Ruski standardi informacione sigurnosti. Standardi sigurnosti informacija. Zahtjevi za znanjem i vještinama

Ovaj odjeljak pruža opće informacije i tekstove nacionalnih standarda Ruske Federacije u oblasti sigurnosti informacija GOST R.

Trenutna lista modernih GOST-ova razvijenih posljednjih godina i planiranih za razvoj. Sistem sertifikacije alata za informatičku bezbednost prema zahtevima bezbednosti informacija br. ROSS RU.0001.01BI00 (FSTEC Rusije). DRŽAVNI STANDARD RUSKOG FEDERACIJE. Zaštita podataka. POSTUPAK ZA IZRADU AUTOMATIZOVANIH SISTEMA U SIGURNOM IZVRŠENJU. Opće odredbe. Moskva DRŽAVNI STANDARD RUSKOG FEDERACIJE. Računarska oprema. Zaštita od neovlaštenog pristupa informacijama. Opšti tehnički zahtjevi. Datum uvođenja 1996-01-01 Nacionalni standard Ruske Federacije. Zaštita podataka. Osnovni pojmovi i definicije. Zaštita informacija. Osnovni pojmovi i definicije. Datum uvođenja 2008-02-01 DRŽAVNI STANDARD RUSKOG FEDERACIJE. ZAŠTITA PODATAKA. SISTEM STANDARDA. OSNOVNE ODREDBE (SIGURNOST INFORMACIJA. SISTEM STANDARDA. OSNOVNA NAČELA) DRŽAVNI STANDARD RUSKOG FEDERACIJE. Zaštita podataka. TESTIRANJE SOFTVERA NA PRISUSTVO KOMPJUTERSKIH VIRUSA. Model priručnika (Informaciona sigurnost. Testiranje softvera na postojanje kompjuterskih virusa. Primjer priručnika). Informaciona tehnologija. Zaštita informacionih tehnologija i automatizovanih sistema od pretnji po bezbednost informacija koja se sprovodi prikrivenim kanalima. Dio 1. Opće odredbe Informaciona tehnologija. Zaštita informacionih tehnologija i automatizovanih sistema od pretnji po bezbednost informacija koja se sprovodi prikrivenim kanalima. Dio 2. Preporuke za organizovanje zaštite informacija, informacionih tehnologija i automatizovanih sistema od napada prikrivenim kanalima Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Smjernice za razvoj sigurnosnih profila i sigurnosnih zadataka Automatska identifikacija. Biometrijska identifikacija. Testovi performansi i izvještaji o testiranju u biometriji. Dio 3. Karakteristike testiranja za različite biometrijske modalitete Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Metodologija za procjenu sigurnosti informacionih tehnologija GOST R ISO/IEC 15408-1-2008 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Kriterijumi za procenu bezbednosti informacionih tehnologija. Dio 1. Uvod i opšti model (Informaciona tehnologija. Sigurnosne tehnike. Kriterijumi za ocjenjivanje IT sigurnosti. Dio 1. Uvod i opći model) GOST R ISO/IEC 15408-2-2008 - Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Kriterijumi za procenu bezbednosti informacionih tehnologija. Dio 2. Funkcionalni sigurnosni zahtjevi (Informaciona tehnologija. Sigurnosne tehnike. Kriterijumi procjene IT sigurnosti. Dio 2. Sigurnosni funkcionalni zahtjevi) GOST R ISO/IEC 15408-3-2008 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Kriterijumi za procenu bezbednosti informacionih tehnologija. Dio 3. Zahtjevi za osiguranje sigurnosti (Informacijska tehnologija. Sigurnosne tehnike. Kriterijumi procjene IT sigurnosti. Dio 3. Zahtjevi za osiguranje sigurnosti) GOST R 53109-2008 Sistem za osiguranje informacione sigurnosti javne komunikacione mreže. Pasoš organizacije za sigurnost informacija. Informaciona sigurnost sistema obezbjeđenja javne komunikacijske mreže. Pasoš organizacije komunikacije informacione sigurnosti. Datum stupanja na snagu: 30.09.2009. GOST R 53114-2008 Zaštita informacija. Osiguravanje sigurnosti informacija u organizaciji. Osnovni pojmovi i definicije. Zaštita informacija. Pružanje sigurnosti informacija u organizacijama. Osnovni pojmovi i definicije. Datum stupanja na snagu: 30.09.2009. GOST R 53112-2008 Zaštita informacija. Kompleksi za mjerenje parametara lažnog elektromagnetnog zračenja i smetnji. Tehnički zahtjevi i metode ispitivanja. Zaštita informacija. Objekti za mjerenje bočnih elektromagnetnih zračenja i parametara prijemnika. Tehnički zahtjevi i metode ispitivanja. Datum stupanja na snagu: 30.09.2009. GOST R 53115-2008 Zaštita informacija. Testiranje tehničkih sredstava obrade informacija na usklađenost sa zahtjevima sigurnosti od neovlaštenog pristupa. Metode i sredstva. Zaštita informacija. Ispitivanje usklađenosti objekata za obradu tehničkih informacija sa zahtjevima zaštite od neovlaštenog pristupa. Metode i tehnike. Datum stupanja na snagu: 30.09.2009. GOST R 53113.2-2009 Informaciona tehnologija. Zaštita informacionih tehnologija i automatizovanih sistema od pretnji po bezbednost informacija koja se sprovodi prikrivenim kanalima. Dio 2. Preporuke za organizovanje zaštite informacija, informacionih tehnologija i automatizovanih sistema od napada prikrivenim kanalima. Informaciona tehnologija. Zaštita informacionih tehnologija i automatizovanih sistema od bezbednosnih pretnji koje predstavlja korišćenje prikrivenih kanala. Dio 2. Preporuke o zaštiti informacija, informacionih tehnologija i automatizovanih sistema od napada skrivenim kanalima. Datum stupanja na snagu: 12.01.2009. GOST R ISO/IEC TO 19791-2008 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Procjena sigurnosti automatiziranih sistema. Informaciona tehnologija. Sigurnosne tehnike. Procjena sigurnosti operativnih sistema. Datum stupanja na snagu: 30.09.2009. GOST R 53131-2008 Zaštita informacija. Preporuke za usluge oporavka od katastrofe za sigurnosne funkcije i mehanizme informacijske i telekomunikacijske tehnologije. Opće odredbe. Zaštita informacija. Smjernice za usluge oporavka sigurnosnih funkcija i mehanizama informacijske i komunikacijske tehnologije. Generale. Datum stupanja na snagu: 30.09.2009. GOST R 54581-2011 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Osnove povjerenja u IT sigurnost. Dio 1: Pregled i osnove. Informaciona tehnologija. Sigurnosne tehnike. Okvir za osiguranje IT sigurnosti. Dio 1. Pregled i okvir. Datum stupanja na snagu: 01.07.2012. GOST R ISO/IEC 27033-1-2011 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Mrežna sigurnost. Dio 1: Pregled i koncepti. Informaciona tehnologija. Sigurnosne tehnike. Mrežna sigurnost. Dio 1. Pregled i koncepti. Datum stupanja na snagu: 01.01.2012. GOST R ISO/IEC 27006-2008 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Zahtjevi za tijela koja vrše reviziju i sertifikaciju sistema upravljanja bezbednošću informacija. Informaciona tehnologija. Sigurnosne tehnike. Zahtjevi za tijela koja vrše reviziju i sertifikaciju sistema upravljanja sigurnošću informacija. Datum stupanja na snagu: 30.09.2009. GOST R ISO/IEC 27004-2011 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Upravljanje sigurnošću informacija. Mjerenja. Informaciona tehnologija. Sigurnosne tehnike. Upravljanje sigurnošću informacija. Measurement. Datum stupanja na snagu: 01.01.2012. GOST R ISO/IEC 27005-2010 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Upravljanje rizikom sigurnosti informacija. Informaciona tehnologija. Sigurnosne tehnike. Upravljanje rizikom sigurnosti informacija. Datum stupanja na snagu: 12.01.2011. GOST R ISO/IEC 31010-2011 Upravljanje rizikom. Metode procjene rizika (Upravljanje rizikom. Metode procjene rizika). Datum stupanja na snagu: 01.12.2012 GOST R ISO 31000-2010 Upravljanje rizicima. Principi i smjernice za upravljanje rizikom. Datum stupanja na snagu: 31.08.2011 GOST 28147-89 Sistemi za obradu informacija. Kriptografska zaštita. Algoritam kriptografske konverzije. Datum stupanja na snagu: 30.06.1990. GOST R ISO/IEC 27013-2014 „Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Smjernice o kombinovanoj upotrebi ISO/IEC 27001 i ISO/IEC 20000-1 - stupaju na snagu 1. septembra 2015. GOST R ISO/IEC 27033-3-2014 „Sigurnost mreže. Dio 3. Referentni mrežni scenariji. Prijetnje, metode dizajna i pitanja upravljanja” – stupio na snagu 1. novembra 2015 GOST R ISO/IEC 27037-2014 „Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Smjernice za identifikaciju, prikupljanje, preuzimanje i zadržavanje digitalnih dokaza – stupaju na snagu 1. novembra 2015. GOST R ISO/IEC 27002-2012 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Skup normi i pravila za upravljanje sigurnošću informacija. Informaciona tehnologija. Sigurnosne tehnike. Kodeks prakse za upravljanje sigurnošću informacija. Datum stupanja na snagu: 01.01.2014. OKS šifra 35.040. GOST R 56939-2016 Zaštita informacija. Siguran razvoj softvera. Opšti zahtjevi (Zaštita informacija. Sigurno razvoj softvera. Opšti zahtjevi). Datum stupanja na snagu: 01.06.2017. GOST R 51583-2014 Zaštita informacija. Procedura za kreiranje automatizovanih sistema u sigurnom dizajnu. Opće odredbe. Zaštita informacija. Redoslijed formiranja zaštićenog operativnog sistema. Generale. 01.09.2014 GOST R 7.0.97-2016 Sistem standarda za informacije, biblioteku i izdavaštvo. Organizaciona i administrativna dokumentacija. Uslovi za pripremu dokumenata (Sistem standarda za informisanje, bibliotekarstvo i izdavaštvo. Organizaciona i administrativna dokumentacija. Uslovi za prezentaciju dokumenata). Datum stupanja na snagu: 01.07.2017. Šifra OKS 01.140.20. GOST R 57580.1-2017 Sigurnost finansijskih (bankarskih) transakcija. Zaštita informacija finansijskih organizacija. Osnovni sastav organizaciono-tehničkih mjera - Sigurnost finansijskog (bankarskog) poslovanja. Zaštita informacija finansijskih organizacija. Osnovni set organizaciono-tehničkih mjera. GOST R ISO 22301-2014 Sistemi upravljanja kontinuitetom poslovanja. Opšti zahtjevi - Sistemi upravljanja kontinuitetom poslovanja. Zahtjevi. GOST R ISO 22313-2015 Upravljanje kontinuitetom poslovanja. Vodič za implementaciju - Sistemi upravljanja kontinuitetom poslovanja. Smjernice za implementaciju. GOST R ISO/IEC 27031-2012 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Vodič za spremnost informacijske i komunikacijske tehnologije za kontinuitet poslovanja - Informaciona tehnologija. Sigurnosne tehnike. Smjernice za spremnost informaciono-komunikacionih tehnologija za kontinuitet poslovanja. GOST R IEC 61508-1-2012 Funkcionalna sigurnost električnih, elektronskih, programabilnih elektronskih sigurnosnih sistema. Dio 1. Opšti zahtjevi. Funkcionalna sigurnost električnih, elektronskih, programabilnih elektronskih sigurnosnih sistema. Dio 1. Opšti zahtjevi. Datum uvođenja 2013-08-01. GOST R IEC 61508-2-2012 Funkcionalna sigurnost električnih, elektronskih, programabilnih elektronskih sigurnosnih sistema. Dio 2. Sistemski zahtjevi. Funkcionalna sigurnost električnih, elektronskih, programabilnih elektronskih sigurnosnih sistema. Dio 2. Zahtjevi za sisteme. Datum uvođenja 2013-08-01. GOST R IEC 61508-3-2012 FUNKCIONALNA SIGURNOST ELEKTRIČNIH, ELEKTRONSKIH, PROGRAMAbilnih ELEKTRONSKIH SISTEMA KOJI SE ODNOSE NA SIGURNOST. Softverski zahtjevi. IEC 61508-3:2010 Funkcionalna sigurnost električnih/elektronskih/programabilnih elektronskih sigurnosnih sistema - Dio 3: Softverski zahtjevi (IDT). GOST R IEC 61508-4-2012 FUNKCIONALNA SIGURNOST ELEKTRIČNIH, ELEKTRONSKIH, PROGRAMAbilnih ELEKTRONSKIH SISTEMA KOJI SE ODNOSE NA SIGURNOST, dio 4. Termini i definicije. Funkcionalna sigurnost električnih, elektronskih, programabilnih elektronskih sigurnosnih sistema. Dio 4. Termini i definicije. Datum uvođenja 2013-08-01. . GOST R IEC 61508-6-2012 Funkcionalna sigurnost električnih, elektronskih, programabilnih elektronskih sigurnosnih sistema. Dio 6. Smjernice za upotrebu GOST R IEC 61508-2 i GOST R IEC 61508-3. IEC 61508-6:2010. Funkcionalna sigurnost električnih/elektronskih/programabilnih elektronskih sigurnosnih sistema - Dio 6: Smjernice o primjeni IEC 61508-2 i IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 Funkcionalna sigurnost električnih sistema, Funkcionalna sigurnost električnih, elektronskih, programabilnih elektronskih sistema koji se odnose na sigurnost. Dio 7. Metode i sredstva. Funkcionalna sigurnost električnih elektronskih programabilnih elektronskih sigurnosnih sistema. Dio 7. Tehnike i mjere. Datum uvođenja 2013-08-01. GOST R 53647.6-2012. Upravljanje kontinuitetom poslovanja. Zahtjevi za sistem upravljanja ličnim informacijama kako bi se osigurala zaštita podataka

ime:

Zaštita podataka. Osiguravanje sigurnosti informacija u organizaciji.

