Приложение С (справочное). Руководство по базовой защите информационных технологий. Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 13335-4-2007 "Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 07.06.2007 N 122-ст) (отменен)

Приложение С
(справочное)

Руководство по базовой защите информационных технологий

В настоящем приложении приведено краткое описание стандарта [4].

Область применения

Целью базовой защиты ИТ путем соответствующего применения стандартизованных организационных, персональных, инфраструктурных и технических защитных мер является достижение стандарта безопасности систем ИТ, который является адекватным и достаточным для удовлетворения требований защиты среднего уровня и может служить в качестве основы для применения в ИТ, требующих более высокого уровня защиты.

С этой целью руководство по базисной защите ИТ рекомендует пакет контрмер для типичных конфигураций, окружающей среды и организационных структур ИТ. При подготовке этого руководства орган по обеспечению безопасности информации Германии принял расчетные оценки риска на основе известных угроз и уязвимостей и разработал для этой цели пакет мер. Таким образом, пользователям руководства по базисной защите ИТ не придется снова проводить подобный анализ базовой защиты ИТ. Пользователи должны только обеспечить последовательную и полную реализацию рекомендованных защитных мер.

В то же время руководство по базовой защите ИТ помогает обеспечить безопасность ИТ в том, что касается экономически эффективного выполнения требований к защите на среднем уровне, так как политика безопасности индивидуальных систем может ссылаться на это руководство. Таким образом, базовая защита ИТ становится общепринятой основой соглашения по защитным мерам для соответствия требованиям защиты среднего уровня.

Содержание

1 Менеджмент безопасности ИТ

2 Применение руководства по базовой защите ИТ

2.1 Применение руководства по базовой защите ИТ

2.2 Установление требований к защите

2.3 Использование руководства по базовой защите ИТ

2.4 Практические советы и операционные вспомогательные средства

3 Базовая защита ИТ основных компонентов

3.1 Организация

3.2 Персонал

3.3 Планирование действий в нештатных ситуациях

3.4 Резервирование

3.5 Защита данных

3.6 Защита от компьютерного вируса

3.7 Общее представление о криптографии

4 Инфраструктура

4.1 Здания

4.2 Прокладка кабелей

4.3 Помещения

4.3.1 Офис

4.3.2 Помещение для сервера

4.3.3 Архивы запоминающих устройств

4.3.4 Помещение технической инфраструктуры

5 Системы, не входящие в сеть

5.1 Дисковая операционная система DOS PC (одиночный пользователь)

5.2 Системы UNIX

5.3 Портативный переносной компьютер

5.4 Дисковая операционная система DOS PC (несколько пользователей)

5.5 ПК Windows NT

5.6 ПК Windows 95

5.7 Общая система, не входящая в сеть

6 Сетевые системы

6.1 Сеть ПК на основе сервера

6.2 Сеть UNIX

6.3 Структура сети равноправных ЭВМ на базе Windows для рабочих групп

6.4 Сеть на основе Windows NT

6.5 Семейство операционных систем Novel Netware 3.x

6.6 Семейство операционных систем Novel Netware 4.x

6.7 Гетерогенные сети

6.8 Управление сетью и системами

7 Системы передачи данных

7.1 Обмен между средами хранения

7.2 Модем

7.3 Межсетевая защита

7.4 Электронная почта

7.5 Интернет сервер

8 Дистанционная передача данных (телекоммуникация)

8.1 Телекоммуникационные системы

8.2 Факсимильные аппараты

8.3 Автоответчики

8.4 Аппаратура дистанционного действия

9 Другие компоненты ИТ

9.1 Стандартное программное обеспечение

9.2 Базы данных

9.3 Средства передачи данных

Каталоги защитных мер

Каталоги угроз

Каталоги угроз с таблицами защитных мер