- •1 Область применения
- •2 Нормативные ссылки
- •3 Термины и определения
- •5 Краткий обзор
- •6 Введение к выбору защитных мер и концепции базовой безопасности
- •7 Базовые оценки
- •7.1 Идентификация типа системы ит
- •7.2 Идентификация физических условий и условий окружающей среды
- •7.3 Оценка существующих/планируемых защитных мер
- •8 Защитные меры
- •8.1 Организационные и физические защитные меры
- •8.1.1 Политика и управление безопасностью ит
- •8.1.2 Проверка соответствия безопасности установленным требованиям
- •8.1.3 Обработка инцидента
- •8.1.4 Персонал
- •8.1.5 Эксплуатационные вопросы
- •8.1.6 Планирование непрерывности бизнеса
- •8.1.7 Физическая безопасность
- •8.2 Специальные защитные меры систем ит
- •8.2.1 Идентификация и аутентификация
- •8.2.2 Логическое управление и аудит доступа
- •8.2.3 Защита от злонамеренных кодов
- •8.2.4 Управление сетью
- •8.2.5 Криптография
- •9 Базовый подход: выбор защитных мер согласно типу системы ит
- •9.1 Обычно применяемые защитные меры
- •9.2 Специальные защитные меры систем ит
- •10 Выбор защитных мер в соответствии с проблемами безопасности и угрозами
- •10.1 Оценка проблем безопасности
- •10.1.1 Потеря конфиденциальности
- •10.1.2 Потеря целостности
- •10.1.3 Потеря доступности (готовности)
- •10.1.4 Потеря подотчетности
- •10.1.5 Потеря аутентичности
- •10.1.6 Потеря достоверности
- •10.2 Защитные меры для обеспечения конфиденциальности
- •10.2.1 Подслушивание
- •10.2.2 Электромагнитное излучение
- •10.2.3 Злонамеренные коды
- •10.2.4 Подделка под идентификатор законного пользователя
- •10.2.5 Направление сообщений по ошибочному/другому маршруту
- •10.2.6 Сбои программного обеспечения
- •10.2.7 Хищение
- •10.2.8 Несанкционированный доступ к компьютерам, данным, услугам и приложениям
- •10.2.9 Несанкционированный доступ к месту хранения носителей информации
- •10.3 Защитные меры целостности
- •10.3.1 Ухудшение места хранения носителей информации
- •10.3.2 Ошибка технического обслуживания
- •10.3.3 Злонамеренный код
- •10.3.4 Подделка под идентификатор законного пользователя
- •10.3.5 Направление сообщений по ошибочному/другому маршруту
- •10.3.6 Неотказуемость
- •10.3.7 Сбои программного обеспечения
- •10.3.8 Отказы в источниках питания (электроснабжение и вентиляция)
- •10.3.9 Техническая неисправность
- •10.3.10 Ошибки передачи
- •10.3.11 Несанкционированный доступ к компьютерам, данным, услугам и приложениям
- •10.3.12 Использование несанкционированных программ и данных
- •10.3.13 Несанкционированный доступ к месту хранения носителей информации
- •10.3.14 Ошибка пользователя
- •10.4 Защитные меры доступности
- •10.4.1 Разрушительное воздействие (деструктивных атак)
- •10.4.2 Ухудшение места хранения носителей информации
- •10.4.3 Неисправность аппаратуры связи и сбои коммуникационных услуг
- •10.4.4 Защита от пожара и/или затопления
- •10.4.5 Ошибка технического обслуживания
- •10.4.6 Злонамеренный код
- •10.4.7 Подделка под идентификатор законного пользователя
- •10.4.8 Неправильная маршрутизация или изменение маршрутизации сообщений
- •10.4.9 Злоупотребление ресурсами
- •10.4.10 Стихийные бедствия
- •10.4.11 Сбои программного обеспечения
- •10.4.12 Нарушения в снабжении (электроснабжение и вентиляция)
- •10.4.13 Технические неисправности
- •10.4.14 Хищение
- •10.4.15 Перегрузка трафика
- •10.4.16 Ошибки передачи
- •10.4.17 Несанкционированный доступ к компьютерам, данным, услугам и приложениям
- •10.4.18 Использование несанкционированных программ и данных
- •10.4.19 Несанкционированный доступ в места хранения носителей информации
- •10.4.20 Ошибка пользователя
- •10.5 Защитные меры для подотчетности, аутентичности и достоверности
- •10.5.1 Подотчетность
- •10.5.2 Аутентичность
- •10.5.3 Достоверность
- •11 Выбор защитных мер согласно детальным оценкам
- •11.1 Взаимосвязь исо/мэк то 13335-3 с настоящим стандартом
- •11.2 Принципы выбора
- •12 Разработка базовой безопасности организации
- •13 Выводы
- •Кодекс менеджмента безопасности информационных технологий
- •Стандарт etsi * "Свойства и механизмы обеспечения базового уровня безопасности"
- •Руководство по базовой защите информационных технологий
- •Справочник nist* пo компьютерной безопасности
- •Медицинские информационные технологии. Категории безопасности и защита информационных систем здравоохранения
- •Тк 68 Банковские и другие финансовые услуги. Руководящие указания по информационной безопасности
- •Защита ценной информации, не подпадающей под действие законодательства о государственной тайне. Рекомендации для автоматизированных рабочих мест
- •Канадский справочник по безопасности информационных технологий
- •Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам
- •Библиография
8.1 Организационные и физические защитные меры
Источники дополнительной информации о категориях защитных мер приведены в таблицах 8.1.1-8.1.7.
