Определите и сравните два разных подхода, используемых для классификации методологий контроля доступа. Перечислите и дайте критику типы средств контроля, встречающиеся в каждом из них.
Методология контроля доступа Подход
Обязательный подход и дискреционный подход
Контроль доступа может быть обязательным или дискреционным. Принудительный подход к управлению доступом присваивает конкретный знак безопасности или метку отдельному объекту и субъектам, связанным с этим объектом. Эта метка определяет степень чувствительности объекта.
Примеры чувствительности включают публичный, секретный, совершенно частный, секретный и конфиденциальный (Whitman, & Mattord, 2010, стр. 65)). Однако при дискреционном подходе к управлению доступом личность субъекта используется для принятия решения о том, к какому объекту он имеет доступ. Владельцем объекта является судья субъектов, которым может быть разрешен доступ к объекту. При дискреционном управлении доступом администратор определяет, что необходимо защитить и как данные могут быть переданы. В этом отличие от обязательного контроля доступа, при котором система решает, как будут передаваться данные.
Дискреционный контроль доступа более распространен в операционных системах, но менее безопасен по сравнению с обязательным контролем доступа. При обязательном контроле доступа метка, прикрепленная к субъекту, определяет разрешение, которое он имеет для доступа к объектам, а также категорию или класс объектов, к которым он может получить доступ. При дискреционном управлении доступом класс объекта определяет субъектов, которым разрешено его просматривать. Некоторые формы обязательного контроля доступа позволяют субъектам получать доступ к объектам ниже уровня (Whitman, & Mattord, 2010, стр.69), на котором им разрешено просматривать объекты.
Принудительный контроль доступа используется в системах, требующих критической безопасности, таких как военные объекты и программы, тогда как дискреционный контроль доступа больше применяется в коммерческих операционных системах (Циркуляр OMB A-130, 2000 г.). Принудительный контроль доступа также сложнее программировать, настраивать и реализовывать по сравнению с дискреционным контролем доступа. Обязательный контроль доступа соответствует уровню B оранжевой книги, а дискреционный контроль доступа соответствует уровню C оранжевой книги. Дискреционный контроль доступа также полагается на владельца объекта для контроля доступа, тогда как обязательный контроль доступа полагается на систему для контроля доступа.
Управление доступом на основе правил
Управление доступом на основе правил — это распространенная форма обязательного контроля доступа. При этом типе контроля доступа субъекты используют набор правил для определения доступа к объектам. Допуск к секретности выдается на основании необходимости объекта для субъекта (Whitman, & Mattord, 2010, стр.69). Это означает, что субъект может получить доступ к объекту только в зависимости от приоритета объекта перед работой субъекта. Необходимость предопределена, и сотрудники могут получить доступ только к той информации, которая необходима им для выполнения своей работы. Этот тип контроля доступа, несмотря на свою безопасность, может препятствовать обмену информацией внутри организации, ограничивая эффективность рабочих процессов. Кроме того, его строительство и обслуживание отнимает много времени, его сложно строить и поддерживать, а для его эксплуатации требуется хорошая инфраструктурная база.
Контроль доступа на основе личности
В дискреционном управлении доступом распространенным типом реализации является управление доступом на основе идентификации (Циркуляр OMB A-130, 2000 г.). В этом типе управления доступом решение о доступе к объектам определяется идентификатором пользователя или, в большинстве случаев, группой членства для пользователей. При таком контроле доступа возможен случай кражи личных данных, и результаты могут означать, что посторонний или неавторизованный человек получит доступ к секретной информации.
Другой подход к классификации контроля доступа — это логический, организационный, физический и личный контроль. Логический контроль включает, среди прочего, защиту данных, сетевых активов и доступа к приложениям организации. Физический контроль включает замки дверей, сигнализацию, физические барьеры и наблюдение. Организационный контроль включает в себя, главным образом, формулирование правил и положений внутри организации. Еще одним используемым контролем является личный контроль, который включает в себя санкции, осведомленность и обучение.
