Базовая защита ИТ

Подход ИТ-базовой защиты ( нем . IT-Grundschutz ), разработанный Федеральным ведомством информационной безопасности Германии (BSI), представляет собой методологию определения и реализации мер компьютерной безопасности в организации. Целью является достижение адекватного и надлежащего уровня безопасности ИТ-систем. Для достижения этой цели BSI рекомендует «хорошо проверенные технические, организационные, кадровые и инфраструктурные меры безопасности». ^[1] Организации и федеральные агентства демонстрируют свой системный подход к обеспечению безопасности своих ИТ-систем (например, системы управления информационной безопасностью ), получив сертификат ISO/IEC 27001 на основании IT-Grundschutz .

Обзор базовой безопасности [ править ]

Термин «базовая безопасность» означает стандартные меры безопасности для типичных ИТ-систем. Оно используется в различных контекстах с несколько разными значениями. Например:

Microsoft Baseline Security Analyzer : программный инструмент, ориентированный на безопасность операционной системы и служб Microsoft.
Базовый уровень безопасности Cisco : рекомендации поставщика, ориентированные на средства контроля безопасности сети и сетевых устройств.
Базовая безопасность Nortel : набор требований и передовой опыт с акцентом на сетевых операторов.
ISO/IEC 13335-3 определяет базовый подход к управлению рисками. Этот стандарт был заменен ISO/IEC 27005 , но базовый подход еще не был использован в серии 2700x.
Существует множество внутренних базовых политик безопасности для организаций. ^[2]^[3]
Немецкий BSI имеет комплексный базовый стандарт безопасности, соответствующий серии ISO/IEC 27000. ^[4]

Базовая защита ИТ BSI [ править ]

Основой концепции базовой защиты ИТ изначально не является детальный анализ рисков. Это исходит из общих опасностей. Следовательно, игнорируется сложная классификация по степени ущерба и вероятности его возникновения. Установлены три категории потребностей в защите. С их помощью можно определить потребность в охране исследуемого объекта. На их основе из Каталогов базовой защиты ИТ выбираются соответствующие кадровые, технические, организационные и инфраструктурные меры безопасности.

Каталоги базовой защиты ИТ Федерального управления по безопасности информационных технологий предлагают «поваренный рецепт» нормального уровня защиты. Помимо вероятности возникновения и размера потенциального ущерба, также учитываются затраты на реализацию. Используя каталоги базовой защиты, можно обойтись без дорогостоящего анализа безопасности, требующего экспертных знаний, поскольку вначале анализируются общие опасности. Непрофессионал может определить меры, которые необходимо принять, и реализовать их в сотрудничестве с профессионалами.

BSI выдает сертификат базовой защиты в качестве подтверждения успешной реализации базовой защиты. На этапах 1 и 2 это основано на самодекларировании. , имеющий лицензию BSI независимый аудитор На этапе 3 аудит завершает . Интернационализация процесса сертификации стала возможной с 2006 года. Сертификация по стандарту ISO/IEC 27001 может проводиться одновременно с сертификацией базовой защиты ИТ. (Стандарт ISO/IEC 27001 является преемником BS 7799-2 ). Этот процесс основан на новых стандартах безопасности BSI . Этот процесс имеет цену развития, которая преобладала в течение некоторого времени. Корпорации, сертифицированные по стандарту BS 7799-2 , обязаны проводить оценку рисков . Для удобства большинство отклоняются от анализа потребностей в защите согласно Каталогам базовой защиты ИТ. Преимуществом является не только соответствие строгим стандартам BSI , но и получение сертификата BS 7799-2 . Помимо этого, BSI предлагает несколько вспомогательных средств, таких как шаблон политики и СТОЛ .

один компонент защиты данных Доступен , который был разработан в сотрудничестве с Федеральным комиссаром Германии по защите данных и свободе информации и государственными органами по защите данных и интегрирован в Каталог базовой защиты ИТ. Однако этот компонент не учитывается в процессе сертификации.

Базовый процесс защиты [ править ]

Следующие шаги предпринимаются в соответствии с базовым процессом защиты во время анализа конструкции и анализа потребностей в защите :

ИТ-сеть определена.
Проведен анализ структуры ИТ.
Проводится определение потребностей в защите.
Проводится базовая проверка безопасности.
Реализованы базовые меры защиты ИТ.

