ГОСТ Р ИСО/МЭК ТО 13335-3—2007
Технические меры защиты предусматривают защиту аппаратных средств и программного обеспече
ния. а также систем связи. При этом выбор защитных мер проводят в соответствии с ихстепенью риска для
обеспечения функциональной пригодности и надежной системы безопасности. Функциональная пригод
ность системыдолжна включать в себя, например проведение идентификации и аутентификации пользова
теля. выполнениетребований логического контролядопуска, обеспечение ведения контрольного журнала
и регистрацию происходящих всистеме безопасности событий, обеспечение безопасности путем обратно
го вызова запрашивающего, определение подлинности сообщений, шифрование информации ит.д. Требо
вания к надежности систем безопасности определяют уровеньдоверия, необходимый при осуществлении
функций безопасности, и тем самым определяют виды проверок, тестирования безопасности и т. д., обес
печивающих подтверждение этого уровня. При принятии решения об использовании дополнительного на
бора организационных и технических защитных мер могут быть выбраны разные варианты выполнения
требований к обеспечению технической безопасности. Следует определить структуру технической
безопасности для каждого из данных вариантов, с помощью которой можно получить дополнительное
подтверждение правильности построения системы безопасности и возможности ее реализации на задан
ном технологическом уровне.
Организация может выбрать применение продукции и систем, прошедших оценку, в качестве одного
изспособов решения задачи окончательного построения системы безопасности. Продукцией и системой,
прошедшими оценку, считаются те. испытания которых проводились третьей стороной. Этойтретьей сторо
ной может бытьдругое подразделение той же организации или независимая организация, специализирую
щаяся на оценке продукции и/или систем. Испытания могут проводиться на соответствие набору заранее
установленных критериев оценки, которые формулируются, исходя из особенностей создаваемой систе
мы; в то же время может существовать обобщенный набор критериев оценки, соответствующих различным
ситуациям. Критерии оценки продукции могутопределятьтребования кфункциональности и/или надежнос
ти продукции и систем. Существует несколькосхем оценки качества продукции, многие из них формируют ся
по заказу правительственных служб и международных организаций по стандартизации. Организация
может принять решение об использовании продукции и/или систем, прошедших оценку, если ей требуется
уверенность втом. что продукция отвечает требованиям к функциональности, и необходимы гарантии точ
ности и полноты реализации элементов функциональности продукции и систем. В качестве альтернативы
использованию оцененной продукции проводят целевые практические испытания продукции на безопас
ность. положительные результаты которых могутдать уверенность в качестве и безопасности поставляе
мой продукции.
В процессе выбора защитных мер, предлагаемыхдля реализации, необходимо учитывать рядфакто
ров. таких как:
-доступность использования защитных мер;
- прозрачность защитных мер для пользователя;
- в какой мере использование защитных мер помогает пользователю решать свои задачи;
- относительная надежность (стойкость)системы безопасности;
- виды выполняемых функций — предупреждение, сдерживание, обнаружение, восстановление, ис
правление. мониторинг и обмен информацией.
Обычно защитные меры предназначены для выполнения только некоторых из числа перечисленных
выше функций (чем больше, тем лучше). При рассмотрении системы безопасности в целом или набора
используемых защитных мер следует установить (если возможно) необходимые пропорции между видами
функций, что позволит обеспечить большую эффективность и действенность системы обеспечения безо
пасности в целом. Может потребоваться проведение анализа рентабельности или анализа компромиссного
решения (метод сравнения возможных альтернативных вариантов с использованием набора критериев,
каждому из которых придается свое значение весового коэффициента в зависимости от егоотносительной
важности применительно копределенной ситуации).
9.4.2 Структура безопасности информационных технологий
Структура безопасности информационныхтехнологий отражает процесс обеспечения требований бе
зопасности для отдельной системы информационных технологий какчасти общей структуры системы. По
этому так важно рассмотрение структуры обеспечения безопасности информационных технологий в про
цессе выбора защитных мер.
Структура безопасности информационныхтехнологий может использоваться при разработке новых
систем, а также при внесении существенных изменений в существующие системы. Данная структура ос
новывается на результатаханализа риска или базового подхода,должна учитывать требования кобеспече-
6—1773
19