Базовая ИТ-защита - IT baseline protection

В Базовая ИТ-защита (Немецкий: IT-Grundschutz) подход от немецкого Федеральное управление информационной безопасности (BSI) - это методика определения и внедрения мер компьютерной безопасности в организации. Целью является достижение адекватного и надлежащего уровня безопасности ИТ-систем. Для достижения этой цели BSI рекомендует «проверенные технические, организационные, кадровые и инфраструктурные меры безопасности».^[1] Организации и федеральные агентства демонстрируют свой систематический подход к защите своих ИТ-систем (например, Система управления информационной безопасностью ) путем получения Сертификат ISO / IEC 27001 на основании IT-Grundschutz.

Обзор базовой безопасности

Термин "базовая безопасность" означает стандартные меры безопасности для типичных ИТ-систем. Он используется в разных контекстах с несколько разными значениями. Например:

Анализатор безопасности Microsoft Baseline: Программный инструмент, ориентированный на безопасность операционных систем и служб Microsoft.
Базовый уровень безопасности Cisco: Рекомендации производителя касаются контроля безопасности сети и сетевых устройств.
Базовая безопасность Nortel: Набор требований и лучших практик с упором на сетевых операторов.
ISO / IEC 13335-3 определяет базовый подход к управлению рисками. Этот стандарт был заменен на ISO / IEC 27005, но базовый подход еще не был принят в серию 2700x.
Существует множество внутренних базовых политик безопасности для организаций,^[2]^[3]
Немецкий BSI имеет всеобъемлющий базовый стандарт безопасности, соответствующий требованиям ISO / IEC серии 27000^[4]

Базовая защита BSI IT

В основе базовой концепции защиты ИТ изначально не лежит подробный анализ рисков. Это исходит от общих опасностей. Следовательно, не учитывается сложная классификация по степени повреждения и вероятности возникновения. Установлены три категории потребностей в защите. С их помощью можно определить потребности в защите исследуемого объекта. На основе этого из каталогов базовой защиты ИТ выбираются соответствующие кадровые, технические, организационные и инфраструктурные меры безопасности.

В Федеральное управление по безопасности информационных технологий Каталоги базовой защиты ИТ предлагают "рецепт рецепта" для нормального уровня защиты. Помимо вероятности возникновения и потенциального ущерба, также учитываются затраты на внедрение. Использование базовых каталогов защиты позволяет отказаться от дорогостоящего анализа безопасности, требующего экспертных знаний, поскольку с общими опасностями работают в самом начале. Относительный неспециалист может определить меры, которые необходимо принять, и реализовать их в сотрудничестве с профессионалами.

BSI выдает сертификат базовой защиты в качестве подтверждения успешной реализации базовой защиты. На этапах 1 и 2 это основано на самостоятельном объявлении. На этапе 3 независимый лицензированный BSI аудитор завершает аудит. Интернационализация процесса сертификации возможна с 2006 года. ISO / IEC 27001 сертификация может происходить одновременно с сертификацией базовой защиты ИТ. (Стандарт ISO / IEC 27001 является преемником BS 7799-2 ). Этот процесс основан на новом Стандарты безопасности BSI. Этот процесс имеет цену развития, которая какое-то время преобладает. Корпорации, сертифицированные в соответствии с BS 7799-2 стандарта обязаны проводить оценка рисков. Чтобы было удобнее, чаще всего отклоняются от анализ потребностей в защите в соответствии с каталогами базовой защиты ИТ. Преимущество не только в соблюдении строгих правил. BSI, но и достижение BS 7799-2 сертификация. Помимо этого, BSI предлагает несколько вспомогательных средств, таких как шаблон политики и GSTOOL.

Один защита данных доступен компонент, который был произведен в сотрудничестве с немецкой Федеральный комиссар по защите данных и свободе информации и государственные органы по защите данных и интегрированы в каталог IT Baseline Protection Catalog. Однако этот компонент не рассматривается в процессе сертификации.