Они уступают обязательному контролю доступа и дискреционному контролю доступа из-за их доказанной слабости с точки зрения информационной безопасности. Однако они используются вместе с MAC и DAC почти во всех учреждениях в качестве резервной копии основных средств контроля доступа.
Заключение
В заключение, основными категориями контроля доступа являются обязательный контроль доступа (MAC) и дискреционный контроль доступа (DAC). Обсуждалось, что обязательный контроль доступа более безопасен по сравнению с DAC.
Сравните схему ISO/IEC 27001 с документами NIST, изложенными в учебнике, глава 6. Какие области, если таковые имеются, отсутствуют в документах NIST? Определить сильные и слабые стороны программ NIST по сравнению со стандартом ISO.
Документы ISO/IEC 27001 и NIST являются стандартами, которые обеспечивают подробный подход к управлению рисками для ИТ-активов. Оба тесно связаны с соответствующими шагами, направленными на достижение одной и той же цели – эффективного управления рисками (Циркуляр OMB A-130, 2000 г.). ISO/IEC 27001 устанавливает рекомендации по инициированию, внедрению, поддержанию и совершенствованию управления информационной безопасностью. Он имеет несколько возможных средств управления, каждый из которых имеет категории информации, такие как цели, которые являются средством контроля, имеющим отношение к достижению целей и руководству по реализации, а также другой соответствующей информации.
В документах NIST перечислены 172 средства контроля, и они существуют уже давно. Он возник благодаря сотрудничеству правительства и профессионалов отрасли. Он постоянно пересматривается, чтобы улучшиться и поддерживать его в актуальном состоянии. Его использование широко распространено в организациях, поскольку оно легко доступно и доступно. Некоторые примеры включают руководство по компьютерной безопасности SP 800-12 и управление рисками SP 800-30 для систем информационных технологий (циркуляр OMB A-130, 2000 г.).
Контраст
Схема ISO/IEC 27001 определяет область применения системы управления информационной безопасностью (СУИБ). Первым шагом является определение политики системы управления информационной безопасностью, после чего определяется подход к оценке рисков (Whitman, & Mattord, 2010, стр. 76). Риски идентифицируются и оцениваются. Также определяются варианты, доступные для лечения выявленных рисков, и подготавливается заявление о применимости.
Администраторы разрабатывают план борьбы с риском, после чего реализуют программы контроля, обучения и повышения осведомленности. Операции управляются, а процедуры реализуются для обнаружения и реагирования на инциденты безопасности. Затем следует внедрить процедуры мониторинга с регулярными проверками эффективности. Внутренний аудит необходим, и любые изменения вносятся.
Напротив, NIST выделяет 17 средств контроля, которые затем делятся на три (Циркуляр OMB A-130, 2000 г.). К этим категориям относятся управленческий контроль, операционный контроль и технический контроль (Stoneburner, Hayden & Feringa, 2004). Управленческие меры контроля касаются вопросов управленческой безопасности, в то время как оперативные меры контроля касаются тех, которые сосредоточены на средствах контроля, применяемых и осуществляемых людьми. С другой стороны, технический контроль в области управления обороной осуществляется с помощью компьютерных систем.
В то время как ISO фокусируется в основном на методах управления, NIST больше озабочен тактическими организационными вопросами. Было показано, что из двух методов ISO предоставляет NIST более подробные рекомендации по взаимоотношениям с третьими сторонами. Однако оба рекомендуют одни и те же средства контроля: ISO перечисляет 133 средства контроля, тогда как NIST перечисляет 172 средства контроля (Stoneburner, Hayden & Feringa, 2004). Это означает, что оба стандарта являются всеобъемлющими, причем NIST является более полным и подробным по сравнению с ISO (Stoneburner, Hayden & Feringa, 2004). Это может быть недостатком, поскольку требует больше времени на процедуру и делает ее утомительной.