Таблица 8.1.1 - Политика и управление безопасностью ИТ
Категории защитных мер |
Источники дополнительной информации о категориях защитных мер | |||||||
|
Разделы и пункты [1] |
Разделы и пункты [3] |
Разделы и пункты [4] |
Разделы и пункты [5] |
Разделы и пункты [6] |
Разделы и пункты [7] |
Разделы и пункты [8] |
Разделы и пункты [9] |
1 Политика обеспечения безопасности ИТ организации |
3.1 |
- |
1.1, 1.2 |
5.1 |
6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1 |
3 |
- |
5.1, 5.2 |
2 Политика обеспечения безопасности системы ИТ |
- |
- |
1.1, 1.2 |
5.2, 5.3 |
6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1 |
3 |
- |
5.2, 5.3 |
3 Управление безопасностью ИТ |
4.1.1, 4.1.2 |
- |
1.1, 1.2 |
6 |
6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1 |
4 |
2.1 |
6 |
4 Распределение ответственности и полномочий |
4.1.3 |
- |
1.3 |
2.4, 2.5, 3 |
6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1 |
4 |
2.1 |
2.4, 2.5, 3 |
5 Организация безопасности ИТ |
4.1 |
- |
1.2 |
3.5 |
- |
4 |
2.2 |
3.5 |
6 Идентификация и определение стоимости активов |
5 |
- |
2.2 |
7.1 |
- |
5.6, 7.1 |
5.1 |
7.1 |
7 Одобрение систем ИТ |
4.1.4 |
- |
- |
8 |
5 |
- |
6.7 |
8, 9 |
Таблица 8.1.2 - Проверка соответствия безопасности установленным требованиям
Категории защитных мер |
Источники дополнительной информации о категориях защитных мер | |||||||
|
Разделы и пункты [1] |
Разделы и пункты [3] |
Разделы и пункты [4] |
Разделы и пункты [5] |
Разделы и пункты [6] |
Разделы и пункты [7] |
Разделы и пункты [8] |
Разделы и пункты [9] |
1 Соответствие политики обеспечения безопасности ИТ защитным мерам |
12.2 |
- |
1.2 |
10.2.3 |
- |
10.2 |
7.1, 7.2 |
9.4, 10.2.3 |
2 Соответствие законодательным и обязательным требованиям |
12.1 |
- |
3.1, 3.2 |
6.3, 10.2.3 |
6.3.1 |
8.18, 10.2 |
8.1 |
1.5, 2.9, 6.3, 10.2.3 |
Таблица 8.1.3 - Обработка инцидента
Категории защитных мер |
Источники дополнительной информации о категориях защитных мер | |||||||
|
Разделы и пункты [1] |
Разделы и пункты [3] |
Разделы и пункты [4] |
Разделы и пункты [5] |
Разделы и пункты [6] |
Разделы и пункты [7] |
Разделы и пункты [8] |
Разделы и пункты [9] |
1 Отчет об инциденте безопасности |
6.3.1 |
- |
М2 |
12 |
- |
10.4 |
- |
12 |
2 Сообщение о слабых местах при обеспечении безопасности |
6.3.2 |
- |
М2 |
12 |
- |
10.4 |
- |
12 |
3 Сообщение о нарушениях в работе ПО |
6.3.3 |
- |
М2 |
12 |
- |
10.4 |
- |
12 |
4 Управление в случае возникновения инцидента |
