08.11.2021
1
Специальная публикация NIST (Национального института стандартов и технологий США) 800-12 «Введение в информационную безопасность» (часть 2)

2.5 Ответственность за информационную безопасность владельцев систем выходит за рамки их собственной организации

Пользователи системы не всегда находятся в границах системы, которую они используют или к которой имеют доступ. Например, при наличии взаимосвязи между двумя или более системами ответственность за информационную безопасность может быть разделена между участвующими организациями. В таком случае владельцы системы несут ответственность за совместное использование мер безопасности, используемых организацией, чтобы обеспечить пользователю уверенность в том, что система адекватно защищена и способна удовлетворять требованиям безопасности. Помимо обмена информацией, связанной с безопасностью, группа реагирования на инциденты обязана своевременно реагировать на инциденты безопасности, чтобы предотвратить нанесение ущерба организации, персоналу и другим организациям.

2.6 Информационная безопасность требует всеобъемлющего и комплексного подхода

Обеспечение эффективной информационной безопасности требует комплексного подхода, учитывающего множество областей как внутри, так и за пределами области информационной безопасности. Этот подход применяется на протяжении всего жизненного цикла системы. Например, глубокоэшелонированная защита - это принцип безопасности, используемый для защиты информации и систем организации от угроз путем реализации многоуровневых контрмер безопасности. Глубина защиты использует административные средства защиты (например, политики, процедуры) и технологии безопасности (например, системы обнаружения вторжений, брандмауэры, параметры конфигурации и антивирусное программное обеспечение) в тандеме с средствами физической защиты (например, шлюзы, охранники), чтобы минимизировать вероятность успешная атака на систему. Эти меры не только помогают снизить вероятность того, что нарушение безопасности скомпрометирует доступ к системным активам или окажет пагубное влияние на конфиденциальность, целостность или доступность, но также уведомят организацию в режиме, близком к реальному времени, после начала атаки.

2.6.1 Взаимозависимости мер безопасности

Меры безопасности редко используются как самостоятельные решения проблемы. Обычно они более эффективны в сочетании с другим элементом управления или набором элементов управления. При правильном выборе меры безопасности могут иметь синергетический эффект на общую безопасность системы. Каждый элемент управления безопасностью в NIST SP 800-53 имеет раздел связанных элементов управления, в котором перечислены элементы управления безопасностью, которые дополняют этот конкретный элемент управления. Если пользователи не понимают этих взаимозависимостей, результаты могут нанести ущерб системе.

2.6.2 Другие взаимозависимости

Взаимозависимости между мерами безопасности и между ними - не единственный фактор, который может повлиять на эффективность мер безопасности. Системное управление, юридические ограничения, обеспечение качества, вопросы конфиденциальности, а также внутренние и управленческие меры контроля также могут влиять на функциональность выбранных средств контроля. Системные менеджеры должны уметь распознавать, как информационная безопасность соотносится с другими дисциплинами безопасности, такими как физическая безопасность и безопасность окружающей среды. Понимание того, как эти отношения работают вместе, окажется полезным при реализации более целостной стратегии безопасности. NIST SP 800-160 «Проектирование системной безопасности: аспекты мультидисциплинарного подхода к проектированию надежных защищенных систем» предоставляет гораздо более подробную информацию о том, как разработать надежную систему. Понимание взаимосвязей между мерами безопасности особенно важно, когда системы подключены к другим системам или взаимосвязаны с глобально распределенной экосистемой цепочки поставок. Цепочки поставок состоят из организаций государственного и частного секторов и используют географически разнородные маршруты для предоставления высокотехнологичных, рентабельных, многоразовых информационно-коммуникационных технологий (ИКТ). Для получения дополнительной информации об управлении рисками цепочки поставок см. NIST SP 800-161 «Практики управления рисками цепочки поставок для федеральных информационных систем и организаций».

2.7 Информационная безопасность регулярно оценивается и контролируется

Информационная безопасность не является статическим процессом и требует постоянного мониторинга и управления для защиты конфиденциальности, целостности и доступности информации, а также для обеспечения быстрого выявления новых уязвимостей и развивающихся угроз и соответствующего реагирования на них. В условиях постоянно меняющейся рабочей силы и технологической среды важно, чтобы организации предоставляли своевременную и точную информацию, работая при приемлемом уровне риска.

