ГОСТ Р ИСО ТО 13569—2007
каждого из нескольких главных типов ресурсов, а также некоторые меры управления, которые могут ис
пользоватьсядля предотвращения угроз этим ресурсам (см. приложение D. раздел D.1). Каждое обсужде
ние должно происходить по одной схеме и рассматривать ключевые вопросы, включающие в себя изуче
ние следующих аспектов:
- почему та или иная система является важной;
- какие зоны безопасности могут быть наиболее важными;
- какие меры управлениядолжны быть рассмотрены.
Одной из проблем, которой не уделяется должного внимания и которую организации иногда вообще
игнорируют, является проблема производителей (поставщиков)аппаратных систем. Обычно принимается
на веру, что производители (поставщики) оборудования действуют по поручению финансового учреждения и
достаточно осведомлены о целях и политике безопасности. Однако есть вероятность, что аппаратные
средства, поставляемые производителем или торговым посредником, могут быть сконфигурированы на
предоставление несанкционированного доступа к информации или сетевым соединениям. Произвольное
приобретение и случайное распределение аппаратныхсредств в сети могут содействовать защите от этого
вида преднамеренной или непреднамеренной угрозы безопасности. Для применения аппаратныхсредств,
требующих высокой степени безопасности, возможно следует рассмотреть меры управления, укрепляю
щие доверие между организацией и поставщиком.
Проведение оценки аппаратных средств всоответствии с FIPS 140-2" (26) считается необходимым,
в особенности в отношении криптографических устройств. Для других устройств при выборе и использова
нии прибора следует полагаться на оценки по соответствующим общепринятым критериям или специализи
рованным профилям защиты.
10.3 Безопасность систем программного обеспечения
Посколькусовременные финансовыеучреждения полагаются на автоматизацию при обработке прак
тически всех своих бизнес-операций, в основу программы обеспечения информационной безопасности
должно быть положено обеспечение безопасности совокупности программ на носителях данных и про
граммныхдокументов. предназначенныхдля отладки, функционирования и проверки работоспособности
автоматизированныхсистем [далее — программноеобеспечение (ПО)). Обеспечение безопасности систем
ПО затруднено вследствие его сложности, множества его взаимодействий и разнообразных способов дос
тупа к различным программам. Многие программы, подобные межсетевым экранам, веб-серверам и серве
рам приложений, предназначеныдля работы на многих аппаратных платформах. Безопасностьсистем ПО
на высоком уровне рассматривается в приложении А. раздел А.2. Кроме того, существует большое число
работ, в которых подробно обсуждается вопрособеспечения безопасности программ различных типов.
10.4 Моры защиты сетей и сетевых систем
Хотя часто считается наиболее критичным вычислительный комплекс организации, включающий в
себя конечные системы и различные виды серверов, большая часть трафика между системами проходит
черезсеть, которая не шифруется и не защищается. Значительная часть Интернета и специализированные
линии многих компаний используют одинаковые открытые протоколы, системы маршрутизации и в
некото рых случаях используют одни и те же сетевые устройства и коммутаторы с трафиком других
компаний.
Сетевой трафик уязвим к внешним атакам, связанным с изменением маршрутизации, копированием и
сетевым «анализатором пакетов»2’, которые легко могут пройти полностью необнаруженными сетью и сис
темами. использующими сеть и системы. Хотя шифрование часто рассматривается в качестве основного
решения проблемы обеспечения безопасности, шифрование сетевого уровня может быть слишкомдорого
стоящим с точки зрения эксплуатации, пропускной способности и создания задержки информации для
многих организаций. Даже в случае использования протоколов SSL, IPSEC и других протоколов безопас
ности связи, они необязательно являются первым этапом обеспечения защиты сетевой безопасности. Для
управления безопасностью сети следует обратить внимание на требования, изложенные встандартах се
рии ИСОУМЭК18028.
Первым этапом защиты часто является заключение соглашения между организацией и провайдером
телекоммуникационных услуг с учетом доверия к этим провайдерам. Поэтому использование известных
провайдеров телекоммуникационных услугс четкими соглашениями об уровнесервиса и соблюдение поло-
’’ FIPS 140-2 развивается как международный стандарт ИСО/МЭК 19790 [35].
2| «Анализатор пакетов» является программой, анализирующей информационные пакеты во время их
перемещения по сети и осуществляющей поиск информации, которая может использоваться для совершения
атаки, например, на содержание сообщений электронной почты, имена и пароли пользователей или сетевые
адреса.
24