Документ введен в действие с 1 сентября 2007 года. Его цель дать необходимые описания и рекомендации по способам эффективного управления безопасностью информационных технологий. Стандарт содержит 12 разделов, в которых приведен общий обзор способов управления безопасностью информационных технологий, описание вариантов стратегии анализа риска, освещены вопросы применения защитных мер и приведены описание работ по последующему наблюдению за системой.
Процесс управления безопасностью информационных технологий начинается с определения целей и стратегии, которые устанавливает для себя организация в целях обеспечения безопасности и разработки информационных технологий.
После определения требований, выбирается стратегия анализа риска. Стандарт подробно рассматривает основные варианты стратегии.
После оценки уровня риска для каждой системы информационных технологий определяют соответствующие меры защиты, направленные до снижения уровня риска до приемлемого уровня. Эти меры реализуются в соответствии с планом безопасности информационных технологий. Реализация плана должна сопровождаться выполнением программ знания и понимания мер безопасности и обучения использованию этих мер, что является важным результатом эффективности принятых защитных мер.
Кроме того, управление безопасностью информационных технологий включает в себя решение текущих задач, связанных с проведением различных последующих действий, которые включают в себя обслуживание и проверку соответствия безопасности, управление изменениями, мониторинг и обработку информации. Все перечисленные действия могут привести к корректировке полученных ранее результатов и принятых решений, поэтому схема содержит обратную связь между результатами процесса и его составными частями.
Основные варианты стратегии анализа риска организации.
Прежде чем приступить к любым действиям, связанным с анализом риска, организация должна иметь стратегию проведения такого анализа, причем составные части этой стратегии (методы, способы и т.д.), которые должны быть отражены в содержании политики обеспечения безопасности информационных технологий.
Стандарт описывает четыре варианта стратегии, которые представляют четыре разных подхода к анализу риска.
1. Базовый подход заключается в применении базового уровня обеспечения безопасности ко всем системам информационных технологий организации путем выбора стандартных защитных мер безопасности.
Преимущества данного варианта:
- возможность обойтись минимальным количеством ресурсов при проведении анализа и, соответственно, потратить меньше времени и усилий;
- возможность принятия экономически эффективного решения.
Недостатки:
- если принять слишком высокий уровень, то для ряда систем уровень безопасности будет завышен;
- если принять низкий уровень, то для ряда систем уровень безопасности будет недостаточный, что может привести к риску их нарушения.
Таким образом, данный подход целесообразно применять в организациях, где системы информационных технологий, характеризуются низким уровнем требований к информационной безопасности. Но если системы организации характеризуются различной степенью чувствительности, разными объемами и сложностью деловой информации, то использование общих стандартов применительно ко всем системам будет логически неверным и экономически неоправданным.
2. Неформальный подход предусматривает проведение неформального анализа риска, основанного на практическом опыте конкретного эксперта.
Достоинства:
- не требует использования значительных средств или времени. Эксперт не должен приобретать дополнительные знания по своей специальности и проводить детальный анализ риска.
Недостатки:
- увеличивается вероятность пропуска ряда важных деталей;
- возникают трудности в обосновании необходимости реализации защитных мер;
- для экспертов, не обладающих значительным опытом работы в области анализа риска, не существует готовых рекомендаций;
- результаты могут зависеть от субъективного подхода, личных предубеждений;
- проблемы в случае увольнения специалиста, который проводил неформальный подход.
С учетом приведенных выше недостатков второй вариант подхода к анализу риска для многих организаций будет неэффективным.
3. Детальный анализ риска предполагает проведение детального анализа риска, который включает в себя подробную идентификацию и оценку активов, оценку возможных угроз, а также оценку уровня уязвимости, с получением результатов для всех систем информационных технологий, действующих в организации
Преимущества подхода:
- определение для каждой из систем соответствующих ей защитных мер обеспечения безопасности.
Недостатки:
- значительные затраты средств, времени и квалифицированного труда;
- вероятность того, что определение защитных мер для какой-либо критической системы произойдет слишком поздно.
Таким образом, использование детального анализа риска применительно ко всем системам информационных технологий не рекомендуется.
4. Комбинированный подход предполагает проведение анализа высокого уровня риска для всех систем информационных технологий, обращая внимание на деловую значимость системы и уровень риска, которому она подвергается. Для более значимых систем применяют детальный анализ, для остальных базовый подход.
Преимущества:
- быстрая оценка состояние систем;
- рациональное распределение ресурсов.
Использование данного подхода обеспечивает большинству организаций наиболее эффективное решение проблем.
Основные положения и структура стандарта представлена в приложении 2.