Axborot texnologiyalari bazasini himoya qilish - IT baseline protection

The Axborot texnologiyalari bazasini himoya qilish (Nemis: IT-Grundshutz) nemis tilidan yondashish Axborot xavfsizligi bo'yicha federal idora (BSI) - bu tashkilotdagi kompyuter xavfsizligini aniqlash va amalga oshirish metodologiyasi. Maqsad - bu AT tizimlari uchun etarli va tegishli darajadagi xavfsizlikka erishish. Ushbu maqsadga erishish uchun BSI "yaxshi tasdiqlangan texnik, tashkiliy, kadrlar va infratuzilma kafolatlari" ni tavsiya qiladi.^[1] Tashkilotlar va federal idoralar o'zlarining IT-tizimlarini xavfsizligini ta'minlash uchun muntazam yondashuvlarini namoyish etishadi (masalan.) Axborot xavfsizligini boshqarish tizimi ) olish orqali IT-Grundschutz asosida ISO / IEC 27001 sertifikati.

Boshlang'ich xavfsizlik to'g'risida umumiy ma'lumot

Boshlang'ich xavfsizlik atamasi odatdagi AT tizimlari uchun standart xavfsizlik choralarini bildiradi. U biroz farqli ma'nolarga ega bo'lgan turli xil kontekstlarda qo'llaniladi. Masalan:

Microsoft boshlang'ich xavfsizligi analizatori: Microsoft operatsion tizimi va xizmatlari xavfsizligiga yo'naltirilgan dasturiy ta'minot
Cisco xavfsizlik bazasi: Sotuvchi tavsiyasi tarmoq va tarmoq qurilmalari xavfsizligini boshqarishga qaratilgan
Nortel xavfsizligi: Tarmoq operatorlariga yo'naltirilgan talablar va ilg'or tajribalar to'plami
ISO / IEC 13335-3 tavakkalchiliklarni boshqarish uchun bazaviy yondashuvni belgilaydi. Ushbu standart bilan almashtirildi ISO / IEC 27005, ammo boshlang'ich yondashuv hali 2700x seriyasiga kiritilmagan.
Tashkilotlar uchun ko'plab ichki xavfsizlik qoidalari mavjud,^[2]^[3]
Germaniya BSI xavfsizlik standartlariga mos keladigan keng qamrovli boshlang'ich xavfsizlik standartiga ega ISO / IEC 27000 seriyali^[4]

BSI IT bazaviy himoyasi

Axborot texnologiyalari bazasini himoya qilish kontseptsiyasining asosi dastlab batafsil xatarlarni tahlil qilish emas. U umumiy xavflardan kelib chiqadi. Binobarin, zarar darajasi va yuzaga kelish ehtimoli bo'yicha murakkab tasnifga e'tibor berilmaydi. Uchta himoya ehtiyojlari toifalari belgilangan. Ularning yordami bilan tekshirilayotgan ob'ektning himoya ehtiyojlarini aniqlash mumkin. Shular asosida ITni himoya qilishning kataloglari orasidan tegishli kadrlar, texnik, tashkiliy va infratuzilmaviy xavfsizlik choralari tanlanadi.

The Axborot texnologiyalari xavfsizligi bo'yicha federal idora IT-ning boshlang'ich muhofazasi kataloglari normal himoya darajasi uchun "oshxona kitobi retsepti" ni taklif qiladi. Vujudga kelish ehtimoli va mumkin bo'lgan zarar miqdori bilan bir qatorda, amalga oshirish xarajatlari ham hisobga olinadi. Boshlang'ich himoya kataloglaridan foydalangan holda, mutaxassislarning bilimini talab qiladigan qimmat xavfsizlik tahlili olib tashlanadi, chunki umumiy xavflar boshida ishlab chiqilgan. Nisbatan oddiy odam tomonidan ko'riladigan choralarni aniqlash va ularni mutaxassislar bilan hamkorlikda amalga oshirish mumkin.

