ГОСТ Р ИСО ТО 13569—2007
Значимые процессы и технологии, обычно используемые или учитываемые для ослабления риска,
приведены в9.2—9.7. Данные процессы и технологии могут использоваться во время процесса разработ ки,
после оценки слишком высокого риска или идентификации новой уязвимости. Управляющие делами
должны помнить о преимуществахдокументирования встраиваемой системы безопасности вместо попы
ток произвольного исправления имеющихся нарушений безопасности системы.
Использование данных технологий может обеспечить непосредственное управление рисками, кото
рое организация берет на себя. Организациядолжна оценить, как запланированные и существующие меры
управления снижают риски, идентифицированные при анализе риска, определить дополнительные меры
защиты, которые имеются или могут быть разработаны, спроектироватьархитектуру информационной безо
пасности и определить ограничения различныхтипов. Затем необходимо выбрать адекватные и обоснован
ные меры управлениядля снижения оцененных рисков до приемлемого уровня остаточного риска. Допол
нительные подробности, касающиеся выбора мер управления, см. в [2]. [5}. [20], [21].
9.2 Идентификация и анализ ограничений
На выбор мер управления могут оказать влияние многие ограничения. Эти ограничения следует при
нимать в расчет при составлении рекомендаций и во время внедрения. Ограничения и соображения приве
дены в таблице 1.
Т а б л и ц а 1— Характеристики ограничений и соображений
Ограничения
Примечание
Временные
Меры управления должны быть внедрены за период времени, приемлемый
для руководства, в течение срока службы системы идолжны оставаться эффек
тивными, насколько руководство считает необходимым
Финансовые
Внедрение мер управления не должно быть дороже, чем ценность активов,
которые они предназначены защищать
Технические
Меры управления должны быть технически осуществимыми и совместимы
ми с системой
Социологические
Меры управления могут быть специфическими для страны, отрасли, органи
зации или даже отдела организации для обеспечения доступности для персо
нала
Связанные с окружающей
средой
Выбранные меры управления должны быть приспособлены к территории,
климатическим и природным условиям и расположению населенного пункта
Нормативные
Меры управления должны соответствовать нормативным правовым требо
ваниям. например, защите персональных данных или не специфичным для ИТ
нормам из уголовного кодекса, правилам из инструкций по пожарной безопас
ности. трудового кодекса ит.д.
9.3 Логический контроль доступа
9.3.1 Общие положения
Логический контрольдоступа относится к техническим методам и мерам управления, используемым
всистемахи приложенияхдля ограничениядоступа кинформации всоответствии с практическими приема
ми организации. В основном пользователям должен предоставляться минимальный доступ, необходимый
для выполнения их рабочих функций, но часто ограниченность системы, конструктивные или другие огра
ничения могут приводить к тому, что пользователи имеют дополнительный доступ. Тем не менее пользова
телю необходима регистрация доступа к системе, то есть фиксация того, кому предоставляется право
доступа, какие сотрудники имеют доступ, когда он осуществлялся. Наиболее важной функцией является
необходимость соблюдения определенных ограничений доступа. Меры управления для осуществления
эффективного контроля доступа приведены ниже.
9.3.2 Идентификация пользователя
У многих пользователейдолжна быть причина для получениядоступа к информации и информацион
ным системам финансового учреждения. Такими пользователями являются служащие, клиенты, систем
ные администраторы и управляющие. В большинстве случаев необходимо с некоторой степенью опреде
ленности знать, какая категория пользователей пытается получить доступ копределенному приложению.
Очень часто необходимо знать нетолько категорию, но такжеличность того, кто пытается получитьдоступ.
20