Validan

Datum uvođenja:

Datum otkazivanja:

Zamijenjeno sa:

Tekst GOST R 53114-2008 Zaštita informacija. Osiguravanje sigurnosti informacija u organizaciji. Osnovni pojmovi i definicije

FEDERALNA AGENCIJA ZA TEHNIČKU REGULACIJU I METROLOGIJU

NATIONAL

STANDARD

RUSKI

FEDERACIJA

Zaštita podataka

OSIGURANJE SIGURNOSTI INFORMACIJA U ORGANIZACIJI

Osnovni pojmovi i definicije

Službena publikacija

Oteidartenform

GOST R 53114-2008

Predgovor

Ciljevi i principi standardizacije u Ruskoj Federaciji utvrđeni su Federalnim zakonom br. 184-FZ od 27. decembra 2002. „O tehničkoj regulaciji“, a pravila za primjenu nacionalnih standarda Ruske Federacije su GOST R 1.0-2004 „Standardizacija u Ruskoj Federaciji. Osnovne odredbe »

Standardne informacije

1 RAZVILA Federalna državna institucija „Državni institut za istraživanje problema bezbednosti tehničkih informacija Federalne službe za tehničku i izvoznu kontrolu“ (FGU „GNIIII PTZI FSTEC Rusije“), Društvo sa ograničenom odgovornošću „Istraživačko-proizvodno preduzeće „Kristal“ (OOO NPF "Crystal")

2 UVODIO Odjeljenje za tehničku regulaciju i standardizaciju Federalne agencije za tehničku regulaciju i mjeriteljstvo

3 ODOBREN I STUPIO NA SNAGU Naredbom Federalne agencije za tehničku regulaciju i metrologiju od 18.12.2008. godine broj 532-st.

4 8VOZEN PRVI PUT

Podaci o izmjenama ovog standarda objavljuju se u godišnjem informativnom indeksu „Nacionalni standardi“, a tekst izmjena i dopuna u mjesečnom objavljenom informativnom indeksu „Nacionalni standardi“. U slučaju revizije (zamjene) ili ukidanja ovog standarda, odgovarajuće obavještenje će biti objavljeno u mjesečnom objavljenom indeksu informacija “Nacionalni standardi”. Relevantne informacije, obavještenja i tekstovi objavljuju se iu sistemu javnog informisanja - na službenoj web stranici Federalne agencije za tehničku regulaciju i mjeriteljstvo na internetu

Ovaj standard se ne može u potpunosti ili djelomično reproducirati, replicirati ili distribuirati kao službena publikacija bez dozvole Federalne agencije za tehničku regulaciju i mjeriteljstvo.

GOST R 53114-2008

1 područje upotrebe ................................................ ... ....1

3 Termini i definicije.................................................................. ..2

3.1 Opšti koncepti ................................................................ .... .....2

3.2 Pojmovi koji se odnose na objekt zaštite informacija................................................ ...4

3.3 Termini koji se odnose na prijetnje sigurnosti informacija ................................7

3.4 Uslovi koji se odnose na organizaciono upravljanje bezbednošću informacija......8

3.5 Termini koji se odnose na kontrolu i procjenu sigurnosti informacija organizacije. ... 8

3.6 Uslovi koji se odnose na kontrole sigurnosti informacija

organizacije................................................................ ....... .......9

Abecedni indeks pojmova.................................................. .....11

Dodatak A (za referencu) Termini i definicije opštih tehničkih koncepata..................................13

Dodatak B (za referencu) Međusobna veza osnovnih koncepata iz oblasti informacione bezbednosti u organizaciji................................. ........................15

Bibliografija.................................................. ......16

GOST R 53114-2008

Uvod

Termini utvrđeni ovim standardom raspoređeni su u sistematskom redosledu, odražavajući sistem pojmova u ovoj oblasti znanja.

Za svaki koncept postoji jedan standardizovani termin.

Prisustvo uglastih zagrada u terminološkom članku znači da uključuje dva pojma koja imaju zajedničke elemente pojma. Ovi pojmovi su posebno navedeni u abecednom indeksu.

Dio pojma u zagradi može se izostaviti kada se termin koristi u dokumentima o standardizaciji, dok dio pojma koji nije uključen u zagrade čini njegov kratki oblik. Nakon standardizovanih termina su njihovi kratki oblici, odvojeni tačkom i zarezom, predstavljeni skraćenicama.

Date definicije se po potrebi mogu mijenjati uvođenjem izvedenih karakteristika u njih. otkrivanje značenja termina koji se u njima koriste, ukazujući na objekte uključene u opseg definisanog pojma.

Promjene ne smiju uticati na obim i sadržaj pojmova definisanih u ovom standardu.

Standardizovani termini su kucani podebljanim slovima, njihovi kratki oblici su u tekstu i u abecednom indeksu, uključujući i skraćenice. - svjetlo, a sinonimi - kurziv.

Termini i definicije opštih tehničkih koncepata neophodnih za razumevanje teksta glavnog dela ovog standarda dati su u Dodatku A.

GOST R 53114-2008

NACIONALNI STANDARD RUSKOG FEDERACIJE

Zaštita podataka

OSIGURANJE SIGURNOSTI INFORMACIJA 8 ORGANIZACIJA

Osnovni pojmovi i definicije

Zaštita informacija. Pružanje sigurnosti informacija U organizaciji.

Osnovni pojmovi i definicije

Datum uvođenja - 2009-10-01

1 područje upotrebe

Ovim standardom se utvrđuju osnovni pojmovi koji se koriste prilikom obavljanja poslova standardizacije u oblasti informacione sigurnosti u organizaciji.

Termini utvrđeni ovim standardom preporučuju se za upotrebu u regulatornim dokumentima, pravnoj, tehničkoj i organizacionoj i administrativnoj dokumentaciji, naučnoj, obrazovnoj i referentnoj literaturi.

Ovaj standard se primjenjuje zajedno sa GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Termini dati u ovom standardu su u skladu sa odredbama Federalnog zakona Ruske Federacije od 27. decembra 2002. M"184*FZ "Tehnička regulativa" |3]. Federalni zakon Ruske Federacije od 27. jula 2006. br. 149-FZ „O informacijama, informacionim tehnologijama i zaštiti informacija“. Federalni zakon Ruske Federacije od 27. jula 2006. br. 152-FZ „O ličnim podacima“. Doktrine informacione sigurnosti Ruske Federacije, odobrene od strane predsjednika Ruske Federacije 9. septembra 2000. Pr -1895.

2 Normativne reference

GOST R 22.0.02-94 Sigurnost u vanrednim situacijama. Termini i definicije osnovnih pojmova

GOST R ISO 9000-2001 Sistemi upravljanja kvalitetom. Osnove i vokabular

GOST R ISO 9001-2008 Sistemi upravljanja kvalitetom. Zahtjevi

GOST R IS0 14001-2007 Sistemi upravljanja zaštitom životne sredine. Zahtjevi i upute za upotrebu

GOST R ISO/IEC 13335-1-2006 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Dio 1. Pojam i modeli upravljanja sigurnošću informacionih i telekomunikacionih tehnologija

GOST R ISO/IEC 27001-2006 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Sistemi upravljanja sigurnošću informacija. Zahtjevi

GOST R 50922-2006 Zaštita informacija. Osnovni pojmovi i definicije

GOST R 51275-2006 Zaštita informacija. Informacijski objekt. Faktori koji utiču na informacije. Opće odredbe

GOST R 51897-2002 Upravljanje rizicima. Termini i definicije

Službena publikacija

GOST R 53114-2008

GOST R51898-2003 Sigurnosni aspekti. Pravila za uključivanje u standarde GOST R 52069.0-2003 Zaštita informacija. Sistem standarda. Osnovne odredbe GOST 34.003-90 Informaciona tehnologija. Set standarda za automatizovane sisteme. Automatizovani sistemi. Termini i definicije

GOST 19781-90 Softver za sisteme za obradu informacija. Termini i definicije

Napomena - Prilikom upotrebe ovog standarda, preporučljivo je provjeriti valjanost referentnih standarda u sistemu javnog informisanja - na službenoj web stranici Federalne agencije za tehničku regulaciju i mjeriteljstvo na Internetu ili prema godišnje objavljenom indeksu informacija „Nacionalni Standardi”, koji je objavljen od 1. januara tekuće godine, a prema odgovarajućim mjesečnim indeksima informacija objavljenim u tekućoj godini. Ako je referentni standard zamijenjen (promijenjen), tada pri korištenju ovog standarda trebate se voditi zamijenjenim (promijenjenim) standardom. Ako se referentni standard poništi bez zamjene, onda se odredba u kojoj je data referenca na njega primjenjuje na dio koji ne utiče na ovu referencu.

3 Termini i definicije

3.1 Opći koncepti

sigurnost informacija [podataka]: Stanje sigurnosti informacija [podataka] u kojem je osigurana njihova [njihova] povjerljivost, dostupnost i integritet.

[GOST R 50922-2006. stav 2.4.5]

Sigurnost informacionih tehnologija: Stanje sigurnosti informacione tehnologije. koji osigurava sigurnost informacija za koje se koriste za obradu. i informacionu sigurnost informacionog sistema u kojem se implementira.

[R 50.1.056-2006. stav 2.4.5]

informaciona sfera: ukupnost informacija, informaciona infrastruktura, subjekti. vršenje prikupljanja, formiranja, širenja i korišćenja informacija, kao i sistema za regulisanje društvenih odnosa koji nastaju u ovom slučaju.

3.1.4 informaciona infrastruktura: Skup objekata informatizacije koji potrošačima omogućava pristup informacionim resursima.

objekat informatizacije: Skup informacionih resursa, alata i sistema za obradu informacija koji se koriste u skladu sa datom informatičkom tehnologijom, kao i prateći objekti, prostorije ili objekti (zgrade, građevine, tehnička sredstva) u kojima su ti alati i sistemi ugrađeni, ili prostorije i objekti, namijenjeni za vođenje povjerljivih pregovora.

[GOST R 51275-2006. klauzula 3.1]

3.1.6 imovina organizacije: Sve. ono što je od vrijednosti za organizaciju u interesu postizanja njenih ciljeva i stoji joj na raspolaganju.

Napomena: Imovina organizacije može uključivati:

Informaciona sredstva, uključujući različite vrste informacija koje kruže u informacionom sistemu (uslužni, upravljački, analitički, poslovni, itd.) u svim fazama životnog ciklusa (generacija, skladištenje, obrada, prenos, uništavanje):

Resursi (finansijski, ljudski, računarski, informacioni, telekomunikacijski i drugi):

Procesi (tehnološki, informacioni, itd.);

Proizvedeni proizvodi ili pružene usluge.

GOST R 53114-2008

Resurs sistema za obradu informacija: Postrojenje sistema za obradu informacija koje se može dodijeliti procesu obrade podataka za određeni vremenski interval.

Napomena - Glavni resursi su procesori, područja glavne memorije, skupovi podataka. perifernih uređaja, programa.

