ГОСТ Р ИСО ТО 13569 —2007
Приложение D
(справочное)
Технологические средства управления
D.1 Аппаратные средства
D.1.1 Средства управления конечной системой
Большинство организаций сегодня использует определенные комбинации настольных и переносных ПК в
качестве основных ориентированных на пользователей систем. В этих конечных системах используются различ
ные операционные системы, хотя их преобладающее большинство предоставляется одним поставщиком. Кроме
того, данные ПК дополняются или в некоторых случаях заменяются небольшими персональными информацион
ными устройствами (ПИУ). Сотовые телефоны также становятся более мощными и могут иногда использоваться
как конечные системы. Специалисты в сфере анализа и обработки информации, работающие с документами,
презентациями, электронными таблицами и аналогичной информацией, часто используют решения, принятые на
базе ПК. Другие пользователи организации частот используют Интернет технологию для приложений, таким
образом предоставляя доступ к ПИУ и к сотовым телефонам.
В случае с любой конечной системой прежде всего необходимо разобраться с проблемами безопасности в
операционной системе. Неиспользуемые и ненужные подсистемы, например функции базы данных и операци
онной системы, должны быть отключены и удалены. Другие функции должны быть ограничены до минимума,
необходимого для нормальной работы пользователя. Кроме того, организация должна иметь определенный
механизм использования патчей для систем и распространения обновлений по мере их поступления от постав
щиков. как для операционной системы, так и для любых приложений, работающих на конечных системах.
Помимо операционной системы организация должна рассмотреть роль конечных систем и принять реше
ние о необходимости дополнительных средств, таких, как антивирусные программы, обнаружение и предупреж
дение вторжения, межсетевые экраны и виртуальная частная сеть для пользователей организации. Во
многих случаях внешние системы безопасности данной организации (определенные в 11.5) обеспечивают
свойства, подобные антивирусным программам, межсетевым экранам, обнаружению и предупреждению
вторжения. Од нако при наличии мобильных систем и с ростом бизнес-партнерства и аутсорсинга для
традиционной многоуров невой защиты имеет смысл дублировать эти свойства в мобильных системах и.
потенциально, в ПИУ и настольных ПК. Например, мобильный ПК пользователя, подсоединенный к
широкополосной связи из дома и использующий виртуальную частную сеть организации, становится каналом
атаки и временным устройством периметра, требую щим такой же защиты, как и другие устройства периметра.
D.1.2Средства управления системами сервера
Подобно конечным системам системы сервера нуждаются в применении как внутренних, так и внешних
средств управления на уровне операционной системы. Серверы часто нуждаются в функциональных возможно
стях и подсистемах, которые не требуются для конечных систем. Поскольку на сервере гложет использоваться
база данных, веб-сервер, FTP-сервис, эти серверы имеют более значительный потенциал уязвимости. Для этих
серверов требуется предоставление доступа к другим устройствам, которые не всегда заслуживают доверия.
Кроме того, по мере выпуска новых патчей и версий для них. как и для конечных систем, необходимо предусмот
реть условия тестирования, обновления и менеджмента систем. Примером является тестирование нового патча в
непроизводственной среде перед его установкой на производственных системах.
Что касается внутреннего средства управления, сервер всегда должен использовать средства управления
операционной системы, ограничивающие функции и доступ к критически важным своим частям. Это означает,
например, что сервер, используемый для поддержки веб-страниц, не обязательно должен задействовать сервис
FTP или открытые порты для общих запросов базы данных. Аналогично сервер FTP не должен быть открыт для
портов и протоколов HTTP.
Помимо операционной системы определенное внимание необходимо уделить антивирусным програм
мам. обнаружению вторжения и межсетевым экранам сервера и вокруг него. Эта защита может быть осуществле
на в виде размещения сервера в безопасной зоне за межсетевым экраном и использования системы обнаруже
ния вторжения на базе сетевого устройства или все три сервиса безопасности могут быть использованы на самом
хосте сервера. Заинтересованность в вопросах безопасности организации и сетей служит побудительным
моти вом к оценке и определению уместности тех или иных средств контроля для конкретных серверных
систем.
D.1.3 Средствауправления универсальными вычислительными машинами
Универсальные вычислительные машины для обработки больших объемов данных создаются лишь не
многими производителями. В результате универсальные вычислительные машины рассматриваются как более
надежные и более мощные, чем другие системы обработки ИТ. Тем не менее менеджмент универсальных вычис
лительных машин должен осуществляться посредством таких же принципов обеспечения безопасности, что и
для других систем. Основная операционная система должна быть защищена, и для этого необходимо рассмот
реть дополнительные меры за пределами операционной системы. Обычно универсальная вычислительная
54