Информационные технологии. Методы и средства обеспечения безопасности Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

Настоящий стандарт введен в действие 1 июня 2007 года и представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ). Стандарт устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Целью стандарта является формирование общих понятий и моделей управления безопасностью ИИТ.

Стандарт описывает

1. основные категории активов:

- материальные активы (вычислительные средства, здания и т.д.);

- информация (данные) (документы, базы данных):

- программное обеспечение;

- люди;

- нематериальные ресурсы (престиж, репутация).

2. Виды угроз.

Угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации.

Пример угроз:

3. Характеристики угроз.

Угрозы обладают следующими характеристиками:

- источник (внутренний или внешний);

- мотивация (например: финансовая выгода, конкурентное преимущество);

- частота возникновения;

- правдоподобие;

- вредоносное воздействие.

Слабость актива или нескольких видов активов, которые могут быть использованы одной или более угрозами, трактуется как уязвимость.

Cвязанные с активами уязвимости включают в себя слабости: физического носителя; организации; процедур; персонала; управления; администрирования; программное обеспечения; информации. Уязвимость не причиняет ущерб и может существовать и в отсутствие угрозы.

Способность конкретной угрозы использовать уязвимость одного или нескольких видов активов для нанесения ущерба организации, называется риском.

Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием.

Любые изменения активов, угроз, уязвимостей, а так же применение защитных мер может оказать значительное влияние на риск, но не может его полностью устранить.

Защитные меры – это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие, обнаружить инциденты и облегчить восстановление активов.

1. Защитные меры могут выполнять одну или несколько функций: предотвращение; сдерживание; обнаружение; ограничение; исправление; восстановление; мониторинг; осведомление.

При выборе и реализации защитных мер необходимо учитывать ограничения присущие организации.

Ограничения могут быть: организационные; коммерческие; финансовые; по окружающей среде; по персоналу; временные; правовые; технические; культурные и социальные.

Кроме перечисленных понятий стандарт устанавливает иерархию политик, описывает ее элементы, освещает организационные аспекты безопасности и функции управления безопасностью ИТТ. Основные положения и структура стандарта представлена в приложении 2.