[GOST 19781-90. stav 93)

3.1.8 proces informacija: Proces kreiranja, prikupljanja, obrade, akumulacije, skladištenja, pretraživanja. širenje i korištenje informacija.

informaciona tehnologija; IT: Procesi, metode pretraživanja, prikupljanja, skladištenja, obrade, obezbjeđenja. širenje informacija i načina provođenja takvih procesa i metoda. [Savezni zakon Ruske Federacije od 27. decembra 2002. br. 184-FZ. član 2. stav 2.)]

tehnička podrška automatizovanog sistema; Tehnička podrška NPP: Ukupnost svih tehničkih sredstava koja se koriste u radu NEK.

[GOST R 34.003-90. stav 2.5]

Automatizirani sistemski softver; AS softver: Skup programa na mediju za skladištenje i programskih dokumenata namenjenih za otklanjanje grešaka, rad i testiranje funkcionalnosti AS.

[GOST R 34.003-90. klauzula 2.7]

informatička podrška automatiziranog sistema; informaciona podrška AS: Skup obrazaca dokumenata, klasifikatora, regulatornog okvira i implementiranih rešenja o obimu, plasmanu i oblicima postojanja informacija koje se koriste u AS tokom njegovog rada.

[GOST R 34.003-90. klauzula 2.8]

3.1.13 usluga; usluga: Rezultat aktivnosti izvođača kako bi se zadovoljile potrebe potrošača.

Napomena - 8 organizacija, pojedinac ili proces može djelovati kao izvršilac (potrošač) usluge.

3.1.14 usluge informacione tehnologije: IT usluge: Skup funkcionalnih mogućnosti informacija i. eventualno neinformatička tehnologija koja se pruža krajnjim korisnicima kao usluga.

NAPOMENA Primeri IT usluga uključuju razmenu poruka, poslovne aplikacije, usluge datoteka i štampanja, mrežne usluge itd.

3.1.15 sistem kritične informacione infrastrukture; Ključni sistem informacione infrastrukture: FIAC: Upravljanje informacijama ili informaciono-telekomunikacioni sistem koji upravlja ili pruža informacije kritičnom objektu ili procesu, ili se koristi za službeno informisanje društva i građana, čiji poremećaj ili prekid funkcionisanja (kao rezultat destruktivnog uticaji informacija, kao i kvarovi ili kvarovi) mogu dovesti do vanrednog stanja sa značajnim negativnim posljedicama.

3.1.18 kritični objekat: Predmet ili proces čiji bi prekid kontinuiteta rada mogao uzrokovati značajnu štetu.

GOST R 53114-2008

Napomena - Može nastati šteta na imovini fizičkih ili pravnih lica. državnu ili opštinsku imovinu, životnu sredinu, kao i nanošenje štete životu ili zdravlju građana.

Informacioni sistem ličnih podataka: Informacioni sistem koji je skup ličnih podataka sadržanih u bazi podataka, kao i informacionih tehnologija i tehničkih sredstava koja omogućavaju obradu takvih ličnih podataka pomoću alata za automatizaciju ili bez upotrebe takvih alata.

lični podaci: Bilo koja informacija koja se odnosi na pojedinca identifikovanu ili utvrđenu na osnovu takvih informacija (subjekt ličnih podataka), uključujući njegovo prezime, ime. patronim, godina mjesec, datum i mjesto rođenja, adresa, porodica, socijalno, imovinsko stanje, obrazovanje, profesija, prihod, drugi podaci.

3.1.19 automatizovani sistem u zaštićenom dizajnu; AS u zaštićenom dizajnu: Automatski sistem koji implementira informacionu tehnologiju za obavljanje uspostavljenih funkcija u skladu sa zahtjevima standarda i/ili regulatornih dokumenata o zaštiti informacija.

3.2 Pojmovi koji se odnose na objekt zaštite informacija

3.2.1 informaciona sigurnost organizacije; IW organizacije: Stanje zaštite interesa organizacije pred prijetnjama u informacionoj sferi.

Napomena - Sigurnost se postiže osiguravanjem skupa svojstava sigurnosti informacija - povjerljivosti, integriteta, dostupnosti informacionih sredstava i infrastrukture organizacije. Prioritet svojstava informacione sigurnosti određen je značajem informacijske imovine za interese (ciljeve) organizacije.

Objekat zaštite informacija: Informacija ili nosilac informacija, ili informacioni proces. koji moraju biti zaštićeni u skladu sa svrhom zaštite informacija.

[GOST R 50922-2006. klauzula 2.5.1]

3.2.3 zaštićeni proces (informaciona tehnologija): Proces koji informaciona tehnologija koristi za obradu zaštićenih informacija sa potrebnim nivoom njihove sigurnosti.

3.2.4 povreda informacione sigurnosti organizacije: povreda informacione sigurnosti organizacije: Slučajna ili namjerna nezakonita radnja pojedinca (subjekta, objekta) u odnosu na imovinu organizacije, čija je posljedica narušavanje sigurnosti informacija kada obrađuje se tehničkim sredstvima u informacionim sistemima, izazivajući negativne posljedice (štetu/štetu) za organizaciju.

hitan slučaj; nepredviđena situacija; Vanredna situacija: Situacija na određenoj teritoriji ili vodnom području koja je nastala kao posljedica nesreće, opasnog prirodnog fenomena, katastrofe, prirodne ili druge nesreće koja može rezultirati gubitkom života ili ljudskim žrtvama, oštećenjem zdravlja ljudi ili životne sredine, značajne materijalne gubitke i narušavanje uslova života ljudi.

Napomena - Vanredne situacije razlikuju se po prirodi izvora (prirodni, umjetni, biološko-socijalni i vojni) i po obimu (lokalni, lokalni, teritorijalni, regionalni, federalni i prekogranični).

(GOST R 22.0.02-94. Član 2.1.1)

GOST R 53114-2008

3.2.6

opasna situacija: Okolnosti u kojima su ljudi, imovina ili okolina ugroženi.

(GOST R 51898-2003. stav 3.6)

3.2.7

Incident sigurnosti informacija: Svaki neočekivani ili neželjeni događaj koji može poremetiti rad ili sigurnost informacija.

Napomena - incidenti u vezi sa informacionom sigurnošću su:

Gubitak usluga, opreme ili uređaja:

Sistemski kvarovi ili preopterećenja:

Korisničke greške.

Kršenje mjera fizičke zaštite:

Nekontrolisane promene sistema.

Greške softvera i hardverske greške:

Kršenje pravila pristupa.

(GOST R ISO/IEC 27001 -2006. Član 3.6)

3.2.8 događaj: Pojava ili prisustvo određenog skupa okolnosti.

Bilješke

1 Priroda, vjerovatnoća i posljedice događaja možda nisu u potpunosti poznate.

2 Događaj se može dogoditi jednom ili više puta.

3 Vjerovatnoća povezana s događajem može se procijeniti.

4 Događaj se može sastojati od nepostojanja jedne ili više okolnosti.

5 Nepredvidiv događaj se ponekad naziva "incident".

6 Događaj u kojem nema gubitaka ponekad se naziva preduvjetom za incident (incident), opasnim stanjem, opasnom kombinacijom okolnosti itd.

3.2.9 rizik: Uticaj neizvjesnosti na proces postizanja ciljeva.

Bilješke

1 Ciljevi mogu imati različite aspekte: finansijske, zdravstvene, sigurnosne i ekološke aspekte, a mogu se postaviti na različitim nivoima: na strateškom nivou, na nivou organizacije, na nivou projekta, proizvoda i procesa.

3 Rizik se često izražava u smislu kombinacije posljedica događaja ili promjene okolnosti i njihove vjerovatnoće.

3.2.10

Procjena rizika: Proces koji kombinuje identifikaciju rizika, analizu rizika i kvantifikaciju rizika.

(GOST R ISO/IEC 13335-1 -2006, stav 2.21 ]

3.2.11 procjena rizika sigurnosti informacija (organizacije); procena rizika bezbednosti informacija (organizacija): Ukupan proces identifikacije, analize i utvrđivanja prihvatljivosti nivoa rizika za bezbednost informacija organizacije.

3.2.12 identifikacija rizika: Proces otkrivanja, prepoznavanja i opisivanja rizika.

Bilješke

1 Identifikacija rizika uključuje identifikaciju izvora rizika, događaja i njihovih uzroka, kao i njihovih mogućih posljedica.

NAPOMENA 2 Identifikacija rizika može uključivati statističke podatke, teorijsku analizu, informisane stavove i stručna mišljenja i potrebe zainteresovanih strana.

GOST R 53114-2008

analiza rizika: Sistematska upotreba informacija za identifikaciju izvora rizika i kvantifikaciju rizika.

(GOST R ISO/IEC 27001-2006. Član 3.11)

3.2.14 određivanje prihvatljivosti rizika: Proces poređenja rezultata analize rizika sa kriterijumima rizika kako bi se utvrdila prihvatljivost ili podnošljivost nivoa rizika.

NAPOMENA Određivanje prihvatljivosti nivoa rizika pomaže u donošenju odluka o tretmanu

3.2.15 rukovanje rizikom za sigurnost informacija organizacije; Tretman rizika organizacione bezbednosti informacija: Proces razvoja i/ili odabira i implementacije mera za upravljanje rizicima bezbednosti informacija organizacije.

Bilješke

1 Tretman rizika može uključivati:

Izbjegavanje rizika odlukom da se ne započnu ili ne nastave aktivnosti koje stvaraju uslove

Traženje prilike odlučivanjem o pokretanju ili nastavku aktivnosti koje mogu stvoriti ili povećati rizik;

Uklanjanje izvora rizika:

Promjene u prirodi i veličini rizika:

Promjena posljedica;

Dijeljenje rizika sa drugom stranom ili stranama.

Postojanost rizika i kao rezultat svjesne odluke i „po defaultu“.

2 Tretmani rizika sa negativnim posljedicama ponekad se nazivaju ublažavanjem, eliminacijom, prevencijom. smanjenje, suzbijanje i korekcija rizika.

3.2.16 upravljanje rizikom: Koordinirane akcije za usmjeravanje i kontrolu aktivnosti organizacije u vezi sa rizicima.

3.2.17 izvor rizika za sigurnost informacija organizacije; izvor rizika za sigurnost informacija organizacije: objekt ili radnja koja može uzrokovati [stvoriti) rizik.

Bilješke

1 Nema rizika ako nema interakcije između objekta, osobe ili organizacije sa izvorom rizika.

2 Izvor rizika može biti opipljiv ili nematerijalan.

3.2.18 politika sigurnosti informacija (organizacije); Politika sigurnosti informacija (organizacija): Formalna izjava o pravilima, procedurama, praksama ili smjernicama sigurnosti informacija koje usmjeravaju aktivnosti organizacije.

Napomena - Politike moraju sadržavati.

Predmet, glavni ciljevi i zadaci sigurnosne politike:

Uvjeti za primjenu sigurnosne politike i moguća ograničenja:

Opis stava menadžmenta organizacije u pogledu sprovođenja bezbednosne politike i organizacije režima informacione bezbednosti organizacije u celini.

Prava i odgovornosti, kao i stepen odgovornosti zaposlenih za poštovanje bezbednosne politike organizacije.

Hitne procedure u slučaju kršenja sigurnosne politike

3.2.19 cilj sigurnosti informacija (organizacije); Cilj IS (organizacije): Unaprijed određen rezultat osiguranja informacione sigurnosti organizacije u skladu sa zahtjevima utvrđenim u politici IS (organizacije).

Napomena - Rezultat osiguravanja informacione sigurnosti može biti sprečavanje oštećenja vlasnika informacija zbog mogućeg curenja informacija i (ili) neovlašćenog i nenamjernog uticaja na informacije.

3.2.20 sistem dokumenata o informacionoj bezbednosti u organizaciji; sistem dokumenata bezbednosti informacija u organizaciji: uređeni skup dokumenata ujedinjenih ciljnom orijentacijom. međusobno povezani na osnovu porekla, namene, vrste, obima delatnosti, jedinstvenih zahteva za njihovo projektovanje i regulisanja delatnosti organizacije radi obezbeđenja bezbednosti informacija.

GOST R 53114-2008

3.3 Uslovi koji se odnose na prijetnje sigurnosti informacija

3.3.1 prijetnja sigurnosti informacija organizacije; Prijetnja sigurnosti informacija organizaciji: Skup faktora i uvjeta koji stvaraju opasnost od narušavanja sigurnosti informacija organizacije, uzrokujući ili mogu izazvati negativne posljedice (štetu/štetu) za organizaciju.

Bilješke

1 Oblik implementacije (manifestacije) prijetnje informacionoj sigurnosti je izbijanje jednog ili više međusobno povezanih događaja i incidenata informacione sigurnosti. što dovodi do kršenja svojstava sigurnosti informacija zaštićenih objekata organizacije.

