ГОСТР ИСО/МЭКТО 13335-4—2007
Многие защитные меры могут внести вклад в улучшение подотчетности, начиная от политики обеспе
чения безопасности, логического управления и аудита доступа и до внедрения одноразовых паролей и
средств управления носителями информации. Реализация политики в области владения информацией явля
ется предпосылкой для обеспечения подотчетности. Выбор специальных защитных мер будет зависетьот
специфики использования подотчетности в пределах домена.
10.5.2 Аутентичность
Доверие к аутентичности может быть снижено любой угрозой, которая заставляет человека, систему
или процесс усомниться в том. что объект является тем. чтоон представляет изсебя. Примерами возникно
вения такой ситуации является изменение данных без надлежащего контроля, происхождение непроверен
ных или неподдерживаемых данных.
Многие защитные меры могут внести свой вклад в улучшение аутентичности, начиная от использова
ния утвержденных справочных данных, лотческого управления и аудита доступа и до цифровых подпи
сей. Выбор специальных защитных мер зависит от специфики использования аутентичности в пределах
данной области.
10.5.3 Достоверность
Любая угроза, которая может привести к непоследовательному поведению систем или процессов,
приводит кснижению достоверности. Примерами таких угроз являются нелогичноефункционирование си
стемы и ненадежные поставщики. Снижениедостоверности приводит к плохому обслуживанию потребите
лей и потере их доверия.
Многие защитные меры могут внести свой вклад в усилениедостоверности, начиная отпланов непре
рывности бизнеса, внедрения резервирования в физическую структуру и техническое обслуживание сис
темы и до идентификации, аутентификации, логического управления и аудита доступа. Выбор специальных
защитных мер будет зависеть от специфики выбора показателей достоверности в пределах данной
области.
11 Выбор защитных мер согласно детальным оценкам
Выбор защитных мер согласно детальным оценкам основывается на тех же принципах, которые при
менялись в предыдущих разделах. Проведениедетальногоанализа риска позволяет учесть специальные
требования и обстоятельства систем ИТ и их активы. Отличие от предыдущих разделов заключается в
уровне усилий и детализации процесса оценивания. Поэтому, возможно квалифицированное обоснование
выбранных защитных мер. Подраздел 11.1 настоящего стандарта направлен на то. чтобы использовать
положения о методах анализа риска, установленные в ИСО/МЭКТ 0 13335-3, для процесса выбора защит
ных мер. установленных в настоящем стандарте. Принципы выбора защитных мер рассмотрены в 11.2.
11.1 Взаимосвязь ИСО/МЭК ТО 13335-3 с настоящим стандартом
В ИСО/МЭК ТО 13335-3 представлены технические приемы управления безопасностью ИТ. В нем
также рассматриваются варианты стратегии анализа возможных рисков организации и рекомендованный
подход для анализа риска. Основными вариантами стратегии для применения в пределах организации
является использование:
- базового подхода для всех систем ИТ;
- детального анализа риска для всех систем ИТ;
- рекомендованного подхода, т. е. после детального анализа риска всех систем ИТ используется
базовый подход к системам ИТ с низким уровнем риска и детальный анализ рискадля систем ИТ с высо
ким уровнем риска.
Если принято решение использоватьдетальный анализ рискадля всех систем ИТдля идентификации
защитных мер, то организациядолжна использовать информацию о выборе защитных мер и эффективном
использовании результатов детального анализа риска, приведенную в 11
2.
Кроме того, организация долж на
использовать информацию о защитных мерах, втом числедля специальных систем ИТ. и связь между
проблемами безопасности и угрозами, приведенными в разделах 8—10.
11.2 Принципы выбора
Базовыми принято считать четыре аспекта, связанные с защитными мерами, т. е. воздействия, угро
зы, уязвимость и риск. Рисксам по себе рассматривается, когда организация принимает решение о сниже
нии или избежании рискадо момента его принятия (примером снижения риска является получение страхо
вого полиса, а примером избегания риска — перевод конфиденциальной информации вдругой компьютер).
44