Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 13335-5-2006 "Информационная технология. Методы и средства обеспечения безопасности. Часть 5 "Руководство по менеджменту безопасности сети" (утв. приказом Федерального агентства по техническому регулированию и ме стр. 4

  1. Документы
Тип риска
Ссылка на доверительное отношение
Низкая/ общая
Средняя/ общая
Высокая/ общая
Низкая/ частная
Средняя/ частная
Высокая/ частная
Раскрытие конфиденциальности
13.2.213.2.213.2.213.2.213.2.213.2.2
13.2.313.2.313.2.313.2.313.2.313.2.3
13.2.613.2.413.2.513.2.413.2.413.2.5
13.413.2.613.2.613.2.613.2.613.2.6
13.513.3.213.3.213.3.213.3.213.3.2
13.713.3.313.3.313.3.413.3.313.3.5
13.813.3.413.3.413.413.3.413.4
13.913.413.3.513.513.413.7
13.1213.513.413.713.713.9
13.713.513.813.8
13.813.713.913.9
13.913.813.1213.12
13.1213.9
13.12
Нарушение целостности
13.2.213.2.213.2.213.2.213.2.213.2.2
13.2.313.2.313.2.313.2.313.2.313.2.3
13.2.613.2.413.2.513.2.413.2.413.2.5
13.413.2.613.2.613.2.613.2.613.2.6
13.513.3.213.3.213.3.213.3.213.3.2
13.613.3.313.3.313.3.413.3.313.3.5
13.713.3.413.3.413.413.3.413.4
13.813.413.3.513.513.413.6
13.1013.513.413.613.613.7
13.1213.613.513.713.713.10
13.713.613.813.8
13.813.713.1013.10
13.1013.813.1213.12
13.1213.10
13.12
Потеря готовности (доступности)
13.2.213.2.213.2.213.2.213.2.213.2.2
13.2.313.2.313.2.313.2.313.2.313.2.3
13.2.613.2.413.2.513.2.413.2.413.2.5
13.413.2.613.2.613.2.613.2.613.2.6
13.513.3.213.3.213.3.213.3.213.3.2
13.613.3.313.3.313.3.413.3.413.3.5
13.713.3.413.3.413.413.413.4
13.813.413.3.513.513.613.6
13.1313.513.413.613.713.7
13.613.513.713.813.12
13.713.613.813.1213.13
13.813.713.1213.13
13.1313.813.13
13.13
Потеря способности
подтверждать
передачу/прием в сети
13.2.213.2.213.2.213.2.213.2.213.2.2
13.2.313.2.313.2.313.2.313.2.313.2.3
13.2.613.2.413.2.513.2.413.2.413.2.5
13.413.2.613.2.613.2.613.2.613.2.6
13.513.3.213.3.213.3.213.3.213.3.2
13.713.3.313.3.313.3.413.3.413.3.3
13.1113.3.413.3.413.413.413.3.4
13.1313.413.3.513.513.713.3.5
13.513.413.713.1113.4
13.713.513.1113.1313.7
13.1113.713.1313.13
13.1313.13
Потеря подотчетности
13.2.213.2.213.2.213.2.213.2.213.2.2
13.2.613.2.613.2.613.2.313.2.313.2.3
13.2.413.2.413.3.313.2.413.2.413.2.4
13.613.3.413.3.413.2.513.2.513.2.5
13.713.413.413.2.613.2.613.2.6
13.813.613.613.3.313.3.313.3.3
13.1213.713.713.3.413.413.3.4
13.813.813.413.613.4
13.1213.1213.613.713.7
13.713.12
13.8
13.12
Потеря аутентичности
13.2.213.2.213.2.213.2.213.2.213.2.2
13.2.613.2.613.2.613.2.313.2.313.2.3
13.2.413.2.413.3.213.2.413.2.413.2.5
13.3.313.3.313.3.313.2.513.2.513.2.6
13.513.3.413.3.413.2.613.2.613.3.2
13.613.413.413.413.3.213.3.4
13.813.513.513.513.413.4
13.1013.613.613.613.513.5
13.1213.813.713.813.613.6
13.1013.813.1013.1013.7
13.1213.1013.1213.1213.10
13.12
Ухудшение надежности
13.2.213.2.213.2.213.2.213.2.213.2.2
13.2.613.2.613:2.613.2.313.2.313.2.3
13.2.413.2.413.3.213.2.413.2.413.2.5
13.3.313.3.313.3.313.2.513.2.513.2.6
13.513.413.3.413.2.613.2.613.3.2
13.613.513.413.413.3.213.3.4
13.813.613.513.513.513.5
13.1213.713.613.613.613.6
13.1313.813.713.813.713.7
13.1213.813.1213.1213.12
13.1313.1213.1313.1313.13
13.13

