Статус документа
Статус документа

ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

     8.1 Базовый подход


В случае использования первого варианта подхода к анализу риска организация может применить базовый уровень обеспечения безопасности ко всем системам информационных технологий путем выбора стандартных защитных мер безопасности. Перечень рекомендуемых стандартных защитных мер приведен в документах по базовой безопасности (см. ИСО/МЭК ТО 13335-4); более подробное описание этого варианта подхода см. в 9.2.

Существует ряд преимуществ использования этого варианта подхода, в том числе:

- возможность обойтись минимальным количеством ресурсов при проведении анализа и контроля риска для каждого случая принятия защитных мер и, соответственно, потратить меньше времени и усилий на выбор этих мер;

- при применении базовых защитных мер безопасности можно принять экономически эффективное решение, поскольку те же или схожие базовые защитные меры безопасности могут быть без особых проблем применены во многих системах, если большое число систем в рамках организации функционирует в одних и тех же условиях и предъявляемые к обеспечению безопасности требования соизмеримы.

В то же время этот вариант подхода имеет следующие недостатки:

- если принимается слишком высокий базовый уровень, то для ряда систем информационных технологий уровень обеспечения безопасности будет завышен;

- если базовый уровень будет принят слишком низким, то для ряда систем информационных технологий уровень обеспечения безопасности будет недостаточен, что увеличит риск ее нарушения и

- могут возникнуть трудности при внесении изменений, затрагивающих вопросы обеспечения безопасности. Так, если была проведена модернизация системы, то могут возникнуть сложности при оценке способностей первоначально примененных базовых защитных мер безопасности и далее оставаться достаточно эффективными.

Если все используемые в организации системы информационных технологий характеризуются низким уровнем требований к обеспечению безопасности, то первый вариант стратегии анализа риска может оказаться экономически эффективным. В этом случае базовый уровень безопасности должен выбираться так, чтобы он соответствовал уровню защиты, необходимому для большинства систем информационных технологий. Для большинства организаций всегда существует необходимость использовать некоторые минимальные стандартные уровни для обеспечения защиты важнейшей информации с целью отвечать требованиям правовых и нормативных актов - например, требованиям закона о безопасности информации. Однако в случаях, если отдельные системы организации характеризуются различной степенью чувствительности, разными объемами и сложностью деловой информации, использование общих стандартов применительно ко всем системам будет логически неверным, экономически неоправданным.