ГОСТР ИСО/МЭКТО 13335-4—2007
4 Цель
Цель настоящего стандарта — обеспечить руководство по выбору защитных мер. Данное руковод
ство предназначенодля ситуаций, когда принято решение выбрать защитные меры для системы информа
ционных технологий (ИТ):
- согласно типу и характеристикам системы ИТ:
- согласно общим оценкам проблем и угроз безопасности:
- в соответствии с результатамидетального анализа рисков.
В дополнение к настоящему стандарту предоставлены перекрестные ссылки, показывающие, где
выбор защитных мер может бытьдополнен за счет применения общедоступных руководств, содержащих
описание защитных мер.
Настоящий стандарт также содержит указания по разработке базового руководства по обеспечению
безопасности организации (или ее отдельного подразделения). Описаниедетальных защитных мер сети
содержится вдокументах, на которые есть ссылки в приложениях А — Н. В настоящее время технически ми
комитетами ИСО разрабатываютсядругиедокументы по обеспечению безопасности сетей.
5 Краткий обзор
Раздел 6 настоящего стандарта содержит введение к выбору защитных мер и концепции базового
обеспечения безопасности. В разделах 7— 10 рассматриваются вопросы базового обеспечения безопас
ности систем ИТ. Для того, чтобы выбрать подходящие защитные меры, необходимо определить базовые
оценки безопасности систем ИТ вне зависимости от того, будет ли затем проводитьсядетальный анализ
рисков. Эти оценки изложены в разделе 7. где рассмотрены следующие вопросы:
-для какого типа системы ИТ предполагается выбор защитных мер (например, автономный или под
соединенный к сети персональный компьютер):
- где находятся системы ИТ. какие условия окружающей среды в месте расположения этих систем:
- какие защитные меры уже приняты н’или планируются;
- насколько полученные оценки предоставляют достаточную информацию для выбора базовых за
щитных мер для системы ИТ.
Раздел 8 содержит обзор защитных мер, которые предполагается выбрать. Они разделены на органи
зационные. технические (т. е. выборка проведена в соответствии с потребностями и нарушениями обеспе
чения безопасности, а также с учетом ограничений) и на специальные защитные меры систем ИТ. Все
защитные меры сгруппированы по категориям. Для каждой категории защитных мер приведено описание
наиболее типичных защитных мер. включая краткое описание уровня безопасности, которую они должны
обеспечивать. Специальные защитные меры в рамках установленных категорий и их подробное описание
можно найти в документах по базовой безопасности (см. ссылки в приложениях А — Н). Для облегчения
пользования этими документами перекрестные ссылки между категориями защитных мер настоящего стан
дарта и главами другихдокументов, указанных в приложениях, приведены в таблицах для каждой катего
рии защитных мер.
Если организацией принято решение, что тип оценки, детально описанный в разделе 7 настоящего
стандарта,достаточен для выбора защитных мер. то организация может использоватьсписок подходящих
защитных мер. приведенных в разделе 9, для каждой типичной системы ИТ. описание которых приведено в
7.1. Если организация выбирает защитные моры на основе типа системы ИТ, то могут применяться базо вые
уровни безопасности для автономных рабочих станций, сетевых автоматизированных рабочих мест
(АРМ) или серверов. Для обеспечения требуемого уровня безопасности необходимо выбрать защит ные
меры, пригодные в конкретных условиях, сравнить их с уже существующими (или планируемыми)
мерами обеспечения безопасности и внедрить все новое, что можно использоватьдля достижения задан
ного уровня безопасности.
Еслиорганизацией принято решение о необходимости более глубокой оценки для выбора эффектив
ных и подходящих защитных мер. то раздел 10 настоящего стандарта оказывает поддержку такого выбора
с учетом рассмотрения проблем безопасности, на высоком уровне (в соответствии с важностью информа
ции) и возможных угроз. В данном разделе защитные меры предложены согласно проблемам безопаснос
ти, с учетом соответствующих угроз и выбранного типа системы ИТ. Схема выбора защитных мер. описа
ние которых приведено в разделах 7,9 и 10. приведена на рисунке 1.
2