8.1.3 |
- |
М2 |
12 |
- |
10.4 |
- |
18.1.3 |
Таблица 8.1.4 – Персонал
Категории защитных мер |
Источники дополнительной информации о категориях защитных мер | |||||||
|
Разделы и пункты [1] |
Разделы и пункты [3] |
Разделы и пункты [4] |
Разделы и пункты [5] |
Разделы и пункты [6] |
Разделы и пункты [7] |
Разделы и пункты [8] |
Разделы и пункты [9] |
1 Защитные меры для штатного или временного персонала |
6.1 |
- |
3.2, М3 |
10.1 |
6.3,9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9 |
9.2 |
4.1, 2.2 |
10.1 |
2 Защитные меры для персонала, нанятого по контракту
|
6.1 |
- |
- |
10.3 |
6.3.9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9 |
9.2 |
4.1, 2.2 |
10.3 |
3 Обучение и осведомленность о мерах безопасности |
6.2 |
- |
1.2, М3 |
13, 10.1.4 |
6.3.9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9 |
9.1 |
4.2, 2.2 |
13, 10.1.4 |
4 Процесс обеспечения исполнительской дисциплины |
6.3.4 |
- |
3.2, М3 |
- |
6.3.9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9 |
9.2.6 |
2.2.1 |
13.1 |
Таблица 8.1.5 - Эксплуатационные вопросы
Категории защитных мер |
Источники дополнительной информации о категориях защитных мер | |||||||
|
Разделы и пункты [1] |
Разделы и пункты [3] |
Разделы и пункты [4] |
Разделы и пункты [5] |
Разделы и пункты [6] |
Разделы и пункты [7] |
Разделы и пункты [8] |
Разделы и пункты [9] |
1 Управление конфигурацией и изменениями |
8.1, 10.5 |
- |
- |
14.3, 8.4.1 |
- |
7.4 |
9 |
14.3, 8.4.1, 8.4.4 |
2 Управление резервами |
8.2.1 |
- |
- |
- |
- |
- |
- |
- |
3 Документация |
8.1.1, 8.6.3 |
- |
М2 |
14.6 |
- |
8.4.6, 8.5.7, 8.7 |
- |
14.6 |
4 Техническое обслуживание |
7.2.4 |
- |
М2 |
14.7 |
6.3.6, 7.3 6, 8.3.6, 9.3.6, 10.3.6, 11.3.6 |
8.1.4, 8.10.5, 10.1 |
6.5 |
14.7 |
5 Мониторинг изменений, связанных с безопасностью |
- |
- |
1.2 |
7.3.3 |
- |
7.4, 8.1.3, 8.2.5, 8.3.7 |
6.7 |
7.3.3, 8.4.4 |
6 Записи аудита и регистрация |
8.4 |
- |
М2 |
18 |
- |
7.3, 8.1.8, 8.2.10, 8.9.5 |
6.7 |
(18) |
7 Тестирование ИБ |
- |
- |
М2 |
8.4.3 |
- |
8.3.5 |
6.7, 3 |
8.4.3 |
8 Управление носителями информации |
8.6 |
- |
8, М2 |
14.5 |
6.3.5, 7.3.5, 8.3.5, 9.3.5, 10.3.5, 11.3 5 |
8.4-8.14 |
5 |
14.5 |
9 Обеспечение стирания памяти |
- |
- |
М4 |
- |
- |
8.1.9 |
6.3, 5 |
14.5.7 |
10 Распределение ответственности и полномочий |
8.1.4 |
- |
М2 |
- |
- |
- |
- |
10.1.1 |
11 Корректное использование программного обеспечения |
12.1.2 |
- |
М2 |
- |
6.3.8, 7.3.8, 8.3.8, 9.3.8, 10.3.8, 11.3.8 |
