ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети

     8 Анализ требований политики безопасности ИТ организации

Политика организации по безопасности ИТ включает в себя решения о необходимости обеспечения характеристик конфиденциальности, целостности, неотказуемости, подотчетности, аутентичности и достоверности передачи/приема сообщений, а также взгляды на типы угроз и требования безопасности, имеющие непосредственное отношение к сетевым соединениям.

Например, в соответствии с политикой организации по безопасности ИТ следует принять решение о том, что:

- доступность некоторых типов информации или услуг является предметом рассмотрения;

- никакие соединения не разрешаются через коммутируемые линии связи;

- все соединения с Интернет должны быть через переход межсетевого экрана;

- должен применяться конкретный тип перехода межсетевого экрана;

- никакие платежные инструкции не являются действительными без цифровой подписи.

Такие решения, мнения и требования, приемлемые в масштабе организации, должны быть приняты во внимание при определении видов риска обеспечения безопасности (см. раздел 12) и идентификации потенциальных контролируемых зон для сетевых соединений (см. раздел 13). При наличии каких-либо требований к обеспечению безопасности они могут быть подтверждены документами в виде предварительного перечня потенциальных контролируемых зон и, при необходимости, отражены в вариантах структуры обеспечения безопасности. Место документа по политике безопасности ИТ в рамках подхода организации к безопасности ИТ, его содержание и отношение с другими аналогичными документами приведены в ISO/IEC TR 13335-3.