Приложение С (справочное). Сопоставление архитектуры безопасности МСЭ-Т Х.805 и мер обеспечения безопасности ИСО/МЭК 27001:2005. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27033-2-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18.05.2021 N 368-ст)

Приложение С
(справочное)

Сопоставление архитектуры безопасности МСЭ-Т Х.805 и мер обеспечения безопасности ИСО/МЭК 27001:2005

МСЭ-Т Х.805 может также использоваться для технического расширения мер обеспечения безопасности ИСО/МЭК 27001. В частности, как показано на рисунке С.1, МСЭ-Т Х.805 может дополнять четыре меры обеспечения безопасности в ИСО/МЭК 27001:2005: политика безопасности, управление активами, управление доступом и управление инцидентами ИБ. Специфические для МСЭ-Т Х.805 уровни, плоскости и параметры, применимые к каждому из этих мер обеспечения безопасности, изображены на рисунке. Например, для управления активами наиболее применимы уровни инфраструктуры и служб, а также плоскости контроля и управления, при этом наибольшее внимание уделяется параметрам "Контроль доступа" и "Доступность".

Рисунок С.1 - Расширение МСЭ-Т Х.805 для мер обеспечения безопасности ИСО/МЭК 27001

Например, расширение может использоваться для систематической оценки и проектирования безопасности для центра обработки данных (ЦОД) предприятия, в котором хранится информация о его сотрудниках, в частности, персональные данные, доступ к которым следует предоставлять только авторизованным пользователям. Информация о сотрудниках доступна нескольким обеспечивающим поддержку организациям, нанятым предприятием, примером которой является служба поддержки. Кроме того, ЦОД и системы, содержащиеся в нем, обслуживаются корпоративной ИТ-организацией. Как видно из рисунка С.2, служба поддержки обращается к информации о сотрудниках для обработки жалоб, поддержки заказов на новые ИТ-услуги, решения проблем сотрудников, возникающих при работе с ИТ-услугами (например, удаленный доступ) и т.д. Кроме этого, корпоративная ИТ-организация обращается к информации о сотрудниках в рамках своей деятельности по сопровождению файловой системы, обновлению системы, управлению обновлениями безопасности (патчами) и т.д.

Рисунок С.2 - Сценарий доступа к корпоративному активу

Анализ угроз/уязвимостей МСЭ-Т Х.805 показывает, что члены корпоративной ИТ-организации могут просматривать и изменять информацию о сотрудниках, что делает ее уязвимой для разглашения и искажения на Уровне инфраструктуры (см. Рисунок С.3). Кроме того, в рамках решения проблем информация о сотрудниках передается в открытом виде между ЦОД и службой поддержки, тем самым делая ее уязвимой для разглашения, искажения и перехвата на уровне служб. Таким образом, необходимо определить и выбрать меры обеспечения безопасности для защиты информации о сотрудниках от угроз и уязвимостей в плоскости уровней инфраструктуры управления и службы управления. Следует отметить, что пошаговый анализ МСЭ-Т Х.805 в этом документе не представлен. Для краткости предлагается только результат такого анализа.

Рисунок С.3 - Результаты анализа угроз и уязвимостей МСЭ-Т Х.805 для актива предприятия

Мера обеспечения безопасности А.10.9.2 ИСО/МЭК 27001 идентифицирована и выбрана как необходимая для защиты управления информацией о сотрудниках на уровнях инфраструктуры управления и службы управления из-за уязвимостей и угроз, выявленных там в результате анализа МСЭ-Т Х.805 (рисунок С.4). В мере обеспечения безопасности А.10.9.2 ИСО/МЭК 27001 утверждается, что информация, участвующая в онлайн-транзакциях, должна быть защищена для предотвращения неполной передачи, неправильной маршрутизации, несанкционированного изменения сообщения, несанкционированного разглашения, несанкционированного дублирования или повторной передачи сообщения.

Рисунок С.4 - Меры обеспечения безопасности ИСО/МЭК 27001:2005

Параметры МСЭ-Т Х.805 предоставляют подробные сведения о реализации и работе меры обеспечения безопасности А.10.9.2 на уровнях службы и инфраструктуры для информационного актива о сотрудниках. На уровне службы параметр "Безопасность связи" предусматривает использование VPN для предотвращения неправильной маршрутизации. Параметр "Целостность" данных предусматривает использование IPSec АН для предотвращения неполной передачи, несанкционированного изменения и повторной отправки сообщений, а также предотвращения повторной передачи сообщений. Параметр "Конфиденциальность" данных предусматривает использование IPSec ESP для предотвращения несанкционированного разглашения. На уровне инфраструктуры параметр "Целостность" данных обеспечивает использование контрольных сумм файлов для предотвращения несанкционированного изменения, параметр "Конфиденциальность" данных обеспечивает шифрование файлов, а параметр "Контроль доступа" предусматривает использование ACL к файловой системе для предотвращения несанкционированного копирования. На рисунке С.5 показано, как параметры МСЭ-Т Х.805 обеспечивают реализацию и эксплуатацию меры обеспечения безопасности А.10.9.2 для защиты информационного актива о сотрудниках.

Рисунок С.5 - МСЭ-Т Х.805 для реализации ИСО/МЭК 27001