Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети

     7.2 Процесс идентификации


При рассмотрении сетевых соединений всем ответственным специалистам организации следует четко представлять себе требования бизнеса и преимущества конкретных средств связи. Кроме того, специалисты и другие пользователи соединений должны быть осведомлены о рисках обеспечения безопасности и соответствующих контролируемых зонах сетевых соединений. Требования бизнеса и преимущества в обеспечении безопасности оказывают влияние на многие решения и действия, осуществляемые в процессе рассмотрения сетевых соединений, выявления контролируемых зон и последующего выбора, проектирования, внедрения и поддержания безопасности с помощью защитных мер. Следовательно, в течение всего процесса следует помнить об этих требованиях бизнеса и ожидаемых преимуществах. Для того, чтобы идентифицировать заданные требования безопасности, имеющие отношение к сети, и контролируемые зоны, необходимо решить следующие задачи:

- анализ общих требований к обеспечению безопасности сетевых соединений, изложенных в политике безопасности ИТ организации (см. раздел 8);

- анализ сетевой структуры и ее применения, который имеет отношение к сетевым соединениям, чтобы иметь необходимую основу для выполнения последующих задач (см. раздел 9);

- идентификация типа или типов рассматриваемого соединения сети (см. раздел 10);

- анализ характеристик предложенного объединения в сеть (используя при необходимости имеющуюся информацию о применении структуры сети) и связанные с этим доверительные отношения (см. раздел 11);

- определение видов рисков безопасности, если это возможно, с помощью анализа рисков и управления результатами проведенного анализа, включая оценки деловых операций и информацию, которую предполагается передавать через соединения, и любую другую информацию, потенциально доступную для несанкционированного получения через эти соединения (см. раздел 12);

- идентификация потенциально контролируемых зон, которые могут быть использованы на основе анализа типа(ов) соединения и характеристик организации сети и связанных с этим доверительных отношений, а также видов установленных рисков безопасности (см. раздел 13);

- разработка документации и анализ вариантов структуры обеспечения безопасности (см. раздел 14);

- распределение задач по детальному выбору защитных мер, проектированию, реализации и их обслуживанию, используя идентифицированные потенциально контролируемые зоны и согласованную структуру обеспечения безопасности (см. раздел 15).

Общие рекомендации по идентификации защитных мер содержатся в ISO/IEC TR 13335-4. Настоящий стандарт дополняет ISO/IEC TR 13335-4 и представляет процесс выбора подходящих контролируемых зон с точки зрения обеспечения безопасности, связанной с подключениями к сетям связи.

Общий процесс идентификации и анализа факторов, относящихся к средствам связи, представлен на рисунке 1. Факторы, относящиеся к средствам связи, следует принимать во внимание для того, чтобы устанавливать требования к обеспечению безопасности сети и указывать на потенциальные контролируемые зоны. Каждый этап этого процесса подробно изложен в последующих разделах настоящего стандарта.

     
Рисунок 1 - Процесс идентификации и анализа факторов, относящихся к средствам связи и ведущих к установлению требований безопасности сети


На рисунке 1 сплошными линиями представлен главный путь процесса. Пунктиром отмечены случаи, когда виды риска обеспечения безопасности могут быть установлены на основе результатов их анализа и управления результатами этого анализа.

В дополнение к главному пути процесса на некоторых этапах может возникнуть необходимость вернуться к результатам предыдущих этапов для сохранения последовательности, в частности, к этапам "Анализ политики организации по безопасности ИТ" и "Анализ структур сети и их применений". Например в следующих ситуациях:

- после установления риска обеспечения безопасности может потребоваться анализ политики безопасности ИТ организации , если что-то не учтено на уровне политики;

- если при идентификации потенциальных контролируемых зон необходимо принимать во внимание политику безопасности ИТ организации, потому что в ней может быть задано, что определенная безопасность должна быть реализована по всей организации, независимо от рисков;

- если необходимо обеспечить совместимость при выборе варианта структуры безопасности и проведения анализа структур сети и их применения.