Создание происходит в следующие этапы:

ИТ- Анализ структуры (опрос)
Оценка потребностей в защите
Выбор действий
Текущее сравнение номинального и фактического.

Анализ ИТ-структуры [ править ]

ИТ-сеть включает в себя совокупность инфраструктурных , организационных, кадровых и технических компонентов, обслуживающих выполнение задачи в конкретной области применения обработки информации . Таким образом, ИТ-сеть может охватывать весь ИТ-характер учреждения или отдельного подразделения, который разделен организационными структурами, например, сетью департаментов или общими ИТ-приложениями , например, информационной системой персонала. Необходимо проанализировать и документировать рассматриваемую информационную технологическую структуру для создания концепции ИТ-безопасности и особенно для применения Каталогов базовой защиты ИТ. В связи с тем, что современные ИТ-системы обычно сильно объединены в сеть, план топологии сети является отправной точкой для анализа. Необходимо учитывать следующие аспекты:

Имеющаяся инфраструктура ,
Организационная и кадровая структура ИТ-сети,
Сетевые и несетевые ИТ-системы, используемые в ИТ-сети.
Коммуникационные соединения между ИТ-системами и внешними системами,
ИТ-приложения работают внутри ИТ-сети.

Определение необходимости защиты [ править ]

Целью определения потребностей в защите является исследование того, какая защита является достаточной и подходящей для используемой информации и информационных технологий.При этом учитывается ущерб каждому приложению и обрабатываемой информации, который может возникнуть в результате нарушения конфиденциальности, целостности или доступности. В этом контексте важной является реалистичная оценка возможного последующего ущерба. Деление на три категории потребностей в защите: «низкие и средние», «высокие» и «очень высокие» доказало свою ценность. «Публичная», «внутренняя» и «секретная» часто используются для обозначения конфиденциальности.

Моделирование [ править ]

В наши дни информационные технологии в правительстве и бизнесе обычно характеризуются интенсивно сетевыми ИТ-системами. Поэтому, как правило, в рамках анализа и концепции ИТ-безопасности выгодно рассматривать всю ИТ-систему, а не только отдельные системы. Чтобы иметь возможность справиться с этой задачей, имеет смысл логически разбить всю ИТ-систему на части и отдельно рассматривать каждую часть или даже ИТ-сеть. Подробная документация о его структуре является обязательным условием для использования каталогов базовой защиты ИТ в ИТ-сети. Этого можно достичь, например, с помощью анализа структуры ИТ, описанного выше. Компоненты каталога базовой защиты ИТ в конечном итоге должны быть сопоставлены с компонентами рассматриваемой ИТ-сети на этапе моделирования.

Базовая проверка безопасности [ править ]

Базовая проверка безопасности — это организационный инструмент, позволяющий быстро получить представление о преобладающем уровне ИТ-безопасности. С помощью интервью исследуется статус-кво существующей ИТ-сети (по образцу базовой защиты ИТ) относительно количества мер безопасности, реализованных из каталогов базовой защиты ИТ. Результатом является каталог, в котором для каждой соответствующей меры указывается статус реализации «необязательно», «да», «частично» или «нет». Путем выявления еще не реализованных или лишь частично реализованных мер выделяются варианты улучшения безопасности рассматриваемой информационной технологии.

Базовая проверка безопасности дает информацию о мерах, которые все еще отсутствуют (номинальное и фактическое сравнение). Из этого следует, что еще предстоит сделать для достижения базовой защиты посредством безопасности. Не все меры, предложенные в ходе этой базовой проверки, требуют реализации. Необходимо учитывать особенности! Возможно, на сервере запущено несколько более или менее неважных приложений, которым требуется меньшая защита. Однако в совокупности эти приложения должны иметь более высокий уровень защиты. Это называется эффектом кумуляции .

Приложения, работающие на сервере, определяют его потребность в защите. В одной ИТ-системе могут работать несколько ИТ-приложений. В этом случае категорию защиты ИТ-системы определяет приложение, наиболее нуждающееся в защите.

