ГОСТ Р ИСО/МЭК ТО 13335-4—2007
Приложение С
(справочное)
Руководство по базовой защите информационных технологий
В настоящем приложении приведено краткое описание стандарта [4].
О б л а с т ь п р и м е н е н и я
Цепью базовой защиты ИТ путем соответствующего применения стандартизованных организационных, пер
сональных. инфраструктурных и технических защитных мер является достижение стандарта безопасности сис
тем ИТ. который является адекватным и достаточным для удовлетворения требований защиты среднего уровня и
может служить в качестве основы для применения в ИТ. требующих более высокого уровня защиты.
С этой целью руководство по базисной защите ИТ рекомендует пакет контрмер для типичных конфигура
ций, окружающей среды и организационных структур ИТ. При подготовке этого руководства орган по обеспечению
безопасности информации Германии принял расчетные оценки риска на основе известных угроз и уязвимостей
и разработал для этой цели пакет мер. Таким образом, пользователям руководства по базисной защите ИТ не
придется снова проводить подобный анализ базовой защиты ИТ. Пользователи должны только обеспечить пос
ледовательную и полную реализацию рекомендованных защитных мер.
В то же время руководство по базовой защите ИТ помогает обеспечить безопасность ИТ в том, что касается
экономически эффективного выполнения требований к защите на среднем уровне, так как политика безопасно сти
индивидуальных систем может ссылаться на это руководство. Таким образом, базовая защита ИТ становится
общепринятой основой соглашения по защитным мерам для соответствия требованиям защиты среднего уровня.
С о д е р ж а н и е
1 Менеджмент безопасности ИТ
2 Применение руководства по базовой защите ИТ
2.1 Применение руководства по базовой защите ИТ
2.2 Установление требований к защите
2.3 Использование руководства по базовой защите ИТ
2.4 Практические советы и операционные вспомогательные средства
3 Базовая защита ИТ основных компонентов
3.1 Организация
3.2 Персонал
3.3 Планирование действий в нештатных ситуациях
3.4 Резервирование
3.5 Защита данных
3.6 Защита от компьютерного вируса
3.7 Общее представление о криптографии
4 Инфраструктура
4.1 Здания
4.2 Прокладка кабелей
4.3 Помещения
4.3.1 Офис
4.3.2 Помещение для сервера
4.3.3 Архивы запоминающих устройств
4.3.4 Помещение технической инфраструктуры
5 Системы, не входящие в сеть
5.1 Дисковая операционная система DOS PC (одиночный пользователь)
5.2 Системы UNIX
5.3 Портативный переносной компьютер
5.4 Дисковая операционная система DOS PC (несколько пользователей)
5.5 ПК Windows NT
5.6 ПК Windows 95
5.7 Общая система, не входящая в сеть
6 Сетевые системы
6.1 Сеть ПК на основе сервера
6.2 Сеть UNIX
6.3 Структура сети равноправных ЭВМ на базе Windows для рабочих групп
6.4 Сеть на основе Windows NT
6.5 Семейство операционных систем Novel Netware 3.x
6.6 Семейство операционных систем Novel Netware 4.x
5 1