BSI boshlang'ich himoyani muvaffaqiyatli amalga oshirish uchun tasdiqlash uchun dastlabki himoya sertifikatini beradi. 1 va 2 bosqichlarda bu o'z-o'zini e'lon qilishga asoslangan. 3 bosqichda, mustaqil, BSI litsenziyalangan auditor auditni yakunlaydi. Sertifikatlash jarayonini xalqarolashtirish 2006 yildan beri amalga oshirilmoqda. ISO / IEC 27001 sertifikatlash IT-ning boshlang'ich himoyasini sertifikatlash bilan bir vaqtda sodir bo'lishi mumkin. (ISO / IEC 27001 standarti voris hisoblanadi BS 7799-2 ). Ushbu jarayon yangisiga asoslanadi BSI xavfsizlik standartlari. Ushbu jarayon bir muncha vaqt davomida hukmronlik qilgan rivojlanish narxiga ega. O'zlarini sertifikatlashtirgan korporatsiyalar BS 7799-2 standart bajarishga majburdir xavf-xatarni baholash. Buni yanada qulayroq qilish uchun ko'pchilik himoya ehtiyojlarini tahlil qilish Axborot texnologiyalari bazasini himoya qilish kataloglariga muvofiq. Afzallik nafaqat qat'iy talablarga muvofiqligi BSI, shuningdek, erishish BS 7799-2 sertifikatlash. Bundan tashqari, BSI siyosat shabloni va GSTOOL.

Bittasi ma'lumotlarni himoya qilish komponenti mavjud bo'lib, u nemis bilan hamkorlikda ishlab chiqarilgan Ma'lumotlarni himoya qilish va axborot erkinligi bo'yicha Federal komissar va axborotni muhofaza qilish bo'yicha davlat idoralari va IT-ni himoya qilish katalogiga kiritilgan. Ushbu komponent sertifikatlashtirish jarayonida hisobga olinmaydi.

Asosiy himoya qilish jarayoni

Quyidagi qadamlar davomida himoya qilishning asosiy jarayoniga muvofiq amalga oshiriladi tuzilish tahlili va himoya ehtiyojlarini tahlil qilish:

IT tarmog'i aniqlangan.
Axborot texnologiyalari strukturasini tahlil qilish amalga oshiriladi.
Himoyaga ehtiyojni aniqlash amalga oshiriladi.
Xavfsizlikni dastlabki tekshirish amalga oshiriladi.
Axborot texnologiyalari bo'yicha dastlabki himoya choralari amalga oshirilmoqda.

Yaratilish quyidagi bosqichlarda amalga oshiriladi:

IT tuzilish tahlili (tadqiqot)
Baholash himoya ehtiyojlari
Amallarni tanlash
Nominal va haqiqiyni taqqoslash.

IT tuzilishini tahlil qilish

IT tarmog'i butunlikni o'z ichiga oladi infratuzilma, ma'lum bir vazifani bajarishga xizmat qiladigan tashkiliy, kadrlar va texnik qismlar axborotni qayta ishlash dastur maydoni. Shu bilan AT tarmog'i, masalan, idoraviy tarmoq yoki umumiy sifatida tashkiliy tuzilmalar tomonidan bo'lingan muassasa yoki alohida bo'linmaning barcha AT xususiyatlarini qamrab olishi mumkin. IT dasturlari Masalan, kadrlar uchun axborot tizimi. IT xavfsizligi kontseptsiyasini yaratish uchun, xususan, ITni himoya qilishning asosiy kataloglarini qo'llash uchun ko'rib chiqilayotgan axborot texnologik tuzilishini tahlil qilish va hujjatlashtirish zarur. Bugungi kunda juda ko'p tarmoqli IT tizimlari tufayli, a tarmoq topologiyasi rejasi tahlil qilish uchun boshlang'ich nuqtani taklif qiladi. Quyidagi jihatlarni hisobga olish kerak:

Mavjud infratuzilma,
IT tarmog'ining tashkiliy va kadrlar bazasi,
Tarmoqqa ulangan va tarmoqqa ulanmagan IT tizimlari IT tarmog'ida ishlaydi.
IT tizimlari bilan tashqi aloqalar,
AT dasturlari AT tarmog'ida ishlaydi.

