ISO/IEC TR 13335：信息技术安全管理指导

发布时间：2006年09月19日点击数： 作者：未知 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

ISO/IEC TR 13335

 

    ISO/IEC TR 13335 信息技术- 信息技术安全管理指导是份技术报告，分为5个部分

 

发行者

    这份报告是由ISO组织（国际标准化组织）和IEC（国际电工委员会）联合出版的，这两个机构成立了一个合作的技术委员会 ISO/IEC JTC1，SC27分小组委员会（负责信息技术安全）的任务就是出版相关的国际标准（如 ISO/IEC 17799：2000）

 

准则或指南发布的目标

    这份报告提供了信息技术安全管理方面的指导，分为5个部分：

    1. 概括了信息技术安全方面的管理任务，提供安全概念和模型的介绍

    2&3  用全面的观点来阐述信息技术安全的实施与管理

    4. 提供安全设施的选型指导，除了考虑安全问题和威胁之外，还需要考虑信息技术系统的类型

    5. 在介绍网络安全时，需要考虑对通信相关因素进行的鉴别和分析

 

企业实施指南的业务需求

l 安全管理的指导

l 结构化实施规划的需要

 

相关的非遵从风险

l 除非某个组织内部有需要必须遵从此标准，否则没有直接的风险

目标读者

    这份报告适用于各种类型的组织。第一部分明确地适用于那些高级管理和信息安全经理，而其他的部分则适用于那些对安全规则的实施有责任的人，如，信息技术经理和信息技术安全人员。

 

时效性

    从1996年出版了第一部分开始，一直到2001年才出版完成第五部分。作为技术报告，这些部分在出版后没有进行频繁的更新。第一、二、三部分目前正在修订（第一部分和第二部分将合并成新的第一部分），关于第四部分的修订也在规划之中。

 

认证

    目前还没有相关的认证

 

通用性

    目前这份报告在全球范围内得到认可

 

完整性

    这份标准包含了针对如何管理信息安全的全面指导。由于这份标准主要针对安全问题，因此并没有涵盖信息技术管理领域的所有职责。

 

可用性

    可以从ISO组织那里得到这份资料

  

指南及其内容叙述

    前面已经提到过，目前版本的报告包括五个部分

 

第一部分—信息技术安全的概念和模型

    第一部分讨论了信息技术安全的基本管理概念和模型。由于这部分没有提供关于信息技术安全的详细信息，可以作为关于信息技术安全管理的入门介绍。

 

    系统地实施IT安全，必须要对安全策略，职责分工，系统风险管理，变更和配置管理，灾难恢复计划，选择和实施安全措施及其后的系列活动都要有明确的定义。

 

    公司的目标，策略和政策影响到组织内部通用的安全目标，策略和政策，这样就形成了其特定的信息技术安全目标，策略和政策。这样的信息技术系统安全目标，策略和政策是从通用的信息技术安全方式中衍生出来的。

 

    主要与安全管理流程有关的因素有：

l 资产（有形资产，信息，软件，人员和无形资产）

l 威胁（人员因素和环境因素）

l 脆弱性

l 抵抗冲击的能力

l 风险

l 安全设施

l 剩余风险

l 受到的约束

 

    信息技术安全管理的实施过程包括以下部分：

l 配置管理(Configuration management)—配置的变更并不一定会导致安全等级的降低，然而，跟踪变更是很重要的，并且关于系统的变化都必须做好相关的资料文档（如，灾难恢复计划）。

l 变更管理 (Change management)—系统变更是一个识别系统安全需要的过程。

l 风险管理(Risk management)—风险管理将贯穿整个系统的生命周期。风险管理过程将对风险以及各种不同安全措施带来的成本和收益进行比较。

l 风险分析(Risk analysis)—通过对资产价值、威胁和脆弱性的分析，我们可以识别相关的风险，从而针对前面所提到的资产可以做出一个大致的风险描述。

l 责任划分(Accountability)—安全管理的责任必须明确地指明。资产的所有权必须明确指定。

l 安全防范意识(Security awareness)—这部分将解释安全目标，策略和政策和为什么要遵从它们。

l 监控(Monitoring)—为保证系统有效地工作，必须对安全措施进行周期性的监控。

l 业务持续性计划和灾难恢复计划(Contingency plans and disaster recovery)—业务持续性计划描述了在系统发生故障时如何保持核心业务不间断。灾难恢复计划则包含了意外事故发生后系统信息的恢复。

