ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий (с Поправкой)

     5.2 Организационные принципы

5.2.1 Обязательства

Для обеспечения безопасности активов организации должны существовать обязательства руководства организации в отношении обеспечения безопасности ИТТ. Любой фактически существующий или осознаваемый недостаток таких обязательств будет подрывать доверие к администратору безопасности ИТТ и значительно ослаблять защиту против угроз. Результатом поддержки сверху должна стать официально согласованная и документированная политика безопасности ИТТ, вытекающая из политики безопасности организации. Существующая конкретная политика и ее ключевые элементы должны регулярно доводиться до сведения работающих в организации на постоянной основе и по контракту и (где уместно) подчеркивать заинтересованность и поддержку руководством политики безопасности ИТТ.

Обязательства руководства организации в отношении задач безопасности включают в себя:

- понимание общих потребностей организации;

- понимание потребности в безопасности ИТТ в рамках организации;

- демонстрацию обязательств в отношении безопасности ИТТ;

- необходимость обращения к потребностям безопасности ИТТ;

- необходимость выделения ресурсов для безопасности ИТТ;

- осведомленность на самом высоком уровне о том, что является средствами безопасности ИТТ и в чем она заключается (возможности, ограничения).

Следует пропагандировать цели безопасности во всей организации. Каждый сотрудник, работающий на постоянной основе или по контракту, должен знать о своих обязанностях, ответственности, о вкладе в безопасность ИТТ и ему должны быть предоставлены полномочия для их достижения.

5.2.2 Последовательный подход

Необходим последовательный подход ко всей деятельности по планированию, реализации и управлению безопасностью ИТТ. Безопасность должна быть обеспечена на протяжении всего жизненного цикла информации и ИТТ - от планирования до приобретения, тестирования и эксплуатации.

Организационная структура, показанная на рисунке 4, может содействовать гармонизированному подходу к безопасности ИТТ во всей организации. Структура должна быть основана на требованиях и положениях международных, национальных, региональных, отраслевых стандартов и правил, и стандартов организации, применяемых в соответствии с потребностями ИТТ организации. Технические нормы должны дополняться правилами и рекомендациями по их реализации и использованию.

Использование стандартов обеспечивает:

- интегрированную безопасность;

- функциональную совместимость;

- согласованность;

- мобильность;

- экономию средств;

- межсетевое взаимодействие.

5.2.3 Интегрирование безопасности информационно-телекоммуникационных технологий

Деятельность по безопасности более эффективна, если в рамках организации она осуществляется единообразно и с начала жизненного цикла системы ИТТ. Процесс безопасности ИТТ сам по себе является последовательностью множества периодических действий и должен интегрироваться во все фазы жизненного цикла системы ИТТ. Несмотря на то, что безопасность наиболее эффективна в случае интеграции в новую систему с самого начала, интеграция безопасности окажет положительное воздействие на уже работающие системы и бизнес-деятельность на любом этапе.

Жизненный цикл системы ИТТ может быть разделен на четыре основные фазы. Каждая из этих фаз связана с безопасностью ИТТ следующим образом:

- планирование - потребности безопасности ИТТ должны быть учтены при планировании и в процессе принятия решений;

- приобретение - требования безопасности ИТТ должны быть включены в процессы конструирования, разработки, закупки, модернизации систем ИТТ. Интеграция требований безопасности в указанную деятельность гарантирует, что рентабельные средства и меры, относящиеся к сфере безопасности, будут своевременно реализованы в данной системе;

- тестирование - тестирование системы ИТТ должно включать в себя тестирование компонентов, свойств и обслуживания безопасности ИТТ. Новые или измененные компоненты безопасности должны тестироваться отдельно с тем, чтобы подтвердить, что они функционируют должным образом, а далее, в операционном окружении, - для подтверждения того, что их интеграция в систему ИТТ не нарушит характеристик качества или свойств безопасности. В течение всех стадий жизненного цикла системы должно быть запланировано ее периодическое тестирование;

- эксплуатация - безопасность ИТТ должна быть интегрирована в операционную среду. Поскольку систему ИТТ используют для выполнения определенных функций, она должна поддерживаться в рабочем состоянии и, как правило, подвергаться серии модернизаций, включающих в себя закупку новых компонентов технических средств, а также модификации или дополнению программного обеспечения. К тому же она подвержена частым изменениям операционной среды. Эти изменения могут создать новые уязвимости системы, которые должны быть проанализированы и оценены и либо снижены, либо приняты. Столь же важны безопасная замена или переподчинение систем.

Обеспечение безопасности ИТТ - постоянный процесс с множеством обратных связей внутри и между фазами жизненного цикла системы ИТТ. В большинстве случаев существует обратная связь между и внутри всех основных составляющих процесса обеспечения безопасности ИТТ. Связь должна обеспечивать непрерывный поток информации об уязвимостях, угрозах и защитных мерах в системе безопасности ИТТ на протяжении всех фаз жизненного цикла системы ИТТ.