ДСТУ ISO/IEC TR 13335-4:2005 Информационные технологии. Рекомендации по управлению безопасностью информационных технологий. Часть 4. Выбор средств защиты (ISO/IEC TR 13335-4:2000, IDТ)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
НАСТАНОВИ З КЕРУВАННЯ БЕЗПЕКОЮ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Частина 4. Вибір засобів захисту

(ISO/IEC TR 13335-4:2000, IDТ)
ДСТУ ISO/IEC TR 13335-4:2005

Відповідає офіційному тексту

Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2007

ПЕРЕДМОВА

1 ВНЕСЕНО: Технічний комітет стандартизації України «Інформаційні технології» (ТК-20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ; А. Анісімов, д-р фіз.-мат. наук (керівник розроблен­ня); Д. Літвінов; В. Ткаченко; О. Фаль, канд. фіз.-мат. наук

2 НАДАНО ЧИННОСТІ: наказ Держспоживстандарту України від 3 березня 2005 р. № 57 з 2006-07-01

3 Національний стандарт відповідає ISO/IEC TR 13335-4:2000 Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards (Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту)

Ступінь відповідності — ідентичний (IDТ)

Переклад з англійської мови (еn)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

Передмова до ISO/IEC TR 13335-4

Вступ до ISO/IEC TR 13335-4

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Мета

5 Огляд

6 Вступ до вибору засобів захисту та концепція базової безпеки

7 Базове оцінювання

7.1 Визначання типу інформаційної системи

7.2 Визначання фізичних умов та умов навколишнього середовища

7.3 Оцінювання наявних/планованих засобів захисту

8 Засоби захисту

8.1 Організаційні та фізичні засоби захисту

8.1.1 Керування інформаційною безпекою та політика безпеки

8.1.2 Перевіряння узгодженості безпеки

8.1.3 Реагування на порушення

8.1.4 Персонал

8.1.5 Питання експлуатації

8.1.6 Планування неперервності бізнесу

8.1.7 Фізична безпека

8.2 Специфічні засоби захисту інформаційної системи

8.2.1 Ідентифікація та автентифікація (І&А)

8.2.2 Контролювання логічного доступу та аудит

8.2.3 Захист від зловмисного коду

8.2.4 Керування мережею

8.2.5 Криптографія

9 Базовий підхід: вибір засобів захисту відповідно до типу системи

9.1 Засоби захисту загального застосування

9.2 Специфічні засоби захисту інформаційної системи

10 Вибір засобів захисту відповідно до проблем та загроз безпеці

10.1 Оцінювання проблем безпеки

10.1.1 Утрата конфіденційності

10.1.2 Утрата цілісності

10.1.3 Утрата доступності

10.1.4 Утрата спостережності

10.1.5 Утрата автентичності

10.1.6 Утрата надійності

10.2 Засоби конфіденційності

10.2.1 Підслуховування

10.2.2 Електромагнітне випромінення

10.2.3 Зловмисний код

10.2.4 Приховування ідентичності користувача

10.2.5 Неправильне направлення/перенаправлення повідомлень

10.2.6 Збої програмного забезпечення

10.2.7 Крадіжки

10.2.8 Несанкціонований доступ до комп’ютерів, даних, служб та програм

10.2.9 Несанкціонований доступ до носіїв даних

10.3 Засоби контролю цілісності

10.3.1 Псування носіїв даних

10.3.2 Помилки обслуговування

10.3.3 Зловмисний код

10.3.4 Приховування ідентичності користувача

10.3.5 Неправильне направлення/перенаправлення повідомлень

10.3.6 Неспростовність

10.3.7 Збої програмного забезпечення

10.3.8 Збої постачання (живлення, кондиціонування повітря)

10.3.9 Технічні пошкодження

10.3.10 Помилки передавання

10.3.11 Несанкціонований доступ до комп’ютерів, даних, служб та програм

10.3.12 Використання несанкціонованих програм та даних

10.3.13 Несанкціонований доступ до носіїв даних

10.3.14 Помилки користувача

10.4 Засоби захисту доступності

10.4.1 Руйнівний напад

10.4.2 Псування носіїв даниx

10.4.3 Збої комунікаційного обладнання та служб

10.4.4 Вогонь, вода

10.4.5 Помилки обслуговування

10.4.6 Зловмисний код

10.4.7 Приховування особистості користувача

10.4.8 Неправильне направлення/перенаправлення повідомлень

10.4.9 Зловживання ресурсами

10.4.10 Стихійні лиха

10.4.11 Збої програмного забезпечення

10.4.12 Збої постачання (живлення, кондиціонування повітря)

