08.11.2021
Специальная публикация NIST (Национального института стандартов и технологий США) 800-12 «Введение в информационную безопасность» (часть 1)

Мы начинаем публикацию переводов документов NIST (Национального института стандартов и технологий США) в области информационной безопасности. Публиковать новые части будем еженедельно. Следите за обновлениями.

1.1 Цель

Эта публикация служит отправной точкой для новичков в области информационной безопасности, а также для тех, кто не знаком с публикациями и руководящими принципами NIST по информационной безопасности. Целью данной специальной публикации является предоставление общего обзора принципов информационной безопасности путем введения связанных понятий и семейств средств управления безопасностью (как определено в NIST SP 800-53 "Средства управления безопасностью и конфиденциальностью для федеральных информационных систем и организаций"), которые организации могут использовать для эффективной защиты своих систем и информации. Чтобы лучше понять значение и предназначение семейств средств управления безопасностью, описанных ниже, данная публикация начинается с ознакомления читателя с различными принципами защиты информации.

После введения этих принципов безопасности в публикации представлены подробные описания нескольких семейств средств защиты, а также преимущества каждого семейства средств контроля. Дело не в том, чтобы предъявлять требования к организациям, а в том, чтобы изучить доступные методы применения определенного семейства элементов управления к системе организации и объяснить преимущества использования выбранных элементов управления. Поскольку эта публикация представляет собой введение в информационную безопасность, подробные шаги относительно того, как реализованы меры безопасности или как проверить эффективность мер безопасности, не включены. Скорее, отдельные публикации, которые могут предоставить более подробную информацию по конкретной теме, будут отмечены как ссылки.

1.2 Целевая аудитория

Целевая аудитория данной публикации - это те, кто плохо знаком с принципами и принципами информационной безопасности, необходимыми для защиты информации и систем соразмерным риску. Эта публикация представляет собой базовую основу концепций и идей для любого человека, которому поручено или которое интересуется пониманием того, как обеспечить безопасность систем. 

По этой причине данная публикация является хорошим ресурсом для всех, кто хочет лучше понять основы информационной безопасности или получить общее представление об этой теме. Советы и методы, описанные в этой публикации, могут применяться к любому типу информации или системе в любом типе организации. Хотя могут быть различия в том, как федеральные организации, научные круги и частный сектор обрабатывают, хранят и распространяют информацию в своих соответствующих системах, основные принципы информационной безопасности применимы ко всем.

1.3 Важная терминология

Термин «информационная система» определен в 44 U.S.C., Sec. 3502 как "дискретный набор информационных ресурсов, организованных для сбора, обработки, обслуживания, использования, совместного использования, распространения или распоряжения информацией". В этой публикации термин «система» используется вместо термина "информационная система", чтобы отразить более широкую применимость информационных ресурсов любого размера и сложности, специально организованных для сбора, обработки, использования, совместного использования, распространения, обслуживания или удаления данных. или информация. Некоторые другие ключевые термины, с которыми следует ознакомиться:

Информация - (1) факты или идеи, которые могут быть представлены (закодированы) как различные формы данных; (2) Знания (например, данные, инструкции) на любом носителе или в любой форме, которые могут передаваться между объектами системы.

Информационная безопасность - защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения для обеспечения конфиденциальности, целостности и доступности.

Конфиденциальность - сохранение санкционированных ограничений на доступ к информации и раскрытие информации, включая средства защиты личной информации и конфиденциальной информации.

Целостность - защита от ненадлежащего изменения или уничтожения информации и обеспечение целостности и достоверности информации.

Целостность данных - свойство, что данные не были изменены несанкционированным образом. Целостность данных охватывает данные в хранилище, во время обработки и во время передачи.

Целостность системы - качество, которым обладает система, когда она выполняет свою намеченную функцию без ущерба для качества, без несанкционированного манипулирования системой, будь то намеренное или случайное.

Доступность - обеспечение своевременного и надежного доступа к информации и ее использования.

Средства управления безопасностью - управленческие, операционные и технические средства контроля (т. е. меры безопасности или контрмеры), предписанные для системы для защиты конфиденциальности, доступности и целостности системы и ее информации.

2.1 Информационная безопасность поддерживает миссию организации

В первой главе информационная безопасность была определена как защита информации и систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения с целью обеспечения конфиденциальности, целостности и доступности. Тщательное внедрение средств управления информационной безопасностью жизненно важно для защиты информационных активов организации, а также ее репутации, правового положения, персонала и других материальных или нематериальных активов. Неспособность организации выбрать и внедрить соответствующие правила и процедуры безопасности может отрицательно сказаться на миссии организации.

Однако хорошо подобранные правила и процедуры безопасности, которые применяются для защиты важных активов, поддерживают общую миссию организации. В сегодняшней среде вредоносного кода, системных нарушений и внутренних угроз публичные проблемы безопасности могут иметь ужасные последствия, особенно для прибыльности и репутации организации. Организации частного и государственного секторов повышают как прибыль, так и качество обслуживания клиентов при наличии соответствующих средств защиты. Таким образом, информационная безопасность - это средство для достижения цели, а не самоцель.

