ГОСТ Р ИСО/МЭК ТО 13335-5—2006
Следует также заметить, что ряд защитных мер относится к соответствующим системам ИТ неза
висимо от того, имеют ли ИТ какие-либо сетевые соединения. Эти защитные меры следует выбирать,
используя ИСО/МЭК 13335-4. Необходимотакже отметить, что внастоящемстандарте сделанопредпо
ложение о том. что имеются базовые защитные меры, изложенные в ИСО/МЭК 13335-4 для систем той
организации, от которой исходят сетевые соединения.
Перечень потенциально контролируемыхзон необходимо тщательно проанализировать в контек
сте соответствующих структур сети и их применений. Затем перечень можно применять как основу для
последующего выбора мер защиты безопасности, их проектирования, реализации и технического
обслуживания (см. раздел 15).
13.2 Управление безопасностью услуг
13.2.1 Введение
Ключевоетребованиеобеспечения безопасностидля конкретной сети заключается в том. чтоосу
ществляютсядействия поуправлению безопасностью услуг, устанавливающие и контролирующие опе
рации по безопасности и реализацию безопасности. Такие действия следует проводить для
обеспечения безопасности всех ИТ организации. Деятельность управления сетевыми соединениями
включает в себя:
- распределение ответственности и полномочий, связанных с обеспечением безопасности сете
вых соединений, и назначение представителя руководства, несущего общую ответственность за их
безопасность;
- документалыюе оформлениезаявления о политикев областибезопасностисистем, а также всей
необходимойдокументации поструктуре1)технического обеспечения безопасности:
- разработкудокументированных процедур по обеспечению безопасности;
- проверкусоответствиябезопасностис целью убедитьсявтом. чтобезопасность поддерживается
на требуемом уровне;
- документированное получение подтвержденных условий обеспечения безопасностидля плани
руемого соединения, прежде чем будет получено разрешение на подключение к организации или сооб
ществу;
- документированное получение подтвержденных условий обеспечения безопасности пользова
телейуслуг, предоставляемыхсетью:
- разработкусхем действий в особой ситуации;
- документированное получение подтвержденных и проверенных планов непрерывности бизне-
са/восстановления после стихийного бедствия.
Следует заметить, что настоящий раздел строится на аспектах, изложенных в ИСО/МЭК 13335-4.
Только важные темы, касающиеся сетевых соединений, характеризуютсядалее в настоящем стандар
те. Темы, не затронутыедалее в настоящем стандарте, — в соответствии с ИСО/МЭК 13335-4.
13.2.2 Организационные процедуры обеспечения безопасности
Для поддержки политики обеспечения безопасности систем следует разработать и соблюдать
документацию по организационным процедурам обеспечения безопасности. В них следует подробно
изложить повседневныедействия, связанные с обеспечением безопасности, и назначитьлиц, ответст
венных за их проведение.
13.2.3 Проверка соответствия требованиям безопасности
Проверку соответствия требованиям безопасности в отношении сетевых соединений следует
проводить в соответствии с контрольным перечнем, составленным на основе защитных мер, опреде
ленных в:
- политике безопасностисистем;
- процедурах, имеющихотношение к безопасности;
- структуре техническогообеспечения безопасности;
- политикедоступа (безопасности) куслугам через межсетевой экран;
- плане(ах) обеспечения непрерывности бизнеса;
- условиях обеспечения безопасностидля соединений потребованию.
Проверку соответствия следует проводитьдо операционного включения любого сетевого соеди
нения. перед основным новым выпуском (имеющим отношение к значимому бизнесу или изменению в
сети) либо ежегодно.
" Следует представить и документировать проект структуры технического обеспечения безопасности (спе
цификацию защиты) как часть процесса технического проектирования структуры. Этот проект и технический проект
архитектуры должны быть согласованы друг с другом.
12