ГОСТ Р ИСО ТО 13569-2007; Страница 30

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52992-2008 Колбасы полукопченые для детского питания. Технические условия Semi-smoked sausages for children's nutrition. Specifications (Настоящий стандарт распространяется на полукопченые колбасы, предназначенные для питания детей старше шести лет) ГОСТ Р 52958-2008 Шкурки меховые и овчины выделанные. Правила приемки, методы отбора образцов и подготовка их для контроля Dressed fur and sheеpskins. Rules of acceptance, methods of sampling and their preparation for control (Настоящий стандарт распространяется на выделанные меховые шкурки, овчины и меховые изделия и устанавливает правила приемки, методы отбора образцов для механических и физико-химических испытаний и подготовку их для контроля) ГОСТ Р ИСО 13397-4-2008 Стоматологические кюретки, инструменты для снятия зубных отложений и экскаваторы. Часть 4. Стоматологические экскаваторы – дисковидный тип. Конструкция и размеры. Методы испытаний Dental curettes, scalers and excavators. Part 4. Dental excavators - discoid type. Construction and sizes. Test methods (Настоящий стандарт устанавливает размеры для стоматологических экскаваторов с дисковидными рабочими частями)

Страница 30

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569 —2007

каждого из нескольких главных типов ресурсов, а также некоторые меры управления, которые могут ис

пользоватьсядля предотвращения угроз этим ресурсам (см. приложение D. раздел D.1). Каждое обсужде

ние должно происходить по одной схеме и рассматривать ключевые вопросы, включающие в себя изуче

ние следующих аспектов:

- почему та или иная система является важной;

- какие зоны безопасности могут быть наиболее важными;

- какие меры управления должны быть рассмотрены.

Одной из проблем, которой не уделяется должного внимания и которую организации иногда вообще

иторируют, является проблема производителей (поставщиков) аппаратных систем. Обычно принимается

на веру, что производители (поставщики) оборудования действуют по поручению финансового учреждения и

достаточно осведомлены о целях и политике безопасности. Однако есть вероятность, что аппаратные

средства, поставляемые производителем или торговым посредником, могут быть сконфигурированы на

предоставление несанкционированного доступа к информации или сетевым соединениям. Произвольное

приобретение и случайное распределение аппаратныхсредств в сети могут содействовать защитеот этого

вида преднамеренной или непреднамеренной угрозы безопасности. Для применения аппаратных средств,

требующих высокой степени безопасности, возможно следует рассмотреть меры управления, укрепляю

щие доверие между организацией и поставщиком.

Проведение оценки аппаратных средств всоответствии с FIPS 140-2” (26)считается необходимым,

в особенности в отношении криптографических устройств. Для других устройств при выборе и использова

нии прибора следует полагаться на оценки по соответствующим общепринятым критериям или специализи

рованным профилям защиты.

10.3 Безопасность систем программного обеспечения

Посколькусовременные финансовые учреждения полагаются на автоматизацию при обработке прак

тически всех своих бизнес-операций, в основу программы обеспечения информационной безопасности

должно быть положено обеспечение безопасности совокупности программ на носителях данных и про

граммныхдокументов. предназначенныхдля отладки, функционирования и проверки работоспособности

автоматизированных систем (далее — программное обеспечение (ПО)). Обеспечение безопасности систем

ПО затруднено вследствие его сложности, множества его взаимодействий и разнообразных способов дос

тупа к различным программам. Многие программы, подобные межсетевым экранам, веб-серверам и серве

рам приложений, предназначеныдля работы на многих аппаратных платформах. Безопасностьсистем ПО

на высоком уровне рассматривается в приложении А. раздел А.2. Кроме того, существует большое число

работ, в которых подробно обсуждается вопрособеспечения безопасности программ различных типов.

10.4 Моры защиты сотой и сетевых систем

Хотя часто считается наиболее критичным вычислительный комплекс организации, включающий в

себя конечные системы и различные виды серверов, большая часть трафика между системами проходит

черезсеть, которая не шифруется и не защищается. Значительная часть Интернета и специализированные

линии многих компаний используютодинаковые открытые протоколы, системы маршрутизации и в

некото рых случаях используютодни и те же сетевые устройства и коммутаторы с трафиком других

компаний.

Сетевой трафик уязвим к внешним атакам, связанным с изменением маршрутизации, копированием и

сетевым «анализатором пакетов»2*,которые легко могут пройти полностью необнаруженнымисетью и сис

темами, использующими сеть и системы. Хотя шифрование часто рассматривается в качестве основного

решения проблемы обеспечения безопасности, шифрование сетевого уровня может быть слишкомдорого

стоящим с точки зрения эксплуатации, пропускной способности и создания задержки информации для

многих организаций. Даже в случае использования протоколов SSL, IPSEC и других протоколов безопас

ности связи, они необязательно являются первым этапом обеспечения защиты сетевой безопасности. Для

управления безопасностью сети следует обратить внимание на требования, изложенные встандартах се

рии ИСО/МЭК16028.

Первым этапом защиты часто является заключение соглашения между организацией и провайдером

телекоммуникационных услуг с учетом доверия к этим провайдерам. Поэтому использование известных

провайдеров телекоммуникационных услугс четкими соглашениями об уровнесервиса и соблюдение поло-

” FIPS 140-2 развивается как международный стандарт ИСО/МЭК 19790 [35].

2* «Анализатор пакетов» является программой, анализирующей информационные пакеты во время их

перемещения по сети и осуществляющей поиск информации, которая может использоваться для совершения

атаки, например, на содержание сообщений электронной почты, имена и пароли пользователей или сетевые

адреса.