Очень важно понимать миссию организации и то, как каждая система поддерживает эту миссию. После определения роли системы можно также определить требования безопасности, неявные в этой роли. Тогда безопасность может быть четко сформулирована с точки зрения миссии организации. Роли и функции системы не могут быть ограничены одной организацией. В межорганизационной системе каждая организация выигрывает от защиты системы. Например, чтобы электронная коммерция была успешной, каждому из участников необходимы меры безопасности для защиты своих ресурсов. Хорошая безопасность в системе покупателя также приносит пользу продавцу; система покупателя с меньшей вероятностью будет использована для мошенничества, станет недоступной или иным образом негативно повлияет на продавца (обратное также верно).

2.2 Информационная безопасность - неотъемлемый элемент рационального управления

В конечном итоге управленческий персонал несет ответственность за определение уровня приемлемого риска для конкретной системы и организации в целом с учетом стоимости мер безопасности. Поскольку риск информационной безопасности не может быть полностью устранен, цель состоит в том, чтобы найти оптимальный баланс между защитой информации или системы и использованием доступных ресурсов. Для систем и связанных процессов жизненно важно иметь возможность защищать информацию, финансовые активы, физические активы и сотрудников, принимая во внимание доступность ресурсов. 

Когда информация и системы организации связаны с внешними системами, ответственность руководства выходит за рамки организационных границ. Для этого может потребоваться, чтобы руководство (1) знало, какой общий уровень или тип безопасности используется во внешней системе (системах), и/или (2) стремилось получить гарантии того, что внешняя система обеспечивает адекватную безопасность информации и системы организации. Например, поставщики облачных услуг (CSP) и участники цепочки поставок облачных вычислений могут взять на себя роль управления для хранения, обработки и передачи информации организации. Однако это не освобождает организацию от какой-либо ответственности, связанной с безопасностью. Организация должна гарантировать, что CSP и участники облачной цепочки поставок обеспечивают соответствующий уровень безопасности для информации, которая хранится, обрабатывается и передается.

2.3 Защита информационной безопасности реализована таким образом, чтобы быть соизмеримой с риском.

Риск для системы никогда не может быть полностью устранен. Следовательно, крайне важно управлять рисками, соблюдая баланс между удобством использования и реализацией средств защиты. Основная цель управления рисками - реализовать меры защиты, соизмеримые с риском. Применение ненужных средств защиты может тратить ресурсы и затруднить использование и обслуживание систем. И наоборот, неприменение мер защиты, необходимых для защиты системы, может сделать ее и ее информацию уязвимой для нарушений конфиденциальности, целостности и доступности, которые могут помешать или даже остановить миссию организации.

Федеральные организации используют уровни воздействия (высокий, средний и низкий), чтобы идентифицировать и классифицировать влияние, которое потеря конфиденциальности, целостности или доступности информации и/или системы может оказать на деятельность организации, и позволить им определить соответствующие меры защиты. Точная категоризация информации и систем является неотъемлемой частью определения того, как защитить информацию соразмерно риску. Категории безопасности отражают влияние, которое потеря конфиденциальности, целостности или доступности может оказать на миссию организации. Чтобы определить уровень воздействия системы, организации могут обратиться к руководствам в FIPS 199, NIST SP 800-30 и NIST SP 800-60.

Точное определение уровня воздействия на систему предоставляет информацию, необходимую для выбора подходящего набора мер безопасности из NIST SP 800-53. Процесс выбора включает оценку затрат на внедрение и поддержание мер безопасности и ожидаемых преимуществ безопасности (т. е. снижение рисков) от применения этих мер безопасности. Преимущества безопасности имеют как прямые, так и косвенные затраты. Прямые затраты включают покупку, установку и администрирование средств защиты (например, программного обеспечения для контроля доступа или систем пожаротушения). Косвенные затраты могут повлиять как на эффективность системы, так и на эффективность бизнеса, моральный дух сотрудников или требования к переподготовке. В некоторых случаях косвенные затраты могут превышать прямые затраты на контроль. Организационное руководство отвечает за сопоставление затрат и выгод от соответствующей реализации защиты и за принятие решений, основанных на оценке рисков.

2.4 Роли и обязанности в области информационной безопасности четко определены

Роли и обязанности владельцев системы, поставщиков общих средств контроля, уполномоченных должностных лиц, сотрудников службы безопасности системы, пользователей и других ясны и задокументированы. Если обязанности не указаны в явной форме, руководству может быть сложно привлечь персонал к ответственности за будущие результаты.

Документирование ответственности за информационную безопасность не зависит от размера организации. Даже небольшие организации могут подготовить документ, в котором излагается политика организации и определяются обязанности по информационной безопасности для системы или для всей организации. Роли и обязанности кратко обсуждаются в главе 3 данной публикации. Для получения более подробной информации, относящейся к ключевым участникам информационной безопасности, обратитесь к Приложению D NIST SP 800-37.


Читайте также


Комментарии 0