10.4.13 Технічні пошкодження

10.4.14 Крадіжки

10.4.15 Перевантаження каналів

10.4.16 Помилки передавання

10.4.17 Несанкціонований доступ до комп’ютерів, даних, служб та програм

10.4.18 Використання несанкціонованих програм та даних

10.4.19 Несанкціонований доступ до носіїв даних

10.4.20 Помилки користувача

10.5 Засоби захисту спостережності, автентичності та надійності

10.5.1 Спостережність

10.5.2 Автентичність

10.5.3 Надійність

11 Вибір засобів захисту відповідно до детальних оцінок

11.1 Взаємозв’язок ISO/IEC TR 13335-3 та ISO/IEC TR 13335-4

11.2 Принципи вибору

12 Розробляння базової безпеки організації

13 Висновки

Бібліографія

Додаток А Практичні правила керування інформаційною безпекою

Додаток В Стандарт базової безпеки ETSI. Функції та механізми

Додаток С Довідник з базового захисту IT

Додаток D Посібник з комп’ютерної безпеки NIST

Додаток Е Медична інформатика: категоризація безпеки та захист інформаційних систем для охорони здоров’я

Додаток F Банківська справа та пов’язані з нею фінансові послуги ТК 68 (ТС 68)

Настанова з інформаційної безпеки

Додаток G Захист контрольованої інформації, на яку не поширюється Закон України «Про державну таємницю». Рекомендації для комп’ютерних робочих станцій

Додаток Н Канадський посібник з безпеки інформаційних технологій

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт є тотожний переклад технічного звіту ISO/IEC TR 13335-4:2000 «Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards» (Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту).

Метою цього стандарту є надання настанов, а не конкретних рішень щодо керування інфор­маційною безпекою. Ті особи в організації, що відповідають за інформаційну безпеку, повинні бути спроможними адаптувати матеріал цього стандарту так, щоб задовольнити свої особливі потреби.

Відповідальний за ISO/IEC TR 13335-4:2000 — технічний комітет ISO/IEC JTC 1.

В Україні відповідальний за цей стандарт — Технічний комітет «Інформаційні технології» (ТК-20).

Багаточастинний міжнародний стандарт ISO/IEC TR 13335 містить п’ять частин.

Частина 1 описує загальні фундаментальні концепції і моделі, використовувані для опису­вання процесів керування безпекою IT. Цей документ призначений для адміністраторів, відпові­дальних за безпеку IT та за загальну безпеку в організації.

Частина 2 описує аспекти керування і планування. Її призначено для адміністраторів, до ком­петенції яких належить взаємодія із системами IT організації. До них належать адміністратори IT, відповідальні за спостереження над процесами розроблення, реалізації, тестування, постачання або оперування системами IT, та адміністратори, відповідальні за отримання максимальної ко­ристі від використання систем IT.

Частина 3 описує методи захисту, призначена для використання тими, хто задіяний у керу­ванні протягом усього життєвого циклу проекту, зокрема у процесі планування, проектування, тестування, аналізування або застосування.

Частина 4 містить настанови з вибору засобів захисту, а також як цьому можуть сприяти базові моделі та засоби нагляду. Вона також описує, як ці засоби доповнюють методи захисту, описані в частині 3, і як додаткові методи оцінювання можна використовувати для вибору засобів захисту.

Частина 5 описує настанови щодо організації взаємозв’язку систем IT із зовнішніми мережами. Вона містить також настанови щодо вибору і використання засобів захисту для забезпечення безпеки з’єднань і послуг, що надаються цими з’єднаннями і додаткових засобів захисту, засто­совування для підключених систем IT.

Структура багаточастинного національного стандарту ДСТУ ISO/IEC TR 13335 відповідає структурі міжнародного стандарту ISO/IEC TR 13335 і також містить п’ять частин:

ДСТУ ISO/IEC TR 13335-1:2003 «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепції й моделі безпеки ІТ»;

ДСТУ ISO/IEC TR 13335-2:2003 «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 2. Керування та планування безпеки ІТ»;

ДСТУ ISO/IEC TR 13335-3:2003 «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом ІТ»;

ДСТУ ISO/IEC TR 13335-4:200_ «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту»;

ДСТУ ISO/IEC TR 13335-5:200_ «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 5. Настанови з керування мережною безпекою».

Ця частина стандарту повністю відповідає міжнародному технічному звіту ISO/IEC TR 13335-4. Ступінь відповідності — IDТ.

До стандарту внесено такі редакційні зміни:

— слова «ця частина ISO/IEC TR 13335», «цей звіт» замінено на «цей стандарт».

— у розділі «Нормативні посилання» наведено «Національне пояснення», виділене в тексті рамкою, де надано переклад назв стандартів українською мовою;

— структурні елементи цього стандарту: «Титульний аркуш», «Передмову», «Національний вступ», «Терміни та визначення понять», «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України.

