Dominio basado en seguridad

"Dominio Based Security", abreviado a "DBSy", es un enfoque basado en el modelo para ayudar a analizar seguridad de la información el riesgo en un contexto empresarial y proporcionar una clara y directa correlación entre los riesgos y la controles de seguridad necesarios para gestionarlos. Una variante del enfoque es utilizada por el gobierno del Reino Unido HMG Infosec estándar No.1 Método de evaluación de riesgos técnico.^[1] DBSy es una marca comercial registrada de QinetiQ Ltd.

DBSy fue desarrollado en la década de 1990 por el Agencia de investigación y evaluación de defensa (DERA). Es un enfoque basado en el modelo Aseguramiento de la información describe los requisitos de seguridad en una organización, teniendo en cuenta el negocio que necesita ser apoyado. El modelo se basa en el concepto de un dominio, lo que representa un lugar lógico donde la gente trabaja con información a través de un sistema informático, y que tiene conexiones con otros dominios de seguridad cuando sea necesario para apoyar la actividad de seguridad. Por lo tanto, el foco está en la información que necesita protección, las personas que trabajan con él y que el intercambio de información con la gente. El modelo también puede describir los ambientes físicos donde la gente trabaja y los límites del sistema donde se colocan las medidas de seguridad principales del sistema. Luego se aplica un método sistemático sobre el modelo para identificar y describir los riesgos a los que valiosos activos de información están expuestos y especifican las medidas de seguridad que son eficaces en la gestión de los riesgos.

Contenido

1 Historia
2 El modelo DBSy
3 Método de evaluación de riesgo
4 Comparación con otros métodos de riesgo IA
5 Referencias

Historia

DBSy tiene sus orígenes a finales de 1990, habiendo sido desarrollado el defensa Evaluation and Research Agency (DERA) para el Ministerio de defensa (MOD). Inicialmente llamado el enfoque basado en dominios, ha sido desarrollado junto a Penélope púrpura para el MOD aumentar la ayuda que necesite para interconexiones entre sistemas operativos en los niveles de seguridad diferentes,^[2] .^[3] Se reconoció que los riesgos asociados a tales conexiones estuvieron relacionados directamente con la naturaleza del intercambio de información que se necesitaba y que un modelo efectivo para entender y manejar los riesgos tendrían que tener en cuenta las necesidades del negocio para el intercambio de información. También se reconoció que la liberación controlada de la información de un sistema de manejo de información secreta (a veces se refiere al tiempo que 'abajo clasificación' o 'esterilización') no fue adecuadamente descrito por cualquiera de los modelos existentes de seguridad de la información (en particular Bell-LaPadula, Biba y el asociado Flujo de información modelos).

Flujo de información los modelos fueron encontrados para ser inútil en la comprensión de los riesgos cuando la información tiene que ser compartida con personas y sistemas que no son completamente confiables. Un modelo efectivo para entender y manejar los riesgos tendría que tener en cuenta las necesidades del negocio para el intercambio de información tanto dentro como fuera de una organización.^[4]

Se aplicó la técnica de modelado a algunos proyectos importantes para el MOD y como resultado de esta experiencia que fueron revisadas las técnicas de modelado gráficas y una evaluación del riesgo riguroso método, basado en los conceptos de compromiso caminos fue desarrollado. También se creó un acercamiento a la documentación de seguridad es a través de un ciclo de vida del proyecto.^[5] Se celebraron en el dominio de seguridad basado en conferencias QinetiQ Malvern en junio de 2005 y junio de 2006, promover la discusión de cómo podría ser más ampliamente utilizado, tanto para la defensa ^[6] y sistemas comerciales.^[7]

Una variante del método de DBSy fue posteriormente desarrollada e incorporada del gobierno británico HMG Infosec estándar No.1 Método de evaluación de riesgos técnico, el método estándar para ser utilizado para las evaluaciones de riesgo para la seguridad de todo el gobierno Tecnología de la información sistemas.

El modelo DBSy

El enfoque DBSy utiliza modelos sencillos para representar los requisitos de seguridad en una organización utilizando dos diferentes pero relacionados con puntos de vista: el modelo de negocio de Infosec representa los aspectos de seguridad de la empresa, mientras que el modelo de infraestructura de Infosec representa la disposición lógica de límites fuertes que hacen cumplir la separación. Cuando se combinan, conforman un modelo de arquitectura de Infosec.^[8] Este modelo constituye la base para la realización de una evaluación del riesgo sistemático y riguroso.

