ГОСТ Р ИСО/МЭК 13335-1 — 2006
Обязательства руководства организации в отношении задач безопасности включают в себя:
- понимание общих потребностей организации:
- понимание потребности в безопасности ИТТ в рамкахорганизации:
- демонстрацию обязательств в отношении безопасности ИТТ:
- необходимость обращения к потребностям безопасности ИТТ:
- необходимость выделения ресурсовдля безопасности ИТТ.
- осведомленность на самом высоком уровне о том. что является средствами безопасности ИТТ и в
чем она заключается (возможности, ограничения).
Следует пропагандировать цели безопасности во всей организации. Каждый сотрудник, работающий
на постоянной основе или по контракту, должен знать о своих обязанностях, ответственности, о вкладе в
безопасность ИТТ и ему должны быть предоставлены полномочия для ихдостижения.
5.2.2 Последовательный подход
Необходим последовательный подход ко всей деятельности по планированию, реализации и управ
лению безопасностью ИТТ. Безопасностьдолжна бытьобеспечена на протяжении всего жизненного цикла
информации и ИТТ — от планированиядо приобретения, тестирования и эксплуатации.
Организационная структура, показанная на рисунке 4. может содействовать гармонизированному
подходу к безопасности ИТТ во всей организации. Структура должна быть основана на требованиях и
положениях международных, национальных, региональных, отраслевых стандартов и правил, и стандар
тов организации, применяемых в соответствии с потребностями ИТТорганизации. Технические нормы дол
жны дополняться правилами и рекомендациями по их реализации и использованию.
Использование стандартовобеспечивает:
- интегрированнуюбезопасность,
- функциональную совместимость:
- согласованность:
- мобильность;
- экономию средств:
- межсетевое взаимодействие.
5.2.3 Интегрирование безопасности информационно-телекоммуникационных технологий
Деятельность по безопасности более эффективна, если в рамкахорганизации она осуществляется
единообразно и с начала жизненного цикла системы ИТТ. Процесс безопасности ИТТ сам по себе является
последовательностью множества периодических действий и должен интегрироваться во все фазы жиз
ненного цикла системы ИТТ. Несмотря на то. что безопасность наиболее эффективна в случае интеграции в
новую систему с самого начала, интеграция безопасности окажет положительное воздействие на уже
работающие системы и бизнес-деятельность на любом этапе.
Жизненный цикл системы ИТТ может быть разделен на четыре основные фазы. Кахщзя из этих фаз
связана с безопасностью ИТТ следующим образом:
- планирование — потребности безопасности ИТТдолжны бытьучтены при планировании и впроцес
се принятия решений:
- приобретение — требования безопасности ИТТдолжны быть включены в процессы конструирова
ния, разработки, закупки, модернизации систем ИТТ. Интеграция требований безопасности в указанную
деятельность гарантирует, что рентабельные средства и меры, относящиеся к сфере безопасности,
будут своевременно реализованы вданной системе:
- тестирование — тестирование системы ИТТ должно включать в себя тестирование компонентов,
свойств и обслуживания безопасности ИТТ. Новые или измененные компоненты безопасности должны
тестироваться отдельнос тем, чтобы подтвердить, что они функционируютдолжным образом, а далее, в
операционном окружении, — для подтверждения того, что их интеграция в систему ИТТ не нарушитхарак
теристик качества или свойств безопасности. В течение всех стадий жизненного цикла системы должно
быть запланировано ее периодическое тестирование;
- эксплуатация — безопасность ИТТ должна быть интегрирована в операционную среду. Поскольку
систему ИТТ используютдля выполнения определенных функций, она должна поддерживаться в рабочем
состоянии и. как правило, подвергаться серии модернизаций, включающих в себя закупку новых компо
нентов технических средств, а также модификации илидополнению программного обеспечения. К тому же
она подвержена частым изменениям операционной среды. Эти изменения могут создатьновые уязвимости
системы, которыедолжны быть проанализированы и оценены и либо снижены, либо приняты. Столь же
важны безопасная замена или лереподчинение систем.
16