В Україні чинні стандарти, гармонізовані методом ідентичного перекладу технічних звітів, по­силання на які є в ISO/IEC TR 13335-4, а саме:

ДСТУ ISO/IEC TR 13335-1:2003 «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепції й моделі безпеки ІТ»;

ДСТУ ISO/IEC TR 13335-2:2003 «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 2. Керування та планування безпеки ІТ»;

ДСТУ ISO/IEC TR 13335-3:2003 «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом ІТ»;

Крім того, в Україні немає чинних національних стандартів, посилання на які є в ISO/IEC TR 13335-4, а саме:

ISO/IEC 10181-2:1996 «Інформаційні технології. Взаємозв’язок відкритих систем. Структура безпеки відкритих систем. Структура автентифікації»;

ISO/IEC 11770-1:1996 «Інформаційні технології. Методи захисту. Керування ключами. Частина 1. Структура».

Копії міжнародних стандартів можна отримати в Головному фонді нормативних документів З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»).

ПЕРЕДМОВА ДО ISO/IEC TR 13335-4

ISO (International Organization for Standardization — Міжнародна Організація з Стандартизації) та ІЕС (International Electrotechnical Commission — Міжнародна Електротехнічна Комісія) формують спеціалізовану систему всесвітньої стандартизації. Національні органи стандартизації країн, що є членами ISO або ІЕС приймають участь у розробленні міжнародних стандартів через технічні комітети, засновані відповідною організацією для роботи у певних сферах технічної діяльності. Технічні комітети ISO та ІЕС співпрацюють у сферах взаємного інтересу. Інші міжнародні органі­зації, урядові та неурядові, що співпрацюють з ISO та ІЕС, також беруть участь у роботі.

Міжнародні стандарти розробляють відповідно до правил, наведених у директивах ISO/IEC, в частині 3.

У галузі інформаційних технологій ISO та ІЕС заснували спільний технічний комітет — ISO/IEC JTC 1 (Joint Technical Committee 1). Проекти міжнародних стандартів, ухвалені спільним технічним комітетом, направляють до національних органів стандартизації для голосування. Опублікування стандарту як міжнародного потребує затвердження принаймні 75 % національних органів стандартизації, що беруть участь у голосуванні.

За виняткових обставин, коли технічний комітет зібрав дані іншого роду ніж ті, що зазвичай публікують як міжнародний стандарт (наприклад, сучасний стан справ), він може простою більшістю голосів членів, що беруть участь у голосуванні, вирішити опублікувати ці дані як техніч­ний звіт. Технічний звіт за своєю природою є інформаційним і не потребує переглядання, доки дані, що він містить, не перестануть вважатися актуальними або корисними.

Звертається увага на можливість того, що деякі елементи цієї частини ISO/IEC TR 13335 можуть бути предметом патентних прав. ISO та ІЕС не відповідають за розпізнавання деяких чи всіх таких патентних прав.

Технічний звіт ISO/IEC TR 13335-4 був підготовлений спільним технічним комітетом ISO/IEC JTC 1, Інформаційні технології, підкомітетом SC 27, Методи захисту ІТ.

Технічний звіт ISO/IEC TR 13335 містить нижченаведені частини під загальною назвою Інфор­маційні технології — Настанови з керування безпекою інформаційних технологій:

Частина 1: Поняття та моделі забезпечення інформаційної безпеки.

Частина 2: Планування та керування інформаційною безпекою.

Частина 3: Методи керування інформаційною безпекою.

Частина 4: Вибір засобів захисту.

Частина 5: Настанови з керування мережною безпекою

ВСТУП ДО ISO/IEC TR 13335-4

Метою цього технічного звіту (ISO/IEC TR 13335) є надання настанов, а не готових рішень

з  аспектів керування інформаційною безпекою. Особи, відповідальні за інформаційну безпеку в організації, повинні бути спроможними адаптувати матеріал цього звіту, щоб задовольнити свої потреби.

Основними цілями цього технічного звіту є:

— визначити і описати поняття, пов’язані з керуванням інформаційною безпекою,

— визначити відносини між керуванням інформаційною безпекою та керуванням ІТ взагалі,

— представити декілька моделей, які можна використовувати для пояснення інформаційної безпеки, та

— надати загальну настанову з керування інформаційною безпекою.

Багаточастинний стандарт ISO/IEC TR 13335 містить п’ять частин. Частина 1 описує базові

поняття та моделі, що використовуються для описування інформаційної безпеки. Цей матеріал призначений для керівників, відповідальних за інформаційну безпеку, та відповідальних за загаль­ну програму безпеки організації.

