Базовий підхід: вибір засобів безпеки відповідно до типу системи

Є два різні набори засобів безпеки, механізмів та (або) процедур, які можна застосовувати для безпеки інформаційних систем. З одного боку, є доволі багато організаційних категорій засобів безпеки, які є загальноприйнятими для кожної інформаційної системи за конкретних обставин, незалежно від окремих компонентів. Внаслідок їх загальної застосовності, засоби, які належать до цих категорій треба завжди розглядати. До того ж, багато з них є недорогими для впровадження, оскільки вони стосуються організаційних структур та процедур.

З іншого боку, є специфічні засоби безпеки інформаційної системи – вибір цих засобів безпеки залежить від типу та характеристик інформаційної системи, що розглядається.

Звичайно, можливо, що одна чи більше з цих категорій або специфічних засобів безпеки не є застосовними до інформаційної системи. Наприклад, шифрування може не бути необхідним, якщо відправлена чи отримана інформація не потребує конфіденційності, а цілісність може бути перевірена іншим чином.

Після того, як визначені всі типи засобів безпеки, застосовні до обговорюваної інформаційної системи. Перед реалізуванням вибраних засобів безпеки треба ретельно перевірити, чи їх немає серед наявних та (або) запланованих.

Якщо засоби безпеки вибрані відповідно до інших критеріїв (наприклад базові та додаткові засоби), остаточний набір засобів для впровадження треба робити обережно. Після перегляду декількох інформаційних систем, потрібно розглянути, чи можна запровадити базову безпеку для всієї організації.

Інша можливість вибору засобів безпеки без детального розгляду – це застосування баз, пов’язаних з конкретним використанням. Але перед вибором того, які засоби безпеки треба впроваджувати, корисно розглянути потреби та проблеми безпеки.

Засоби безпеки загального застосування

Категоріями загального застосування засобів безпеки є:

– керування інформаційною безпекою та політики безпеки;

– перевіряння узгодженості безпеки;

– реагування на порушення;

– персонал;

– питання експлуатації;

– планування неперервності бізнесу та

– фізична безпека.

Засоби безпеки, які належать до цих категорій формують основу успішного керування інформаційною безпекою, їх не треба недооцінювати. Також важливо забезпечити взаємодію цих засобів з більш технічними засобами. Організація визначає обсяги робіт у цих сферах, залежно від її потреб, проблем та доступних ресурсів.

Звичайно, багато інших категорій засобів безпеки застосовні в більшості випадків, але спосіб реалізації зазвичай є відповідним конкретним обставинам (наприклад, засоби, які забезпечують контроль доступу для мережі відрізняються від тих засобів, що забезпечують контроль доступу для автономної інформаційної системи).

Коли засоби безпеки вибирають з категорій загально застосовних засобів, корисно розглядати розмір організації так само, як потреби безпеки, оскільки він впливає на межі, в яких реалізуються ці засоби безпеки. Наприклад, маленька організація не буде мати ні потреби, ні персоналу для створення комітету інформаційної безпеки, проте має бути хтось, хто виконує ці функції. Тому всі засоби безпеки мають бути відповідно зважені, коли б це не знадобилося.

Специфічні засоби безпеки інформаційної системи

На додаток до засобів захисту загального застосування, для кожного відповідного типу системного компонента треба вибирати специфічні засоби безпеки системи. Нижченаведена таблиця дає приклад того, як починати процес вибору специфічних засобів системи. В цьому прикладі «Х» означає засоби, що мають реалізуватись за нормальних обставинах, та «(X)» означає засоби, що можуть бути необхідними за деяких обставин (табл. 10.1).

Таблиця 10.1