Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

     8.2 Менеджмент сетевой безопасности

8.2.1 Вводная информация

Общий менеджмент сетевой безопасности должен быть безопасным, при этом необходимо уделять внимание различным доступным сетевым протоколам и связанным с ними сервисам безопасности. В поддержку безопасности организация должна рассмотреть ряд мер и средств контроля и управления сетевой безопасностью, большая часть которых может быть идентифицирована посредством применения требований ИСО/МЭК 27002 и ИСО/МЭК 27005. Меры и средства контроля и управления, которые требуют более подробного изложения в контексте сетевой безопасности, представлены в 8.2.2-8.2.5.

8.2.2 Деятельность по менеджменту сетевой безопасности

8.2.2.1 Введение

Ключевым требованием, предъявляемым к любой сети, является поддержание ее посредством деятельности по менеджменту безопасности, которое инициирует и контролирует реализацию и функционирование безопасности. Эта деятельность должна осуществляться для обеспечения безопасности всех информационных систем организации/сообщества. Деятельность по менеджменту сетевой безопасности должна включать в себя:

- определение всех обязанностей, связанных с сетевой безопасностью, и назначение лица, ответственного за обеспечение безопасности;

- документально оформленную политику сетевой безопасности вместе с документированной специализированной архитектурой безопасности;

- документированные SecOPs;

- проверку соответствия требованиям безопасности, включая тестирование безопасности, для обеспечения уверенности в том, что безопасность поддерживается на требуемом уровне;

- документированные условия обеспечения безопасности для сетевого соединения, которые должны быть соблюдены, прежде чем будет получено при необходимости разрешение на соединение с сотрудниками организации или сторонними организациями или лицами;

- документированные условия обеспечения безопасности для удаленных сетевых пользователей;

- план менеджмента инцидентов сетевой безопасности;

- документально оформленные и проверенные планы по обеспечению непрерывности деятельности/восстановлению после прерывания.

Подробную информацию по этим вопросам см. в ИСО/МЭК 27002, ИСО/МЭК 27005 и ИСО/МЭК 18044*. В настоящем разделе предоставлено дальнейшее руководство только по тем вопросам, которые особенно важны в отношении использования сетей.

_______________

* В тексте ИСО/МЭК 27033-1:2009 даны ссылки на ИСО/МЭК 27035 - это опечатка.

8.2.2.2 Политика сетевой безопасности

Обязанностью руководства организации является принятие и обеспечение поддержки политики сетевой безопасности организации (см. ИСО/МЭК 27002). Политика сетевой безопасности должна следовать из политики информационной безопасности организации и быть согласована с ней. Политика сетевой безопасности организации должна быть реализуемой, легко доступной для уполномоченных сотрудников организации и должна содержать четкие формулировки:

- с точки зрения руководства организации в отношении приемлемого использования сети;

- правил безопасного использования конкретных сетевых ресурсов, услуг и приложений;

- последствий невыполнения правил безопасности;

- отношения организации к неправильному использованию сети;

- логического обоснования политики и конкретных правил безопасности.

[При необходимости эти формулировки могут быть включены в политику информационной безопасности, если это более удобно для организации и (или) это делает политику более понятной для персонала].

Содержание политики сетевой безопасности должно включать в себя краткое изложение результатов оценки риска сетевой безопасности и проводимой руководством проверки (что служит обоснованием расходов на меры и средства контроля и управления) с детализацией всех выбранных мер и средств контроля и управления безопасностью, соразмерных оцененным рискам (см. 7.3).

8.2.2.3 Операционные процедуры сетевой безопасности

В поддержку политики сетевой безопасности необходимо разработать документы по осуществлению процедур безопасности. Документы должны содержать детализированные операционные процедуры, связанные с обеспечением сетевой безопасности, а также сведения о лицах, ответственных за их применение и менеджмент. Примерный образец представлен в приложении C.

8.2.2.4 Проверка соответствия требованиям сетевой безопасности