ГОСТ Р ИСО/МЭК 13335-4-2007 Информационные технологии. Методы и средства обеспечения безопасности Часть 4. Выбор защитных мер
Цель стандарта - обеспечить руководство по выбору защитных мер, для ситуаций, когда принято решение выбрать защитные меры для системы информационных технологий:
- согласно типу и характеристикам системы;
- согласно общим оценкам проблем и угроз безопасности;
- в соответствии с результатами детального анализа рисков.
Основные разделы стандарта:
1. Базовые оценки:
Процесс выбора защитных мер всегда требует знания типа и характеристики рассматриваемой системы:
- тип системы (автономная; система без ресурса коллективного пользователя подсоединенная к сети; сервер с ресурсами коллективного пользования подсоединенный к сети);
- физические условия и условия окружающей среды (где располагается здание, кто арендаторы, кто имеет доступ в здание, охраняется ли здание и т.д.)
- какие защитные меры уже приняты или планируются.
Все перечисленные вопросы изложены в данном разделе.
2. Защитные меры:
Раздел содержит обзор защитных мер, которые предполагается выбрать. Они разделены на:
- организационные;
- технические;
- специальные защитные меры.
Все защитные меры сгруппированы по категориям. Для каждой категории приведено описание наиболее типичных защитных мер, включая краткое описание уровня безопасности, которую они должны обеспечить.
3. Базовый подход: выбор защитных мер согласно типу системы.
Раздел содержит алгоритм выбора защитных мер для каждой типичной системы.
4. Выбор защитных мер в соответствие с проблемами безопасности – описывает вариант для выбора эффективных и подходящих защитных мер, при более глубокой оценке системы.
Алгоритм выбора включает:
- идентификацию и оценку проблем безопасности (потеря конфиденциальности, целостности, достоверности и т.д.);
- рассмотрение требований по обеспечению конфиденциальности, целостности, доступности и т.д.,
- определение типичных угроз;
- определение защитных мер для каждой угрозы.
Для реализации алгоритма раздел содержит перечень защитных мер, согласно проблеме безопасности, с учетом угроз и выбранного типа системы.
5. Выбор защитных мер согласно детальным оценкам. В разделе рассматривается ситуация, когда организация принимает решение о необходимости проведения детального анализа рисков в связи с высоким уровнем проблем безопасности и потребностями предприятия. Раздел описывает факторы способные влиять на выбор защитных мер.
6. Разработка базовой безопасности организации. Раздел содержит руководство по выбору базового уровня безопасности. Основные положения и структура стандарта представлена в приложении 2.
Дата добавления: 2015-10-29; просмотров: 871;