Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

     6.2 Планирование и менеджмент сетевой безопасности


При рассмотрении вопроса о сетевых соединениях все сотрудники организации, чьи обязанности связаны с обслуживанием соединений сети, должны отчетливо сознавать важность требований и выгод основной деятельности организации, взаимосвязанных рисков безопасности и взаимосвязанных аспектов специализированной архитектуры безопасности/методы проектирования и области действия мер и средств контроля и управления безопасностью. Требования и выгоды основной деятельности организации влияют на многие решения и действия, предпринимаемые в процессе рассмотрения вопроса сетевых соединений, идентификации аспектов специализированной архитектуры безопасности/методов проектирования и потенциальных областей действия мер и средств контроля и управления безопасностью и, в конечном счете, выбора, проектирования, реализации и поддержки безопасных сетей.

Общий процесс достижения и поддержки необходимой сетевой безопасности можно кратко изложить следующим образом:

a) определение области/контекста, а затем оценка рисков безопасности:

1) сбор информации о текущей и (или) планируемой сетевой среде:

i) рассмотрение корпоративной политики информационной безопасности на предмет формулировок о рисках, связанных с сетями, которые всегда будут считаться высокими, а также мерах и средствах контроля и управления сетевой безопасностью, которые должны быть реализованы независимо от оцененных рисков.

Примечание - Следует отметить, что эта политика должна также отражать позицию организации в отношении (cм. перечисление 1), регулирующих и законодательных требований безопасности, связанных с сетевыми соединениями, которые определены соответствующими регулирующими или законодательными органами (включая органы исполнительной власти) (см. перечисление 2), значимости данных, которые будут храниться в сети или передаваться по сети,

ii) сбор и проверка информации о текущей и (или) планируемой сети (сетях) - архитектура (архитектуры), приложения, услуги, виды соединений и другие характеристики, что будет иметь отношение к идентификации и оценке рисков и определению того, что является возможным с точки зрения специализированной архитектуры/проекта сетевой безопасности,

iii) сбор другой информации с тем, чтобы иметь возможность оценить потенциальное неблагоприятное влияние на основную деятельность организации, угрозы и уязвимости (представляет ценность для операций основной деятельности организации, касающихся информации, которая должна передаваться через сетевые соединения, и любой другой информации, потенциально доступной несанкционированным образом через эти соединения, а также для предоставляемых услуг);

2) идентификация и оценка рисков сетевой безопасности и соответствующих потенциальных областей действия мер и средств контроля и управления:

i) осуществление оценки риска сетевой безопасности и проводимой руководством проверки с использованием информации о риске, связанном с требуемыми сетевыми сценариями и вопросами сетевых "технологий" (см. разделы 10 и 11) - определение требований безопасности. [Следует обратить внимание на то, что это будет включать в себя (см. перечисление 1), оценку рисков, связанных с потенциальными нарушениями значимых предписаний и законов, касающихся сетевых соединений, которые определены соответствующими регулирующими или законодательными органами (включая органы исполнительной власти) (cм. перечисление 2), использование установленных потенциальных неблагоприятных влияний на основную деятельность организации, подтверждающих значимость/секретность данных, которые будут храниться или передаваться по сети];

b) идентификация поддерживающих мер и средств контроля и управления безопасностью - технических и нетехнических - применяемых не только к сетям (см. раздел 8);

c) рассмотрение вариантов специализированной архитектуры/проекта сетевой безопасности с учетом сетевых сценариев и вопросов сетевых "технологий", выбором и документированием предпочтительной специализированной архитектуры/проекта безопасности и связанных с ними мер и средств контроля и управления безопасностью (см. разделы 9-11 и приложение A). [Следует отметить, что это будет касаться мер и средств контроля и управления, необходимых для соблюдения соответствующих предписаний и законов, связанных с сетевыми соединениями, которые определены соответствующими регулирующими или законодательными органами (включая органы исполнительной власти)];

d) разработка и тестирование комплекса программных и технических средств и услуг по обеспечению безопасности (см. раздел 12);

e) реализация и эксплуатация мер и средств контроля и управления безопасностью (см. раздел 13);

f) мониторинг и проверка реализации (см. раздел 14). [Следует отметить, что процесс будет включать мониторинг и проверку мер и средств контроля и управления, необходимых для соблюдения соответствующих предписаний и законов, связанных с сетевыми соединениями, которые определены соответствующими регулирующими или законодательными органами (включая органы исполнительной власти)]:

1) проверки должны проводиться периодически, а также в случае существенных изменений (в потребностях основной деятельности организации, технологии, решений по обеспечению безопасности и т.д.), и по мере необходимости должны пересматриваться и корректироваться результаты описанных выше предыдущих этапов.

Схема процесса планирования и менеджмента сетевой безопасности представлена на рисунке 4.

Примечание - См. также ИСО/МЭК 27001 - ИСО/МЭК 27005.

Рисунок 4 - Процесс планирования и менеджмента сетевой безопасности



Следует подчеркнуть, что на протяжении этого процесса, по мере необходимости и для получения общих рекомендаций по идентификации мер и средств контроля и управления безопасностью, необходимо обратиться к ИСО/МЭК 27001, ИСО/МЭК 27002 и ИСО/МЭК 27005. Настоящий стандарт дополняет эти стандарты, предоставляя вводную информацию к тому, как следует идентифицировать соответствующие меры и средства контроля и управления сетевой безопасностью и, следовательно, к ИСО/МЭК 27033-2 - ИСО/МЭК 27033-7.