Himoya qat'iylikka muhtoj

Muhofaza qilishning maqsadi, foydalanilayotgan axborot va axborot texnologiyalari uchun qaysi himoya etarli va mos ekanligini o'rganishdir, shu sababli har bir dasturga va qayta ishlangan ma'lumotlarga zarar etkazilishi mumkin, bu maxfiylik, yaxlitlik yoki mavjudligi, hisobga olinadi. Ushbu kontekstda yuzaga kelishi mumkin bo'lgan zararni real baholash muhimdir. Uchta himoyaga muhtoj "pastdan o'rta", "yuqori" va "juda yuqori" toifalarga bo'linish o'zini o'zi isbotladi. Maxfiylik uchun ko'pincha "jamoat", "ichki" va "sir" ishlatiladi.

Modellashtirish

Kuchli tarmoqli IT-tizimlar bugungi kunda hukumat va biznesdagi axborot texnologiyalarini xarakterlaydi. Shuning uchun, qoida tariqasida, AT xavfsizligini tahlil qilish va kontseptsiyasi doirasida alohida tizimlarni emas, balki butun IT tizimini ko'rib chiqish foydalidir. Ushbu vazifani boshqarish uchun butun AT tizimini mantiqiy ravishda qismlarga ajratish va har bir qismni yoki hatto IT tarmog'ini alohida ko'rib chiqish mantiqan to'g'ri keladi. Uning tuzilishi to'g'risida batafsil hujjatlar IT-tarmog'ida IT-ning asosiy himoya kataloglaridan foydalanish uchun zarur shartdir. Bunga, masalan, yuqorida tavsiflangan AT strukturasini tahlil qilish orqali erishish mumkin. Axborot texnologiyalari bazasini himoya qilish katalogining tarkibiy qismlari, oxir-oqibat, modellashtirish bosqichida ushbu IT tarmog'ining tarkibiy qismlariga joylashtirilishi kerak.

Dastlabki xavfsizlikni tekshirish

Xavfsizlikning dastlabki tekshiruvi - bu mavjud bo'lgan IT xavfsizligi darajasini tezkor ko'rib chiqishni taklif qiluvchi tashkiliy vosita. Intervyular yordamida mavjud IT-tarmog'ining (IT bazaviy muhofazasi modellashtirilgan) IT bazasini himoya qilish kataloglaridan amalga oshirilgan xavfsizlik choralari soniga nisbatan holati-kvo tekshiriladi. Natijada har bir tegishli o'lchov uchun "tarqatiladigan", "ha", "qisman" yoki "yo'q" holati kiritilgan katalog mavjud. Amalga oshirilmagan, yoki qisman amalga oshirilgan chora-tadbirlarni aniqlab, ko'rib chiqilayotgan axborot texnologiyalari xavfsizligini yaxshilash variantlari ta'kidlangan.

Xavfsizlikning dastlabki tekshiruvi hali yo'qolgan choralar to'g'risida ma'lumot beradi (nominal va haqiqiy taqqoslash). Bundan kelib chiqadiki, xavfsizlik orqali dastlabki himoya qilish uchun nima qilish kerak. Ushbu dastlabki tekshiruv tomonidan tavsiya etilgan barcha choralarni amalga oshirish kerak emas. Xususiyatlarni hisobga olish kerak! Ehtimol, serverda ozgina yoki ozgina ahamiyatsiz dasturlar ishlaydi, ular kamroq himoyalanish talablariga ega. Umuman olganda, ushbu ilovalar yuqori darajadagi himoya bilan ta'minlanishi kerak. Bunga (kumulyatsiya effekti ).

Serverda ishlaydigan dasturlar uning himoyaga bo'lgan ehtiyojini aniqlaydi. Bir nechta AT dasturlari IT tizimida ishlashi mumkin. Bu sodir bo'lganda, himoya qilish uchun eng katta ehtiyojga ega dastur IT tizimining himoya toifasini belgilaydi.

Aksincha, katta himoya talablariga ega bo'lgan IT-dastur uni avtomatik ravishda IT tizimiga o'tkazib yubormasligi mumkin. Bu IT tizimi ortiqcha tuzilganligi sababli yoki unda faqat ahamiyatsiz qism ishlagani uchun sodir bo'lishi mumkin. Bunga (tarqatish effekti ). Bu, masalan, klasterlar bilan bog'liq.

Xavfsizlikning dastlabki tekshiruvi dastlabki himoya choralarini aks ettiradi. Ushbu daraja past va o'rta darajadagi himoya ehtiyojlari uchun etarli. BSI hisob-kitoblariga ko'ra, bu barcha IT-tizimlarning taxminan 80% ni tashkil qiladi. Himoyalash ehtiyojlari yuqori va juda yuqori bo'lgan tizimlar uchun, masalan, xavf tahlili asosida axborot xavfsizligi tushunchalari ISO / IEC 27000 seriyali standartlardan foydalaniladi.

