ГОСТ Р ИСО/МЭК ТО 13335-4—2007
- физическая безопасность (см. 8.1.7).
Защитные меры этих категорий формируют основу для успешного управления безопасностью ИТ. В
этом смысле их не следует недооценивать. Важнотакже обеспечить рабочее взаимодействие этих защит
ных мер с технической защитой, рассмотренной ниже.Деятельность организации вэтой области зависит от
ее потребностей обеспечения безопасности (см. раздел 10) и выделенных ресурсов.
Организация может применять идругие категории защитных мер. носпособ их реализации зависит от
конкретных условий (например защитные меры, обеспечивающие управление доступом к сети, отличают ся
от управления доступом к автономной рабочей станции).
При выборе защитных мердолжны учитываться размер организации и потребности в обеспечении ее
безопасности, так как они могут повлиять на степень реализации защитных мер. Например, у небольшой
организации несуществует ни потребности, ни необходимого персонала для создания группы по обеспече
нию безопасности ИТ. Тем не менее, в организациидолжен быть назначен ответственный за выполнение
этих функций. Защитные меры, перечисленные в 8.1, должны систематизироваться всякий раз, когда это
необходимо.
9.2 Специальные защитные меры систем ИТ
Вдополнение к обычно применяемым защитным мерам, должны быть выбраны специальные защит
ные меры для каждого типа компонента системы. Алгоритм выбора специальных защитных мер системы
ИТ приведен в качестве примера в таблице 9.2. В этом примере знак « » обозначает защитные меры,
которые должны быть применены в нормальных условиях, а «()» — защитные меры, которые могут потре
боваться в особых случаях. Процессвыбора защитных мер должен быть продолжен путем рассмотрения
их характеристик, представленных в 8.2.Дополнительная информация может бытьполучена издокументов
по базовой защите, перечисленных в приложенияхА — Н.
10 Выбор защитных мер в соответствии с проблемами безопасности
и угрозами
Выбор защитных мер в соответствии с проблемами и угрозами безопасности, изложенными в настоя
щем разделе, может быть использован следующим образом:
- на первом этапедолжна быть проведена идентификация и оценка проблем безопасности. Организа
ция должна рассмотретьтребования пообеспечению конфиденциальности, целостности,доступности, по
дотчетности. аутентичности и достоверности. Прочность защиты и число выбранных защитных
мердолжны соответствоватьоценкам проблем обеспечения безопасности;
- на втором этапедля каждой из выявленных проблем безопасностидолжны бытьперечислены типич
ные угрозы и для каждой угрозы взависимости от рассматриваемойсистемы ИТ должны быть предложены
соответствующие защитные меры. Различные типы систем ИТ приведены в 7.1. краткий перечень защит
ных мер приведен в подпунктах раздела 8. В некоторых случаях у организации могут возникнуть дополни
тельные потребности и цели при обеспечении безопасности.
10.1 Оценка проблем безопасности
Для выбора соответствующих эффективных защитных мер организация должна исследовать и оце
нить проблемы безопасности, связанные с коммерческойдеятельностью, которую обслуживает рассматри
ваемая система ИТ. После идентификации проблем безопасности и сучетом соответствующих угроз можно
выбирать защитные меры согласно 10.2—10.5.
Если подобная оценка покажет необходимость высокого уровня безопасности, то рекомендуется де
тальный подход к решению этой проблемы. Дополнительный материал можно найти в разделе 11.
Проблемы безопасности могут включать в себя потерю;
- конфиденциальности;
-целостности;
-доступности;
- подотчетности;
- аутентичности;
-достоверности.
Оценка должна включать в себя рассматриваемую систему ИТ. хранимую или обрабатываемую вней
информацию и коммерческие операции, которые она обеспечивает. На основе этого идентифицируются
задачи выбираемых защитных мер. Различные части системы ИТ или хранимой и обрабатываемой инфор
мации могут иметь различные проблемы обеспечения безопасности. Важно напрямую соотнести проблемы
8— 1774
27