АТ базалық қорғанысы - IT baseline protection

The АТ базалық қорғанысы (Неміс: IT-Grundschutz) неміс тілінен Ақпараттық қауіпсіздік жөніндегі федералды бюро (BSI) - бұл ұйымдағы компьютерлік қауіпсіздік шараларын анықтау мен жүзеге асырудың әдістемесі. Мақсаты - АТ жүйелері үшін барабар және тиісті қауіпсіздік деңгейіне жету. Осы мақсатқа жету үшін BSI «дәлелденген техникалық, ұйымдастырушылық, кадрлық және инфрақұрылымдық қауіпсіздік шараларын» ұсынады.^[1] Ұйымдар мен федералдық агенттіктер өздерінің АТ жүйелерін қорғауға жүйелі тәсілдерін көрсетеді (мысалы. Ақпараттық қауіпсіздікті басқару жүйесі ) алу арқылы IT-Grundschutz негізіндегі ISO / IEC 27001 сертификаты.

Бастапқы қауіпсіздікке шолу

Бастапқы қауіпсіздік термині типтік АТ жүйелері үшін стандартты қауіпсіздік шараларын білдіреді. Ол әр түрлі мәнмәтіндерде әртүрлі жағдайда қолданылады. Мысалға:

Microsoft Baseline Security Analyzer: Microsoft операциялық жүйесі мен қызметтердің қауіпсіздігіне бағытталған бағдарламалық жасақтама құралы
Cisco қауіпсіздігі: Желілік және желілік құрылғылардың қауіпсіздігін басқаруға бағытталған сатушының ұсынысы
Nortel қауіпсіздігі: Желілік операторларға назар аудара отырып, талаптар мен озық тәжірибелер жиынтығы
ISO / IEC 13335-3 тәуекелдерді басқарудың бастапқы әдісін анықтайды. Бұл стандарт ауыстырылды ISO / IEC 27005, бірақ базалық тәсіл 2700х сериясына әлі қабылданған жоқ.
Ұйымдар үшін көптеген ішкі қауіпсіздік саясаты бар,^[2]^[3]
Неміс BSI стандартына сәйкес келетін жан-жақты қауіпсіздік стандартына ие ISO / IEC 27000 сериясы^[4]

BSI IT базалық қорғанысы

Бастапқыда АТ-дан қорғау тұжырымдамасының негізі тәуекелдерді егжей-тегжейлі талдау емес. Бұл жалпы қауіптіліктен туындайды. Демек, зақымдану дәрежесі мен пайда болу ықтималдығы бойынша күрделі жіктеу ескерілмейді. Қорғаныстың үш санаты белгіленді. Олардың көмегімен зерттелетін объектінің қорғаныс қажеттіліктерін анықтауға болады. Оларды негізге ала отырып, АТ базалық қорғаныс каталогтарының ішінен тиісті персонал, техникалық, ұйымдастырушылық және инфрақұрылымдық қауіпсіздік шаралары таңдалады.

The Ақпараттық технологиялар саласындағы федералды бюро АТ-ны қорғаудың бастапқы каталогтары қорғаныстың қалыпты деңгейі үшін «аспаздық рецепт» ұсынады. Болу ықтималдығы мен ықтимал зақымданулардан басқа, іске асыруға кететін шығындар да ескеріледі. Бастапқы қорғаныс каталогтарын пайдалану арқылы сарапшылардың білімін қажет ететін қымбат қауіпсіздік талдауларына жол берілмейді, өйткені жалпы қауіптіліктер басында жұмыс істейді. Салыстырмалы тұрғынға қабылданатын шараларды анықтап, оларды кәсіпқойлармен бірлесе отырып жүзеге асыруға болады.

