ГОСТ Р ИСО/МЭК 27033-3—2014
Окончание таблицы 3
П рименяемы е свойства
безопасности для идеиР еализуемы е проекты и методы
тиф ицированпы х угроз
Несанкционированное использование и доступ
- Управление досту
пом
- Неотказуемость
- Предоставление служащим только соответствующих бизнесу Интернет-услуг.
Использование черных списков неавторизованных услуг, например, каналов обмена
информацией (текстового диалога) в реальном времени, или услуг веб-почты. Реали
зация фильтров для нвавгоризованных протоколов, например, одноранговых сете
вых протоколов.
- Ограничения на использование услуг, которые беспрепятственно осуществляют
передачу больших объемов данных.
- Обеспечение уверенности в проведении надлежащей регистрации и мониторин
га в отношении всех услуг, которые допускают возможность передачи данных через
Интернет.
- Четкое определение авторизованного и неавторизованного использования до
ступа к Интернету в специальной политике (см. примерную форму в приложении А).
- Обеспечение уверенности в осведомленности пользователей посредством соот
ветствующего уровня образования и профессиональной подготовки.
Ответственность за несоблюдение нормативов
- Неотказуемость- Использование записи событий, отметок времени.
- Осведомленность и профессиональная подготовка пользователей.
Снижение доступности сети связи
- Целостность
- Доступность
- Надлежащий менеджмент уязвимостей и исправления известных системных уяз
вимостей в рамках выделенного интервала времени, основанного на критичности
уязвимости.
- В центре внимания менеджмента уязвимостей должны быть все системы приема
Интернет-трафика, либо на транспортном, либо на прикладном уровне, включая все
системы, используемые с учетом шлюзов по направлению к Интернету, а также си
стемы конечного пользователя, используемые для доступа к Интернет-услугам, осо
бенно. если они используют операционную систему Windows.
- Прерывание пропускной способности для потоховых мультимедийных средств,
(если только это разрешено политикой бизнеса).
- Сети и системные ресурсы должны быть проверены (IDS. журналы регистрации,
аудиты и т. д.) на предмет обнаружения системных событий, событий безопасности и
операционных событий
8 Услуги бизнес-бизнес
8.1 Исходные данные
Этот сценарий должны рассматривать организации, которые осуществляют транзакции с други
ми организациями, такими как изготовитель, оптовик, розничный торговец.
Обычно услуги бизнес-бизнес реализуются с помощью специально выделенных линий или сете
вых сегментов. Интернет и связанные с ним технологии предоставляют больше возможностей, но
также вводят новые угрозы безопасности, связанные с реализацией таких услуг. Развивающаяся
мо дель электронной торговли бизнес-бизнес позволяет организациям вести бизнес через
Интернет и сосредоточиться на приложениях, использующих Интернет, экстранет, или и то и другое,
чтобы нала дить партнерство в бизнесе, при котором организации известны друг другу и все
пользователи, в от личие от сценария бизнес-клиент, регистрируются.
Обычно услуги бизнес-бизнес имеют свои собственные требования. Например, доступность и
достоверность являются очень важными требованиями, поскольку часто организации напрямую зави
сят от действующих услуг бизнеса-биэнес.
9