8.3 |
6.3 |
14.2 |
12 Управление изменениями программного обеспечения |
10.5.1, 10.5.3 |
- |
М2 |
- |
6.3.8, 7.3.8, 8.3.8, 9.3.8, 10.3.8, 11.3.8 |
8.3.7 |
6.3 |
8.4.4, 14.2 |
Таблица 8.1.6 - Планирование непрерывности бизнеса
Категории защитных мер |
Источники дополнительной информации о категориях защитных мер | |||||||
|
Разделы и пункты [1] |
Разделы и пункты [3] |
Разделы и пункты [4] |
Разделы и пункты [5] |
Разделы и пункты [6] |
Разделы и пункты [7] |
Разделы и пункты [8] |
Разделы и пункты [9] |
1 Стратегия непрерывности бизнеса |
11.1.1, 11.1.2 |
- |
3.3, М6 |
10.2, 11.3, 11.4 |
6.3.3, 7.3.3, 8.3.3, 9.3,3, 10.3.3, 11.3.3
|
8.1.7, 8.4.5, 8.5.5, 8.6.5, 8.7.5, 8.8.3, 8.19 |
7.3, 7.4, 7.5 |
11.2, 11.3, 11.4 |
2 План непрерывности бизнеса |
11.1.3, 11.1.4 |
- |
3.3, М6 |
11.5 |
6.3.3, 7.3.3, 8.3.3, 9.3.3, 10.3.3, 11.3.3 |
|
- |
11.5 |
3 Проверка и актуализация плана непрерывности бизнеса |
11.1.5 |
- |
3.3, М6 |
11.6 |
6.3.3, 7.3.3, 8.3.3, 9.3.3, 10.3.3, 11.3.3 |
|
- |
11.6 |
4 Дублирование |
8.4.1 |
- |
3.4 |
14.4 |
6.3.2.4, 7.3.2.4, 8.3.2.4, 9.3.2.4, 10.3.2.4, 11.3.2.4 |
|
7.1, 7.2 |
14.4 |
Таблица 8.1.7 - Физическая безопасность
Категории защитных мер |
Источники дополнительной информации о категориях защитных мер | |||||||
|
Разделы и пункты [1] |
Разделы и пункты [3] |
Разделы и пункты [4] |
Разделы и пункты [5] |
Разделы и пункты [6] |
Разделы и пункты [7] |
Разделы и пункты [8] |
Разделы и пункты [9] |
1 Материальная защита |
7.1 |
- |
4.1, 4.3, М1 |
15.1 |
6.3.1.2, 7.3.1.2, 8.3.1.2, 9.3.1.2, 10.3.1.2, 11.3.1.2 |
8.1.1, 8.6.2, 8.9.1 |
3.1, 3.4, 4 |
15.1 |
2 Противопожарная защита |
7.2.1 |
- |
- |
15.2 |
6.3.1.4, 7.3.1.4, 8.3.1.4, 9.3.1.4, 10.3.1.4, 11.3.1.4 |
8.1.1, 8.6.2, 8.9.1 |
3.1, 3.2, 7.5 |
15.2 |
3 Защита от воды/других жидкостей |
7.2.1 |
- |
М2 |
15.5 |
6.3.1.4, 7.3.1.4, 8.3.1.4, 9.3.1.4, 10.3.1.4, 11.3.1.4 |
8.1.1, 8.6.2, 8.9.1 |
7.5 |
15.5 |
4 Защита от стихийных бедствий |
7.2.1 |
- |
М2 |
15.4 |
6.3.1.4, 7.3.1.4, 8.3.1.4, 9.3.1.4, 10.3.1.4, 11.3.1.4 |
8.1.1, 8.6.2, 8.9.1 |
7.5 |
15.4 |
5 Защита от хищения |
7.1 |
- |
1.2 |
15.1 |
6.3.1.3, 7.3.1.3, 8.3.1.3, 9.3.1.3, 10.3.1.3, 11.3.1.3 |
8.1.1, 8.6.2, 8.9.1 |
3.3, 3.4, 4 |
15.1 |
6 Энергоснабжение и вентиляция |
7.2.2 |
- |
М2 |
15.6 |
6.3.4, 7.3.4, 8.3.4, 9.3.4, 10.3.4, 11.3.4 |
8.1.1, 8.6.2, 8.9.1 |
3.2, 7.3 |
15.6 |
7 Прокладка кабелей |
7.2.3 |
- |
4.2, М1 |
- |
- |
8.1.1, 8.6.2, 8.9.1 |
8.2 |
15, 15.1, 15.7 |