Cataloage de protecție de bază IT

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

Catalogele pentru securitatea de bază a IT (Cataloguri de protecție a liniei de bază IT engleză, germană IT-Grundschutz-Kataloge) Institutul Federal Oficiul Federal pentru Securitatea Informației din Republica Germană este o colecție unificată de măsuri care vă permite să implementați o planificare a securității IT într-un mod simplu și rentabil.

Înainte de 2005, lucrarea a fost numită Manualul IT de bază de protecție (IT-Grundschutzhandbuch).

Catalogul este revizuit periodic: versiunea actuală este numărul 13 (decembrie 2013).

Abordare

Cu abordarea tradițională de evaluare a riscurilor , trebuie mai întâi să identificați amenințările și să le atribuiți o probabilitate de apariție. Rezultatul acestei analize este utilizat pentru a evalua riscul (căruia i se atribuie o valoare care ia în considerare probabilitatea realizării anumitor amenințări și valoarea activului amenințat) și apoi selectați măsurile de securitate adecvate, pentru a reduce la minimum risc.rezidual.

Abordarea adoptată în manualul BSI pentru protecția de bază, pe de altă parte, constă într-o comparație între măsurile recomandate de model și cele implementate efectiv de persoana care efectuează planificarea / evaluarea riscurilor. Punctele slabe / criticitățile în materie de securitate care trebuie eliminate prin adoptarea măsurilor recomandate sunt reflectate în lista măsurilor de securitate lipsă și care nu au fost încă aplicate. Numai atunci când cerințele de siguranță sunt semnificativ mai mari poate fi necesar să se efectueze o analiză suplimentară, cântărind costul real al adoptării măsurilor suplimentare comparativ cu cele de bază enumerate în catalogul manual BSI. Cu toate acestea, în general, este suficient să adăugați recomandări conținute în manualul BSI unele măsuri adecvate și mai stricte, adaptate cazului specific. Măsurile de securitate enumerate în manual sunt măsuri standard, adică măsuri care ar trebui implementate pentru modulele conținute în manual folosind cele mai bune tehnologii pentru a atinge un nivel rezonabil de securitate. În unele cazuri, măsurile oferă, de asemenea, un nivel mai ridicat de protecție decât protecția de bază, totuși acestea sunt de obicei măsurile minime de precauție pe care este rezonabil să le luăm în domeniile de competență.

Metodă

Metodologia pentru identificarea măsurilor de securitate lipsă și, prin urmare, pentru evaluarea concretă a riscului rezidual se desfășoară după cum urmează. În primul rând, se face un inventar al resurselor care alcătuiesc sistemul protejat (de exemplu: date, aplicații, dispozitive IT, site-uri unde sunt amplasate dispozitivele). Resursele sunt clasificate și grupate pentru a facilita alegerea modulelor conținute în catalogul manual BSI pentru a fi aplicate grupurilor individuale de resurse. Fiecare modul constă dintr-un set de amenințări (potențiale cauze de risc) și contramăsuri aplicabile unei anumite categorii de resurse IT (de exemplu: servere , sisteme de operare , camere de servere) cărora este dedicat modulul. Evaluarea / măsurarea riscului de risc rezidual constă în compararea măsurilor sugerate de fiecare modul cuprins în catalogul manual cu măsurile deja aplicate. Măsurile lipsă reprezintă riscul rezidual pentru grupul respectiv de resurse. Planificarea timpilor de adaptare a sistemului la măsurile neimplementate încă și a costurilor și beneficiilor diferitelor alternative propuse reprezintă faza de gestionare a riscurilor.

Certificare

Metoda descrisă în Catalogul BSI reprezintă aplicația practică a standardului numit BSI-Standard 100-2: IT-Grundschutz Methodology . Prin urmare, trebuie considerat pe deplin ca un standard de securitate IT și măsurile sugerate sunt compatibile cu standardul ISO 27001 pentru care se poate obține certificarea ISO .

Elemente conexe

linkuri externe

Adus de la „ https://it.wikipedia.org/w/index.php?title=IT_Baseline_Protection_Catalogs&oldid=110469748