Статус документа
Статус документа

ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер

     7.3 Оценка существующих/планируемых защитных мер


После оценки физических условий и условий окружающей среды и компонентов системы ИТ должны быть идентифицированы существующие или планируемые защитные меры. Это необходимо сделать во избежание дублирования существующих или планируемых защитных мер. Кроме того, изучение внедренных или запланированных защитных мер помогает при выборе других взаимосвязанных защитных мер. При выборе защитных мер организация должна принимать во внимание их совместимость с существующими защитными мерами. Одни защитные меры могут конфликтовать с другими или мешать их успешной работе и действующей системе безопасности в целом.

Для идентификации существующих или планируемых защитных мер могут помочь следующие действия:

- просмотр документов, содержащих информацию о мерах безопасности (например, планов или концепций обеспечения безопасности ИТ). Если процесс обеспечения безопасности документирован, то в документации должны быть перечислены все существующие или планируемые защитные меры и статус их реализации;

- проверка вместе с пользователями и ответственными сотрудниками (например специалистом по безопасности системы ИТ, главным инженером или комендантом, ответственным за управление зданием и его эксплуатацию) того, какие защитные меры действительно реализуются для рассматриваемой системы ИТ;

- осмотр здания с целью проверки реализации защитных мер, их сравнения с перечнем установленных защитных мер, оценка их корректности и эффективности.

Может быть установлено, что существующие защитные меры превышают текущие потребности организации. В этом случае следует рассмотреть вопрос об исключении избыточных защитных мер. При этом следует принять во внимание факторы обеспечения безопасности организации и экономической целесообразности применения защитных мер. Защитные меры влияют друг на друга, поэтому исключение избыточных защитных мер может снизить совокупный уровень безопасности. Кроме того, иногда дешевле сохранить избыточные защитные меры, чем их ликвидировать. Наоборот, если поддержание в рабочем состоянии и обслуживание избыточных защитных мер связано с высокими расходами, то дешевле их ликвидировать.