ГОСТ Р 59163-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Руководство по обеспечению безопасности при внедрении серверов виртуализации

7 Рекомендации по обеспечению безопасности жизненного цикла СВ

 

7.1 Общая информация

 

Целью безопасного проектирования и реализации СВ является обеспечение конфиденциальности, целостности и доступности информации, обрабатываемой и хранящейся на виртуальных серверах. Безопасное развертывание СВ требует выполнения нескольких стратегических задач на всех четырех этапах: предварительной подготовки, планирования и проектирования, реализации и вывода из эксплуатации. Эти задачи приведены в подразделах 7.2 - 7.5. Кроме того, в разделе 8 описаны существующие проблемы безопасности, а в разделе 9 содержится контрольный список для обеспечения безопасности СВ.

Приступая к виртуализации серверов, предприятие должно внедрить свою структуру управления информационной безопасностью в виртуализированных ИТ-системах и службах. Для того чтобы виртуализация позволила заинтересованным сторонам получать прибыль, необходимо организовать надлежащее управление и контроль над ИТ-активами. Организации, занимающиеся внедрением виртуализации, должны выбрать всеобъемлющую методологию, например COBIT 5, которая позволит им достичь своих технологических целей и получить прибыль, а также будет соответствовать требованиям законодательства Российской Федерации и национальным стандартам в области защиты информации и обеспечения информационной безопасности.

Неотъемлемой частью структуры управления безопасностью является процедура оценки рисков. Процедура оценки рисков в контексте виртуализированной инфраструктуры состоит из выявления рисков (см. раздел 6), оценки вероятности их возникновения и анализа их последствий с целью установления надлежащих мер контроля для их заблаговременного устранения. Более подробную информацию о процедуре, которую предприятия различных размеров и уровней сложности могут использовать без изменений или адаптировать под свои нужды см. в [5], [6]. Некоторые ключевые элементы, которые следует учитывать при оценке рисков для виртуализированной инфраструктуры, приведены в приложении А.

Организация должна установить политики и процедуры, которые будут включать программу аудита виртуальных ИТ-систем, разработать модель угроз безопасности СВ с учетом информации, приведенной в разделе 6 (обязательно - для ИС, в отношении которых данное требование применимо, ГИС, ИСПДн, ЗОКИИ, опционально - для остальных). Роли и обязанности системных администраторов и пользователей должны быть четко определены и задокументированы. Организация должна оценивать, регулировать и отслеживать каждый этап виртуализации. В этом контексте ИТ-менеджеры должны обеспечить следование своих команд политикам и процедурам виртуализации в масштабах всего предприятия.