El modelo de negocio de Infosec define dominios de seguridad y las conexiones entre ellos. El modelo especifica los límites de la información puede ser procesada e intercambiado entre dominios de seguridad y que constituye el conjunto de requisitos de seguridad para el negocio. En particular, las conexiones que no son explícitamente modeladas no están permitidas y no deben ocurrir. Un dominio de seguridad se caracteriza por un conjunto de activos de información, que puede ser valioso para la organización, así como las personas que trabajan con la información y las aplicaciones y servicios que actúan en su nombre. Las conexiones entre los dominios se caracterizan por la naturaleza de la interacción que se requiere (como mensajes interpersonales, o acceso compartido a una base de datos) y los requisitos de la sensibilidad y la integridad del intercambio de información. El modelo también puede representar el tipo de entorno físico de la que puede accederse a un dominio.

El modelo de infraestructura de Infosec define las islas de infraestructura informática que se requieren para ser lógicamente independiente, para que no se puede intercambiar información entre ellos excepto en puntos identificables y manejables de conexión, denominados calzadas. Una isla se caracteriza por la fuerza de separación entre él y cualquier otras islas y por las personas que manejan su infraestructura informática.

Un modelo de arquitectura Infosec combina las vistas de negocios e infraestructura, demostrando que dominios de seguridad admiten que las islas de infraestructura. Donde hay conexiones entre los dominios de seguridad que se alojan en diferentes islas, las conexiones deben ser apoyadas por una calzada apropiada.

Método de evaluación de riesgo

El método DBSy utiliza un marco de riesgo racional para describir los riesgos a que están expuestos algunos activos de información. Tipos similares de activos se agrupan juntos como un foco de interés, y el proceso de evaluación de riesgo se aplica a cada foco de interés a su vez.

Los factores claves para determinar el riesgo de un foco de interés particular son:

negocio impacto de comprometer la confidencialidad, integridad o disponibilidad del foco de interés;

conjuntos de personas que desearan infligir daño (fuentes de amenaza) y su motivación para hacerlo;

grupos de personas con diferentes oportunidades para infligir daño (amenaza actores) y su capacidad para hacerlo, que también pueden ser fuentes de amenaza o podría ser influenciado por otros;

los medios por los cuales cada Actor amenaza podría causar daños (causas de compromiso);

las defensas en lugar (o planificado) para proteger el foco de interés.

Este marco de riesgo se aplica de manera sistemática a un modelo de arquitectura Infosec organización específica, que representan las características relevantes para la seguridad de negocios de una organización y sistemas. Mediante este proceso se puede describir un conjunto de rutas de compromiso sistemáticamente y puede evaluarse la efectividad relativa de diferentes medidas.^[9]

Comparación con otros métodos de riesgo IA

DBSy difiere de otros Administración de riesgos de ti métodos en su enfoque principal es sobre la gente, los impulsores del negocio de una organización y la forma en que funciona el negocio, en lugar de las medidas de seguridad técnica. El analista se requiere definir sistemáticamente los grupos de personas que representan una amenaza y las formas pueden causar daño, proporcionando un marco riguroso, orientados a los negocios para los conceptos de amenaza y vulnerabilidad. El objetivo es comprender y analizar los riesgos de seguridad de la información que enfrenta una organización, especialmente donde los riesgos parecen entrar en conflicto con las necesidades de eficiencia empresarial a través de la organización o en relaciones con clientes y socios comerciales.