2 Prijetnju karakterizira prisustvo objekta prijetnje, izvora prijetnje i manifestacija prijetnje.

pretnja (informaciona bezbednost): Skup uslova i faktora koji stvaraju potencijalnu ili stvarnu opasnost od narušavanja bezbednosti informacija.

[GOST R 50922-2006. klauzula 2.6.1]

3.3.3 model prijetnje (informacione sigurnosti): Fizički, matematički, deskriptivni prikaz svojstava ili karakteristika prijetnji sigurnosti informacija.

Napomena - poseban regulatorni dokument može biti vrsta deskriptivnog prikaza svojstava ili karakteristika prijetnji sigurnosti informacija.

ranjivost (informacionog sistema); kršenje: Svojstvo informacionog sistema koje omogućava implementaciju pretnji po bezbednost informacija koje se u njemu obrađuju.

Bilješke

1 Uslov za implementaciju bezbednosne pretnje koja se obrađuje u informacionom sistemu može biti nedostatak ili slabost informacionog sistema.

2 Ako ranjivost odgovara prijetnji, onda postoji rizik.

[GOST R 50922-2006. stav 2.6.4]

3.3.5 prekršilac informacione sigurnosti organizacije; kršitelj informacione sigurnosti organizacije: Pojedinac ili logički entitet koji je slučajno ili namjerno počinio radnju, čija je posljedica kršenje informacione sigurnosti organizacije.

3.3.6 neovlašćeni pristup: Pristup informacijama ili resursima automatizovanog informacionog sistema, izvršen kršenjem utvrđenih prava (ili) pristupa.

Bilješke

1 Neovlašteni pristup može biti namjeran ili nenamjeran.

2 Prava i pravila za pristup informacijama i resursima informacionog sistema utvrđuju se za procese obrade informacija, održavanje automatizovanog informacionog sistema i promene programa. tehničkih i informacionih resursa, kao i dobijanje informacija o njima.

3.3.7 mrežni napad: Radnje koje koriste softver i (ili) hardver i korištenje mrežnog protokola, koje imaju za cilj implementaciju prijetnji neovlaštenog pristupa informacijama, utjecanja na njih ili resurse automatizovanog informacionog sistema.

Aplikacija – Mrežni protokol je skup semantičkih i sintaksičkih pravila koja određuju interakciju programa za upravljanje mrežom koji se nalaze na istom računaru. sa programima istog imena koji se nalaze na drugom računaru.

3.3.8 blokiranje pristupa (informacijama): Prestanak ili teškoća pristupa informacijama osoba. imaju pravo na to (legitimni korisnici).

3.3.9 napad uskraćivanjem usluge: Mrežni napad koji dovodi do blokiranja informacionih procesa u automatizovanom sistemu.

3.3.10 curenje informacija: Nekontrolisano širenje zaštićenih informacija kao rezultat njihovog otkrivanja, neovlašćenog pristupa informacijama i primanja zaštićenih informacija od strane stranih obavještajnih službi.

3.3.11 otkrivanje informacija: Neovlašteno saopštavanje zaštićenih informacija licima. nije ovlašten za pristup ovim informacijama.

GOST R 53114-2008

presretanje (informacija): Nezakonito primanje informacija korišćenjem tehničkog sredstva koje detektuje, prima i obrađuje informativne signale.

(R 50.1.053-2005, stav 3.2.5)

informativni signal: signal čiji se parametri mogu koristiti za određivanje zaštićene informacije.

[R 50.1.05S-2005. stav 3.2.6]

3.3.14 deklarisane sposobnosti: Funkcionalne mogućnosti računarskog hardvera i softvera koje nisu opisane ili ne odgovaraju onima opisanim u dokumentaciji. što može dovesti do smanjenja ili kršenja sigurnosnih svojstava informacija.

3.3.15 lažno elektromagnetno zračenje i smetnje: Elektromagnetno zračenje iz opreme za obradu tehničkih informacija, koje nastaje kao nuspojava i uzrokovano je električnim signalima koji djeluju u njihovim električnim i magnetskim krugovima, kao i elektromagnetske smetnje ovih signala na provodnim vodovima, strukturama i snazi. kola.

3.4 Uslovi koji se odnose na organizaciono upravljanje sigurnošću informacija

3.4.1 upravljanje bezbednošću informacija organizacije; upravljanje organizacijom sigurnosti informacija; Koordinirano djelovanje za rukovođenje i upravljanje organizacijom u smislu obezbjeđivanja njene informacione sigurnosti u skladu sa promjenjivim uslovima unutrašnjeg i eksternog okruženja organizacije.

3.4.2. upravljanje rizikom za sigurnost informacija u organizaciji; upravljanje rizikom bezbednosti informacija organizacije: Koordinisane akcije za vođenje i upravljanje organizacijom u vezi sa rizikom bezbednosti informacija kako bi se on sveo na minimum.

NAPOMENA Osnovni procesi upravljanja rizikom su postavljanje konteksta, procena rizika, tretman i prihvatanje rizika, praćenje i pregled rizika.

Sistem upravljanja sigurnošću informacija; ISMS: Dio ukupnog sistema upravljanja. zasnovano na korištenju metoda procjene bioenergetskog rizika za razvoj, implementaciju i rad. praćenje, analizu, podršku i unapređenje informacione bezbednosti.

NAPOMENA Sistem upravljanja uključuje organizacionu strukturu, politike, aktivnosti planiranja, odgovornosti, prakse, procedure, procese i resurse.

[GOST R ISO/IEC 27001-2006. klauzula 3.7]

3.4.4 uloga informacione sigurnosti u organizaciji; uloga informacione sigurnosti u organizaciji: Skup specifičnih funkcija i zadataka za osiguranje informacione sigurnosti organizacije koji uspostavljaju prihvatljivu interakciju između subjekta i objekta u organizaciji.

Bilješke

1 Subjekti uključuju osobe iz redova menadžera organizacije, njenog osoblja ili procesa koji su pokrenuti u njihovo ime radi izvođenja radnji na objektima

2 Objekti mogu biti hardver, softver, softver i hardver ili informacijski resurs na kojem se izvršavaju radnje.

3.4.5 Služba za sigurnost informacija organizacije: Organizaciona i tehnička struktura sistema upravljanja bezbednošću informacija organizacije koja implementira rešenje specifičnog zadatka usmerenog na suzbijanje pretnji po bezbednost informacija organizacije.

3.5 Uslovi koji se odnose na praćenje i procjenu sigurnosti informacija organizacije

3.5.1. kontrolu nad obezbeđivanjem informacione bezbednosti organizacije; kontrola obezbjeđenja informacione sigurnosti organizacije: Provjera usklađenosti obezbjeđenja informacione sigurnosti u organizaciji.

GOST R 53114-2008

3.5.2 praćenje sigurnosti informacija organizacije; praćenje informacione bezbednosti organizacije: Stalno praćenje procesa informacione bezbednosti u organizaciji u cilju utvrđivanja njegove usklađenosti sa zahtevima bezbednosti informacija.

3.5.3 revizija informacione sigurnosti organizacije; revizija organizacije za informacionu bezbednost: Sistematski, nezavisan i dokumentovan proces pribavljanja dokaza o aktivnostima organizacije na obezbeđivanju bezbednosti informacija i utvrđivanja stepena ispunjenosti kriterijuma informacione bezbednosti u organizaciji, kao i omogućavanje mogućnosti formiranja profesionalne revizije prosudba o stanju informacione sigurnosti organizacije.

3.5.4 dokaz (dokaz) o reviziji sigurnosti informacija organizacije; Podaci revizije organizacione bezbednosti informacija: zapisi, izjave o činjenicama ili druge informacije koje su relevantne za kriterijume revizije bezbednosti informacija organizacije i koje se mogu proveriti.

NAPOMENA Dokazi o sigurnosti informacija mogu biti kvalitativni ili kvantitativni.

3.5.5 procena usklađenosti bezbednosti informacija organizacije sa utvrđenim zahtevima; procjena usklađenosti sigurnosti informacija organizacije sa utvrđenim zahtjevima: Aktivnosti uključene u direktno ili indirektno utvrđivanje usklađenosti ili neusklađenosti sa utvrđenim zahtjevima sigurnosti informacija u organizaciji.

3.5.6 kriterijum za reviziju bezbednosti informacija organizacije; kriterij revizije organizacije za sigurnost informacija: Skup principa, odredbi, zahtjeva i indikatora važećih regulatornih dokumenata* koji se odnose na aktivnosti organizacije u oblasti informacione sigurnosti.

Primena – Kriterijumi revizije bezbednosti informacija se koriste za upoređivanje dokaza revizije bezbednosti informacija sa njima.

3.5.7 sertifikacija automatizovanog sistema u sigurnom dizajnu: Proces sveobuhvatne verifikacije performansi navedenih funkcija automatizovanog sistema za obradu zaštićenih informacija u skladu sa zahtevima standarda i/ili regulatornih dokumenata u oblasti informacija zaštitu i pripremu dokumenata o njenoj usklađenosti sa obavljanjem funkcije obrade zaštićenih informacija na konkretnom objektu informatizacije.

3.5.8 kriterijum za obezbeđivanje informacione bezbednosti organizacije; kriterijum informacione bezbednosti organizacije: Indikator na osnovu kojeg se procenjuje stepen postizanja ciljeva informacione bezbednosti organizacije.

3.5.9 efektivnost informacione sigurnosti; efektivnost informacione bezbednosti: Odnos između postignutog rezultata i resursa koji se koriste za obezbeđenje datog nivoa bezbednosti informacija.

3.6 Uslovi koji se odnose na kontrole sigurnosti informacija u organizaciji

3.6.1. osiguranje informacione sigurnosti organizacije; obezbeđivanje informacione bezbednosti organizacije: Aktivnosti koje imaju za cilj eliminisanje (neutralisanje, suzbijanje) unutrašnjih i eksternih pretnji informacionoj bezbednosti organizacije ili minimiziranje štete od moguće implementacije takvih pretnji.

3.6.2 sigurnosna mjera; sigurnosna kontrola: uspostavljena praksa, procedura ili mehanizam za rukovanje rizikom.

3.6.3 mjere za osiguranje sigurnosti informacija; mjere sigurnosti informacija: Skup radnji usmjerenih na razvoj i/ili praktičnu primjenu metoda i sredstava za osiguranje informacione sigurnosti.

3.6.4 organizacione mjere za osiguranje sigurnosti informacija; organizacione mjere za obezbjeđivanje informacione sigurnosti: mjere za obezbjeđenje informatičke bezbjednosti, koje predviđaju uspostavljanje privremenih, teritorijalnih, prostornih, zakonskih, metodoloških i drugih ograničenja uslova korišćenja i načina rada objekta informatizacije.

3.6.5 tehnička sredstva za osiguranje informacione sigurnosti; tehnička sredstva za sigurnost informacija: Oprema koja se koristi za osiguranje informacione sigurnosti organizacije korištenjem nekriptografskih metoda.

Napomena - Takvu opremu mogu predstavljati hardver i softver ugrađeni u štićeni objekat i/ili koji rade samostalno (nezavisno od štićenog objekta).

GOST R 53114-2008

3.5.6 alat za otkrivanje upada, alat za otkrivanje napada: Softverski ili softversko-hardverski alat koji automatizuje proces praćenja događaja koji se dešavaju u računarskom sistemu ili mreži, a takođe nezavisno analizira ove događaje u potrazi za znacima incidenta bezbednosti informacija.

3.6.7 sredstva zaštite od neovlašćenog pristupa: Softver, hardver ili softver i hardver dizajnirani da spreče ili značajno ometaju neovlašćeni pristup.

