC TR 13335-5 будуть згармонізовані в майбутньому.
До стандарту внесено такі редакційні зміни:
Необхідно взяти до уваги, що в Україні чинний ДСТУ ISO/IEC TR 13335-1:2003 Information technology — Guidelines for the management of IT Security — Part 1: Concepts and models for IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 1. Концепції та моделі безпеки IT).
ДСТУ ISO/IEC TR 13335-2:2003
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні технології.
Настанови з керування безпекою інформаційних технологій (IT).
Частина 2.
Керування та планування безпеки IT
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
РЕКОМЕНДАЦИИ ПО УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Часть 2. Управление и планирование безопасности ИТ
INFORMATION TECHNOLOGY
GUIDELINES FOR THE MANAGEMENT OF IT SECURITY
Part 2. Managing and planning IT Security
Чинний від 2004-10-01
1СФЕРА ЗАСТОСУВАННЯ
У цьому стандарті подано рекомендації, призначені для тих, хто пов'язаний з керуванням безпекою IT, і які стосуються відносин між ними. Ці рекомендації можна використовувати для ідентифікації і керування усіма аспектами безпеки IT.
Для повноцінного розуміння цього стандарту необхідно ознайомитися з концепціями і моделями, описаними в частині 1.
2НОРМАТИВНІ ПОСИЛАННЯ
У цьому стандарті є посилання на такий стандарт:
ISO/IEC TR 13335-1:1996 Information technology — Guidelines for the management of IT Security — Part 1 :Concepts and models for IT Security.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
ISO/IEC TR 13335-1:1996 Інформаційні технології. Настанови з керування безпекою IT. Частина 1. Концепції та моделі безпеки IT.
З ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ
У цьому стандарті використано терміни і визначення, які наведено в ISO/IEC TR 13335-1. Зокрема такі: обліковість, активи, достовірність, доступність, базові засоби керування, конфіденційність, цілісність даних, ураження, цілісність, захист в інформаційних технологіях, стратегія захисту в інформаційних технологіях, надійність, залишковий ризик, ризик, аналіз ризику, керування ризиком, засоби захисту, цілісність системи, загроза, уразливість.
4СТРУКТУРА
Цей стандарт складається з 17 розділів. Розділи 5 і 6 подають інформацію про цілі та основні засади цього документа. Розділ 7 подає загальний огляд різних дій для успішного керування безпекою IT. Розділи з 8 по 16 конкретизують ці дії. У розділі 17 подано висновки.
5ПРИЗНАЧЕНІСТЬ
Призначеність цього стандарту — описати різні дії, пов'язані з керуванням і плануванням безпеки IT, і розподіл обов'язків персоналу в організації. Стандарт призначено для персоналу IT, який відповідає за впровадження, експлуатацію, застосування системи безпеки IT і ефективність використовування систем IT. Цей стандарт буде корисний усім, хто виконує службові обов'язки стосовно інформаційно-технологічних систем організацій.
6ОГЛЯДАННЯ
Організації від урядових до комерційних накопичують інформацію, яка відображає їхню діяльність. Втрата конфіденційності, цілісності, доступності, обліковості, достовірності і надійності інформації може шкодити роботі організацій. Отже, захист інформації і керування безпекою систем IT в організаціях є найголовнішими потребами. Необхідність захисту інформації є особливо актуальною, тому що багато організацій мають внутрішні й зовнішні мережні з'єднання систем IT.
Керування безпекою систем IT — це процес досягнення і забезпечення необхідних рівнів конфіденційності, цілісності, доступності, обліковості, достовірності й надійності. До функцій керування безпекою систем IT належать:
Для повноцінного реалізування цих функцій керування безпекою в системах IT захист має бути невід'ємною частиною загального плану керування організацією. Тому деякі описані в цьому стандарті положення захисту є більш значущі для керування. Завдання стандарту — зосереджуватись не на різноманітних схемах керування, а швидше — на конкретних аспектах захисту та їх зв'язку з керуванням IT у цілому.
7КЕРУВАННЯ БЕЗПЕКОЮ IT
7.1 Планування і загальне оглядання процесів планування і керування
Планування і керування захистом IT — загальний процес встановлювання і підтримування програми безпеки IT в організації. На рисунку 1 відображено основні положення цього процесу. Відмінність типів керування, розмірів і структур організацій спричинює орієнтацію процесу на середовище. Важливо, що всі аспекти та функції, які зображені на рисунку 1, пристосовані до типу, розміру і структури організації та способу ведення діяльності. Безумовно, ці огляди керування є лише частиною діяльності організації.
Відправною точкою є встановлювання чітких цілей захисту IT організації. Ці цілі виходять з цілей вищого рівня (наприклад, з цілей ділової активності) і, в свою чергу, визначають стратегію безпеки IT організації і корпоративну методику безпеки IT, розглянуті докладно в розділі 8. Отже, частиною корпоративної методики безпеки IT є створення відповідної структури організації, яка буде гарантувати досягнення певної мети.
Рисунок 1 — Загальна схема планування і керування безпекою IT
7.2Загальне оглядання керування ризиком
Керування ризиком складається з чотирьох різних дій:
7.3Загальне оглядання застосування
Застосування необхідних засобів захисту для кожної системи IT має відповідати проектам безпеки IT. Поліпшення загальної компетентності в захисті IT, яким часто нехтують, є важливим аспектом ефективності засобів захисту. Рисунок 1 показує, що ці два завдання, а саме: застосування засобів захисту і програму компетентності в захисті — треба розв'язувати паралельно, оскільки звична поведінка конкретного користувача не може бути раптово змінена й для освоєння потрібен певний час.
7.4Загальне оглядання механізму доопрацювання
Діяльність, яка описана в розділі 16 «Механізм доопрацювання» охоплює:
—відстежування інциденту, щоб гарантувати відповідну реакцію на небажані події.Механізм доопрацювання — тривалий процес, який повинен містити переоцінку рішень, прийнятих раніше.
7.5Інтеграція захисту IT
Усі дії щодо захисту IT будуть найефективнішими, якщо їх застосовують одночасно у всій організації і з самого початку всякого життєвого циклу системи IT. Процес захисту IT — це важливий окремий цикл діяльності, який повинен бути інтегрований в усі стадії життєвого циклу системи IT. Захист найефективніший, якщо його інтегрують в нові системи з самого початку; успадковані системи та їхня діяльність мають користь від інтеграції захисту протягом усього періоду.
Життєвий цикл системи IT може бути поділений на три базові стадії. Кожна з цих стадій стосується безпеки IT таким способом: