ГОСТ Р ИСО/МЭК 27033-1—2011
1 — Определение значимости информации и услуг также известно как «оценивание ак
П р и м е ч а н и е
тивов».
2 — Термины, использующиеся е ИСО/МЭК 27001 и взаимосвязанных стандарта*, выде
П р и м е ч а н и е
лены курсивом.
П р и м е ч а н и е
3 — Подробную информацию об осуществлении оценки риска сетевой безопасности и
проводимых руководством проверок см. в ИСО/МЭК 27001. ИСО/МЭК 27002 и ИСО/МЭК 27005.
Необходимо подчеркнуть, что при проведении таких проверокследует использовать {где необходи
мо) информацию о риске (а также о мерах и средствах контроля и управления безопасностью), связан
ную с необходимыми сетевыми сценариями и вопросами сетевых «технологий» (см. разделы 10—11
и приложение А настоящего стандарта, а также ИСО/МЭК 27033-3 — ИСО/МЭК 27033-7.
8 Поддерживающие меры и средства контроля и управления
8.1 Введение
В настоящем разделе представлен общий обзор мер и средств контроля и управления, поддержи
вающихспециализированные архитектуры сетевой безопасности исвязанных с ними технических мер и
средств (технических и нетехнических) контроля и управления, т. е. других мер и средств контроля и
управления, применимых не только к сетям. Информацию о многих этих мерах и средствах контроля и
управления в ИСО/МЭК 27001. ИСО/МЭК 27002 и ИСО/МЭК 27005. Меры и средства контроля и управ
ления. являющиеся особенно важными по отношению к использованию сетей, подробно изложены в
8.2—8.9, где рассматриваются менеджмент сетевой безопасности (деятельность по менеджменту сете
вой безопасности, роли и обязанности, связанные с обеспечением сетевой безопасности, мониторинг
сети и оценка сетевой безопасности), управление техническими уязвимостями, идентификация и аутен
тификация, ведение контрольных журналов и мониторинг сети, а также обнаружение и предотвращение
вторжений, защита от вредоносной программы, криптографические услуги и управление непрерывнос
тьюдеятельности. а также представлены (где необходимо) ссылки на ИСО/МЭК 27001. ИСО/МЭК27002 и
ИСО/МЭК 27005.
8.2 Менеджмент сетевой безопасности
8.2.1 Вводная информация
Общий менеджмент сетевой безопасности должен быть безопасным, при этом необходимо уде
лять внимание различным доступным сетевым протоколам и связанным с ними сервисам безопасности.
В поддержку безопасности организация должна рассмотреть ряд мер и средств контроля и управления
сетевой безопасностью, большая часть которых может быть идентифицирована посредством примене
ния требований ИСО/МЭК 27002 и ИСО/МЭК 27005. Меры и средства контроля и управления, которые
требуют более подробного изложения в контексте сетевой безопасности, представлены в 8.2.2—8.2.5.
8.2.2 Деятельность по менеджменту сетевой безопасности
8.2.2.1 Введение
Ключевымтребованием, предъявляемым к любой сети, является поддержаниеее посредствомде
ятельности по менеджменту безопасности, которое инициирует и контролирует реализацию и функцио
нирование безопасности. Эта деятельность должна осуществляться для обеспечения безопасности
всех информационных систем организации/сообщества. Деятельность по менеджменту сетевой безо
пасности должна включать в себя:
- определение всех обязанностей, связанных с сетевой безопасностью, и назначение лица, ответ
ственного за обеспечение безопасности:
- документально оформленную политику сетевой безопасности вместе с документированной спе
циализированной архитектурой безопасности;
- документированные SecOPs;
- проверку соответствия требованиям безопасности, включая тестирование безопасности, для
обеспечения уверенности в том. что безопасность поддерживается на требуемом уровне;
- документированные условия обеспечения безопасности для сетевого соединения, которые дол
жны быть соблюдены, прежде чем будет получено при необходимости разрешение на соединение с со
трудниками организации или сторонними организациями или лицами;
-документированные условия обеспечения безопасностидля удаленныхсетевыхпользователей;
- план менеджмента инцидентов сетевой безопасности:
- документально оформленные и проверенные планы по обеспечению непрерывности деятель-
ности/восстановлению после прерывания.
20