Частина 2 описує аспекти керування та планування. Вона доцільна для керівників, до ком­петенції яких належать інформаційні системи організації. До таких керивників можуть належати:

— керівники IT, обов’язок яких — слідкувати за проектуванням, реалізацією, тестуванням, закупівлею чи експлуатацією інформаційних систем, або

— керівники, відповідальні за сфери діяльності, де використовують інформаційні системи.

Частина 3 описує методи захисту для процесів керування протягом життєвого циклу проек­ту, таких як планування, проектування, реалізація, тестування, придбання чи експлуатація.

Частина 4 описує настанови з вибору засобів захисту, а також, як цьому можуть сприяти базові моделі та засоби нагляду. Вона також описує, як ці засоби доповнюють методи захисту, описані в частині 3, і як додаткові методи оцінювання можна використовувати для вибору засобів захисту.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
НАСТАНОВИ З КЕРУВАННЯ БЕЗПЕКОЮ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Частина 4: Вибір засобів захисту

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
РЕКОМЕНДАЦИИ ПО УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Часть 4: Выбор средств защиты

INFORMATION TECHNOLOGY
GUIDELINES FOR THE MANAGEMENT OF IT SECURITY
Part 4: Selection of safeguards

Чинний від 2006-07-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт надає настанову з вибору засобів захисту, беручи до уваги ділові потреби та проблеми безпеки. Вона описує процес вибору засобів захисту згідно з ризиками безпеки та спе­цифікою навколишнього середовища. Цей стандарт показує, як досягнути достатньо високого рівня захисту, як його підтримувати, застосовуючи базову безпеку. Надається пояснення того, як підхід, описаний у цій частині ISO/IEC TR 13335, забезпечує методи керування інформаційною безпекою, викладені в ISO/IEC TR 13335-3.

2 НОРМАТИВНІ ПОСИЛАННЯ

У цьому стандарті є посилання на такі стандарти:

ISO/IEC TR 13335-1:1997 Information technology — Guidelines for the management of IT Security — Part 1: Concepts and Models

ISO/IEC TR 13335-2:1997 Information technology — Guidelines for the management of IT Security — Part 2: Managing and Planning IT Security

ISO/IEC TR 13335-3:1997 Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the Management of Security

ISO/IEC 10181-2:1996 Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework

ISO/IEC 11770-1:1996 Information technology — Security techniques — Key Management — Part 1: Framework

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC TR 13335-1:1997 Інформаційні технології. Настанови з керування безпекою інфор­маційних технологій. Частина 1. Поняття та моделі забезпечення інформаційної безпеки

ISO/IEC TR 13335-2:1997 Інформаційні технології. Настанови з керування безпекою інфор­маційних технологій. Частина 2. Планування та керування інформаційною безпекою

ISO/IEC TR 13335-3:1997 Інформаційні технології. Настанови з керування безпекою інфор­маційних технологій. Частина 3. Методи керування інформаційною безпекою

ISO/IEC 10181-2:1996 Інформаційні технології. Взаємозв’зок відкритих систем. Структура без­пеки відкритих систем. Структура автентифікації

ISO/IEC 11770-1:1996 Інформаційні технології Методи захисту. Керування ключами. Части­на 1. Структура

3 ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цій частині стандарту використовують такі терміни, визначені в ISO/IEC TR 13335-1: іден- тифікованість (accountability), цінність (asset), автентичність (authenticity), доступність (availability), базові засоби контролю (baseline controls), конфіденційність (confidentiality), цілісність даних (data integrity), вплив (impact), цілісність (integrity), інформаційна безпека (IT security), політика інформаційної безпеки (IT security policy), надійність (reliability), залишковий ризик (residual risk), ризик (risk), аналіз ризиків (risk analysis), керування ризиками (risk management), засіб захисту (safeguard), цілісність системи (system integrity), загроза (threat) та вразливість (vulnerability). Окрім зазначеного вище використовують такі терміни:

3.1 автентифікація (authentication)

Забезпечення гарантії заявленої ідентичності об’єкта (ISO/IEC 10181-2)

3.2 ідентифікація (identification)

Процес однозначного визначення унікальної ідентичності об’єкта

4 МЕТА

Мета цього стандарту — надати настанову з вибору засобів захисту. Ця настанова застосовна тоді, коли приймають рішення про вибір засобів захисту інформаційної системи:

— відповідно до типу і характеристик інформаційної системи,

— відповідно до загального оцінювання загроз та наявних потреб безпеки,

— відповідно до результатів детального аналізування ризиків.

В доповнення до цієї настанови надані перехресні посилання для того, щоб показати, де вибір засобів захисту може бути підтриманий використанням загально доступних довідників, що містять засоби захисту.

Цей стандарт також визначає, як можна розробити довідник з базової безпеки організації (чи частини організації). Детальні засоби захисту мереж головним чином описані у документах, зазначених у додатках А— Н; на сьогодні ISO розробляє декілька інших документів з мережної безпеки.