GOST R 53114-2008

Abecedni indeks pojmova

imovina organizacije 3.1.6

analiza rizika 3.2.13

Zvučnici u zaštićenoj verziji 3.1.19

napad uskraćivanja usluge 3.3.9

mrežni napad 3.3.7

sertifikacija automatizovanog sistema u zaštićenoj verziji 3.5.7

revizija informacione sigurnosti organizacije 3.5.3

sigurnost (podaci] 3.1.1

sigurnost informacija 3.1.1

sigurnost informacionih tehnologija 3.1.2

informaciona sigurnost organizacije 3.2.1

blokiranje pristupa (informacijama) 3.3.8

kršenje 3.3.4

neprijavljene sposobnosti 3.3.14

lični podaci 3.1.18

neovlašteni pristup 3.3.6

Organizaciona informaciona bezbednost 3.2.1

identifikacija rizika 3.2.12

informaciona infrastruktura 3.1.4

bezbednosni incident informacija 3.2.7

izvor rizika za sigurnost informacija organizacije 3.2.17

kontrola informacione sigurnosti organizacije 3.5.1

kontrola informacione bezbednosti organizacije 3.5.1

kriterijumi za osiguranje informacione bezbednosti organizacije 3.5.8

Kriterij revizije IS organizacije 3.5.6

Kriterijum revizije bezbednosti informacija organizacije 3.5.6

kriterijum za obezbeđivanje informacione bezbednosti organizacije 3.5.8

Upravljanje bezbednošću informacija organizacije 3.4.1

Upravljanje rizikom sigurnosti informacija organizacije 3.4.2

mjera sigurnosti 3.6.2

mjere sigurnosti informacija 3.6.3

organizacione mjere sigurnosti informacija 3.6.4

mjere sigurnosti informacija 3.6.3

organizacione mjere sigurnosti informacija 3.4.6

model prijetnji (informaciona sigurnost) 3.3.3

praćenje sigurnosti informacija organizacije 3.5.2

praćenje informacione sigurnosti organizacije 3.5.2

kršenje informacione sigurnosti organizacije 3.2.4

narušilac informacione sigurnosti organizacije 3.3.5

narušilac informacione bezbednosti organizacije 3.3.5

podrška automatizovanom informacionom sistemu 3.1.12

softver automatizovanog sistema 3.1.11

tehnička podrška automatizovanog sistema 3.1.10

AS informaciona podrška 3.1.12

AC softver 3.1.11

AC tehnička podrška 3.1.10

osiguranje informacione sigurnosti organizacije 3.6.1

tretman rizika informacione sigurnosti organizacije 3.2.15

GOST R 53114-2008

upravljanje rizikom sigurnosti informacija organizacije 3.2.1S

objekat zaštite informacija 3.2.2

objekat informatizacije 3.1.5

kritični objekat 3.1.16

utvrđivanje prihvatljivog nivoa rizika 3.2.14

procjena rizika 3.2.10

procjena rizika I6 (organizacije) 3.2.11

procjena rizika po sigurnost informacija (organizacija) 3.2.11

ocjenjivanje usklađenosti IS-a organizacije sa utvrđenim zahtjevima 3.5.5

procjena usklađenosti informacione sigurnosti organizacije sa utvrđenim zahtjevima 3.5.5

presretanje (informacije) 3.3.12

IS politika (organizacija) 3.2.18

Politika informacione bezbednosti (organizacija) 3.2.18

proces (informaciona tehnologija) zaštićen 3.2.3

informacioni proces 3.1.8

otkrivanje informacija 3.3.11

Resurs sistema za obradu informacija 3.1.7

uloga informacione sigurnosti u organizaciji 3.4.4

uloga informacione sigurnosti 8 u organizaciji 3.4.4

potvrde (dokazi) o reviziji IS organizacije 3.5.4

dokaz (dokaz) o reviziji sigurnosti informacija organizacije 3.5.4

usluga 3.1.13

informativni signal 3.3.13

siguran automatizovani sistem 3.1.19

Sistem dokumenata bezbednosti informacija u organizaciji 3.2.20

sistem dokumenata o informacionoj bezbednosti u organizaciji 3.2.20

ključni informacioni infrastrukturni sistem 3.1.15

Sistem kritične informacione infrastrukture 3.1.15

Sistem upravljanja sigurnošću informacija 3.4.3

informacioni sistem ličnih podataka 3.1.17

nepredviđena situacija 3.2.5

opasna situacija 3.2.6

vanredne situacije 3.2.5

Služba informacione bezbednosti organizacije 3.4.6

događaj 3.2.8

zaštita od neovlašćenog pristupa 3.6.7

tehnički alat za sigurnost informacija 3.6.5

Alat za otkrivanje napada 3.6.6

Alat za otkrivanje upada 3.6.6

informaciona sfera 3.1.3

informacione tehnologije 3.1.9

prijetnja (informaciona sigurnost) 3.3.2

pretnja informacionoj bezbednosti organizacije 3.3.1

upravljanje rizicima 3.2.16

usluga 3.1.13

usluge informacionih tehnologija 3.1.14

IT usluge 3.1.14

curenje informacija 3.3.10

ranjivost (informacioni sistem) 3.3.4

IS cilj (organizacija) 3.2.19

cilj informacione sigurnosti (organizacija) 3.2.19

elektromagnetno zračenje i bočne smetnje 3.3.15

Efikasnost IS-a 3.5.9

efektivnost informacione sigurnosti 3.5.9

GOST R 53114-2008

Dodatak A (referenca)

Termini i definicije opštih tehničkih pojmova

organizacija: Grupa radnika i potrebnih resursa sa raspodjelom odgovornosti, ovlasti i odnosa.

(GOST R ISO 9000-2001, stav 3.3.1)

Bilješke

1 Organizacije uključuju: kompaniju, korporaciju, firmu, preduzeće, instituciju, dobrotvornu organizaciju, maloprodajno preduzeće, udruženje. kao i njihove pododjele ili njihovu kombinaciju.

2 Distribucija je obično naručena.

3 Organizacija može biti javna ili privatna.

A.2 poslovanje: Ekonomska aktivnost koja proizvodi profit; bilo koju vrstu aktivnosti koja stvara prihod i predstavlja izvor bogaćenja.

A.Z poslovni proces: Procesi koji se koriste u ekonomskim aktivnostima organizacije.

informacije: Informacije (poruke, podaci) bez obzira na oblik njihovog predstavljanja.

imovina: Sve. šta je od vrednosti za organizaciju. (GOST R ISO/IEC13335-1-2006, stav 2.2(

A.6 Resursi: Sredstva (organizacije) koja se koriste ili troše tokom izvršenja procesa. Bilješke

1 Resursi mogu uključivati različite stavke poput osoblja, opreme, osnovnih sredstava, alata i komunalnih usluga kao što su energija, voda, gorivo i komunikaciona mrežna infrastruktura.

2 Resursi mogu biti višekratni, obnovljivi ili potrošni.

A.7 opasnost: Svojstvo objekta koje karakteriše njegovu sposobnost da izazove štetu ili štetu drugim objektima. A.8 hitni događaj: Događaj koji dovodi do vanredne situacije.

A.9 šteta: Fizička šteta ili šteta po ljudsko zdravlje ili šteta na imovini ili životnoj sredini.

A. 10 prijetnja: Skup uslova i faktora koji mogu uzrokovati povredu integriteta i dostupnosti. privatnost.

A.11 ranjivost: Unutrašnja svojstva objekta koja stvaraju osjetljivost na efekte izvora rizika koji mogu dovesti do neke posljedice.

A. 12 napad: Pokušaj savladavanja sigurnosnog sistema informacionog sistema.

Napomene - Stepen „uspeha“ napada zavisi od ranjivosti i efikasnosti odbrambenog sistema.

A.13 menadžment: Koordinirane aktivnosti za usmjeravanje i upravljanje organizacijom

A.14 upravljanje (kontinuitet) poslovanja: Koordinirane aktivnosti upravljanja i kontrole

poslovni procesi organizacije.

A. 15 uloga: Unaprijed određen skup pravila i procedura za aktivnosti organizacije koji uspostavljaju prihvatljivu interakciju između subjekta i objekta aktivnosti.

Vlasnik informacije: Lice koje je samostalno kreiralo informaciju ili je dobilo, na osnovu zakona ili sporazuma, pravo da dozvoli ili ograniči pristup informacijama utvrđenim bilo kojim kriterijumom.

GOST R 53114-2008

infrastruktura: Sveukupnost zgrada, opreme i pratećih usluga neophodnih za funkcionisanje organizacije.

[GOST R ISO 9000-2001. stav 3.3.3]

A.18 revizija: Sistematski, nezavisan i dokumentovan proces pribavljanja revizijskih dokaza i objektivne evaluacije kako bi se utvrdio stepen do kojeg su ispunjeni dogovoreni kriterijumi revizije.

Bilješke

1 Interne revizije, koje se nazivaju revizije prve strane, sprovode se za interne svrhe od strane same organizacije ili u njeno ime od strane druge organizacije. Rezultati interne revizije mogu poslužiti kao osnova za izjavu o usklađenosti. U mnogim slučajevima, posebno u malim preduzećima, reviziju moraju izvršiti stručnjaci (ljudi koji nisu odgovorni za aktivnost koja se revidira).

NAPOMENA 2 Eksterne revizije uključuju revizije koje se nazivaju revizije druge strane i revizije treće strane. Reviziju druge strane sprovode strane zainteresovane za aktivnosti preduzeća, na primer.

potrošača ili drugih u njihovo ime. Revizije treće strane provode vanjske nezavisne organizacije. Ove organizacije provode sertifikaciju ili registraciju za usklađenost sa zahtjevima, na primjer, zahtjevima GOST R ISO 9001 i GOST R ISO 14001.

3 Revizija sistema upravljanja kvalitetom i sistema upravljanja životnom sredinom koja se sprovodi istovremeno naziva se „sveobuhvatna revizija“.

4 Ako reviziju revidirane organizacije istovremeno obavlja više organizacija, tada se takva revizija naziva „zajednička revizija“.

A.19 praćenje: Sistematsko ili kontinuirano praćenje objekta, obezbjeđivanje kontrole i/ili mjerenja njegovih parametara, kao i provođenje analize radi predviđanja varijabilnosti parametara i donošenja odluka o potrebi i sastavu korektivnih i preventivnih mjera.

Izjava o usklađenosti: Obrazac potvrde usklađenosti proizvoda sa zahtjevima tehničkih propisa.

A.21 tehnologija: Sistem međusobno povezanih metoda, metoda, tehnika objektivne aktivnosti. A.22

dokument: Informacija snimljena na materijalnom mediju sa detaljima koji omogućavaju njihovu identifikaciju.

[GOST R 52069.0-2003. stav 3.18]

A.23 obrada informacija: Skup operacija prikupljanja, akumulacije, unosa, izlaza, prijema, prenosa, snimanja, skladištenja, registracije, uništavanja, transformacije, prikaza, izvršenih na informacijama.

GOST R 53114-2008

Dodatak B (za referencu)

Odnos osnovnih pojmova u oblasti informacione bezbednosti u organizaciji

Odnos između osnovnih pojmova prikazan je na slici B.1.

Slika B.1 - odnos između osnovnih pojmova

GOST R 53114-2008

Bibliografija

(1) R 50.1.053-2005

(2]PS0.1.056-2005

informacione tehnologije. Osnovni pojmovi i definicije u oblasti tehničke informacione bezbednosti Tehnička informaciona bezbednost. Osnovni pojmovi i definicije

O tehničkoj regulativi

O informacijama, informacionim tehnologijama i zaštiti informacija

O ličnim podacima

Doktrina informacione sigurnosti Ruske Federacije

UDK 351.864.1:004:006.354 OKS 35.020 LLP

Ključne reči: informacija, informaciona bezbednost, bezbednost informacija u organizaciji, pretnje bezbednosti informacija, kriterijumi bezbednosti informacija

Urednik V.N. Cops soya Tehnički urednik V.N. Prusakova korektor V.E. Nestorovo Računarski softver I.A. NapeikinoO

Dostavljeno na regrutaciju 11.06.2009. Potpisana marka 01.12.2009. Format 60"84 Ofset papir. Arial tip slova. Ofset štampa. Usp. pećnica l. 2.32. Uch.-ed. l. 1.90. Tiraž 373 »kz. Zach. 626

FSU "STANDARTINFORM*. 123995 Moskva. Nar por.. 4. info@goslmlo gi

Ukucano u FSU "STANDARTINFORM" na računaru.

Štampano u filijali FSU "STANDARTINFORM* - tip. "Moskovski štampar". 105062 Moskva. Ljalinska traka.. 6.

GOST 22731-77 Sistemi za prenos podataka, procedure kontrole veze podataka u glavnom režimu za poludupleksnu razmenu informacija
GOST 26525-85 Sistemi za obradu podataka. metrika upotrebe
GOST 27771-88 Proceduralne karakteristike na interfejsu između opreme terminala podataka i opreme za završetak kanala podataka. Opšti zahtjevi i standardi
GOST 28082-89 Sistemi za obradu informacija. Metode za otkrivanje grešaka u serijskom prijenosu podataka
GOST 28270-89 Sistemi za obradu informacija. Specifikacija datoteke opisa podataka za razmjenu informacija
GOST R 43.2.11-2014 Informaciona podrška za opremu i aktivnosti operatera. Jezik operatera. Strukturirano predstavljanje tekstualnih informacija u formatima poruka
GOST R 43.2.8-2014 Informaciona podrška za opremu i aktivnosti operatera. Jezik operatera. Formati poruka za tehničke aktivnosti
GOST R 43.4.1-2011 Informaciona podrška za opremu i aktivnosti operatera. Sistem “čovjek-informacija”.
GOST R 53633.10-2015 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Operativni okvir proširene organizacije komunikacija (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Upravljanje organizacijom. Upravljanje organizacionim rizicima
GOST R 53633.11-2015 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Prošireni dijagram aktivnosti organizacije komunikacije (eTOM) Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Upravljanje organizacijom. Upravljanje organizacijskim učinkom
GOST R 53633.4-2015 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Operativni okvir proširene organizacije komunikacija (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Primarna djelatnost. Upravljanje uslugama i rad
GOST R 53633.7-2015 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Operativni okvir proširene organizacije komunikacija (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Strategija, infrastruktura i proizvod. Razvoj i upravljanje resursima
GOST R 53633.9-2015 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Operativni okvir proširene organizacije komunikacija (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Upravljanje organizacijom. Planiranje strategije i razvoja organizacije
GOST R 55767-2013 Informaciona tehnologija. Evropski okvir ICT kompetencija 2.0. Dio 1. Zajednički evropski okvir kompetencija za ICT profesionalce za sve industrijske sektore
GOST R 55768-2013 Informaciona tehnologija. Model otvorenog Grid sistema. Osnovne odredbe
GOST R 56093-2014 Zaštita informacija. Automatski sistemi u sigurnom dizajnu. Sredstva za detekciju namernih sila elektromagnetnih uticaja. Opšti zahtjevi
GOST R 56115-2014 Zaštita informacija. Automatski sistemi u sigurnom dizajnu. Sredstva zaštite od namjernih sila elektromagnetnih utjecaja. Opšti zahtjevi
GOST R 56545-2015 Zaštita informacija. Ranjivosti informacionih sistema. Pravila za opisivanje ranjivosti
GOST R 56546-2015 Zaštita informacija. Ranjivosti informacionih sistema. Klasifikacija ranjivosti informacionog sistema
GOST IEC 60950-21-2013 Oprema informacione tehnologije. Sigurnosni zahtjevi. Dio 21. Daljinsko napajanje
GOST IEC 60950-22-2013 Oprema informacione tehnologije. Sigurnosni zahtjevi. Dio 22. Oprema namijenjena za ugradnju na otvorenom
GOST R 51583-2014 Zaštita informacija. Procedura za kreiranje automatizovanih sistema u sigurnom dizajnu. Opće odredbe
GOST R 55766-2013 Informaciona tehnologija. Evropski okvir ICT kompetencija 2.0. Dio 3. Kreiranje e-CF-a - spajanje metodoloških osnova i stručnog iskustva
GOST R 55248-2012 Električna sigurnost. Klasifikacija sučelja za opremu povezanu s mrežama informacijske i komunikacijske tehnologije
GOST R 43.0.11-2014 Informaciona podrška za opremu i aktivnosti operatera. Baze podataka u tehničkim djelatnostima
GOST R 56174-2014 Informacione tehnologije. Arhitektura usluga otvorenog Grid okruženja. Termini i definicije
GOST IEC 61606-4-2014 Audio i audiovizuelna oprema. Komponente digitalne audio opreme. Osnovne metode za mjerenje zvučnih karakteristika. Dio 4. Personalni računar
GOST R 43.2.5-2011 Informaciona podrška za opremu i aktivnosti operatera. Jezik operatera. Gramatika
GOST R 53633.5-2012 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Operativni okvir proširene organizacije komunikacija (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Strategija, infrastruktura i proizvod. Marketing i upravljanje ponudom proizvoda
GOST R 53633.6-2012 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Operativni okvir proširene organizacije komunikacija (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Strategija, infrastruktura i proizvod. Razvoj i upravljanje uslugama
GOST R 53633.8-2012 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Operativni okvir proširene organizacije komunikacija (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Strategija, infrastruktura i proizvod. Razvoj i upravljanje lancem snabdevanja
GOST R 43.0.7-2011 Informaciona podrška za opremu i aktivnosti operatera. Hibridno-intelektualizirana interakcija čovjek-informacija. Opće odredbe
GOST R 43.2.6-2011 Informaciona podrška za opremu i aktivnosti operatera. Jezik operatera. Morfologija
GOST R 53633.14-2016 Informacione tehnologije. Mreža za upravljanje telekomunikacijama je prošireni operativni okvir organizacije komunikacija (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Upravljanje organizacijom. Upravljanje dionicima i vanjskim odnosima
GOST R 56938-2016 Zaštita informacija. Zaštita informacija pri korištenju tehnologija virtuelizacije. Opće odredbe
GOST R 56939-2016 Zaštita informacija. Siguran razvoj softvera. Opšti zahtjevi
GOST R ISO/IEC 17963-2016 Specifikacija web servisa za upravljanje (WS-management)
GOST R 43.0.6-2011 Informaciona podrška za opremu i aktivnosti operatera. Prirodno intelektualizirana interakcija čovjek-informacija. Opće odredbe
GOST R 54817-2011 Paljenje audio, video, informatičke i komunikacijske opreme slučajno uzrokovano plamenom svijeće
GOST R IEC 60950-23-2011 Oprema informacione tehnologije. Sigurnosni zahtjevi. Dio 23. Oprema za skladištenje velikih količina podataka
GOST R IEC 62018-2011 Potrošnja energije opreme informacione tehnologije. Metode mjerenja
GOST R 53538-2009 Višeparni kablovi sa bakrenim provodnicima za širokopojasna pristupna kola. Opšti tehnički zahtjevi
GOST R 53633.0-2009 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Proširena šema aktivnosti organizacije komunikacije (eTOM). Opća struktura poslovnih procesa
GOST R 53633.1-2009 Informaciona tehnologija. Mreža upravljanja telekomunikacijama. Proširena šema aktivnosti organizacije komunikacije (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Primarna djelatnost. Upravljanje odnosima sa dobavljačima i partnerima
GOST R 53633.2-2009 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Proširena šema aktivnosti organizacije komunikacije (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Primarna djelatnost. Upravljanje resursima i rad
GOST R 53633.3-2009 Informaciona tehnologija. Mreža upravljanja telekomunikacijama. Proširena šema aktivnosti organizacije komunikacije (eTOM). Dekompozicija i opisi procesa. eTOM Nivo 2 Procesi. Primarna djelatnost. Upravljanje odnosima s klijentima
GOST R ISO/IEC 20000-2-2010 Informaciona tehnologija. Upravljanje uslugama. Dio 2: Kodeks prakse
GOST R 43.0.3-2009 Informaciona podrška za opremu i aktivnosti operatera. Podnevna tehnologija u tehničkim djelatnostima. Opće odredbe
GOST R 43.0.4-2009 Informaciona podrška za opremu i aktivnosti operatera. Informacije u tehničkim aktivnostima. Opće odredbe
GOST R 43.0.5-2009 Informaciona podrška za opremu i aktivnosti operatera. Procesi razmjene informacija u tehničkim djelatnostima. Opće odredbe
GOST R 43.2.1-2007 Informaciona podrška za opremu i aktivnosti operatera. Jezik operatera. Opće odredbe
GOST R 43.2.2-2009 Informaciona podrška za opremu i aktivnosti operatera. Jezik operatera. Opće odredbe za upotrebu
GOST R 43.2.3-2009 Informaciona podrška za opremu i aktivnosti operatera. Jezik operatera. Vrste i svojstva kultnih komponenti
GOST R 43.2.4-2009 Informaciona podrška za opremu i aktivnosti operatera. Jezik operatera. Sintaktika znakovnih komponenti
GOST R 52919-2008 Informaciona tehnologija. Metode i sredstva fizičke zaštite. Klasifikacija i metode ispitivanja otpornosti na vatru. Prostorije za podatke i kontejneri
GOST R 53114-2008 Zaštita informacija. Osiguravanje sigurnosti informacija u organizaciji. Osnovni pojmovi i definicije
GOST R 53245-2008 Informacione tehnologije. Strukturirani kablovski sistemi. Instalacija glavnih komponenti sistema. Metode ispitivanja
GOST R 53246-2008 Informacione tehnologije. Strukturirani kablovski sistemi. Dizajn glavnih komponenti sistema. Opšti zahtjevi
GOST R IEC 60990-2010 Metode za mjerenje struje dodira i struje zaštitnog provodnika
GOST 33707-2016 Informacione tehnologije. Rječnik
GOST R 57392-2017 Informacione tehnologije. Upravljanje uslugama. Dio 10. Osnovni pojmovi i terminologija
GOST R 43.0.13-2017 Informaciona podrška za opremu i aktivnosti operatera. Usmjerena obuka specijalista
GOST R 43.0.8-2017 Informaciona podrška za opremu i aktivnosti operatera. Veštački intelektualizovana interakcija između čoveka i informacija. Opće odredbe
GOST R 43.0.9-2017 Informaciona podrška za opremu i aktivnosti operatera. Informativni resursi
GOST R 43.2.7-2017 Informaciona podrška za opremu i aktivnosti operatera. Jezik operatera. Sintaksa
GOST R ISO/IEC 38500-2017 Informacione tehnologije. Strateški IT menadžment u organizaciji
GOST R 43.0.10-2017 Informaciona podrška za opremu i aktivnosti operatera. Informacijski objekti, objektno orijentirani dizajn u kreiranju tehničkih informacija
GOST R 53633.21-2017 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Proširena šema aktivnosti organizacije komunikacije (eTOM). Dekompozicija i opisi procesa. Primarna djelatnost. Upravljanje i rad usluga. eTOM Nivo 3 Procesi. Proces 1.1.2.1 – Podrška i dostupnost SM&O procesa
GOST R 57875-2017 Telekomunikacije. Šeme povezivanja i uzemljenja u telekomunikacionim centrima
GOST R 53633.22-2017 Informacione tehnologije. Mreža upravljanja telekomunikacijama. Proširena šema aktivnosti organizacije komunikacije (eTOM). Dekompozicija i opisi procesa. Primarna djelatnost. Upravljanje i rad usluga. eTOM Nivo 3 Procesi. Proces 1.1.2.2 - Konfiguriranje i aktiviranje usluga

Međunarodni standardi

BS 7799-1:2005 - Britanski standard BS 7799 prvi dio. BS 7799 Dio 1 - Kodeks prakse za upravljanje sigurnošću informacija opisuje 127 kontrola potrebnih za izgradnju sistemi upravljanja sigurnošću informacija(ISMS) organizacije, utvrđen na osnovu najboljih primjera globalnog iskustva (najbolje prakse) u ovoj oblasti. Ovaj dokument služi kao praktičan vodič za kreiranje ISMS-a
BS 7799-2:2005 - Britanski standard BS 7799 je drugi dio standarda. BS 7799 Dio 2 - Upravljanje sigurnošću informacija - specifikacija za sisteme upravljanja sigurnošću informacija specificira ISMS specifikaciju. Drugi dio standarda se koristi kao kriterijum tokom zvanične procedure sertifikacije za ISMS organizacije.
BS 7799-3:2006 - Britanski standard BS 7799 treći dio standarda. Novi standard u upravljanju rizicima sigurnosti informacija
ISO/IEC 17799:2005 - "Informaciona tehnologija - Sigurnosne tehnologije - Praksa upravljanja sigurnošću informacija." Međunarodni standard zasnovan na BS 7799-1:2005.
ISO/IEC 27000 - Rečnik i definicije.
ISO/IEC 27001:2005 - "Informaciona tehnologija - Sigurnosne tehnike - Sistemi upravljanja sigurnošću informacija - Zahtjevi." Međunarodni standard zasnovan na BS 7799-2:2005.
ISO/IEC 27002 - Sada: ISO/IEC 17799:2005. "Informacione tehnologije - Sigurnosne tehnologije - Praktična pravila za upravljanje sigurnošću informacija." Datum izlaska: 2007.
ISO/IEC 27005 - Sada: BS 7799-3:2006 - Vodič za upravljanje rizikom sigurnosti informacija.
Njemačka agencija za sigurnost informacija. Priručnik za osnovnu zaštitu IT - Standardne sigurnosne mjere.