Сильные и слабые стороны
Документы NIST имеют ряд преимуществ по сравнению с документами ISO/IEC 27001. Документы NIST доступны бесплатно для общественности, и доступ неограничен для всех, кто имеет возможность их использовать. Это контрастирует со структурой ISO/IEC 27001, которую сложно найти и внедрить. Документы NIST надежны, поскольку правительство и соответствующие специалисты отрасли тщательно проверяют их, чтобы гарантировать их качество и эффективность.
Схема ISO/IEC 27001 подвергается критике за то, как она была подготовлена. Критики утверждают, что он готовился в спешке. Это контрастирует с документами NIST, которые доступны уже некоторое время, что делает их более эффективными и надежными. NIST предоставляет мало рекомендаций по проектированию и внедрению новых систем безопасности. Это означает, что необходимо проводить частые проверки, а также время от времени производить установку.
Заключение
Хотя и ISO, и NIST предоставляют подробный подход к управлению рисками для ИТ-активов, схема ISO/IEC 27001 подверглась критике за свою доступность. NIST, с другой стороны, находится в свободном доступе и существует уже долгое время, поскольку был разработан правительством в сотрудничестве с соответствующими заинтересованными сторонами. Оба обеспечивают основу для разработки систем безопасности и контроля доступа. Приведено сравнение обоих методов с небольшими различиями и множеством сходств в их работе.
Критика рекомендуемого процесса разработки программы измерения информационной безопасности.
Критика
Когда организации разрабатывают программы управления информационной безопасностью, рекомендуется сначала провести сравнительный анализ. Это черпание идей из опытных организаций, устоявшихся моделей и практик (Whitman, & Mattord, 2010, стр. 56).
Это может иметь важное значение при определении мер контроля, которые следует учитывать. Слабость бенчмаркинга заключается в том, что невозможно точно определить, как собранные средства контроля могут быть реализованы в новой организации. Другая проблема заключается в том, что большинство конкурирующих организаций не желают помогать своим конкурентам информацией, которая могла бы улучшить их положение на рынке (Whitman, & Mattord, 2010, стр. 77). Это серьезная проблема, поскольку организации предпочитают хранить в секрете свои встречи с угрозами, поскольку их раскрытие может привести к потере уважения в организации.
Организация должна взять на себя обязательство проявлять должную осмотрительность при внедрении средств контроля в соответствии с установленными минимальными стандартами. Если организация не проявит должной осмотрительности и должной осмотрительности, может возникнуть юридическая ответственность. Лучшие практики – это те, которые направлены на обеспечение высочайшего уровня эффективности защиты информации (Руководство по управлению рисками безопасности, 2006 г.). Потребность в доступе к информации должна быть сбалансирована с необходимостью защиты собранной информации, а компании должны проявлять финансовую ответственность.
Некоторые компании могут предпочесть использовать золотой стандарт. Эта модель демонстрирует индустриальное лидерство и заботу об информации с минимальным риском угроз.
Однако компании, выбирающие этот метод, должны быть подготовлены в финансовом отношении, поскольку этот метод требует большого бюджета и персонала. Поэтому наиболее доступный для организации метод следует выбирать с учетом потенциальных угроз, размера компании и финансовой базы, которую она контролирует.
В отраслях, где государственное регулирование является обычным явлением, соблюдаемые руководящие принципы не находятся под контролем местных организаций. Это может создать риск плохой практики, поскольку некоторые организации могут устанавливать более высокие стандарты, чем те, которые установлены
регулирующий орган – правительство. Однако в некоторых организациях государственная политика может оказаться полезной для информирования о выборе и передовом опыте. Факторы, учитываемые при разработке передового опыта, учитывают тип организации и проблемы, с которыми она сталкивается. Проведено сравнение организационной структуры и классифицированы ресурсы, имеющиеся в распоряжении организации.