Referencias

^ HMG IA estándar Nº 1 "Evaluación de riesgos técnicos", tema 3.51, octubre de 2009 https://www.CESG.gov.uk/Publications/Documents/is1_risk_assessment.pdf consultado el 15 de agosto de 2014
^ B. Pomeroy y S. Wiseman, "escritorios privados y compartido tienda," Proc. de 14 computadoras seguridad aplicaciones de conferencia, págs. 190-200, Phoenix, AZ, diciembre de 1998
^ Macdonald R, "Purple Penélope y UK MOD emergente de estrategia para la seguridad de la información", septiembre de 1997 https://www.Opengroup.org/Security/Meetings/sep97/Group.pdf Acceso 27 de mayo de 2014
^ Chiew Pheng Goh, "Un modelo de seguridad para una organización relacionada con la defensa" University of Wales, Aberystwyth 30 de noviembre de 2003 https://www.aber.AC.uk/~dcswww/Dept/Teaching/MSc_dissertations/2003/Goh_Chiew_Pheng.pdf Tenido acceso 26 de agosto de 2014
^ C Robinson, Hughes K, "Qué seguridad documentos para?-objetivos de los documentos de acreditación del Ministerio de defensa" presentado en conferencia del anual Sunningdale acreditador, 23-24 de septiembre de 2002
^ Hayat Z, Reeve J, Boutle C, Universidad de Southampton "Dominio basado en: mejorar las prácticas de seguridad", auspiciado por BAe Systems, 2005 https://www.HPL.HP.com/techreports/2005/HPL-2005-141.pdf Tenido acceso 26 de agosto de 2014
^ MONAHON B et al., "DBSy en un comercial servicios contexto" HP Laboratorios Bristol, HPL-2005-141, 04 de agosto de 2005 https://www.HPL.HP.com/techreports/2005/HPL-2005-141.pdf Tenido acceso 26 de agosto de 2014
^ D Ashenden Warrener K, "Entendimiento dependencias de riesgos en sistemas de información", actas del IV australiano guerra de la información y la Conferencia de seguridad de IT, Adelaide, ISBN 086803995, noviembre de 2003.
^ Hughes K, Wiseman S, "Análisis de riesgos de seguridad de la información: política de protección a través de implementación", actas de la IV Conferencia Europea sobre guerra de la información y seguridad, académico conferencias Ltd. ISBN 1-905305-02-8, Julio de 2005.

Otras Páginas

[1] HMG IA estándar Nº 1 "Evaluación de riesgos técnicos", tema 3.51, octubre de 2009 https://www.CESG.gov.uk/Publications/Documents/is1_risk_assessment.pdf consultado el 15 de agosto de 2014

[2] B. Pomeroy y S. Wiseman, "escritorios privados y compartido tienda," Proc. de 14 computadoras seguridad aplicaciones de conferencia, págs. 190-200, Phoenix, AZ, diciembre de 1998

[3] Macdonald R, "Purple Penélope y UK MOD emergente de estrategia para la seguridad de la información", septiembre de 1997 https://www.Opengroup.org/Security/Meetings/sep97/Group.pdf Acceso 27 de mayo de 2014

[4] Chiew Pheng Goh, "Un modelo de seguridad para una organización relacionada con la defensa" University of Wales, Aberystwyth 30 de noviembre de 2003 https://www.aber.AC.uk/~dcswww/Dept/Teaching/MSc_dissertations/2003/Goh_Chiew_Pheng.pdf Tenido acceso 26 de agosto de 2014

[5] C Robinson, Hughes K, "Qué seguridad documentos para?-objetivos de los documentos de acreditación del Ministerio de defensa" presentado en conferencia del anual Sunningdale acreditador, 23-24 de septiembre de 2002

[6] Hayat Z, Reeve J, Boutle C, Universidad de Southampton "Dominio basado en: mejorar las prácticas de seguridad", auspiciado por BAe Systems, 2005 https://www.HPL.HP.com/techreports/2005/HPL-2005-141.pdf Tenido acceso 26 de agosto de 2014

[7] MONAHON B et al., "DBSy en un comercial servicios contexto" HP Laboratorios Bristol, HPL-2005-141, 04 de agosto de 2005 https://www.HPL.HP.com/techreports/2005/HPL-2005-141.pdf Tenido acceso 26 de agosto de 2014

[8] D Ashenden Warrener K, "Entendimiento dependencias de riesgos en sistemas de información", actas del IV australiano guerra de la información y la Conferencia de seguridad de IT, Adelaide, ISBN 086803995, noviembre de 2003.

[9] Hughes K, Wiseman S, "Análisis de riesgos de seguridad de la información: política de protección a través de implementación", actas de la IV Conferencia Europea sobre guerra de la información y seguridad, académico conferencias Ltd. ISBN 1-905305-02-8, Julio de 2005.

﻿Dominio basado en seguridad

﻿Contenido

﻿Historia

﻿El modelo DBSy

﻿Método de evaluación de riesgo

﻿Comparación con otros métodos de riesgo IA

﻿Referencias