Непрерывный мониторинг информационной безопасности (ISCM) определяется в NIST SP 800-137 как поддержание постоянной осведомленности об информационной безопасности, уязвимостях и угрозах для поддержки решений по управлению рисками организации. ISCM обеспечивает четкое понимание терпимости к риску в организации, чтобы помочь должностным лицам последовательно устанавливать приоритеты и управлять рисками во всей организации. ISCM гарантирует, что выбранные меры безопасности остаются эффективными и поддерживает осведомленность организации об угрозах и уязвимостях.

Для получения более подробной информации об основах непрерывного мониторинга и процессе непрерывного мониторинга обратитесь к NIST SP 800-137. NIST SP 800-53A также может быть использован для понимания процедур оценки.

2.8 Информационная безопасность ограничивается социальными и культурными факторами

Социальные факторы влияют на то, как люди понимают и используют системы, что, следовательно, влияет на информационную безопасность системы и организации. Люди по-разному воспринимают, аргументируют и принимают решения, основанные на оценке риска. Чтобы решить эту проблему, организации делают функции информационной безопасности прозрачными, простыми в использовании и понятными. Кроме того, регулярное обучение осведомленности о безопасности снижает индивидуальные различия в восприятии риска. Как и в случае с социальными факторами, то, как организация ведет бизнес, может служить культурным фактором, который стоит учитывать при работе с информационной безопасностью. Собственная культура организации может повлиять на ее реакцию в отношении информационной безопасности. Тщательное объяснение рисков, связанных с деловой практикой, может помочь в прозрачности и принятии рекомендованных практик информационной безопасности.

Организации должны найти баланс между требованиями информационной безопасности и удобством использования. Организации могут использовать различные инструменты, отвечающие требованиям безопасности своей системы (систем), без чрезмерной нагрузки на пользователя. Например, рассмотрим систему, которая требует, чтобы пользователь несколько раз вводил свое имя пользователя и пароль для доступа к различным приложениям в течение одного сеанса. В этом сценарии организации могут выбрать, какие типы приложений, если таковые имеются, разрешат хранение паролей и хэшей паролей, исходя из соображений риска по сравнению с удобством пользователей.

Когда-то считалось, что конфиденциальность не связана с информационной безопасностью - эти две функции обсуждались так, как будто они не могут сосуществовать в системе. Сегодня важна симбиотическая связь между конфиденциальностью и информационной безопасностью. Организации не могут защитить частную жизнь людей без базовых основ информационной безопасности. 

Однако конфиденциальность - это больше, чем безопасность, поскольку она также связана с проблемами, с которыми люди могут столкнуться в результате санкционированной обработки их информации на протяжении всего жизненного цикла данных. Защита частной жизни людей является фундаментальной обязанностью организаций, которые собирают, используют, поддерживают, делятся и распоряжаются информацией, позволяющей установить личность (PII). Для получения более подробной информации о конфиденциальности см. NISTIR 8062, Введение в разработку конфиденциальности и управление рисками в федеральных системах, и NIST SP 800-122, Руководство по защите конфиденциальности информации, позволяющей установить личность (PII).

В целом, отношения между безопасностью и социальными нормами не обязательно должны быть антагонистическими. Социальные нормы могут иметь как положительное, так и отрицательное влияние на информационную безопасность. Например, негативное влияние на информационную безопасность можно увидеть в том, что пользователь записывает пароли и держит их рядом с компьютером. Положительное влияние можно увидеть в более широкой реализации многофакторной аутентификации, когда для того, чтобы пользователь мог сбросить пароль, требуется более одной формы аутентификации (например, текстовое сообщение пользователю, физический токен).

Безопасность может улучшить доступ и поток данных и информации за счет предоставления более точной и надежной информации, а также большей доступности систем. Механизмы безопасности также могут повысить конфиденциальность людей (например, шифрование). Некоторые механизмы безопасности могут представлять новые уязвимости (например, единый вход). Таким образом, важно подумать о том, как реализовать решения по безопасности таким образом, чтобы оптимизировать более широкие общественные цели.

Меняются общественные нормы, должны меняться и средства защиты информации, налагаемые на системы. Меры безопасности, которые в настоящее время достаточны, могут не успевать за постоянно меняющейся вычислительной средой. Культура и среда безопасности организации также играют важную роль в восприятии риска сотрудниками. Недостаточные или несуществующие стандарты безопасности могут привести к ухудшению состояния безопасности организации. Обеспечение обновленного и периодического обучения тому, что является приемлемым, а что - недопустимым использованием организационных систем, помогает обеспечить общую безопасность системы.


Читайте также


Комментарии 1

# 16 27.07.2021 11:04:20
Добрый день. Отличная статья, спасибо автору