ГОСТ Р ИСО/МЭК 13335-4-2007 Информационные технологии. Методы и средства обеспечения безопасности Часть 4. Выбор защитных мер

Цель стандарта - обеспечить руководство по выбору защитных мер, для ситуаций, когда принято решение выбрать защитные меры для системы информационных технологий:

- согласно типу и характеристикам системы;

- согласно общим оценкам проблем и угроз безопасности;

- в соответствии с результатами детального анализа рисков.

Основные разделы стандарта:

1. Базовые оценки:

Процесс выбора защитных мер всегда требует знания типа и характеристики рассматриваемой системы:

- тип системы (автономная; система без ресурса коллективного пользователя подсоединенная к сети; сервер с ресурсами коллективного пользования подсоединенный к сети);

- физические условия и условия окружающей среды (где располагается здание, кто арендаторы, кто имеет доступ в здание, охраняется ли здание и т.д.)

- какие защитные меры уже приняты или планируются.

Все перечисленные вопросы изложены в данном разделе.

2. Защитные меры:

Раздел содержит обзор защитных мер, которые предполагается выбрать. Они разделены на:

- организационные;

- технические;

- специальные защитные меры.

Все защитные меры сгруппированы по категориям. Для каждой категории приведено описание наиболее типичных защитных мер, включая краткое описание уровня безопасности, которую они должны обеспечить.

3. Базовый подход: выбор защитных мер согласно типу системы.

Раздел содержит алгоритм выбора защитных мер для каждой типичной системы.

4. Выбор защитных мер в соответствие с проблемами безопасности – описывает вариант для выбора эффективных и подходящих защитных мер, при более глубокой оценке системы.

Алгоритм выбора включает:

- идентификацию и оценку проблем безопасности (потеря конфиденциальности, целостности, достоверности и т.д.);

- рассмотрение требований по обеспечению конфиденциальности, целостности, доступности и т.д.,

- определение типичных угроз;

- определение защитных мер для каждой угрозы.

Для реализации алгоритма раздел содержит перечень защитных мер, согласно проблеме безопасности, с учетом угроз и выбранного типа системы.

5. Выбор защитных мер согласно детальным оценкам. В разделе рассматривается ситуация, когда организация принимает решение о необходимости проведения детального анализа рисков в связи с высоким уровнем проблем безопасности и потребностями предприятия. Раздел описывает факторы способные влиять на выбор защитных мер.

6. Разработка базовой безопасности организации. Раздел содержит руководство по выбору базового уровня безопасности. Основные положения и структура стандарта представлена в приложении 2.