ГОСТ Р ИСО/МЭК ТО 13335-5—2006
организациейи сетями общего пользования. Государственные и коммерческие организации ведутсвою
деятельность универсально. Поэтому организации зависят от всех видов связи — от использующих
автоматизированные системы информационного обслуживания до использующих «классические»
средства. Их потребности в сетях должны быть удовлетворены, при этом обеспечению безопасности
сетей придается все большее значение.
Рекомендации по идентификации ианализуфакторов, относящихся к обеспечению безопасности
средств связи, приведены в 7.2. Эти факторы следует принимать во внимание для того, чтобы устанав
ливатьтребования кбезопасности сетейи указыватьнапотенциальные контролируемые зоны. Эти про
цессы более подробно рассмотрены в последующих разделах.
7.2 Процесс идентификации
При рассмотрении сетевых соединений всем ответственным специалистам организации следует
четко представлять себе требования бизнеса и преимущества конкретных средств связи. Кроме того,
специалисты идругие пользователисоединенийдолжны бытьосведомлены орискахобеспечениябезо
пасности и соответствующих контролируемых зонах сетевых соединений. Требования бизнеса и преи
мущества в обеспечении безопасности оказывают влияние на многие решения и действия,
осуществляемые в процессе рассмотрения сетевых соединений, выявления контролируемых зон и
последующего выбора, проектирования, внедрения и поддержания безопасности с помощью защитных
мер. Следовательно, втечение всегопроцессаследуетпомнитьобэтих требованияхбизнесаиожидае
мых преимуществах. Для того, чтобы идентифицироватьзаданные требованиябезопасности, имеющие
отношение к сети, иконтролируемые зоны, необходимо решитьследующие задачи:
- анализобщихтребованийкобеспечению безопасностисетевыхсоединений, изложенныхв поли
тике безопасности ИТ организации (см. раздел 8);
- анализ сетевой структуры иее применения, который имеет отношение к сетевым соединениям,
чтобы иметь необходимую основудля выполнения последующихзадач (см. раздел 9);
- идентификация типа или типов рассматриваемого соединения сети (см. раздел 10);
- анализ характеристик предложенного объединения в сеть (используя при необходимости имею
щуюся информацию о применении структуры сети) и связанные с этим доверительные отношения
(см. раздел 11);
- определение видоврисковбезопасности, еслиэто возможно, спомощьюанализа рискови управ
ления результатами проведенногоанализа, включаяоценкиделовыхопераций иинформацию, которую
предполагается передаватьчерезсоединения, и любуюдругую информацию, потенциальнодоступную
для несанкционированногополучения через этисоединения (см. раздел 12);
- идентификация потенциально контролируемыхзон, которые могутбытьиспользованы наоснове
анализа типа(ов) соединения и характеристик организации сети и связанных с этим доверительных
отношений, а также видов установленных рисков безопасности (см. раздел 13);
- разработка документации и анализ вариантов структуры обеспечения безопасности (см. раз
дел 14);
- распределение задач по детальному выбору защитных мер. проектированию, реализации и их
обслуживанию, используя идентифицированные потенциально контролируемые зоны исогласованную
структуру обеспечения безопасности (см. раздел 15).
Общие рекомендации по идентификации защитных мер содержатся в ИСО/МЭК ТО 13335-4.
Настоящий стандарт дополняет ИСО/МЭК ТО 13335-4 и представляет процесс выбора подходя
щих контролируемых зон с точки зрения обеспечения безопасности, связанной с подключениями к
сетям связи.
Общийпроцессидентификацииианализафакторов, относящихся ксредствам связи, представлен
на рисунке 1.Факторы, относящиеся ксредствам связи, следует принимать во вниманиедля того, чтобы
устанавливатьтребования к обеспечению безопасности сети иуказывать на потенциальные контроли
руемые зоны. Каждый этап этого процесса подробно изложен в последующих разделах настоящего
стандарта.
На рисунке 1сплошными линиями представлен главный путь процесса. Пунктиром отмечены слу
чаи, когда виды рискаобеспечениябезопасности могутбытьустановлены на основерезультатовихана
лиза иуправления результатами этого анализа.
з