BSI базалық қорғаудың сәтті жүзеге асырылуын растайтын қорғаныс сертификатын береді. 1 және 2 кезеңдерде бұл өзін-өзі жариялауға негізделген. 3-кезеңде тәуелсіз, BSI лицензиясы бар аудитор аудитті аяқтайды. Сертификаттау үдерісін интернационалдандыру 2006 жылдан бастап мүмкін болды. ISO / IEC 27001 сертификаттау АТ базалық қорғаныс сертификатымен бір уақытта болуы мүмкін. (ISO / IEC 27001 стандарты мұрагері болып табылады BS 7799-2 ). Бұл процесс жаңаға негізделген BSI қауіпсіздік стандарттары. Бұл процесс біраз уақыттан бері басым болып келген даму бағасын ұстайды. Өздерін сертификаттаған корпорациялар BS 7799-2 стандартты орындауға міндетті қауіп-қатерді бағалау. Оны ыңғайлы ету үшін, көпшілігі ауытқу керек қорғау қажеттіліктерін талдау АТ-ны қорғаудың бастапқы каталогтарына сәйкес. Артықшылығы - қатаң талаптарға сәйкестікте ғана емес BSI, сонымен қатар жету BS 7799-2 сертификаттау. Бұдан басқа, BSI саясат шаблоны және сияқты бірнеше анықтамалық көмек ұсынады GSTOOL.

Бір деректерді қорғау компоненті бар, ол неміспен бірге жасалған Деректерді қорғау және ақпарат бостандығы жөніндегі федералды комиссар және деректерді қорғаудың мемлекеттік органдары және IT базалық қорғаныс каталогына біріктірілген. Бұл компонент сертификаттау процесінде қарастырылмайды.

Бастапқы қорғаныс процесі

Қорғау кезінде бастапқы қадамдар бойынша келесі қадамдар жасалады құрылымды талдау және қорғау қажеттіліктерін талдау:

IT желісі анықталды.
АТ құрылымын талдау жүзеге асырылады.
Қорғаныс қажеттіліктерін анықтау жүзеге асырылады.
Қауіпсіздікті базалық тексеру жүзеге асырылады.
Ақпараттық технологияны қорғаудың бастапқы шаралары жүзеге асырылуда.

Құру келесі қадамдарда жүзеге асырылады:

IT құрылымды талдау (сауалнама)
Бағалау қорғау қажеттіліктері
Іс-әрекеттерді таңдау
Номиналды және нақты салыстыру.

АТ құрылымын талдау

АТ желісіне барлығы қосылады инфрақұрылымдық, белгілі бір тапсырманы орындауға қызмет ететін ұйымдастырушылық, кадрлық және техникалық компоненттер ақпаратты өңдеу қолдану аймағы. АТ желісі мекеменің немесе жеке бөлімшенің бүкіл АТ сипатын қамтуы мүмкін, оны ұйымдық құрылымдар бөледі, мысалы, ведомстволық желі немесе ортақ. IT қосымшалары мысалы, персоналдың ақпараттық жүйесі. АТ қауіпсіздігі тұжырымдамасын құру үшін және әсіресе АТ-ны қорғаудың бастапқы деңгей каталогтарын қолдану үшін қарастырылып отырған ақпараттық технологиялық құрылымды талдау және құжаттау қажет. Бүгінгі таңда өте көп желілік ақпараттық жүйелерге байланысты, а желілік топология жоспары талдаудың бастапқы нүктесін ұсынады. Келесі аспектілерді ескеру қажет:

Қол жетімді инфрақұрылым,
АТ желісінің ұйымдастырушылық және кадрлық негіздері,
Желілік және желілік емес АТ жүйелері АТ желісінде жұмыс істейді.
АТ жүйелері мен сыртқы байланыстар,
АТ қосымшалары АТ желісінде жұмыс істейді.

Қорғаныс шешімді қажет етеді

Қауіпсіздікті анықтау мақсаты пайдаланудағы ақпараттық және ақпараттық технологиялар үшін қандай қорғаныс жеткілікті және сәйкес келетіндігін зерттеу болып табылады, осыған байланысты құпиялылықты, тұтастықты немесе қол жетімділігі қарастырылады. Осы тұрғыдан мүмкін болатын залалды нақты бағалау маңызды. Үш төмен қорғаныс қажеттіліктеріне бөлу «төменнен ортаға дейін», «жоғары» және «өте жоғары» санатқа жатады. Құпиялылық үшін көбіне «жария», «ішкі» және «құпия» қолданылады.

