ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
Окончание таблицы А.4
2.2 Практическое
руководство
Проверить, регулярно ли тестируется план тестирования и
проверки, чтобы обеспечить уверенность в эффективности
процедур восстановления и возможности их выполнения в те
чение времени, выделенного в операционных процедурах для
восстановления
Предполагае
мые свидетель
ства
- Записи тестирования восстановления
- План тестирования и проверки
Метод
ИзучениеУПроверка
Таблица А.5
А.5 Техническая проверка мер и средств контроля и управления для обеспечения безопас-
ности сетевых услуг
Мера и средст
во контроля и
управления
ИСО/МЭК 27002 10.6.2. Безопасность сетевых услуг
Средства обеспечения безопасности, уровни услуг и требования в отношении
менеджмента всех сетевых услуг должны быть определены и включены в любой
договор по сетевым услугам, вне зависимости от того, будут ли они обеспечи
ваться силами организации или в рамках договоров аутсорсинга
Дополнитель
ная техниче
ская информа
ция
Сетевая услуга - это услуга, предоставляемая в сетевой вычислительной среде
либо внутри организации, либо с использованием аутсорсинга. Когда организа
ция использует сетевые услуги, конфиденциальная информация организации
может передаваться способом, присущем аутсорсинговой сетевой услуге. Таким
образом, специалисты по оценке должны учитывать, что необходимые функции
безопасности, такие как шифрование и/или аутентификация, обеспечиваются
привлеченным поставщиком сетевых услуг.
Примерами систем, используемых для сетевых услуг, являются:
- DNS1’:
- DHCP2’;
- межсетевой экран/виртуальная частная соть;
- антивирусный детектор;
- IDS31/ IPS41
1 Стандарт
реализации
безопасно
сти
Должны быть идентифицированы необходимые для конкретных услуг меры
безопасности, такие как функции безопасности, уровни услуг и требования ме
неджмента. Организация должна обеспечить уверенность в том. что поставщики
сетевых услуг реализуют эти меры
Техническое
примечание
к стандарту
реализации
безопасно
сти
При использовании сетевых услуг важны меры безопасности, обеспечивающие
защиту передаваемой посредством их информации.
Требования функций безопасности обычно включаются в требования бизнеса.
Примеры функций безопасности, связанных с сетевыми услугами:
- шифрование для защиты от подслушивания;
- управление сетевым доступом для защиты от несанкционированного доступа:
- IDS/IPS для защиты от злонамеренных действий:
- фильтрация URL5’для защиты от несанкционированного веб-доступа:
- реагирование на инциденты, т. е. на неожиданные события, связанные с безо
пасностью
11DNS (Domain Name System) - Система доменных имен.
DHCP (Dynamic Host Configuration Protocol) - Протокол динамического конфигурирования узла [хост-машины].
51IDS (Intrusion Detection System) - Система обнаружения вторжений.
IPS (Intrusion Prevention System) - Система предотвращения вторжений.
$l URL (Uniform Resource Locator) - Унифицированный указатель ресурса, URL - адрес.
33