IT-dan himoya qilishning asosiy katalogi va standartlari

2005 yildagi qayta qurish va IT bazasini himoya qilish kataloglarini kengaytirish paytida BSI metodologiyani IT bazasini himoya qilish katalogidan ajratdi. The BSI 100-1, BSI 100-2 va BSI 100-3 standartlarda an qurilishi haqida ma'lumot mavjud axborot xavfsizligini boshqarish tizimi (ISMS), metodologiyasi yoki asosiy muhofaza qilish yondashuvi va yuqori va juda yuqori darajadagi muhofaza qilish uchun xavfsizlik tahlilini yaratish, yakunlangan dastlabki himoya tekshiruvi asosida.

BSI 100-4, "Favqulodda vaziyatlarni boshqarish" standarti hozirda tayyorlanmoqda. Undan elementlar mavjud BS 25999, ITIL Xizmatning uzluksizligini boshqarish, tegishli IT asoslarini himoya qilish katalogining tarkibiy qismlari bilan birlashtirilgan va shunga muvofiq muhim jihatlar Biznesning uzluksizligini boshqarish (BCM). Ushbu standartlarni amalga oshirish sertifikatlash ga muvofiq mumkin BS 25999 -2. BSI onlayn sharhlar uchun BSI 100-4 standartlari dizaynini taqdim etdi.^[5]

BSI o'z standartlarini shu kabi xalqaro me'yorlarga moslashtiradi ISO / IEC 27001 Bu yerga.

Adabiyot

BSI:ITni himoya qilish bo'yicha asosiy ko'rsatmalar (pdf, 420 kB)
BSI: IT bazaviy himoya katalogi 2007 y (pdf)
BSI: BSI IT xavfsizligini boshqarish va ITni himoya qilishning boshlang'ich standartlari
Frederik Xumpert: IT-Grundschutz umsetzen mit GSTOOL. Einsatz des BSI-Standartlar, Karl Xanser Verlag Myunxen, 2005 yil. (ISBN 3-446-22984-1)
Norbert Polman, Xartmut Blumberg: Der IT-Sicherheitsleitfaden. Das Pflichtenheft zur Amalga oshiriladigan IT-Sicherheitsstandards im Unternehmen, ISBN 3-8266-0940-9

Adabiyotlar

^ "IT-Grundschutz". bsi.bund.de. BSI. Olingan 29 noyabr 2013.
^ "Boshlang'ich xavfsizlik siyosati va oxirgi foydalanuvchi shartnomasi" (PDF). Purdue universiteti. Olingan 17 dekabr 2009.^{[doimiy o'lik havola ]}
^ "D16 Axborot tizimlari uchun xavfsizlikning dastlabki talablari". Kent politsiyasi. Arxivlandi asl nusxasi 2009 yil 15 dekabrda. Olingan 17 dekabr 2009.
^ "ISO 27000-ni boshlang'ich xavfsizlikka xaritalash" (PDF). BSI. Olingan 17 dekabr 2009.
^ Entwurf BSI 100-4^{[doimiy o'lik havola ]} (pdf)

Tashqi havolalar

[1] "IT-Grundschutz". bsi.bund.de. BSI. Olingan 29 noyabr 2013.

[purdue-university-2] "Boshlang'ich xavfsizlik siyosati va oxirgi foydalanuvchi shartnomasi" (PDF). Purdue universiteti. Olingan 17 dekabr 2009.^{[doimiy o'lik havola ]}

[kent-police-3] "D16 Axborot tizimlari uchun xavfsizlikning dastlabki talablari". Kent politsiyasi. Arxivlandi asl nusxasi 2009 yil 15 dekabrda. Olingan 17 dekabr 2009.

[iso27000-gs-4] "ISO 27000-ni boshlang'ich xavfsizlikka xaritalash" (PDF). BSI. Olingan 17 dekabr 2009.

[5] Entwurf BSI 100-4^{[doimiy o'lik havola ]} (pdf)

[1]

[2]

[3]

[4]

[5]