Državni (nacionalni) standardi Ruske Federacije

GOST R 50922-2006 - Zaštita informacija. Osnovni pojmovi i definicije.
R 50.1.053-2005 - Informacione tehnologije. Osnovni pojmovi i definicije u oblasti tehničke informacione bezbednosti.
GOST R 51188-98 - Zaštita informacija. Testiranje softvera na kompjuterske viruse. Model manual.
GOST R 51275-2006 - Zaštita informacija. Informacijski objekt. Faktori koji utiču na informacije. Opće odredbe.
GOST R ISO/IEC 15408-1-2008 - Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Kriterijumi za procenu bezbednosti informacionih tehnologija. Dio 1. Uvod i opći model.
GOST R ISO/IEC 15408-2-2008 - Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Kriterijumi za procenu bezbednosti informacionih tehnologija. Dio 2. Zahtjevi funkcionalne sigurnosti.
GOST R ISO/IEC 15408-3-2008 - Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Kriterijumi za procenu bezbednosti informacionih tehnologija. Dio 3. Zahtjevi za osiguranje sigurnosti.
GOST R ISO/IEC 15408 - "Opšti kriterijumi za procenu bezbednosti informacionih tehnologija" - standard koji definiše alate i metode za procenu bezbednosti informacionih proizvoda i sistema; sadrži listu zahtjeva sa kojima se mogu uporediti rezultati nezavisnih procjena sigurnosti – omogućavajući potrošaču da donese odluke o sigurnosti proizvoda. Djelokrug primjene „Općih kriterija“ je zaštita informacija od neovlaštenog pristupa, modifikacije ili curenja, te druge metode zaštite koje implementiraju hardver i softver.
GOST R ISO/IEC 17799 - „Informacione tehnologije. Praktična pravila za upravljanje sigurnošću informacija.” Direktna primjena međunarodnog standarda sa dodatkom ISO/IEC 17799:2005.
GOST R ISO/IEC 27001 - „Informacione tehnologije. Sigurnosne metode. Sistem upravljanja sigurnošću informacija. Zahtjevi". Direktna primjena međunarodnog standarda je ISO/IEC 27001:2005.
GOST R 51898-2002: Sigurnosni aspekti. Pravila za uključivanje u standarde.

Vodeći dokumenti

RD SVT. Zaštita od NSD-a. Sigurnosni indikatori od NSD do informacija - sadrži opis sigurnosnih indikatora informacionih sistema i zahtjeve za sigurnosne klase.

vidi takođe

Nedeklarisane sposobnosti

Eksterne veze

Međunarodni standardi upravljanja sigurnošću informacija

Wikimedia Foundation. 2010.

Važnost osiguravanja sigurnosti informacija teško je precijeniti, jer je potreba za pohranjivanjem i prijenosom podataka sastavni dio vođenja svakog poslovanja.

Različite metode informacione sigurnosti zavise od oblika u kojem se pohranjuju, međutim, da bi se ova oblast sistematizovala i racionalizirala, potrebno je uspostaviti standarde informacione sigurnosti, jer je standardizacija važna odrednica kvaliteta u ocjenjivanju pruženih usluga.

Svako obezbjeđenje informacione sigurnosti zahtijeva kontrolu i verifikaciju, koja se ne može izvršiti samo individualnom procjenom, bez uzimanja u obzir međunarodnih i državnih standarda.

Formiranje standarda informacione sigurnosti nastaje nakon jasnog definisanja njegovih funkcija i granica. Informaciona sigurnost je osiguranje povjerljivosti, integriteta i dostupnosti podataka.

Za utvrđivanje stanja informacione bezbednosti najprimenljivija je kvalitativna procena, jer je stepen bezbednosti ili ranjivosti moguće iskazati u procentima, ali to ne daje potpunu i objektivnu sliku.

Za procjenu i reviziju sigurnosti informacionih sistema možete primijeniti niz uputstava i preporuka koje podrazumijevaju regulatornu podršku.

Državni i međunarodni standardi sigurnosti informacija

Praćenje i procena stanja bezbednosti vrši se proverom njihove usklađenosti sa državnim standardima (GOST, ISO) i međunarodnim standardima (Iso, Zajednički kriterijumi za IT bezbednost).

Međunarodni set standarda koji je razvila Međunarodna organizacija za standardizaciju (ISO) je skup praksi i preporuka za implementaciju sistema i opreme za sigurnost informacija.

ISO 27000 je jedan od najprimjenjivijih i najraširenijih standarda ocjenjivanja, koji uključuje više od 15 odredbi i uzastopno numeriranih.

Prema kriterijumima za procjenu standardizacije ISO 27000, sigurnost informacija nije samo njihov integritet, povjerljivost i dostupnost, već i autentičnost, pouzdanost, tolerancija grešaka i prepoznatljivost. Uobičajeno, ova serija standarda se može podijeliti u 4 odjeljka:

pregled i upoznavanje sa terminologijom, opis pojmova koji se koriste u oblasti bezbednosti;
obavezni zahtjevi za sistem upravljanja sigurnošću informacija, detaljan opis metoda i sredstava upravljanja sistemom. Je glavni standard ove grupe;
preporuke revizije, smjernice za sigurnosne kontrole;
standarde koji preporučuju prakse za implementaciju, razvoj i unapređenje sistema upravljanja sigurnošću informacija.

Državni standardi sigurnosti informacija uključuju niz propisa i dokumenata koji se sastoje od više od 30 odredbi (GOST).

Različiti standardi imaju za cilj ne samo uspostavljanje opštih kriterijuma ocenjivanja, kao što je GOST R ISO/IEC 15408, koji sadrži metodološke smernice za procenu bezbednosti i listu zahteva za sistem upravljanja. Oni mogu biti specifični i sadržavati praktična uputstva.

Pravilna organizacija skladišta i njegovo redovno praćenje njegovog rada pomoći će u otklanjanju krađe robne i materijalne imovine, što negativno utiče na finansijsku dobrobit svakog preduzeća, bez obzira na oblik vlasništva.
Do trenutka lansiranja, sistem automatizacije skladišta prolazi kroz još dvije faze: interno testiranje i popunjavanje podataka. Nakon takve pripreme, sistem se u potpunosti pokreće. Više o automatizaciji pročitajte ovdje.

Međusobna povezanost i skup tehnika dovode do razvoja općih odredbi i spajanja međunarodne i državne standardizacije. Dakle, GOST-ovi Ruske Federacije sadrže dodatke i reference na međunarodne ISO standarde.

Takva interakcija pomaže u razvoju jedinstvenog sistema praćenja i evaluacije, što zauzvrat značajno povećava efikasnost primjene ovih odredbi u praksi, objektivno procjenjujući rezultate rada i generalno poboljšavajući.

Poređenje i analiza nacionalnih i međunarodnih sistema standardizacije

Broj evropskih standardizacijskih standarda za osiguranje i kontrolu sigurnosti informacija značajno premašuje one zakonske standarde koje je uspostavila Ruska Federacija.

U nacionalnim državnim standardima preovlađuju odredbe o zaštiti informacija od mogućeg hakovanja, curenja i prijetnji gubitkom. Strani sigurnosni sistemi su specijalizovani za razvoj standarda za pristup podacima i autentifikaciju.

Postoje i razlike u odredbama koje se odnose na sprovođenje kontrole i revizije sistema. Osim toga, praksa primjene i implementacije sistema upravljanja sigurnošću informacija evropske standardizacije manifestira se u gotovo svim sferama života, a standardi Ruske Federacije uglavnom su usmjereni na očuvanje materijalnog blagostanja.

Međutim, državni standardi koji se stalno ažuriraju sadrže neophodan minimalni skup zahtjeva za stvaranje kompetentnog sistema upravljanja sigurnošću informacija.

Standardi sigurnosti informacija za prijenos podataka

Poslovanje uključuje skladištenje, razmjenu i prijenos podataka putem interneta. U savremenom svijetu valutne transakcije, komercijalne aktivnosti i transferi sredstava često se odvijaju online, a informatičku sigurnost ove aktivnosti moguće je osigurati samo primjenom kompetentnog i profesionalnog pristupa.

Na Internetu postoje brojni standardi koji osiguravaju sigurno skladištenje i prijenos podataka, poznati antivirusni zaštitni programi, posebni protokoli za finansijske transakcije i mnogi drugi.

Brzina razvoja informacionih tehnologija i sistema je tolika da značajno nadmašuje kreiranje protokola i jedinstvenih standarda za njihovu upotrebu.

Jedan od popularnih sigurnih protokola za prijenos podataka je SSL (Secure Socket Layer), razvijen od strane američkih stručnjaka. Omogućava vam da zaštitite podatke pomoću kriptografije.

Prednost ovog protokola je mogućnost verifikacije i autentifikacije, na primjer, neposredno prije razmjene podataka. Međutim, upotreba ovakvih sistema prilikom prenosa podataka je prilično savetodavna, jer upotreba ovih standarda nije obavezna za preduzetnike.

Da biste otvorili LLC preduzeće, potreban vam je statut preduzeća. Postupak koji se razvija u skladu sa zakonodavstvom Ruske Federacije. Možete ga napisati sami, uzeti standardni uzorak kao vodič ili se možete obratiti stručnjacima koji će ga napisati.
Ambiciozni biznismen koji planira da razvije sopstveni biznis kao samostalni preduzetnik mora prilikom popunjavanja prijave navesti šifru ekonomske delatnosti u skladu sa OKVED. Detalji ovdje.

Za obavljanje sigurnih transakcija i operacija razvijen je prijenosni protokol SET (Security Electronic Transaction) koji omogućava minimiziranje rizika pri obavljanju komercijalnih i trgovačkih operacija. Ovaj protokol je standard za Visa i Master Card sisteme plaćanja, koji omogućava korištenje sigurnosnog mehanizma platnog sistema.

Odbori koji standardizuju internet resurse su dobrovoljni, pa stoga aktivnosti koje obavljaju nisu legalne i obavezne.

Međutim, prevara na internetu u savremenom svijetu prepoznata je kao jedan od globalnih problema, stoga je jednostavno nemoguće osigurati informacijsku sigurnost bez upotrebe posebnih tehnologija i njihove standardizacije.

Sistemi upravljanja bezbednošću - Specifikacija sa uputstvom za upotrebu" (Systems - Specifications with guidance for use). Na osnovu toga razvijen je standard ISO/IEC 27001:2005 "Informaciona tehnologija". Sigurnosne tehnike. Sistemi upravljanja sigurnošću informacija. Zahtjevi", radi usklađenosti s kojima se može izvršiti certifikacija.

U Rusiji su trenutno na snazi standardi GOST R ISO/IEC 17799-2005 “Praktična pravila”. upravljanje bezbednošću informacija"(autentičan prevod ISO/IEC 17799:2000) i GOST R ISO/IEC 27001-2006 "Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Sistemi upravljanja sigurnošću informacija. Zahtjevi" (prevod ISO/IEC 27001:2005). Uprkos nekim internim neslaganjima vezanim za različite verzije i karakteristike prijevoda, prisustvo standarda nam omogućava da sistem upravljanje bezbednošću informacija u skladu sa njihovim zahtjevima i, ako je potrebno, ovjeriti.

GOST R ISO/IEC 17799:2005 "Informaciona tehnologija. Praktična pravila za upravljanje sigurnošću informacija"

Razmotrimo sada sadržaj standarda. U uvodu se navodi da su „informacije, procesi koji ih podržavaju, informacioni sistemi i mrežna infrastruktura bitna imovina organizacije. Povjerljivost, integritet i dostupnost informacija mogu značajno doprinijeti konkurentnosti, likvidnosti, profitabilnosti, usklađenosti i usklađenosti. poslovnu reputaciju organizacije." Dakle, možemo reći da ovaj standard razmatra pitanja sigurnosti informacija, uključujući i sa stanovišta ekonomskog efekta.

Naznačene su tri grupe faktora koji se moraju uzeti u obzir prilikom izrade zahtjeva u oblasti informacione sigurnosti. Ovo:

procjena rizika organizacije. Kroz procjenu rizika, identificiraju se prijetnje po imovinu organizacije, procjena ranjivosti relevantna sredstva i vjerovatnoća nastanka prijetnji, kao i procjena mogućih posljedica;
zakonske, statutarne, regulatorne i ugovorne zahtjeve koje mora ispuniti organizacija, njeni trgovinski partneri, izvođači i pružaoci usluga;
specifičan skup principa, ciljeva i zahtjeva koje je razvila organizacija u vezi sa obradom informacija.

Nakon utvrđivanja zahtjeva, počinje faza odabira i implementacije mjera koje će osigurati smanjenje rizika na prihvatljiv nivo. Izbor događaja po upravljanje bezbednošću informacija treba da se zasniva na omjeru troškova njihove implementacije, efekta smanjenja rizika i mogućih gubitaka u slučaju narušavanja sigurnosti. Treba uzeti u obzir i faktore koji se ne mogu izraziti u novčanom smislu, kao što je gubitak ugleda. U standardu je dat mogući spisak aktivnosti, ali se napominje da se može dopuniti ili formirati samostalno na osnovu potreba organizacije.

