ГОСТ Р 54582—2011
- непрерывный поток «заплаток» может быстро «затопить» администраторов, которые и так об-
ременены другими административными задачами;
- даже после установки организацией всех новейших «заплаток» новые атаки, например через
Интернет, могут продолжиться;
- при обнаружении новых атак и опубликовании их в Интернете большое число сетей немедленно
становится уязвимым для этих атак, пока будут создаваться и устанавливаться новые «заплатки». До
тех пор пока не будет создана эффективная «заплатка» для противодействия новой атаке, могут прой-ти
недели или месяцы, и пораженные серверы останутся открытыми для атак;
- организации могут поддерживать свою осведомленность о новых «заплатках» посредством мо-
ниторинга рекомендаций в области безопасности в отношении угроз или распространенных атак. Также
рекомендации выдаются различными организациями и обычно ссылаются на какую-либо «заплатку»
или работу, в результате которой упомянутая уязвимость будет ликвидирована;
- действия по исправлению ошибок обычно объединены в методы, которые представлены
в ИСО/МЭК 15408 или СММ.
6.33.3 Источники
Примечание — Источником рекомендаций в области безопасности является группа компьютерной
«скорой помощи» университета Карнеги — Меллона.
6.34 Руководство по базовой защите информационных технологий
O
36
6.34.1 Цель
Обеспечение набора практических мер безопасности для систем ИКТ, которые в случае с обыч-
ной организацией адекватны и достаточны для выполнения требований по защите и которые также
могут быть модифицированы для более жестких требований по защите.
6.34.2 Описание
Базовая защита ИТ с помощью соответствующего применения мер безопасности, связанных с
организацией, персоналом, инфраструктурой и техническими требованиями, предназначена для обе-
спечения такого уровня безопасности систем ИКТ, который адекватен и достаточен для выполнения
требований по защите обычной организации и может служить основой для применений ИКТ, требую-
щих высокой степени защиты. В этом отношении руководство по базовой защите ИТ рекомендует такие
элементы, которые объединяются в комплексы мер безопасности для типичных конфигураций ИКТ,
угрожающих условий и организационных требований.
Для подготовки настоящего руководства немецкое Агентство по информационной безопасности
предполагало использование сценариев рисков на основе общеизвестных угроз и уязвимостей. Для
противодействия этим угрозам был разработан постоянно обновляемый структурированный комплекс
мер безопасности. Следовательно, пользователям надо только обеспечить постоянное и полное вне-
дрение рекомендуемых мер. Организация процесса внедрения в виде контрольного списка позволяет
экономно реализовывать требования по защите обычных ИКТ.
Политики безопасности организации могут ссылаться на общие меры руководства по базовой за-
щите ИТ. Таким образом, базовая защита ИТ становится основой соглашения по мерам, отвечающим
обычным требованиям защиты.
Однако обобщенные подходы, используемые для базовой защиты, нельзя сразу применять к си-
стемам ИКТ, требующим более высоких уровней защиты. Необходимо обеспечить, чтобы в случаях
применения ИКТ, требующих более высоких уровней защиты, отдельные способы анализа безопасно-
сти применений ИКТ проводились бы в дополнение к усовершенствованию базовой защиты ИКТ. Это
приведет к получению более специфических результатов по выбору и/или разработке дополнительных,
качественно более эффективных мер в дополнение к существующим мерам базовой защиты ИКТ. При
этом, в свою очередь, повышается стоимость/эффективность базовой защиты ИКТ.
Для обеспечения удовлетворительной базовой защиты ИТ недостаточно даже на основе руковод-
ства по базовой защите ИТ только один раз разработать политику безопасности системы. Точнее, про-
ектирование, внедрение и мониторинг мер безопасности ИКТ являются циклическими требованиями и
также могут инициироваться нарушениями безопасности. Задача обеспечения удовлетворительной ба-
зовой защиты ИТ имеет большое значение и должна решаться руководством агентства/фирмы. В под-
держку решения этой задачи руководство по базовой защите ИТ должно предложить план действий.