Вступ до вибору засобів безпеки та концепція базової безпеки

Дається короткий огляд вибору засобів безпеки, та як і коли концепція базової безпеки може бути при цьому використана. Є два головних підходи до вибору засобів безпеки, а саме: використання базового підходу та проведення детального дослідження ризиків.

Проведення детального аналізу ризику має ту перевагу, що досягається повна картина ризиків. Це необхідно для вибору тих засобів безпеки, що зумовлені ризиками, і, відповідно, мають бути реалізовані. Це запобігає забезпеченню занадто великої чи занадто малої безпеки. Оскільки цей підхід може вимагати значної кількості часу, зусиль та кваліфікації, він найбільш підходить для інформаційних систем з високим ризиком, тоді як простіший підхід може виявитись достатнім для систем з низьким рівнем ризику. Використання високорівневого аналізування ризиків може визначити системи з низьким рівнем ризику. Цей високорівневий аналіз ризиків не потребує формалізованого чи складного процесу. Засоби захисту для систем з низьким рівнем ризику можуть бути обрані шляхом застосування базової безпеки. Базова безпека забезпечує мінімальний рівень безпеки, визначений організацією для кожного типу інформаційної технології системи. Цей рівень базової безпе­ки досягається реалізацією мінімального набору засобів безпеки, що відомі як базові засоби.

Внаслідок відмінностей в процесі вибору засобів безпеки, в цьому розділі розглядають два різні шляхи застосування базового підходу:

– використання базового підходу, в якому засоби безпеки рекомендовано вибирати відповідно до типу та характеристик інформаційної технології системи, що розглядається;

– використання базового підходу, в якому засоби безпеки рекомендовано вибирати відповідно до проблем та загроз безпеки, також враховувати і систему, що розглядається.

На рис. 10.1 розглянуто способи вибору засобів безпеки.

Базовий підхід треба вибирати відповідно до ресурсів, які можуть бути витрачені у процесі вибору усвідомлених проблем безпеки, а також типу і характеристик інформаційної системи, що розглядається. Якщо організація не бажає витрачати багато часу та зусиль на вибір засобів безпеки (з будь-якої причини), то можна скористатися базовим підходом, що пропонує засоби безпеки без подальшого оцінювання. Однак, якщо ділові процеси організації до певної міри залежать від інформаційної системи чи послуг та (або) оброблювана інформація контрольована, то дуже ймовірно, що будуть необхідні додаткові засоби безпеки. В цьому випадку настійно рекомендується, проводити високорівневий огляд важливості інформації та можливих загроз для того, щоб мати краще уявлення про засоби безпеки, потрібні для найефективнішої безпеки інформаційної системи. Якщо ділові процеси організації сильно залежать від інформаційної системи чи послуг, та (або) оброблена інформація є дуже чутливою, ризики можуть бути високі, і детальне аналізування ризиків є найкращим шляхом визначення прийнятних засобів безпеки.

Специфічні засоби безпеки повинні призначатися на основі детального аналізування ризиків, якщо:

Рис. 10.1. Способи вибору засобів безпеки

– діяльність чи потреби безпеки не відповідають рішенням, запропонованим у цих розділах, або

– детальніше оцінювання є виправданим у разі потенційно високих ризиків, чи важливості інформаційної системи для діяльності організації.

Треба зазначити, що навіть, коли виконано детальне аналізування ризиків, все ще доцільно застосувати до системи базові засоби безпеки.

Перше рішення, яке повинна ухвалити організація – чи використовувати базовий підхід сам по собі, чи як частину більш повної стратегії аналізування ризиків. У разі прийняття цього рішення треба зазначити, що під час використання базового підходу самого по собі, результатний процес вибору засобів безпеки може дати менш оптимізовану безпеку, ніж прийнята ширша стратегія аналізування ризиків. Однак, менші кошти та ресурси, необхідні під час вибору засобів забезпечення безпеки, та досягнення принаймні мінімального рівня безпеки для всіх інформаційних систем можуть бути причинами для прийняття рішення про використання тільки базового підходу.

Базова безпека для інформаційної системи може бути досягнутий через визначення та застосування набору відповідних засобів безпеки, що є прийнятним за обставин наявності низького ризику, тобто вони задовольняють, принаймні, мінімальні потреби безпеки. Наприклад, прийнятні засоби безпеки можуть бути визначені через каталоги, що містять набори засобів безпеки від більшості загальних загроз для різних типів інформаційних технологій. Ці каталоги засобів безпеки містять інформацію про категорії засобів безпеки чи про окремі засоби, але загалом не зазначають, які засоби безпеки треба застосовувати в конкретних обставинах. Можливо, якщо інформаційні системи організації (чи частини організації) є дуже схожі за природою та послугами, які вони надають, засоби безпеки, вибрані за базовим підходом, можуть бути застосовані до всіх систем інформаційних технологій. На рис. 10.2 показано різні способи використання базового підходу.

Якщо організація вирішує впровадити базову безпеку до організації в цілому або її підрозділів, необхідно вирішити, для яких підрозділів організації прийнятні засоби безпеки, і який рівень безпеки повинен забезпечувати цей захист. У більшості випадків, коли використовують базову безпеку, не застосовують менший рівень безпеки, доки не будуть реалізовані додаткові засоби безпеки, обґрунтовані та необхідні для керування середніми та великими ризиками. Як альтернатива, базова безпека може визначити середній рівень для організації, тобто дозволяються винятки вище і нижче базового рівня, якщо вони були обґрунтовані, наприклад, результатами аналізування ризиків.

Рис. 10. 2. Базове оцінювання під час вибору засобів безпеки

Однією з переваг базової безпеки є те, що її застосовують до груп інформаційних систем, і всюди в цій групі можна покладатися на визначений рівень безпеки. В цих умовах зазвичай найкориснішим є розробити і вести базовий каталог засобів безпеки в межах організації чи відділу.