ГОСТ Р ИСО ТО 13569— 2007
машина хранит наиболее иенную информацию и деловой регламент, поэтому данная информация размещается в
центре многоуровневой сетевой архитектуры безопасности. Каждому пользователю присваивается соответству
ющий идентификатор с ограниченными функциональными возможностями. Административное управление уни
версальной вычислительной машиной осуществляется несколькими сотрудниками. Как и в случае с другими
системами, необходимо внимательно рассмотреть вариант разделения обязанностей как часть средств управ
ления безопасностью универсальной вычислительной машины.
D.1.4 Средства управлениядругими аппаратными системами
Аналогичные проблемы свойственны и другим аппаратным устройствам и системам, эти проблемы необхо
димо решить до развертывания производства в организации. Данные устройства могут быть специальными шиф
ровальными системами, новыми типами аппаратных средств, которым оказывают предпочтение многие постав
щики межсетевых экранов и систем обнаружения вторжения, или сетевыми аппаратными средствами, например
маршрутизаторами и коммутаторами. Во всех случаях продукцию необходимо оценить, чтобы иметь понятие о
лежащей в его основе операционной системе — операционная система должна быть защищена от слабых атак.
Кроме того, большое значение имеет расположение данных устройств по отношению к внутренним сетевым
соединениям, межсетевым экранам, системам поиска вирусов и обнаружения вторжения.
D.2 Программные средства
D.2.1 Веб-серверы
Веб-серверы являются очень распространенным и часто используемым приложением, главным образом
предназначенным для распределения веб-страниц для пользователей. Приложения могут варьироваться от
очень простых, представляющих только фиксированные страницы информации, до очень сложных, предоставля
ющих многостраничные документы с поддержкой сценариев, активных программных машинных команд и т. д.
Организации должны определить необходимую для них степень сложности и соответствующие связи между Ин
тернетом. веб-сервером (веб-серверами) и внутренними данными. Обычно финансовые учреждения настаивают на
трехзвенной архитектуре с межсетевыми экранами, обеспечивающими границу между Интернетом и веб
сервером и между веб-сервером и внутренними данными. Многозвенные архитектуры, разделяющие дополни
тельные уровни приложений или бизнес-логики, часто используются для обеспечения более жесткого управле ния
потоками данных.
Многие поставщики распространяют программные средства веб-серверов, и каждая версия этих программ
ных средств имеет собственную совокупность вопросов, установок и модернизаций, нуждающихся в управлении.
Часто поставщик или третья сторона предлагают в Интернете связанные с безопасностью установки. Эти установ
ки необходимо рассматривать и оценивать в соответствии с конкретными политиками, практическими приемами
и потребностями определенной организации.
D.2.2 Серверы приложений и веб-сервисы
Специализированные веб-серверы стали использоваться как серверы приложений — серверы, которые
могут прогонять функциональные части приложения как многократно используемые компоненты и задейство
ваться многими приложениями. Например, функция перемещения денежных средств между счетами может
работать как компонент на сервере приложений и использоваться как приложениями, предоставляющими кли
ентам банковские услуги в режиме реального времени, так и операторами центра обработки вызовов, действую
щими от имени клиента, обращающегося за банковскими услугами. Этим компонентам приложений были прида
ны интерфейсы, позволяющие осуществлять вызов компонентов через веб-сервисы. Эти веб-сервисы действуют
во многом аналогично более старым удаленным вызовам процедуры, но с сетевой особенностью, улучшенной
использованием расширяемого языка разметки XML, который может использоваться на любых устройствах,
даже на тех, которые не поддерживают традиционные веб-браузеры. Многие поставщики предоставляют
серве ры приложений, поддерживающие веб-сервисы. Более подробная информация о веб-сервисах и
безопасности веб-сервисов представлена в приложении В.
Как и в случае с веб-серверами, многие поставщики распространяют программные средства веб-сервисов
и сервера приложений, и каждая версия имеет собственный набор вопросов, установок и модернизаций, кото
рые нуждаются в управлении. Часто поставщик или третья сторона распространяют для использования связан
ные с безопасностью установки в Интернете. Эти установки должны быть рассмотрены и оценены относительно
конкретных политик, практических приемов и потребностей определенной организации.
D.2.3 Процесс разработки прикладных программ
Многие организации адаптируют программные средства к своим потребностям или создают специальные
приложения, используя инструменты для разработки, предоставляемые крупными и мелкими поставщиками.
Эти инструментальные средства разработки программного обеспечения редко приводят к внедрению информа
ционной безопасности. Поэтому необходимо, чтобы организации планировали включение информационной бе
зопасности в свой процесс разработки программных средств. Специалисты в области безопасности заявляют, что
информационная безопасность наиболее эффективна в том случае, если требования безопасности внедряются в
программное обеспечение во время разработки, а не тогда, когда программные модули безопасности защиты
добавляются к законченной системе.
До начала разработки программных средств разработчики должны быть проинформированы о политике
информационной безопасности организации, о том. как она связана с разработкой, и должны осознавать угрозы,
направленные против организации. Разработчики должны быть осведомлены также о программе обеспечения
55