第二部分—管理和规划信息技术安全

 

    第二部分包含了信息技术安全管理方面的精华论题。这些对如何识别和管理信息技术安全是非常有用的。

 

    信息技术安全管理的主要任务是建立和维护信息技术安全的一套程序。这包括一套整个组织内规划与管理，风险管理，项目实施，后续的维护和监控流程，以及项目集成工作。

 

    一个健全的公司信息技术安全策略应该考虑以下问题：

l 目的—应该达成什么样的目标，如何达成目标，以及达成目标应该遵守什么样的规则

l 管理承诺—来自公司高层管理的承诺和支持

l 策略模型—公司内部各种策略的关系，如公司策略，市场策略，安全策略，信息技术策略, 信息技术安全策略和特定系统的策略

l 策略元素—是不是全面地涵盖了所需考虑的问题？

 

    组织内关于信息技术安全的各个方面，例如职责分工，信息安全论坛的创建，项目安排，系统安全人员的任命都将被一一讨论。来自各个管理级别的支持须进行概述，这对组织内部和所有系统实施统一的规划非常重要。

 

    风险管理策略作为一个策略性的选择将在下面论述，将详细论述其优缺点。主要实施方法有：

l 基线法—通过为所有系统选择合适的安全措施，可以做到基本级别的保护。

l 非正式法一对所有系统的风险分析，需要有经验的员工并且适用于小型组织。

l 详细的风险分析—一个详细的分析需要从资产的识别和评估开始，考虑资产所面临的风险，安全措施的正确选择并且将剩余的风险控制在可接受的水平

l 综合评估法—对高风险的系统进行高级别的详细评估，将其进行全面分析。对其他的系统可以只实行基本的保护。

 

    安全推荐部分将介绍不同类型的安全措施，包括这些安全措施之间的相互关系，以及选择和维护这些措施的建议，此外，还阐述了剩余风险的必然性及其分类，剩余风险可分为“可接受的剩余风险”和“不可接受的剩余风险”。

 

    下面是关于风险管理的讨论，需要简要介绍的有以下几点：

l 信息技术系统安全策略—策略的内容；

l 信息技术安全计划—实施信息技术安全策略所采取的行动的文档；

l 安全措施的实施—按计划实现包括安全培训安全措施；

l 安全防范意识—将安全意识从专门从事安全的人员推广到组织内的各个层次；

l 后续行动—例如维护安全措施和策略，对于是否遵从安全策略的检查，监控和故障处理流程。

 

第三部分     信息技术安全管理技术

 

    这份报告的第三部分描述和推荐了相关的管理技巧。除了一些基本的信息，这部分还包括了一份关于信息技术安全管理流程的概述，主要包括：

l 安全需求的分析—安全目标的定义，策略和公司信息技术安全措施的发展分析；

l 公司风险分析策略的选择—识别和评估风险，并根据不同系统的安全需求将风险降低到一个可接受的水平；

l 信息技术安全规划的实施—包括安全防范意识和安全培训在内的安全措施实施；

l 后续行动—检测安全策略的符合性，监控措施，变更管理的实施和故障处理流程。

 

