ГОСТ Р ИСО/ТС 22600-1-2009; Страница 10

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 12.1.009-2009 Система стандартов безопасности труда. Электробезопасность. Термины и определения Occupational safety standards system. Electrical safety. Terms and definitions (Настоящий стандарт устанавливает термины и определения основных понятий в области электробезопасности применяемые в науке, технике и производстве. Термины, установленные настоящим стандартом, обязательны для применения в документации всех видов, учебниках, учебных пособиях, научно-технической и справочной литературе) ГОСТ Р ЕН 13274-8-2009 Система стандартов безопасности труда. Средства индивидуальной защиты органов дыхания. Методы испытаний. Часть 8. Определение устойчивости к запылению доломитовой пылью Occupational safety standards system. Respiratory protective devices. Test methods. Part 8. Determination of dolomite dust clogging (Настоящий стандарт устанавливает метод испытания СИЗОД на устойчивость к запылению с использованием порошка доломита DRB 4/15) ГОСТ Р ЕН 13274-7-2009 Система стандартов безопасности труда. Средства индивидуальной защиты органов дыхания. Методы испытаний. Часть 7. Определение проницаемости противоаэрозольного фильтра Occupational safety standards system. Respiratory protective devices. Methods of test. Part 7. Determination of particle filter penetration (Настоящий стандарт устанавливает метод испытания противоаэрозольного фильтра по показателю проницаемости)

Страница 10

Страница 1

Untitled document

ГОСТ Р ИСО/ТС 22600-1—2009

Для описания политик могут использоваться такие средства, как шаблоны или формальные моде

ли политик. Модель политики описана в подразделе 4.4 ИСО/ТС 22600-2. Что касается требований по

безопасности, то особый интерес представляет политика информационной безопасности. Политика

информационной безопасности рассматривается в подразделе4.1 ИСО/ТС 22600-2.

Политика, рассматриваемаяв настоящем стандарте, касается инфраструктуры контролядоступа.

Онаопределяеттребованияи условиянадежногообменаинформацией, создания, хранения, обработки

и использования важной информации, включает юридические и этические последствия, организацион

ные ифункциональные аспекты, а также технические решения.

При межзональном взаимодействии необходимо определитьобщий набор политик, применяемых

ко всем взаимодействующим зонам. Данный набор должен быть определен на основе анализа реле

вантных политик, специфичныхдля каждой из взаимодействующих зон. Такие общие политики выраба

тываются (согласуются) в процессе, называемом «наведением мостов». Уже согласованные политики

должны бытьдокументированы иподписанывсемиуполномоченнымилицами, отвечающимиза обеспе

чение безопасности в своих зонах. В идеале весь этот процессдолжен проводиться с использованием

представлений и согласований в электронной форме, чтобы обеспечить взаимодействие в реальном

времени в рамках (заранее согласованной)соответствующей ирегламентированной структуры. Согла

сование и верификация политик в этом случае будут иметь место при каждом взаимодействии служб

обеспечениябезопасности.

Соглашение о политике представлено в разделе 6 и формально промоделировано с использова

нием структурных схем и шаблонов в части 2 ИСО/ТС 22600. Процесс выработки соглашения по инфор

мационному обмену должен предшествовать процессу реального обмена информацией. Ниже описан

сценарий процесса выработки соглашения, которое будет служить основой для процесса реального

обмена информацией, описанного в 3.2.7.

3.2.3.2 Процесс выработки соглашения

Процесс выработки соглашения начинается с формирования группы должностных лиц. хорошо

осведомленных о системах, участвующих в процессе обмена информацией, иуполномоченных прини

мать решения о том, какой информацией можно обмениваться и какого уровня защиты она требует.

После принятия решения о том, какой информацией можно обмениваться, надо провести анализ

уровня защиты в обоих системах иопределить уровень, удовлетворяющий обе стороны. Для этогонадо

составитьсписоквсехтребований с обеихсторон и для ихоценкисоставитьформу, подобнуюприведен

ной в приложенииА.

На следующем этапе процесса выработки соглашения стороны сравнивают свои системы по кри

териям оценки, заполняя оценочную форму. Вдальнейшем эти формысоставятосновудля соглашения

сторон об обмене информацией. В каждом случае, когда выявлено несоответствие одной из систем

согласованному уровню защиты, этот факт должен быть отмечен в соглашении вместе с описанием

необходимых действий. Например, одна из сторон решает, что обмен информацией может быть начат

только послеустраненияданного несоответствияили обмен информацией может бытьначат, ноданное

несоответствиедолжно бытьустранено в указанные сроки.

Участвующие стороны должны также определить и зафиксировать в соглашении сервисы и уро

вень сервисов репозитория политик. Одним из примеров может служить взаимное отображение ролей,

используемых вдвух зонах, если они не согласованы.

В соглашении должны быть указаны средства обеспечения управления и функционирования

общего каталога и сервисы репозитория политик.

3.2.4 Роли

Право назначенияролей, полномочий исвидетельств, атакжепринятияокончательного решенияо

доступе к ресурсудолжно быть закреплено за конкретным принципалом. Следовательно, идентифика

ция иаутентификация принципаловявляются базовыми сервисамидля авторизации, контролядоступа

идругих сервисов обеспечения безопасности приложений.

Назначение ролей можетсущественноварьироватьсяв разныхучрежденияхздравоохранениякак

постепенидетализации, так и поиерархической организации. Это создаеттрудностидля функциональ

ной совместимости, которыедолжны быть преодолены при согласовании политик.

Обобщеннаяконцепция ролей описана в 4.4 ив приложенииА ИСО/ТС 22600-2, а также будет рас

смотрена в разрабатываемом стандарте ИСО/ТС 21298.

3.2.5 Репозиторий политик

Репозиторий политиксодержит набор правил контролядоступа инабор ролей, к которым они при

меняются. Для обеспечения межзонального контроля доступа эти правила и механизм отображения

ролей следуетхранить в общем репозитории политик.