Модельдеу

Күшті желілік ақпараттық жүйелер, әдетте, қазіргі кезде үкімет пен бизнестегі ақпараттық технологияларды сипаттайды. Әдетте, сондықтан АТ қауіпсіздігін талдау мен тұжырымдамасы шеңберінде жекелеген жүйелерді емес, бүкіл АТ жүйесін қарастырған тиімді. Бұл тапсырманы басқару үшін логикалық тұрғыдан бүкіл АТ жүйесін бөліктерге бөліп, әр бөлігін немесе тіпті АТ желісін бөлек қарастырған жөн. Оның құрылымы туралы егжей-тегжейлі құжаттама АТ желісінде АТ-ны қорғаудың негізгі каталогтарын қолданудың алғышарты болып табылады. Бұған, мысалы, жоғарыда сипатталған АТ құрылымын талдау арқылы қол жеткізуге болады. IT базалық қорғаныс каталогының компоненттері, сайып келгенде, модельдеу кезеңінде қарастырылып отырған IT желісінің компоненттеріне түсірілуі керек.

Бастапқы қауіпсіздікті тексеру

Бастапқы қауіпсіздікті тексеру - бұл АТ қауіпсіздігінің басым деңгейіне шолу жасауға мүмкіндік беретін ұйымдастырушылық құрал. Сұхбаттасудың көмегімен АТ-ны қорғаудың каталогтарынан алынған қауіпсіздік шаралары санына қатысты қолданыстағы АТ желісінің статус-кво (АТ базалық қорғаныс моделіне сәйкес) зерттеледі. Нәтижесінде каталог жасалады, онда әрбір тиісті шара үшін «диспансерлік», «иә», «ішінара» немесе «жоқ» мәртебесі енгізіледі. Іске асырылмаған шараларды әлі ішінара анықтай отырып, қарастырылып отырған ақпараттық технологиялардың қауіпсіздігін жақсарту нұсқалары көрсетілген.

Қауіпсіздіктің базалық тексерісі әлі жоқ болатын шаралар туралы ақпарат береді (номиналды және нақты салыстыру). Бұдан қауіпсіздік арқылы бастапқы қорғауға қол жеткізу үшін не істеу керек екендігі туындайды. Осы бастапқы тексеру ұсынған барлық шараларды орындау қажет емес. Ерекшеліктер ескерілуі керек! Мүмкін, серверде әлдеқайда маңызды емес бірнеше қосымшалар жұмыс істейді, олар аз қорғаныс қажеттіліктеріне ие. Олардың жалпы санында бұл қосымшалар жоғары деңгейдегі қорғаумен қамтамасыз етілуі керек. Бұл деп аталады (кумуляциялық әсер ).

Серверде жұмыс істейтін қосымшалар оның қорғаныс қажеттілігін анықтайды. Бірнеше АТ қосымшалары АТ жүйесінде жұмыс істей алады. Мұндай жағдайда, қорғаныс қажеттілігі жоғары бағдарлама АТ жүйесінің қорғаныс санатын анықтайды.

Керісінше, үлкен қорғаныс қажеттілігі бар АТ қосымшасы оны АТ жүйесіне автоматты түрде жібермейді деп ойлауға болады. Бұл АТ жүйесі артық конфигурацияланғандықтан немесе онда тек маңызды емес бөлік жұмыс істейтіндіктен болуы мүмкін. Бұл деп аталады (тарату әсері ). Бұл, мысалы, кластерлерге қатысты.

Бастапқы қауіпсіздікті тексеру бастапқы қорғаныс шараларын бейнелейді. Бұл деңгей қорғаныстың төмен және орташа қажеттіліктері үшін жеткілікті. Бұл BSI бағалауы бойынша барлық ақпараттық жүйелердің шамамен 80% құрайды. Жоғары және өте жоғары қорғаныс қажеттіліктері бар жүйелер үшін, мысалы, тәуекелдерді талдау негізінде ақпараттық қауіпсіздік тұжырымдамалары ISO / IEC 27000 сериясы стандарттар, әдетте қолданылады.