Базовый процесс защиты

Следующие шаги предпринимаются в соответствии с процессом базовой защиты во время структурный анализ и анализ потребностей в защите:

IT-сеть определена.
Проведен анализ ИТ-структуры.
Проведено определение потребностей в защите.
Выполняется базовая проверка безопасности.
Реализованы базовые меры защиты ИТ.

Создание происходит в следующие этапы:

ЭТО структурный анализ (опрос)
Оценка потребности в защите
Подбор действий
Текущее сравнение номинального и фактического.

Анализ ИТ-структуры

ИТ-сеть включает в себя совокупность инфраструктурный, организационные, кадровые и технические компоненты, служащие выполнению задачи в конкретном обработка информации Область применения. Таким образом, ИТ-сеть может охватывать весь ИТ-характер учреждения или отдельного подразделения, которое разделено по организационным структурам как, например, сеть департаментов или как совместно используемая сеть. IT приложения, например, кадровая информационная система. Необходимо проанализировать и задокументировать рассматриваемую информационную технологическую структуру, чтобы сформировать концепцию ИТ-безопасности, и особенно для применения базовых каталогов защиты ИТ. Из-за того, что сегодня ИТ-системы, как правило, тесно связаны между собой, план топологии сети предлагает отправную точку для анализа. Следует учитывать следующие аспекты:

Доступные инфраструктура,
Организационная и кадровая структура ИТ-сети,
Сетевые и несетевые IT системы работает в ИТ-сети.
Коммуникационные связи между ИТ-системами и внешними,
ИТ-приложения работают в ИТ-сети.

Определение потребностей в защите

Целью определения потребностей в защите является изучение того, какая защита является достаточной и подходящей для используемой информации и информационных технологий, в связи с чем ущерб каждому приложению и обрабатываемой информации, который может возникнуть в результате нарушения конфиденциальности, целостности или доступность, считается. В этом контексте важна реалистичная оценка возможных последующих повреждений. Разделение на три категории потребностей в защите «от низкой до средней», «высокой» и «очень высокой» оказалось полезным. «Публичный», «внутренний» и «секретный» часто используются для конфиденциальности.

Моделирование

Сильно связанные в сеть ИТ-системы в наши дни обычно характеризуют информационные технологии в правительстве и бизнесе. Поэтому, как правило, целесообразно рассматривать всю ИТ-систему, а не только отдельные системы, в рамках анализа и концепции ИТ-безопасности. Чтобы иметь возможность управлять этой задачей, имеет смысл логически разделить всю ИТ-систему на части и отдельно рассмотреть каждую часть или даже ИТ-сеть. Подробная документация о его структуре является необходимым условием для использования каталогов IT Baseline Protection Catalog в IT-сети. Этого можно достичь, например, с помощью описанного выше анализа структуры ИТ. Компоненты Каталога базовой защиты ИТ в конечном итоге должны быть сопоставлены с компонентами рассматриваемой ИТ-сети на этапе моделирования.

Базовая проверка безопасности

Базовая проверка безопасности - это организационный инструмент, предлагающий быстрый обзор преобладающего уровня безопасности ИТ. С помощью интервью исследуется статус-кво существующей ИТ-сети (смоделированный с помощью базовой ИТ-защиты) по сравнению с количеством мер безопасности, реализованных из каталогов базовой ИТ-защиты. Результатом является каталог, в котором для каждой соответствующей меры вводится статус реализации «необязательный», «да», «частично» или «нет». Путем определения еще не реализованных или частично реализованных мер выделяются варианты улучшения безопасности рассматриваемой информационной технологии.