В рекомендуемом процессе информационного развития приоритет отдается внешним угрозам. И это несмотря на то, что большинство угроз фирме с точки зрения управления информацией исходят изнутри компании. Хорошая система управления информацией должна быть способна в равной степени контролировать внутренние и внешние угрозы (Руководство по управлению рисками безопасности, 2006). В предлагаемом методе отсутствует категоризация компаний по размеру. Предполагается, что все компании могут внедрить систему управления информацией, независимо от их размера. Предложения по соответствующим системам управления информацией должны основываться на возможностях различных фирм.
Предлагаемое управление рисками также предполагает, что системы и сетевые угрозы информации статичны и системы информационной безопасности могут быть созданы только один раз. Это не так, поскольку угрозы вместе с их источниками постоянно меняются, и любые меры по борьбе с ними требуют время от времени актуализироваться. Надежная программа информационной безопасности требует участия всех вовлеченных сторон в равной степени. При реализации предлагаемой программы измерения информационной безопасности основное внимание уделяется только организациям и их операторам без учета других игроков отрасли. Это слабость, поскольку для того, чтобы это работало, оно должно быть ясным и приемлемым для всех участников.
Заключение
В заключение, информационная безопасность является приоритетом в любой организации. Предложенный метод управления информационной безопасностью программы является эффективным и точным. Он хорошо изложен с различными этапами, изложенными в виде простого для понимания/применения метода. Однако делаются грубые предположения о размерах различных организаций и их возможностях. Как уже говорилось, метод бенчмаркинга на практике также неэффективен. Должен быть четко определенный метод сравнительного анализа. Также делается предположение, что угрозы статичны и требуют постоянного метода сдерживания. Как видно из статьи, это неверно, поскольку угрозы мутируют каждый день.
Рассмотрим небольшую компанию интернет-торговли с десятью сотрудниками и определим угрозы ее информационной безопасности. Предположим, что эта компания использует стороннего поставщика для выполнения своих заказов. После создания списка угроз присвойте каждой угрозе оценку вероятности. Обоснуйте свой ответ
Угрозы
Небольшая интернет-торговая компания с десятью сотрудниками, использующая стороннего поставщика для выполнения заказов, сталкивается с угрозами своей информационной безопасности. В фирмах такого типа сотрудники, скорее всего, знают друг друга лично и вряд ли будут угрожать компании на личном уровне по сравнению с более крупной организацией (Whitman, & Mattord, 2010, стр. 54). Некоторые из угроз, с которыми эта компания сталкивается для своей информационной безопасности, включают экологические, организационные, преднамеренные атаки, технические сбои и человеческие ошибки.
Эти угрозы являются общими для любой организации, независимо от ее размера, но в небольшой организации, такой как приведенный выше пример, существуют конкретные угрозы, которые более распространены по сравнению с относительно более крупной организацией. Они обсуждаются подробно. Однако особое внимание уделяется умышленным угрозам из внешних источников, например, при выполнении заказа.
Наиболее распространенной угрозой, с которой сталкивается интернет-компания, являются преднамеренные действия, такие как кража и взлом. Они направлены на причинение вреда организации и происходят из-за вандализма или, чаще всего, шпионажа. Фишинг и вредоносные коды также являются распространенными методами, используемыми для защиты интернет-компаний, особенно таких уязвимых, как описанная выше. Оценка вероятности того, что преднамеренные действия представляют собой угрозу, установлена на очень высоком уровне, поскольку они распространены и причиняют наибольший ущерб.
Среди экологических угроз такие природные явления, как землетрясения, ураганы, ураганы, наводнения и молнии, являются лишь некоторыми из примеров. Эти угрозы во многом непредсказуемы и их трудно контролировать, а масштаб ущерба, нанесенного системе информационной безопасности, может быть большим и дорогостоящим. Поскольку небольшая компания использует стороннего поставщика для выполнения своих заказов, сокращение поставок может быть неизбежным во время экологической угрозы. Оценка вероятности экологических угроз низкая, поскольку они не часты и не обязательно приводят к повреждению систем безопасности.