IT базалық қорғаныс каталогы және стандарттары

BSI 2005 жылы қайта құрылымдау кезінде және АТ-ны қорғаудың каталогтарын кеңейту кезінде методологияны АТ-ны қорғаудың бастапқы каталогынан бөлді. The BSI 100-1, BSI 100-2, және BSI 100-3 стандарттарда ан құрылысы туралы ақпарат бар ақпараттық қауіпсіздікті басқару жүйесі (БААЖ), қорғаныстың әдіснамасы немесе базалық тәсілі және жоғары және өте жоғары қорғаныс қажеттіліктері үшін қауіпсіздікті талдауды құру, қорғаныстың аяқталған бастапқы тергеуіне негізделген.

BSI 100-4, «Төтенше жағдайларды басқару» стандарты қазір дайындалып жатыр. Онда элементтері бар BS 25999, ITIL Қызметтің үздіксіздігін басқару тиісті IT базалық қорғаныс каталогының құрамдас бөліктерімен үйлеседі және сәйкес аспектілері Бизнес үздіксіздігін басқару (BCM). Осы стандарттарды жүзеге асырады сертификаттау сәйкес болуы мүмкін BS 25999 -2. BSI онлайн режимінде түсініктеме беру үшін BSI 100-4 стандарттарының дизайнын ұсынды.^[5]

BSI өз стандарттарын халықаралық стандарттарға сәйкес келтіреді ISO / IEC 27001 Бұл жолмен.

Әдебиет

BSI:Ақпараттық технологияларды қорғаудың негізгі нұсқаулары (pdf, 420 кБ)
BSI: IT базалық қорғаныс каталогы 2007 ж (PDF)
BSI: BSI IT қауіпсіздігін басқару және АТ-ны қорғаудың бастапқы стандарттары
Фредерик Хамперт: IT-Grundschutz umsetzen mit GSTOOL. Einsatz des BSI стандарттары туралы, Карл Хансер Верлаг Мюнхен, 2005. (ISBN 3-446-22984-1)
Норберт Польман, Хартмут Блюмберг: IT-Sicherheitsleitfaden. Das Pflichtenheft zur Imterier von IT-Sicherheitsstandards im Unternehmen, ISBN 3-8266-0940-9

Әдебиеттер тізімі

^ «IT-Grundschutz». bsi.bund.de. BSI. Алынған 29 қараша 2013.
^ «Департаменттің қауіпсіздік саясаты және түпкі пайдаланушының келісімі» (PDF). Purdue университеті. Алынған 17 желтоқсан 2009.^{[тұрақты өлі сілтеме ]}
^ «D16 ақпараттық жүйелерге қойылатын қауіпсіздік талаптары». Кент полициясы. Архивтелген түпнұсқа 2009 жылдың 15 желтоқсанында. Алынған 17 желтоқсан 2009.
^ «ISO 27000-ді бастапқы қауіпсіздікке салыстыру» (PDF). BSI. Алынған 17 желтоқсан 2009.
^ Entwurf BSI 100-4^{[тұрақты өлі сілтеме ]} (PDF)

Сыртқы сілтемелер

[1] «IT-Grundschutz». bsi.bund.de. BSI. Алынған 29 қараша 2013.

[purdue-university-2] «Департаменттің қауіпсіздік саясаты және түпкі пайдаланушының келісімі» (PDF). Purdue университеті. Алынған 17 желтоқсан 2009.^{[тұрақты өлі сілтеме ]}

[kent-police-3] «D16 ақпараттық жүйелерге қойылатын қауіпсіздік талаптары». Кент полициясы. Архивтелген түпнұсқа 2009 жылдың 15 желтоқсанында. Алынған 17 желтоқсан 2009.

[iso27000-gs-4] «ISO 27000-ді бастапқы қауіпсіздікке салыстыру» (PDF). BSI. Алынған 17 желтоқсан 2009.

[5] Entwurf BSI 100-4^{[тұрақты өлі сілтеме ]} (PDF)

[1]

[2]

[3]

[4]

[5]