ГОСТ Р ИСО/МЭК ТО 13335-4—2007
данных подразделений организации. В большинстве случаев при использовании базовой безопасности
снижение ее уровня недопустимо, вто время как применениедополнительных защитных мер может быть
оправдано и необходимо для управления риском среднего и высокого уровня.
В качестве альтернативы базовый подход к безопасности может отражать средний уровень безопас
ности организации, т. е. в организации допускается обоснованное применение более высокого или более
низкого относительно базового уровня безопасности, например по результатам анализа риска. Одним из
преимуществ применения базового подхода безопасности кгруппе систем ИТ является обеспечение опре
деленного уровня безопасности в пределах всей группы систем ИТ. В этих условиях может быть полезным
разработка и документирование базового каталога защитных мердля всей организации или ее отдельных
подразделений.
7 Базовые оценки
Процессвыбора защитных мер всегда требуетзнания типа и характеристики рассматриваемой систе
мы ИТ (например автономная или подсоединенная к сети рабочая станция), так как эти знания оказывают
влияние на выбранные защитные меры. Также полезно иметьпредставление об инфраструктуре организа
ции (здания, помещения и т.д.). Друтим важным фактором, связанным с выбором защитных мер. является
оценка существующих и/или планируемых мер защиты во избежание ненужной работы, траты времени и
средств. Однако настоятельно рекомендуется всегда использовать оценки, описанные в настоящем раз
деле. в качестве базовыхдля выбора защитных мер. При выборе защитных мер следует учитывать
требо вания бизнеса и подходорганизации к обеспечению безопасности. В заключение
необходимоопределить, обеспечивают ли эти оценки достаточно информации для выбора базовых мер
защиты, или необходима более детальная оценка (см. раздел 10) илидетальный анализ риска (см. раздел
11).
7.1 Идентификация типа системы ИТ
Для оценки существующей или планируемой системы ИТ организация должна сравнить рассматри
ваемую систему ИТс перечисленными ниже компонентами. Организация должна идентифицировать ком
поненты. представляющие данную систему. Защитные меры для каждого из перечисленных компонентов
представлены в разделе 9. К ним относятся:
- автономная рабочая станция;
- рабочая станция (клиент без ресурсов коллективного пользования), подсоединенная к сети;
- сервер или рабочая станция с ресурсами коллективного пользования, подсоединенные к сети.
7.2 Идентификация физических условий и условий окружающей среды
Оценка окружающей среды включает всебя идентификацию физической инфраструктуры, поддержи
вающей существующую или планируемую систему ИТ и защитные меры к ней. Защитные меры должны
соответствоватьокружающей среде, поэтому подобная оценка является важным фактором для успешного
выбора защитных мер. При рассмотрении физической инфраструктуры организация должна изучить окру
жающую среду и специальные обстоятельства, которые необходимо учесть. При этом следует использо
вать следующие вопросы, относящиеся к:
- территории и зданию:
где расположено здание. В границахсвоей территории с забором по периметру или на улице
с интенсивным движением транспорта и т.д..
арендует здание одна или много организаций.
областьдеятельности организаций, арендующих здание (если применимо),
где находятся уязвимые/критические области;
- управлению доступом:
кто имеетдоступ в здание,
установлена ли в здании пропускная система.
устойчива ли конструкция здания.
прочность и уровень защиты дверей, окон и т. д.,
охраняются ли здания, охрана круглосуточная или повременная.
установлена ли охранная сигнализация на отдельные здания и/или помещения с важным обо
рудованием ИТ;
- защите на месте:
степень защищенности помещений, в которых расположена система ИТ,
предусмотрены ли меры пожарной безопасности: сигнал тревоги и блокировка систем.
3— 1774
7