Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

     9.2 Базовый подход


Цель обеспечения безопасности с помощью базового подхода состоит в том, чтобы подобрать для организации минимальный набор защитных мер для защиты всех или отдельных систем информационных технологий. Используя базовый подход, можно применять соответствующий ему базовый уровень безопасности в организации и, кроме того (см. 9.1), дополнительно использовать результаты детального анализа риска для обеспечения безопасности систем информационных технологий с высоким уровнем риска или систем, играющих важную роль в деловой деятельности организации. Использование базового подхода позволяет снизить инвестиции организации на исследование результатов анализа риска (см. 8.1).

Удовлетворительная защита с помощью базового подхода может быть обеспечена путем использования справочных материалов (каталогов) по защитным мерам безопасности, где можно подобрать набор средств для защиты системы информационных технологий от наиболее часто встречающихся угроз. Базовый уровень безопасности может быть установлен в соответствии с потребностями организации, при этом в проведении детальной оценки угроз, рисков и уязвимости систем не будет необходимости. Все, что нужно сделать, применяя базовый подход к обеспечению безопасности, - выбрать из справочных материалов (каталогов) по защитным мерам безопасности соответствующие пункты, которые подходят для рассматриваемой системы информационных технологий. При наличии в системе установленных защитных мер их необходимо сравнить с рекомендуемыми в каталогах. Защитные меры, которые отсутствуют в системе, но могут быть в ней использованы, должны быть реализованы.

Справочные материалы (каталоги) по защитным мерам безопасности могут содержать во-первых, подробное описание рекомендуемых защитных мер, во-вторых, рекомендации с набором требований по обеспечению безопасности, которыми можно воспользоваться при выборе рекомендуемых мер для данной системы. Оба варианта имеют свои преимущества. Сведения о справочных материалах обоих вариантов можно найти в приложениях А-Н, приведенных в ИСО/МЭК ТО 13335-4. Одной из целей базового подхода является согласование защитных мер в масштабе всей организации, что может быть достигнуто при использовании каждого из указанных выше вариантов.

В настоящее время существует несколько справочников, содержащих перечни базовых защитных мер. Кроме того, в ряде случаев среди компаний, занятых в одной отрасли производства, можно найти компании со схожими условиями ведения деловой деятельности. После изучения их основных потребностей может оказаться, что справочники с перечнем базовых мер безопасности могут быть использованы несколькими различными организациями. Такие справочники можно найти, например, в:

- международных организациях по стандартизации и национальных научно-технических центрах по стандартизации и метрологии;

- научно-технических центрах отраслевых стандартов (или нормативов);

- организациях, имеющих аналогичную деловую деятельность или сопоставимых по масштабам работ.

Любая организация может выработать свой базовый уровень безопасности в соответствии с собственными условиями деловой деятельности и деловыми целями.