ГОСТ Р 56205—2014
l
c) организационную структуру и обязанности по обеспечению выполнения политики безопасно
сти;
d) риски, относящиеся к зоне;
e) стратегию безопасности, направленную на достижение необходимых целей;
f) меры безопасности, подлежащие исполнению;
д) виды деятельности, разрешенной в пределах зоны;
h) виды доступа к зоне, получаемого посредством коммуникации:
i) документацию, раскрывающую атрибуты зоны.
Перечисленная выше информация документируется и объединяется в политику безопасности
зоны, используемую в качестве руководства и критериев оценки для конструирования и обслужива ния
объектов, которые содержатся в зоне.
6.5.4.3 Перечень имущественных объектов
Для поддержания безопасности в пределах зоны организация должна вести список всех ее
имущественных объектов (физических и логических). Такой список служит для оценки риска и уязви
мостей, а также определения и контроля соблюдения соответствующих мер безопасности, необходи
мых для достижения целей политики безопасности. Точность инвентарной ведомости — это ключе вой
фактор в достижении целей безопасности, обозначенных в политике безопасности. Список сле дует
дорабатывать при изменениях имущественных объектов внутри зоны или изменениях электрон ных
связей между ними, а также в случае включения в состав зоны новых объектов, чтобы достига лись
цели безопасности.
Физические объекты и компоненты — это физические устройства, находящиеся внутри зоны.
Некоторые примеры таких устройств приведены ниже:
a) компьютерное аппаратное обеспечение (например, рабочие станции, серверы, инструменты,
элементы управления, источники электропитания, дисковые накопители или резервные архиваторы на
магнитной ленте);
b
) сетевое оборудование (например, маршрутизаторы, коммутаторы, концентраторы, межсете
вые экраны или механические кабели);
c) коммуникационные звенья (например, шины, линии, модемы и другие сетевые интерфейсы,
антенны);
d) оборудование для аутентификации и авторизации доступа (например, контроллеры доменов.
RADIUS-серверы, считыватели и сканеры);
е) аппаратное обеспечение опытных систем;
f) аппаратное обеспечение моделирующих и обучающих систем;
д) аппаратное обеспечение внешних систем;
h) запасы запчастей;
i) устройства контроля и управления (например, датчики, переключатели и контроллеры);
j) справочная информация и руководства.
Л
огические объекты включают в себя любое программное обеспечение и данные, используемые
в зоне. Вот некоторые примеры:
k) программное обеспечение компьютерных систем (например, программные приложения, опе
рационные системы, коммуникационные интерфейсы, таблицы конфигураций, инструменты для раз
работки и анализа, и утилиты);
) патчи и обновления для операционных систем и прикладных инструментариев;
т ) базы данных:
п) архивы данных:
о) файлы конфигураций оборудования;
р) копии программного обеспечения и данных, предназначенные для целей резервирования и
восстановления;
q)документация по обоснованию проекта (например, функциональные требования к информа
ции, объектам и др., классификация безопасности и уровни защиты, физический и программный про
ект. оценка уязвимостей, периметр безопасности, документацию по оценочным испытаниям, сборке и
монтажу);
г)дополнительно поставляемые ресурсы (например, обновления продуктов, патчи, пакеты об
новления. утилиты и результаты проверочных испытаний).
6.5.4.4 Требования к доступу и меры управления доступом
64