Читайте также:
|
Результаты основной проверки безопасности следует записать таким образом, чтобы все вовлеченные в процесс могли их понять, их также можно использовать как основу для планирования внедрения тех мер безопасности, где еще есть трудности. BSI предоставляет дополнительные материалы для упрощения записи результатов основной проверки безопасности.
С одной стороны, есть инструмент BSI IT-Grundschutz (GSTOOL). Он поддерживает весь процесс IT-Grundschutz, начиная от записи основных данных, далее определяя требования защиты, выполнения целевого сравнения (основная проверка безопасности), внедрения мер безопасности и даже последующей проверки безопасности. Это обеспечивается удобные средства для анализа и проверки результатов, напр., поиск отдельных записей, генерация отчетов, анализ затрат и статистические функции.
Также есть формы, доступные в виде дополнительных материалов IT-Grundschutz. Существует файл Word для каждого IT-Grundschutz модуля, его можно использовать для записи результатов целевого сравнения в таблицы для каждой мера безопасности в данном модуле.
Во-первых, следующее должно быть записано в поля GSTOOL или в формы:
• Количество и название компонента или группы компонент, которым данные модуль был назначен при моделировании;
• Размещение заданных компонент или групп компонент;
• Дата, когда информация была внесена, и автор;
• Опрашиваемая контактная персона.
Реальные результаты целевого сравнения вносятся в таблицу, содержащуюся в форме. При этом поля для каждой меры безопасности соответствующего модуля следует заполнять таким образом:
• Степень внедрения (Необязательно/Да/Частично/Нет);
• В этом поле вводится статус внедрения, определенный во время опроса для соответствующих мер безопасности;
•Кем реализован
Это поле обычно не заполняется во время основной проверки безопасности. Оно служит меткой, которая будет использоваться во время планирования внедрения для регистрации даты, к которой рассматриваемая мера безопасности должна быть реализована;
• Ответственная персона
Если при выполнении целевого сравнения ясно, кто из персонала будет ответственным за полную реализацию недостающей меры безопасности, имя этой персоны можно записать в это поле. Если ответственная персона не ясна, поле следует оставить пустым. Оно будет заполнено позже, во время планирования реализации с именем персоны, которую потом назначат ответственной;
• Пояснения / причины нереализации
Если мера безопасности оказывается необязательной, то следует пояснить причину этого и/или определить другую альтернативную принятую меру, которая достигает того же результата. В случае мера безопасности еще не была реализована или реализована только частично, в этом поле следует записать рекомендации к мерам безопасности, которые все равно надо реализовать. Любые другие пояснения, которые помогут при исправлении недостатков безопасности или которые следует рассматривать в контексте меры безопасности, следует также записать здесь;
• Оценка затрат
В случае мер, которые еще не реализованы или реализованы только частично, оценка финансовых ресурсов и ресурсов персонала, которые потребуются для устранения недостатков, может быть внесена в это поле.
Выполненные действия:
• Ввод основной информации для каждого целевого объекта в инструменте, базе данных или форме;
• Ввод информации по основной проверке безопасности и состояния реализации;
• Включение полей или меток для планирования реализации.
Дата добавления: 2015-11-14; просмотров: 27 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Выполнение целевого сравнения | | | Интеграция дополнительного анализа безопасности в подход IT-Grundschutz |