ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети

     13.2 Управление безопасностью услуг

13.2.1 Введение

Ключевое требование обеспечения безопасности для конкретной сети заключается в том, что осуществляются действия по управлению безопасностью услуг, устанавливающие и контролирующие операции по безопасности и реализацию безопасности. Такие действия следует проводить для обеспечения безопасности всех ИТ организации. Деятельность управления сетевыми соединениями включает в себя:

- распределение ответственности и полномочий, связанных с обеспечением безопасности сетевых соединений, и назначение представителя руководства, несущего общую ответственность за их безопасность;

- документальное оформление заявления о политике в области безопасности систем, а также всей необходимой документации по структуре технического обеспечения безопасности;

________________

Следует представить и документировать проект структуры технического обеспечения безопасности (спецификацию защиты) как часть процесса технического проектирования структуры. Этот проект и технический проект архитектуры должны быть согласованы друг с другом.

- разработку документированных процедур по обеспечению безопасности;

- проверку соответствия безопасности с целью убедиться в том, что безопасность поддерживается на требуемом уровне;

- документированное получение подтвержденных условий обеспечения безопасности для планируемого соединения, прежде чем будет получено разрешение на подключение к организации или сообществу;

- документированное получение подтвержденных условий обеспечения безопасности пользователей услуг, предоставляемых сетью;

- разработку схем действий в особой ситуации;

- документированное получение подтвержденных и проверенных планов непрерывности бизнеса/восстановления после стихийного бедствия.

Следует заметить, что настоящий раздел строится на аспектах, изложенных в ISO/IEC TR 13335-4. Только важные темы, касающиеся сетевых соединений, характеризуются далее в настоящем стандарте. Темы, не затронутые далее в настоящем стандарте, - в соответствии с ISO/IEC TR 13335-4.

13.2.2 Организационные процедуры обеспечения безопасности

Для поддержки политики обеспечения безопасности систем следует разработать и соблюдать документацию по организационным процедурам обеспечения безопасности. В них следует подробно изложить повседневные действия, связанные с обеспечением безопасности, и назначить лиц, ответственных за их проведение.

13.2.3 Проверка соответствия требованиям безопасности

Проверку соответствия требованиям безопасности в отношении сетевых соединений следует проводить в соответствии с контрольным перечнем, составленным на основе защитных мер, определенных в:

- политике безопасности систем;

- процедурах, имеющих отношение к безопасности;

- структуре технического обеспечения безопасности;

- политике доступа (безопасности) к услугам через межсетевой экран;

- плане(ах) обеспечения непрерывности бизнеса;

- условиях обеспечения безопасности для соединений по требованию.

Проверку соответствия следует проводить до операционного включения любого сетевого соединения, перед основным новым выпуском (имеющим отношение к значимому бизнесу или изменению в сети) либо ежегодно.

13.2.4 Условия обеспечения безопасности для соединения

Если условия обеспечения безопасности для соединения не согласованы на месте или по контракту, то организация принимает на себя риски, связанные с внешним концом сетевого соединения.

Например, организация А может потребовать от организации В, чтобы до подключения к системам организации А через сетевое соединение организация В поддерживала и демонстрировала заданный уровень безопасности для систем, вовлеченных в это соединение. В этом случае организация А может быть уверена, что организация В справляется со своими рисками должным образом. В таких ситуациях организация А должна определить условия обеспечения безопасности в конце сетевого соединения со стороны организации В, которые должны быть установлены в документации по соединению с подробным указанием необходимых защитных мер. Организация В должна реализовать и поддерживать в рабочем состоянии установленные защитные меры, и направлять организации А отчет об эффективности защитных мер и поддержанию необходимого уровня безопасности. Таким образом, сохраняется право поручать или проводить проверку соответствия требованиям безопасности соединения в конце сетевого соединения со стороны организации В.

Возможны также случаи, когда организации согласуют документ по условиям обеспечения безопасности для соединения, в котором записывают обязательства и ответственность для всех сторон, включая взаимную проверку соответствия требованиям по безопасности.