Более распространенной угрозой для фирмы такого масштаба является человеческая ошибка (Whitman, & Mattord, 2010, стр. 56). К ним относятся ошибочное удаление файлов, ненужная запись паролей в небезопасных местах вроде наклеек и черновых бумаг, а также пропуск критических дат.
Сотрудник также может по ошибке отправить электронное письмо не на тот адрес. Эти угрозы вызваны человеческими ошибками и не являются преднамеренными. Когда возникают эти типы угроз, они косвенно угрожают информационной безопасности фирмы и могут нанести серьезный ущерб. Они во многом также непредсказуемы, и любой метод контроля может стать жертвой таких угроз. Вероятность человеческих ошибок средняя. Это связано с тем, что они происходят нечасто, но всякий раз, когда они происходят, они могут вызвать значительный риск для информации фирмы.
Технические сбои также распространены в компаниях интернет-торговли такого размера. Аппаратный сбой часто приводит к компрометации системы информационной безопасности. Оптимальное функционирование оборудования имеет решающее значение для любой исправной системы управления безопасностью и противодействия любым угрозам. Жесткий диск компьютера с системами может выйти из строя, что приведет к потере информации и данных, важных для фирмы. В конечном итоге это может привести к безвозвратной потере данных. Другой тип технических сбоев – это короткие замыкания в аппаратных электрических системах, обеспечивающих безопасность информации. Оценка вероятности технических сбоев установлена на уровне среднего риска, поскольку они также наносят большой ущерб информационной системе. Они также редки и учитываются в большинстве систем безопасности.
В такой маленькой организации, как эта, неадекватное планирование и консультации наряду с финансированием могут создать угрозу возникновения организационного дефицита. Эти организационные недостатки включают в себя наличие нечетких обязанностей работников. В организациях такого типа вероятны организационные недостатки, поэтому показатель вероятности высок. Это связано с ограниченностью информации, масштабами процессов контроля и финансирования.
Заключение
Вышеупомянутые угрозы, с которыми может столкнуться небольшая интернет-фирма, включают экологические угрозы, человеческие ошибки, технические сбои, организационные недостатки и преднамеренные действия. Они могут быть случайными, случайными, из-за человеческих ошибок, шпионажа или вандализма. Угрозы также были оценены как обоснованные.
Изучите подход Microsoft к управлению рисками и напишите отчет, описывающий каждый из четырех этапов процесса управления рисками безопасности. Составьте список вопросов или проблем, которые могут возникнуть у вас в связи с описанным подходом.
Microsoft, одна из ведущих ИТ-компаний, разработала процесс управления рисками, состоящий из четырех этапов. Эти этапы включают оценку рисков, поддержку принятия решений, внедрение средств контроля и измерение эффективности программы. Каждый из этих четырех этапов подробно обсуждается ниже с критическим анализом того, что каждый из них влечет за собой.
Microsoft заявляет, что оценка рисков в бизнесе — это первый этап управления рисками. Оценка рисков включает в себя выявление рисков, с которыми сталкивается организация, их классификацию и установление приоритетов. Планирование на этапе оценки риска считается важным, поскольку оно создает прочную основу для благоприятной и успешной оценки риска. На этом этапе информация о возможных рисках собирается от заинтересованных сторон в организации.
При сборе информации активы организации идентифицируются, после чего следует описание с точки зрения их ценности для организации (Microsoft 2012). Затем определяются уязвимости активов в соответствии с организационными руководящими принципами и приоритетами. Проверка существующих средств контроля на предмет их эффективности в организации проводится с вниманием к текущим и будущим рискам.
На этапе оценки риска важно расставить приоритеты риска. Это включает в себя проведение сводного уровня определения приоритетности рисков, его рассмотрение с соответствующими заинтересованными сторонами и упорядочение рисков в соответствии с влиянием, которое они могут оказать на организацию. Краткое изложение процесса сбора данных и результаты затем публикуются для обсуждения с соответствующими заинтересованными сторонами с первоначальным анализом возможных методов контроля.