13 Определение реальных потенциальных контролируемых зон

13.1 Введение

Теперь следует на основе использования ссылок по таблице 5 идентифицировать потенциально контролируемые зоны из раздела 13. Потенциально контролируемые зоны, представленные в 13.2 - 13.13, следует выбирать, используя раздел 12. Следует заметить, что частное решение защиты может на самом деле включать в себя ряд потенциально контролируемых зон, представленных в 13.2 - 13.13.
Следует также заметить, что ряд защитных мер относится к соответствующим системам ИТ независимо от того, имеют ли ИТ какие-либо сетевые соединения. Эти защитные меры следует выбирать, используя ИСО/МЭК 13335-4. Необходимо также отметить, что в настоящем стандарте сделано предположение о том, что имеются базовые защитные меры, изложенные в ИСО/МЭК 13335-4 для систем той организации, от которой исходят сетевые соединения.
Перечень потенциально контролируемых зон необходимо тщательно проанализировать в контексте соответствующих структур сети и их применений. Затем перечень можно применять как основу для последующего выбора мер защиты безопасности, их проектирования, реализации и технического обслуживания (см. раздел 15).

13.2 Управление безопасностью услуг

13.2.1 Введение
Ключевое требование обеспечения безопасности для конкретной сети заключается в том, что осуществляются действия по управлению безопасностью услуг, устанавливающие и контролирующие операции по безопасности и реализацию безопасности. Такие действия следует проводить для обеспечения безопасности всех ИТ организации. Деятельность управления сетевыми соединениями включает в себя:
- распределение ответственности и полномочий, связанных с обеспечением безопасности сетевых соединений, и назначение представителя руководства, несущего общую ответственность за их безопасность;
- документальное оформление заявления о политике в области безопасности систем, а также всей необходимой документации по структуре* технического обеспечения безопасности;
- разработку документированных процедур по обеспечению безопасности;
- проверку соответствия безопасности с целью убедиться в том, что безопасность поддерживается на требуемом уровне;
- документированное получение подтвержденных условий обеспечения безопасности для планируемого соединения, прежде чем будет получено разрешение на подключение к организации или сообществу;
- документированное получение подтвержденных условий обеспечения безопасности пользователей услуг, предоставляемых сетью;
- разработку схем действий в особой ситуации;
- документированное получение подтвержденных и проверенных планов непрерывности бизнеса/восстановления после стихийного бедствия.
Следует заметить, что настоящий раздел строится на аспектах, изложенных в ИСО/МЭК 13335-4. Только важные темы, касающиеся сетевых соединений, характеризуются далее в настоящем стандарте. Темы, не затронутые далее в настоящем стандарте, - в соответствии с ИСО/МЭК 13335-4.
13.2.2 Организационные процедуры обеспечения безопасности
Для поддержки политики обеспечения безопасности систем следует разработать и соблюдать документацию по организационным процедурам обеспечения безопасности. В них следует подробно изложить повседневные действия, связанные с обеспечением безопасности, и назначить лиц, ответственных за их проведение.
13.2.3 Проверка соответствия требованиям безопасности
Проверку соответствия требованиям безопасности в отношении сетевых соединений следует проводить в соответствии с контрольным перечнем, составленным на основе защитных мер, определенных в:
- политике безопасности систем;
- процедурах, имеющих отношение к безопасности;
- структуре технического обеспечения безопасности;
- политике доступа (безопасности) к услугам через межсетевой экран;
- плане(ах) обеспечения непрерывности бизнеса;
- условиях обеспечения безопасности для соединений по требованию.
Проверку соответствия следует проводить до операционного включения любого сетевого соединения, перед основным новым выпуском (имеющим отношение к значимому бизнесу или изменению в сети) либо ежегодно.
13.2.4 Условия обеспечения безопасности для соединения
Если условия обеспечения безопасности для соединения не согласованы на месте или по контракту, то организация принимает на себя риски, связанные с внешним концом сетевого соединения.
Например, организация А может потребовать от организации В, чтобы до подключения к системам организации А через сетевое соединение организация В поддерживала и демонстрировала заданный уровень безопасности для систем, вовлеченных в это соединение. В этом случае организация А может быть уверена, что организация В справляется со своими рисками должным образом. В таких ситуациях организация А должна определить условия обеспечения безопасности в конце сетевого соединения со стороны организации В, которые должны быть установлены в документации по соединению с подробным указанием необходимых защитных мер. Организация В должна реализовать и поддерживать в рабочем состоянии установленные защитные меры, и направлять организации А отчет об эффективности защитных мер и поддержанию необходимого уровня безопасности. Таким образом, сохраняется право поручать или проводить проверку соответствия требованиям безопасности соединения в конце сетевого соединения со стороны организации В.
Возможны также случаи, когда организации согласуют документ по условиям обеспечения безопасности для соединения, в котором записывают обязательства и ответственность для всех сторон, включая взаимную проверку соответствия требованиям по безопасности.
13.2.5 Условия безопасности, подтвержденные документально, для пользователей услуг, предоставляемых сетью
Для пользователей услуг, желающих работать дистанционно, разрабатывают документ с условиями обеспечения безопасности предоставляемых сетью услуг. В документе определяют ответственность пользователя за безопасную эксплуатацию аппаратных и программных средств, а также за обеспечение защиты данных.
13.2.6 Обработка инцидентов
Нежелательные инциденты с большой вероятностью могут происходить и оказывать серьезное вредное воздействие на бизнес при наличии сетевых соединений (в противоположность ситуации, когда их нет). Более того, при сетевых соединениях с другими организациями могут быть, в частности, нарушены юридические требования, связанные с внештатными ситуациями.
Следовательно, организация с сетевыми соединениями должна предусмотреть документированные и осуществимые схемы действий при обработке инцидентов, обладать соответствующей инфраструктурой, способной быстро реагировать по мере идентификации инцидентов, уменьшать их воздействие, а также извлекать уроки из непредвиденных ситуаций в целях предотвращения их повтора.

