ГОСТ Р ИСО/МЭК 21827—2010
- периодический анализ с целью обслуживания и административные осмотры - содержит анализ
последних действий по администрированию и обслуживанию системы безопасности;
- неисправности, внесенные в процессе администрирования и обслуживания - отслеживает про
блемы администрирования и обслуживания с целью определения мест, где требуются дополнительные
усилия;
- исключения из администрирования и обслуживания - содержит описания исключений, сделанных
в процедурах администрирования и обслуживания, включая основание для исключения и его срок дей
ствия;
- перечень информации ограниченного доступа - приводит различные типы информации в системе
и способ ее защиты;
- перечень носителей ограниченного доступа - описывает различные типы носителей, используе
мых для хранения информации, и способ защиты каждого из них;
- удаление секретной информации, перевод в более низкую категорию секретности и ликвидация -
описывает процедуры предупреждения появления ненужных рисков в случае понижения степени сек
ретности информации, при удалении секретной информации с носителей или их ликвидации.
7.1.5.3 Примечания
Примерами этих услуг являются идентификация и аутентификация (И/A), посредничество при осу
ществлении доступа и управление доступом; распределение ключей.
Каждая услуга по обеспечению безопасности должна включать в себя установление соответст
вующих параметров безопасности, их соблюдение, мониторинг и анализ соблюдения, а также корректи
ровку параметров.
Эти требования особенно применимы к таким услугам по обеспечению безопасности, как иденти
фикация и аутентификация, для поддержания пользователей и данных аутентификации и управления
доступом для поддержания прав доступа.
Программное обеспечение и данные, принадлежащие организации, определены как информацион
ные активы, представляющие подгруппу активов. Для некоторых активов требуется удаление их частей
ограниченного доступа для обеспечения возможности использования остальной части активов в менее
секретных целях. Удаление секретной информации обеспечивает выдачу информации лицам по прин
ципу обеспечения необходимого знания. Этого можно достичь посредством понижения категории сек
ретности информации или выборочного удаления специальной информации ограниченного доступа.
Электронные носители могут сохранять остаточные следы информации даже после наложения на
нее другой информации. Может потребоваться удаление секретной информации с некоторых носителей
перед использованном их для менее секретных целей. После завершения полезного времени жизни но
сителя его можно ликвидировать способом, наиболее соответствующим степени секретности остаточной
информации, которая может обуславливать необходимость ликвидации этого носителя. Некоторые ор
ганизации не разрешают использовать носители повторно для менее секретной информации. Специфи
ческие детали требований удаления, перевода на более низкую категорию и ликвидации секретной ин
формации зависят от конкретной организации и применяемых ею инструкций.
7.2 РА02 - Оценивает воздействия
7.2.1 Область процесса
7.2.1.1 Краткое описание
Назначением области является идентификация воздействий, вызывающих опасения по отношению
к системе, и оценки вероятности возникновения воздействий. Воздействия могут быть материальными,
например, такими как потеря доходов или финансовые санкции, и нематериальными, такими как потеря
репутации и доброго имени.
7.2.1.2 Цели;
- определение и характеризация воздействия рисков на безопасность системы.
7.2.1.3 Перечень базовых практик
ВР.02.01 Определение, анализ и назначение приоритетов функциональных и деловых возможно
стей или возможностей выполнения целевых задач, используемых системой.
ВР.02.02 Определение и составление спецификации активов системы, поддерживающих ключевые
функциональные возможности или цели безопасности системы.
ВР.02.03 Выбор показателя воздействия, используемого для этой оценки.
ВР.02.04 При необходимости определения взаимосвязи между выбранной системой мер этой
оценки и коэффициентами преобразования показателей.
ВР.02.05 Определение и снятие характеристик воздействий.
ВР.02.06 Мониторинг текущих изменений в воздействиях.
7.2.1.4 Примечания к области процесса
24