40
программное обеспечение, Коммуникация и планирование непредвиденных обстоятельств. Подход включает в себя следующие действия: анализ структур ИТ, оценка требований к защите, моделирование, основные проверки безопасности, дополнительный анализ безопасности и внедрение мер безопасности ИТ.
B.6.2 Целевая аудитория
Данный метод обеспечения доверия включает в себя доверие кэксплуатации, а также доверие к разработке и интеграции в условиях эксплуатации ИТ.
Руководство по базовой защите ИТ предназначено для учреждений и предприятий всех масштабов, а не для частных пользователей. Для облегчения адресации стандартных мер безопасности ответственным работникам текстовая информация по каждой мере начинается с информации о том, кто несет ответственность за инициирование и внедрение рассматриваемой меры. В каждом случае для этого в рамках учреждения или предприятия обозначены одна или более ролей. Примерами таких ролей являются начальник отделения ИТ, работник службы безопасности ИТ, персонал, инспектор пожарной охраны, администратор и пользователь ИТ.
Основываясь на типичных компонентах, которые преимущественно рассматриваются в руководстве по базовой защите ИТ, данное руководство очень полезно для провайдеров услуг, создающих или предоставляющих содержание в Интернете, но менее полезно для операторов сети. По причине расширенного набора требований по безопасности ИТ, содержащихся в руководстве по базовой защите ИТ, документ также применим для поставщиков аппаратных изделий или программных продуктов. Однако о разработке программного обеспечения упоминается лишь мимоходом. Администраторы найдут в руководстве по базовой защите ИТ всеобъемлющую и подробную техническую информацию.
Поскольку руководство по базовой защите ИТ следует общему принципу рассмотрения типичных компонентов (ИТ), оно в основном не зависит от структуры предприятия. Руководство применимо для всех областей, в которых используются стандартные системы и приложения ИТ и в которых (в общем) требования безопасности являются обычными. Меры безопасности ИТ с более высокими требованиями безопасности сохраняются лишь в ограниченном объеме.
B.6.3 Характеристики
Метод обеспечения доверия использует подход к доверию к процессу, но включает в себя также элемент доверия к продукту в случае его модификации во время эксплуатации. В зависимости от компонентов рассматриваемой среды ИТ пользователь выбирает подходящие разделы (или «модули») в руководстве по базовой защите ИТ и использует их для «моделирования» среды ИТ. Подход делится на пять уровней: аспекты высшего порядка, инфраструктура, системы ИТ, сети и приложения.
Уровень 1. Аспекты высшего порядка охватывают аспекты безопасности ИТ, которые нельзя зафиксировать для отдельной ИТ или компонентами инфраструктуры, но которые оказывают влияние на большие области или даже всю среду ИТ.
B.6.4 Разносторонность
Поскольку руководство по базовой защите ИТ предназначено для компонентов рассматриваемой среды ИТ, объем работ и расходы, затраченные на применение этого метода, в значительной степени зависят от однородности рассматриваемой среды. В руководстве по базовой защите ИТ содержится механизм группирования идентичных компонентов, чтобы избежать необходимости обрабатывать каждый компонент в отдельности. Однако, если среда ИТ неоднородна в целом, объем работ и расходы возрастают пропорционально числу компонентов (систем ИТ, приложений ИТ, и т. д.).
B.6.5 Своевременность
Руководство по базовой защите ИТ пересматривают и расширяют дважды в год. Это особенно необходимо для адаптации технического содержания к новейшим разработкам. Дополнительный материал основан на требованиях, определенных зарегистрированными пользователями руководства по базовой защите ИТ.
B.6.6 Завершенность
Руководство по базовой защите ИТ содержит как общие, так и специфические для продукта и технологий стандартные меры безопасности. Общие меры охватывают все важные аспекты безопасности ИТ, например, планирование организационной структуры или непредвиденных обстоятельств. С учетом огромного разнообразия продуктов и решений в области ИТ неизбежен охват специфическими для продукта и технологий мерами безопасности только наиболее широко применяемых компонентов.
Руководство по базовой защите ИТ ориентировано, в первую очередь, на защиту информации, приложения ИТ и системы ИТ, к которым предъявляются так называемые «нормальные» требования безопасности. При более высоких требованиях к стандартным мерам безопасности, приведенным в руководстве по базовой защите ИТ, необходимо привлекать дополнительные меры.
B.6.7 Стоимость реализации/объем работ по реализации
Поскольку стандартные меры безопасности ориентированы на нормальные требования безопасности, обычно дорогостоящие услуги или компоненты безопасности или инфраструктуры не требуются. Следовательно, основными издержками внедрения мер безопасности являются организационные усилия и затраты на оплату труда. Следует также учитывать работу по проведению анализа. Это в значительной степени зависит от однородности рассматриваемой среды. Для анализа базовой защиты ИТ предприятия среднего масштаба необходимо планировать по крайней мере три месяца.
B.6.8 Поддержка инструментальными средствами
Руководство по базовой защите ИТ поддерживается инструментальными средствами в отношении как подхода (программа базовой защиты ИТ BSI), так и содержания (администрация UNIX программы USEIT-BSI).
Дальнейшая разработка инструментальных средств ориентирована на продление действия руководства по базовой защите ИТ. Другие инструментальные средства обеспечения безопасности, ориентированные на подход или