Базовая проверка безопасности дает информацию о мерах, которые все еще отсутствуют (сравнение номинальных и фактических данных). Из этого следует, что еще предстоит сделать для достижения базовой защиты посредством безопасности. Не все меры, предложенные в этой проверке исходных условий, необходимо применять. Учтите нюансы! Может случиться так, что на сервере запущено несколько более или менее неважных приложений, требующих меньшей защиты. Однако в совокупности эти приложения должны иметь более высокий уровень защиты. Это называется (кумулятивный эффект ).

Приложения, работающие на сервере, определяют его потребность в защите. Несколько ИТ-приложений могут работать в ИТ-системе. Когда это происходит, приложение, которое больше всего нуждается в защите, определяет категорию защиты ИТ-системы.

И наоборот, возможно, что ИТ-приложение с большими потребностями в защите не будет автоматически передавать это в ИТ-систему. Это может произойти из-за того, что ИТ-система настроена с резервированием, или из-за того, что на ней работает только несущественная часть. Это называется (эффект распределения ). Так обстоит дело, например, с кластерами.

Базовая проверка безопасности отображает базовые меры защиты. Этого уровня достаточно для защиты от низкого до среднего. По оценкам BSI, это около 80% всех ИТ-систем. Для систем с высокими и очень высокими требованиями к защите используются концепции информационной безопасности на основе анализа рисков, например ISO / IEC серии 27000 стандарты, обычно используются.

Каталог и стандарты базовой защиты ИТ

Во время реструктуризации и расширения каталогов базовой защиты ИТ в 2005 г. BSI отделила методологию от каталога базовой защиты ИТ. В BSI 100-1, BSI 100-2, и BSI 100-3 стандарты содержат информацию о строительстве система управления информационной безопасностью (СМИБ), методологию или базовый подход к защите, а также создание анализа безопасности для повышенных и очень повышенных потребностей в защите на основе завершенного исследования базовой защиты.

BSI 100-4 стандарт «Управление в чрезвычайных ситуациях» находится в стадии разработки. Он содержит элементы из BS 25999, ITIL Управление непрерывностью обслуживания в сочетании с соответствующими компонентами каталога IT Baseline Protection Catalog и важными аспектами для соответствующих Управление непрерывностью бизнеса (BCM). Реализация этих стандартов делает сертификация возможно в соответствии с BS 25999 -2. BSI представил дизайн стандартов BSI 100-4 для онлайн-комментариев.^[5]

BSI приводит свои стандарты в соответствие с международными нормами, такими как ISO / IEC 27001 Сюда.

Литература

BSI:Руководство по базовой защите ИТ (pdf, 420 kB)
BSI: Каталог базовой защиты ИТ 2007 (pdf)
BSI: BSI IT Security Management и базовые стандарты защиты ИТ
Фредерик Хамперт: IT-Grundschutz umsetzen mit GSTOOL. Anleitungen und Praxistipps für den erfolgreichen Einsatz des BSI-Standards, Карл Хансер Верлаг Мюнхен, 2005. (ISBN 3-446-22984-1)
Норберт Польманн, Хартмут Блумберг: Der IT-Sicherheitsleitfaden. Das Pflichtenheft zur Implementierung von IT-Sicherheitsstandards im Unternehmen, ISBN 3-8266-0940-9

внешняя ссылка

[1] "IT-Grundschutz". bsi.bund.de. BSI. Получено 29 ноябрь 2013.

[purdue-university-2] «Базовая политика безопасности и Соглашение с конечным пользователем» (PDF). Университет Пердью. Получено 17 декабря 2009.^{[постоянная мертвая ссылка ]}

[kent-police-3] «D16 Базовые требования безопасности для информационных систем». Кентская полиция. Архивировано из оригинал 15 декабря 2009 г.. Получено 17 декабря 2009.

[iso27000-gs-4] «Соответствие ISO 27000 базовой безопасности» (PDF). BSI. Получено 17 декабря 2009.

[5] Entwurf BSI 100-4^{[постоянная мертвая ссылка ]} (pdf)

[1]

[2]

[3]

[4]

[5]