И наоборот, вполне возможно, что ИТ-приложение с высокими потребностями в защите не передает это автоматически в ИТ-систему. Это может произойти из-за того, что ИТ-система настроена избыточно или в ней работает только несущественная часть. Это называется ( эффектом распределения ). Так обстоит дело, например, с кластерами.

Базовая проверка безопасности отображает базовые меры защиты. Этого уровня достаточно для потребностей в защите от низкого до среднего уровня. По оценкам BSI, это около 80% всех ИТ-систем. Для систем с высокими и очень высокими потребностями в защите обычно используются концепции информационной безопасности, основанные на анализе рисков, такие как, например, стандарты серии ISO/IEC 27000 .

Каталог и стандарты базовой защиты ИТ [ править ]

Во время реструктуризации и расширения каталогов базовой защиты ИТ в 2005 году BSI отделил методологию от Каталога базовой защиты ИТ. Стандарты BSI 100-1 , BSI 100-2 и BSI 100-3 содержат информацию о построении системы управления информационной безопасностью (СУИБ), методологии или базовом подходе к защите, а также создании анализа безопасности для повышенных и очень повышенных уровней. защита должна основываться на завершенном базовом расследовании защиты.

BSI 100-4 , стандарт «Управление в чрезвычайных ситуациях», в настоящее время находится в стадии разработки. Он содержит элементы из BS 25999 « Управление непрерывностью обслуживания ITIL» в сочетании с соответствующими компонентами каталога базовой защиты ИТ, а также важные аспекты для соответствующего управления непрерывностью бизнеса (BCM). Внедрение этих стандартов делает сертификацию возможной в соответствии с BS 25999-2 . BSI представил проект стандартов BSI 100-4 для онлайн-комментариев. ^[5]

Таким образом BSI приводит свои стандарты в соответствие с международными нормами, такими как ISO/IEC 27001 .

Литература [ править ]

BSI : Руководство по базовой защите ИТ (pdf, 420 КБ)
BSI: Каталог базовой защиты ИТ, 2007 г. (pdf)
BSI: стандарты BSI по управлению ИТ-безопасностью и базовой защите ИТ
Фредерик Хумперт: Внедрение IT-Grundschutz с помощью GSTOOL. Инструкции и практические советы по успешному использованию стандарта BSI , Carl Hanser Verlag, Мюнхен, 2005 г. ( ISBN 3-446-22984-1 )
Норберт Полманн, Хартмут Блумберг: Руководство по ИТ-безопасности. Техническое задание по внедрению стандартов ИТ-безопасности в компании , ISBN 3-8266-0940-9

Ссылки [ править ]

^ «ИТ-Грундшуц» . bsi.bund.de. БСИ . Проверено 29 ноября 2013 г.
^ «Базовая политика безопасности отдела и соглашение с конечным пользователем» (PDF) . Университет Пердью . Проверено 17 декабря 2009 г. ^{[ постоянная мертвая ссылка ]}
^ «Базовые требования безопасности D16 для информационных систем» . Кентская полиция. Архивировано из оригинала 15 декабря 2009 года . Проверено 17 декабря 2009 г.
^ «Сопоставление ISO 27000 с базовой безопасностью» (PDF) . БСИ . Проверено 17 декабря 2009 г.
^ Проект BSI 100-4 ^{[ постоянная мертвая ссылка ]} (pdf)

Внешние ссылки [ править ]

[1] «ИТ-Грундшуц» . bsi.bund.de. БСИ . Проверено 29 ноября 2013 г.

[purdue-university-2] «Базовая политика безопасности отдела и соглашение с конечным пользователем» (PDF) . Университет Пердью . Проверено 17 декабря 2009 г. ^{[ постоянная мертвая ссылка ]}

[kent-police-3] «Базовые требования безопасности D16 для информационных систем» . Кентская полиция. Архивировано из оригинала 15 декабря 2009 года . Проверено 17 декабря 2009 г.

[iso27000-gs-4] «Сопоставление ISO 27000 с базовой безопасностью» (PDF) . БСИ . Проверено 17 декабря 2009 г.

[5] Проект BSI 100-4 ^{[ постоянная мертвая ссылка ]} (pdf)

[1]

[2]

[3]

[4]

[5]