13.3 Идентификация и аутентификация

13.3.1 Введение
Организация должна обеспечивать безопасность услуг, предоставляемых сетью, и защиту связанной с ними информации путем ограничения доступа через соединения с авторизованным персоналом (внутри или за пределами организации). Эти требования распространяются не только на использование сетевых соединений. Организация должна подробно определить использование сетевых соединений в соответствии с защитными мерами, установленными в ИСО/МЭК 13335-4.
Четыре контролируемые зоны, целесообразные для использования сетевых соединений, а также системы ИТ, имеющие непосредственное отношение к таким соединениям, представлены в 13.3.2 - 13.3.5.
13.3.2 Дистанционная регистрация при входе в систему
Дистанционная регистрация авторизованного персонала, работающего вдали от организации, специалистов дистанционного технического обслуживания или персонала других организаций осуществляется через кодовые вызовы организации, соединения Интернет, выделенные магистральные линии других организаций или коллективный доступ по Интернет. Существуют соединения, установленные внутренними системами по требованию или с помощью партнеров по контракту, с использованием сети общего пользования. Каждый тип дистанционной регистрации при входе в систему требует дополнительных защитных мер, соответствующих особенностям типа соединения. Примерами таких защитных мер являются:
- отказ разрешения на прямой доступ в систему и программное обеспечение сети на основе учетных записей, используемых для дистанционного доступа, за исключением случаев, когда предоставлена дополнительная аутентификация (см. 13.3.3);
- предохранение от несанкционированного доступа к информации, связанной с программным обеспечением электронной почты и справочной базой данных в памяти ПК и переносных компьютеров, используемых персоналом организации за пределами ее офисов.
13.3.3 Совершенствование аутентификации
Использование пар имя/пароль является простым путем установления подлинности пользователей, но пары имя/пароль могут бытъ дискредитированы или вскрыты. Существуют другие более безопасные пути аутентификации пользователей, особенно удаленных. Такое совершенствование аутентификации необходимо в случае, если существует высокая вероятность получения услуги лицом без соответствующих полномочий к защищаемым и важным системам. Это возможно, например, в случае, если доступ может быть инициирован по сетям общего пользования или система доступа не находится под непосредственным контролем организации (например с переносного компьютера).
В случае, если необходима усовершенствованная аутентификация по сетевым соединениям (например по контракту) или она оправдана рисками, то организации следует рассмотреть процесс определения подлинности пользователя с помощью соответствующих защитных мер, таких как:
- использование других средств идентификации для поддержания аутентификации пользователей, таких как дистанционно проверяемые маркеры доступа, карточки с микропроцессором или магнитной полосой (используемые через считывающее устройство-приставку к ПК), ручные устройства генерации ключа одноразового прохода, модемы с набором обратного номера или биометрические средства контроля;
Содержание
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 17025-2006"Общие требования к компетентности испытательных и калибровочных лабораторий"(введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 506-ст)
Государственный стандарт РФ ГОСТ Р ИСО/МЭК ТО 9294-93 "Информационная технология. Руководство по управлению документированием программного обеспечения" (утв. постановлением Госстандарта РФ от 20 декабря 1993 г. N 260)
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 12207-2010 "Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15288-2005 "Информационная технология. Системная инженерия. Процессы жизненного цикла систем" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. N 476-ст)
Государственный стандарт РФ ГОСТ Р ИСО/МЭК ТО 15271-2002 "Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств)" (принят и введен в действие постановлением Госстандарта РФ от 5 июня 2002