    本部分讨论了公司信息技术安全策略的重要性，并且给出了推荐的措施。在报告的附录给出了一张关于本报告内容的详尽列表。

    实施安全措施和安全防范意识程序必须依照基于安全需求的所制定出的方法。在实施的过程中，一个关于安全防范的流程将被实施以增加组织内安全意识的水平。一个健全的安全意识流程包括下面一些元素：

l 对需求的分析—对不同目标团体内部已有和目标的安全防范措施进行分析，并且得到可行的方法；

l 流程的实现—相互沟通和积极的技巧；

l 系统的监控—定期地进行评估，以决定安全意识的水平并且进行全面的变更管理来保证您的安全技术和安全防范意识反映了对系统进行的变更。

 

    在系统成功实施，并且实施阶段完成后，组织内部的专家和外部的专家就可以确认的目标实现了。第三部分归纳了关于在项目实施后接下来的后续工作，如维护，符合性测试，变更管理，监控和故障处理流程。在附录中，在上面所提到的安全策略表格的后面，有份详细的关于可能的威胁种类和弱点的清单，此外，还提供了一份关于风险分析方法的描述。

第四部分—安全措施的选择

 

    通过高级别的风险分析可以决定选择何种安全措施，即对系统进行的详尽的风险分析及对系统进行基本保护的需求。在第三部分我们详尽讨论了风险分析的方法。系统的基本保护需求可以考虑以下两点：根据信息的类型来选择所需的安全措施并根据安全考虑和可能的安全威胁来选择所需的安全措施。

 

    对安全措施的选择基本包括以下几个方面：

l 系统类型的识别—IT系统可以是一个单独的工作站，也可以是通过网络连接的工作站，或者是服务器/工作站通过网络来共享资源；

l 周围的物理环境—除了该组织对所处环境的基本考虑，其他一些特殊的需求也应被考虑，例如建筑物的周长（物理条件，独用或共用，共用者的基本情况，敏感/关键区域的划分），访问控制（进出建筑物的访问控制，物理访问控制，建筑物的强度和结构，门窗保护级别等）或是对该区域的保护（房间的保护，灭火设施，防水措施，不间断电源，温度及湿度控制等）；

l 对现有和规划的安全措施的评估—应当对现有的安全措施进行分析评估，以避免重新对安全措施进行选择。这些可以通过对文档资料的回顾，相关人员的咨询，或者实地的考察来完成。

 

    安全措施可以分为组织/物理的安全措施和针对特定系统的安全措施：

l 组织与物理安全措施

Ø 信息技术安全管理和策略

Ø 安全符合性测试

Ø 故障处理流程

Ø 人员构成

Ø 操作规范

Ø 业务持续性计划

Ø 物理安全

 

l IT系统的具体安全措施

Ø 身份识别和认证

Ø 逻辑的访问控制和审计

Ø 针对恶意代码的保护措施

Ø 网络管理

Ø 加密

 

    这份组织内安全措施的分类可以适用于所有的信息技术系统。在基本安全措施实行之后，就应该考虑到在这份分类表中提到的安全措施。而实施针对IT特定系统的安全措施，需要对系统的类型和特征有深入的了解。

 

