ГОСТ Р ИСО/МЭК ТО 13335-5—2006
Эти обращениябудутиспользованы в разделе 12 настоящегостандартадляподтверждения видов
риска безопасности иопределения потенциальных контролируемых зон.
Эти задачи можно решить (при необходимости) с помощью информации, имеющейся в сетевых
структурах и их применении (см. раздел9).
12 Определение видов риска безопасности
Работабольшинства организацийвнастоящеевремязависитотиспользованиясистем ИТ исетей,
поддерживающихихделовые операции. Более того, вомногихслучаяхсуществуетконкретное требова
ние бизнеса поиспользованию сетевыхсоединений междусистемами ИТ вместерасположения каждой
организации и других местах внутри и за пределами организации. При подсоединении к другой сети
большое вниманиеследуетуделятьзащитесоединяющейорганизации от возникновениядополнитель
ныхрисков. Возникновение рисков возможнов результате, например, собственногосоединения органи
зации или соединений надругом конце сети.
В то время как сетевые соединения являются важными поделовым соображениям, необходимо
признать, что их использование может вносить дополнительные риски безопасности, некоторые из
которых, возможно, связаны с необходимостью строгого соблюдения соответствующих законов и
постановлений. Виды рисков, указанные в настоящем разделе,отражаютозабоченности, связанные с
обеспечением безопасности. К ним относят несанкционированный доступ к информации, передачи
без разрешения, внедрение злонамеренного кода, отказ подтверждения источника и подключения к
услугам. Таким образом, виды риска безопасности, с которыми может встретиться организация, ка
саются:
- конфиденциальности информации;
- целостности информации;
- доступности информации и услуг;
- отказа от подтверждения обязательств;
- подотчетности транзакций;
- достоверности информации;
- надежности информации.
Не все виды риска безопасности применимы клюбому помещению или любойорганизации. Одна
ко соответствующие виды риска безопасности необходимо выявлять для определения потенциальных
контролируемых зон (и. в конечном итоге, для выбора, проектирования, реализации и поддержания
защитных мер).
Следуетсобиратьи анализировать информацию по импликациям (вовлечению) в деловые опера
ции. имеющие отношение к указанным выше видам риска безопасности (желательно по результатам
анализа рисков и управления результатами проведенного анализа). При этом рассмотрению подлежат
конфиденциальность или важность информации (возможное вредное влияние на бизнес) и соответст
вующие потенциальные угрозы и уязвимости. В случае более значимого вредного влияния наделовые
операции организации следует обратиться к матрице видов риска, представленной в таблице 5.
Необходимо обратить внимание на то. что при завершении этой задачи следует использовать
результаты анализа риска безопасности и управление результатами этого анализа, проведенного в
отношении соединения(й) сети. Эти результаты позволят определить уровень детализации анализа
проведенного управления исосредоточить внимание на потенциально вредном влиянии, оказываемом
набизнесв связи с перечисленными выше видами риска, а такжестипамиугроз, уязвимостями и. следо
вательно. рисками длядеятельности организации.
Ссылки на доверительные отношения по разделу 11 указывают в подзаголовках к таблице 5. а
причиняемые воздействия — в левойчасти таблицы.
В точках пересечения указываютссылки на потенциальные контролируемые зоны, которыедалее
рассматриваются в разделе 13.
Следуетзаметить, что в таблице 5 показано, какс увеличениемдоверия пользователя увеличива
ется необходимость в защитных мерах. Для этого существуютдве причины.
Первая — имеется ряд защитных мер. описание которых приведено в ИСО/МЭК 13335-4 (и поэто
му здесьне повторяется). Эти меры следует выбиратьдля обеспечения безопасности ведущихсредств
9