Вопрос 1: Описание функциональных требований на примере класса FCO "Связь" в ГОСТ Р ИСО/МЭК 15408

Вопрос 36: Рекомендация ITU-T X.1051. Упр-ие связью и эксп-цией: менедж.сети. Упр. дост.: треб. Бизн. электросвязи к упр. дост., упр. дост. к прилож.

Цель: гарантировать сохранность информации в сетях и защиту поддерживающей инфраструктуры.

Для обеспечения безопасности в сетях электросвязи следует применять следующие восстанавливающие средства контроля:

– Передающие и коммутационные средства, должны хорошо технически обслуживаться.

– в случае атак "отказ в обслуживании" (DoS) коммутационные средства, такие как маршрутизаторы, должны обрабатывать больший объем трафика по сравнению с обычной ситуацией.

0.0.1 Управление доступом: требования бизнеса электросвязи к управлению доступом

Цель: управлять доступом к информации.

Должны быть определены и задокументированы требования бизнеса электросвязи к управлению доступом, а доступ должен быть ограничен так, как определено политикой управлением доступом.

В политике управления доступом должны быть четко сформулированы правила и права управления доступом для каждого пользователя или группы пользователей электросвязи. Следует четко уведомить пользователей и поставщиков служб о требованиях бизнеса электросвязи, которым должны удовлетворять средства контроля доступа.

В данной политике следует учитывать следующее:

– требования к безопасности отдельных приложений бизнеса электросвязи;

– идентификация всей информации, относящейся к приложениям бизнеса;

– политика распространения и авторизации информации, например, необходимость знать принципы и уровни безопасности, а также классификацию информации;

– согласованность стратегий управления доступом и классификации информации различных систем и сетей;

– соответствующие юридические нормы и любые договорные обязательства, касающиеся защиты доступа к данным или услугам.

0.0.2 Управление доступом: управление доступом к приложениям

Цель: предотвратить несанкционированный доступ к информационным приложениям, содержащимся в информационных системах.

Доступ к информации и к прикладным функциям системы должен быть ограничен согласно политике управления доступом.

Ограничения доступа должны быть основаны на отдельных требованиях к приложению бизнеса электросвязи. Политика управления доступом должна быть также согласована с политикой доступа, действующей в организации электросвязи.

Конфиденциальные системы должны иметь выделенную (изолированную) вычислительную среду.

При изоляции конфиденциальной системы должны быть рассмотрены следующие пункты:

– конфиденциальность прикладной системы должна быть установлена и задокументирована владельцем этого приложения.

– конфиденциальные системы, такие как база данных клиента, должны выполняться на изолированном компьютере, а совместно использовать ресурсы с доверенными прикладными системами должны только по договоренности с владельцем конфиденциального приложения.