    当选择安全措施时，应当考虑到一些安全隐患—泄密，数据不完整，系统不可用，无法统计，认证错误或者系统可靠性降低等。具体如下：

l 机密性

Ø 窃听

Ø 电磁辐射

Ø 恶意代码

Ø 用户身份伪装

Ø 不可路由/重路由的信息

Ø 软件错误

Ø 盗窃

Ø 未授权的对计算机，数据，服务和应用的访问

Ø 未授权的对存储介质的访问

l 完整性

Ø 存储介质损坏

Ø 维护中的失误

Ø 恶意代码

Ø 用户身份伪装

Ø 不可路由/重路由信息

Ø 数据未被校验

Ø 软件错误

Ø 能源故障（电力，空调）

Ø 技术故障

Ø 传送错误

Ø 未授权的对计算机，数据，服务和应用的访问

Ø 使用未授权的程序和数据

Ø 未授权的对存储介质的访问

Ø人为故障

l 可用性

Ø 破坏性攻击

Ø 存储介质损坏

Ø 设备和服务的通信中断

Ø 火灾，水灾

Ø 维护错误

Ø 恶意代码

Ø 用户身份伪装

Ø 不可路由/重路由信息

Ø 滥用资源

Ø 自然灾害

Ø 软件故障

Ø 环境故障（电力，空调）

Ø 技术故障

Ø 盗窃

Ø 信息过载

Ø 传送错误

Ø 未授权的对计算机，数据，服务和应用的访问

Ø 使用未授权的程序和数据

Ø 未授权的对存储介质的访问

Ø 人为故障

l 可度量性，可认证性和可靠性

    这份报告没有列出详细的安全威胁，只是示范性地列举了一些威胁，例如共用账号，缺乏可追踪的信息，用户身份伪装，软件故障，对计算机、数据和应用未授权的访问，或脆弱的身份认证。

 

    这篇报告还提供了典型的针对前面提到的安全威胁的对策方法。在选择特定的安全措施时，必须确定这套安全措施所需要的一些基本要素，这些要素可以归纳为：

Ø 威胁—降低发生威胁的可能性

Ø 脆弱性—去除系统的脆弱部分或者降低这部分对整个系统影响的严重性

Ø 影响—降低或避免对业务的影响 

    在对整个组织实施基本安全保护时，我们必须认识是否整个组织可以实施同样的保护措施，抑或是我们必须定义不同的安全级别。

第五部分—网络安全的管理指导

    第五部分是处理网络安全的，提供了对网络通信的进行分析识别的指导。这部分同样对相关安全措施做了介绍。

 

    对于网络通信相关的安全因素，同样推荐了相关的分析和识别的流程，具体如下：

l 对公司信息技术安全需求的评审—信息技术安全策略必须阐明了对于信息的保密性，完整性，可用性，数据校验，可计量性，可认证性和可靠性的要求；

l 对网络架构和应用的评审—针对网络类型，所支持的协议，所安装的应用和其他的一些需要考虑的因素，如信任关系等，我们需要定义不同的区域来实行不同的安全设施；

l 识别网络连接的类型—用不同的拓扑结构，在组织内部不同的层次，我们通过网络来实现所需要的连接；

Ø 组织内一个单独可控制的区域

Ø 在同一组织内不同地域之间的连接

Ø 组织内的站点与组织外个人工作地点进行连接

Ø 某个封闭社团内不同组织的连接

Ø 与其他组织的联系

Ø 与公共互联网的连接

l 对网络特征和相关的信任关系的评审—根据不同的特性，网络可分为公共/私有网络和数据/语音网络。还有一种分类方法是将网络分为包交换和电路交换两种。根据其所处的环境，信任关系可以分为低、中、高三类。网络连接的公开性（公共或私有）与网络信任环境（低，中，高）两种分类的结合为确定安全措施提供了基本的信息。

l 确定安全风险的类型—根据安全风险的类型（泄密、不完整性等）和前面所提到的特征和信任关系的结合，我们可以确定所需要的安全措施的特征。

l 正确划分可能的安全区域—在安全风险的基础上，根据以下的原则，我们可以确定在组织内，通常有几种不同安全措施的需要实施：

Ø 安全服务管理

Ø 身份识别和认证

Ø 审计记录

Ø 入侵检测

Ø 恶意代码保护

Ø 网络安全管理

Ø 安全网关

Ø 网络上数据的加密

Ø 网络上数据的完整性

Ø 数据校验

Ø 虚拟专用网络

Ø 业务持续性计划性和灾难恢复计划

l 记录和检查我们的安全措施—相关的记录文档可以使我们对这项设计进行一个总结性的分析

l 安全措施的选择，设计和维护的准备工作—建立一个项目组并对安全措施的选择，实施和维护任务进行详细定义