Следующим этапом является поддержка принятия решений, которая включает в себя определение доступных вариантов контроля рисков, выявленных на первом этапе, на основе установленного процесса анализа затрат и выгод. Для рисков, выявленных на начальном этапе, устанавливаются соответствующие меры контроля. Этот этап далее подразделяется на различные подэтапы в качестве первого этапа. Определены функциональные требования по снижению рисков (Microsoft 2006).
Затем выбираются и анализируются потенциальные решения по контролю. Затем в каждом из выбранных средств контроля оценивается снижение риска и определяются прямые и косвенные затраты на средство контроля. После завершения анализа затрат и выгод для каждого из выявленных рисков организация должна иметь наиболее подходящий контроль.
Третьим этапом процесса управления рисками безопасности Microsoft является внедрение средств контроля (Microsoft, 2006). После определения возможных методов контроля на предыдущем этапе организация должна установить предпочтительный метод контроля. Это предполагает целостный подход, при котором рабочая сила, доступные и доступные технологии и процессы интегрируются для обеспечения оптимальной функциональности желаемого метода управления. Метод контроля разработан экспертами и дружелюбно к участвующим субъектам. Целью контроля доступа должно быть достижение полного управления указанными рисками.
Четвертый и последний этап – это измерение эффективности программы. На этом этапе организация оценивает свой прогресс в управлении рисками безопасности: разрабатывается система показателей. Помимо выявления каких-либо уязвимостей организация тестирует методы контроля, одновременно устанавливая возможности для улучшения контроля.
Вопросы и опасения по поводу подхода
Подход Microsoft к управлению рисками прост для понимания и включает в себя большую часть известных процессов. Однако важным вопросом является продолжительность каждого этапа подхода. Фазы также связаны между собой, и, похоже, не существует четкой границы между различными фазами, при этом некоторые этапы встречаются более чем в одной фазе. На этапе оценки риска нет указания на метод, используемый для оценки риска для бизнеса. Оценка рисков должна помочь предпринимателям и организациям в управлении рисками, предлагая доступные риски и обеспечивая наиболее подходящий метод контроля. В связи с вышеизложенным хотелось бы задать следующие вопросы.
-
Каково приблизительное количество времени, необходимое на каждом этапе?
-
Какой этап в подходе Microsoft является наиболее важным?
-
Одинаково ли этот подход применим как к малым, так и к крупным компаниям?
-
Есть ли разница между этими четырьмя этапами или все они связаны?
-
В связи с поднятым выше вопросом я также хотел бы выразить обеспокоенность по поводу эффективности этапов подхода Microsoft к управлению рисками.
Заключение
Microsoft предлагает процесс управления рисками безопасности, состоящий из четырех этапов. К ним относятся оценка риска, поддержка принятия решений, внедрение средств контроля и измерение эффективности программы. Они достаточно всеобъемлющие, чтобы позволить компаниям и крупным организациям внедрить надежный процесс управления рисками.
Список литературы
Майкрософт (2012). Четыре этапа управления рисками безопасности Microsoft — Руководство по учебному курсу по сертификации MCSE в Великобритании. (н-й). Учебный лагерь MCITP | Учебный курс по сертификации MCITP MCSE CCNA | Учебный лагерь MCSE MCITP | Учебный лагерь MCSE CCNA MCITP в Сан-Матео, Калифорния | Учебный лагерь MCSE MCITP в Мэриленде, Балтиморе. Веб.
Циркуляр ОМВ А-130. (2000). Управление федеральными информационными ресурсами. Приложение III. Веб.
Стоунбернер Г., Хайден К. и Феринга А. (2004). Специальная публикация NIST 800-27.
Инженерные принципы ИТ-безопасности. США: Министерство торговли США.
Руководство по управлению рисками безопасности (2006 г.). Решения Microsoft для безопасности и соответствия требованиям и Центр передового опыта Microsoft в области безопасности. Веб.
Уитмен М. и Мэтторд Х. (2010). Технология курса 3ed «Управление информационной безопасностью». Бостон: Word Press.