Nabrojimo ukratko odjeljke standarda i mjere zaštite informacija koje su u njima predložene. Prva grupa se tiče bezbednosne politike. Potrebno je da se izradi, odobri rukovodstvo organizacije, objavi i dovede do znanja svim zaposlenima. Trebalo bi utvrditi proceduru rada sa informacionim resursima organizacije, dužnosti i odgovornosti zaposlenih. Politika se periodično revidira kako bi odražavala trenutno stanje sistema i identifikovane rizike.

Sledeći odeljak se bavi organizacionim pitanjima vezanim za bezbednost informacija. Standard preporučuje formiranje upravnih saveta (uz učešće višeg menadžmenta kompanije) za odobravanje bezbednosne politike, imenovanje odgovornih lica, raspodjela odgovornosti i koordinaciju provođenja mjera za upravljanje bezbednošću informacija U organizaciji. Proces za dobijanje dozvole za korištenje alata za obradu informacija (uključujući novi softver i hardver) u organizaciji također treba opisati kako to ne bi dovelo do sigurnosnih problema. Takođe je potrebno utvrditi proceduru za interakciju sa drugim organizacijama po pitanjima informacione bezbednosti, konsultacije sa „spoljnim“ stručnjacima i nezavisnu proveru (reviziju) informacione bezbednosti.

Prilikom pružanja pristupa informacionim sistemima stručnjacima iz nezavisnih organizacija, posebna pažnja se mora posvetiti sigurnosnim pitanjima. Mora se izvršiti procjena rizika povezanih s različitim vrstama pristupa (fizičkog ili logičkog, tj. udaljenog) takvih stručnjaka različitim organizacijskim resursima. Potreba za obezbjeđivanjem pristupa mora biti opravdana, a ugovori sa trećim licima i organizacijama moraju uključivati zahtjeve u pogledu usklađenosti sa sigurnosnom politikom. Predlaže se da se isto uradi iu slučaju uključivanja trećih organizacija u obradu informacija (outsourcing).

Sljedeći dio standarda posvećen je pitanjima klasifikacije i upravljanje imovinom. Da bi se osigurala informaciona sigurnost organizacije, neophodno je da se sva ključna informaciona sredstva obračunavaju i dodijele odgovornim vlasnicima. Predlažemo da počnete sa inventarom. Sljedeća klasifikacija je data kao primjer:

informacijska sredstva (baze podataka i fajlovi podataka, sistemsku dokumentaciju itd.);
softverska sredstva (aplikacijski softver, sistemski softver, razvojni alati i uslužni programi);
fizička sredstva (računarska oprema, komunikaciona oprema, mediji za skladištenje podataka, ostala tehnička oprema, namještaj, prostorije);
usluge (računarske i komunikacijske usluge, osnovne komunalne usluge).

Zatim se predlaže klasifikacija informacija kako bi se utvrdio njihov prioritet, neophodnost i stepen zaštite. Istovremeno, relevantne informacije mogu se procijeniti uzimajući u obzir koliko su one kritične za organizaciju, na primjer, sa stanovišta osiguranja njenog integriteta i dostupnosti. Nakon toga, predlaže se razvoj i implementacija procedure označavanja prilikom obrade informacija. Procedure označavanja treba definirati za svaki nivo klasifikacije kako bi se prilagodile sljedeće vrste obrade informacija:

kopiranje;
skladištenje;
prijenos poštom, faksom i e-poštom;
Prijenos glasa, uključujući mobilni telefon, govornu poštu, automatske sekretarice;
uništenje.

Sljedeći odjeljak se bavi sigurnosnim pitanjima vezanim za osoblje. Standard utvrđuje da se odgovornosti za poštovanje sigurnosnih zahtjeva raspoređuju u fazi odabira osoblja, uključuju u ugovore o radu i prate tokom čitavog perioda zaposlenja zaposlenog. Konkretno, prilikom zapošljavanja stalnog radnika, preporučuje se provjeriti autentičnost dokumenata koje je podnosilac zahtjeva dostavio, potpunost i tačnost životopisa i preporuka koje su mu dostavljene. Preporučuje se da zaposleni potpišu ugovor o povjerljivosti u kojem se navodi koje su informacije povjerljive ili osjetljive. Mora se utvrditi disciplinska odgovornost za zaposlene koji krše bezbednosne politike i procedure organizacije. Tamo gdje je potrebno, ova odgovornost treba da se nastavi u određenom periodu nakon napuštanja zaposlenja.

Korisnici moraju biti obučeni bezbednosne procedure i ispravnu upotrebu alata za obradu informacija kako bi se minimizirali mogući rizici. Pored toga, postupak obavještavanja o kršenja sigurnosti informacija, sa kojim se osoblje mora upoznati. Sličnu proceduru treba slijediti u slučajevima kvarova softvera. Takve incidente treba evidentirati i analizirati kako bi se identifikovali problemi koji se ponavljaju.

Sljedeći dio standarda bavi se pitanjima fizičke zaštite i zaštite okoliša. Navodi se da „sredstva za obradu kritičnih ili važnih servisnih informacija moraju biti locirana u sigurnosnim zonama koje je odredio određeni sigurnosni perimetar sa odgovarajućim zaštitnim barijerama i kontrolama upada. Ovi prostori moraju biti fizički zaštićeni od neovlašćenog pristupa, oštećenja i udara." Pored organizovanja kontrole pristupa zaštićenim područjima, mora se utvrditi i postupak izvođenja radova u njima, a po potrebi i procedure za organizovanje pristupa posjetitelja. Neophodan za osiguranje sigurnosti opreme (uključujući i , koja se koristi izvan organizacije) kako bi se smanjio rizik od neovlaštenog pristupa podacima i zaštitili od gubitka ili oštećenja. Procedura za održavanje opreme koja uzima u obzir sigurnosne zahtjeve također mora biti definirana i procedure za sigurno odlaganje ili ponovnu upotrebu opreme, na primjer, preporučuje se da se medij za jednokratnu upotrebu koji sadrži osjetljive informacije fizički uništi ili prepiše na siguran način. umjesto korištenja standardnih funkcija brisanja podataka.

Kako bi se smanjio rizik od neovlaštenog pristupa ili oštećenja papirnih dokumenata, medija za pohranu i medija za obradu informacija, preporučuje se implementacija politike "čistog stola" za papirna dokumenta i uklonjive medije za pohranu, kao i politike "čistog ekrana" za oprema za obradu informacija. Oprema, informacije ili softver mogu se ukloniti iz prostorija organizacije samo uz odgovarajuću dozvolu.

Naslov sljedećeg odjeljka standarda je “Upravljanje prijenosom podataka i operativnim aktivnostima”. Zahteva da se utvrde odgovornosti i procedure povezane sa radom svih objekata za obradu informacija. Na primjer, promjene konfiguracije u objektima i sistemima za obradu informacija moraju se kontrolirati. Potrebno je implementirati princip podjele odgovornosti u odnosu na funkcije upravljanja, obavljanje određenih poslova i oblasti.

Preporučuje se odvajanje okruženja za razvoj, testiranje i proizvodnju softvera. Pravila za prijenos softvera iz statusa u razvoju u status prihvaćenog za rad moraju biti definirana i dokumentirana.

Dodatni rizici nastaju kada se koriste ugovarači trećih strana za upravljanje objektima za obradu informacija. Takvi rizici moraju biti identifikovani unapred i preduzeti odgovarajuće mere upravljanje bezbednošću informacija dogovoreno sa izvođačem i uključeno u ugovor.

Da bi se obezbijedio potreban kapacitet obrade i skladištenja, potrebno je analizirati trenutne zahtjeve performansi, kao i prognozirati buduće. Ove prognoze treba da uzmu u obzir nove funkcionalne i sistemske zahtjeve, kao i tekuće i buduće planove razvoja informacionih tehnologija u organizaciji. Zahtjevi i kriteriji za usvajanje novih sistema moraju biti jasno definirani, dogovoreni, dokumentirani i testirani.

Moraju se poduzeti mjere da se spriječi i otkrije uvođenje zlonamjernog softvera kao što su kompjuterski virusi, mrežni crvi, trojanski konji i logic bombs. Napominje se da zaštita od zlonamjernog softvera treba da se zasniva na razumijevanju sigurnosnih zahtjeva, odgovarajućim sistemima kontrole pristupa i pravilnom upravljanju promjenama.

Mora se odrediti postupak izvođenja pomoćnih operacija, koji uključuje sigurnosnu kopiju softvera i podataka 1 Kao primjer, laboratorij #10 razmatra organiziranje sigurnosnih kopija u Windows Serveru 2008. evidentiranje događaja i grešaka i, gdje je potrebno, praćenje statusa hardvera. Redundantne aranžmane za svaki pojedinačni sistem treba redovno testirati kako bi se osiguralo da ispunjavaju zahtjeve planova kontinuiteta poslovanja.

Osigurati sigurnost informacija na mrežama i zaštititi ih prateća infrastruktura, potrebno je uvođenje sredstava sigurnosna kontrola i zaštitu povezanih usluga od neovlaštenog pristupa.

Posebna pažnja posvećena je sigurnosti različitih vrsta medija za skladištenje podataka: dokumenata, računarskih medija (trake, diskovi, kasete), ulazno/izlaznih podataka i sistemske dokumentacije od oštećenja. Preporučuje se uspostavljanje procedure za korišćenje prenosivih računarskih medija za skladištenje podataka (procedura za kontrolu sadržaja, skladištenje, uništavanje, itd.). Kao što je gore navedeno, medije za skladištenje treba odložiti na siguran i siguran način nakon upotrebe.

Kako bi se osigurala zaštita informacija od neovlaštenog otkrivanja ili zloupotrebe, potrebno je uspostaviti procedure za obradu i čuvanje informacija. Ove procedure treba osmisliti uzimajući u obzir kategorizacija informacije, te postupaju u vezi s dokumentima, računarskim sistemima, mrežama, prijenosnim računalima, mobilnim komunikacijama, poštom, govornom poštom, glasovnom komunikacijom općenito, multimedijalnim uređajima, korištenjem faksa i svim drugim važnim objektima, kao što su obrasci, čekovi i računi. Sistemska dokumentacija mogu sadržavati određene važne informacije i stoga moraju biti zaštićene.

Proces razmjene informacija i softvera između organizacija mora biti kontroliran i usklađen sa važećim zakonodavstvom. Posebno mora biti osigurana, utvrđena sigurnost nosilaca informacija tokom prenosa politika upotrebe e-mail i elektronski uredski sistemi. Treba voditi računa o zaštiti integriteta informacija objavljenih elektronski, kao što su informacije na web stranici. Odgovarajući formalizovani proces autorizacije je takođe potreban pre nego što takve informacije budu javno dostupne.

Sljedeći dio standarda posvećen je pitanjima kontrole pristupa.

Potrebno je da pravila kontrole pristupa i prava svakog korisnika ili grupe korisnika budu jasno definisana sigurnosnom politikom. Korisnici i pružaoci usluga moraju biti svjesni potrebe da se pridržavaju ovih zahtjeva.

Koristeći autentifikaciju lozinkom, potrebno je vršiti kontrolu nad korisničkim lozinkama. Korisnici posebno moraju potpisati dokument kojim se slažu da će zadržati potpunu povjerljivost lozinki. Potrebno je osigurati sigurnost procesa dobivanja lozinke za korisnika i, ako se ona koristi, da korisnici upravljaju svojim lozinkama (prisilna promjena lozinke nakon prve prijave i sl.).

Pristup internim i eksternim mrežnim uslugama mora biti kontrolisan. Korisnicima treba omogućiti direktan pristup samo onim uslugama za koje su ovlašteni. Posebna pažnja se mora posvetiti autentifikaciji udaljenih korisnika. Na osnovu procjene rizika važno je odrediti potreban nivo zaštite kako bi se izabrala odgovarajuća metoda autentifikacije. Sigurnost korištenja mrežnih usluga također se mora pratiti.

Mnogi mrežni i računarski uređaji imaju ugrađene mogućnosti daljinske dijagnostike i upravljanja. Sigurnosne mjere moraju se primjenjivati i na ove objekte.

Kada mreže dijele više organizacija, moraju se definirati zahtjevi politike kontrole pristupa kako bi se to uzelo u obzir. Takođe može biti potrebno uvesti dodatne mjere za upravljanje bezbednošću informacija ograničiti mogućnost povezivanja korisnika.

Na nivou operativnog sistema, mere bezbednosti informacija treba da se koriste za ograničavanje pristupa računarskim resursima 2 Primer organizovanja kontrole pristupa datotekama i fasciklama u Windows Serveru 2008 biće razmatran u laboratorijskom radu br. 9.. To se odnosi na identifikaciju i autentifikaciju terminali i korisnici. Preporučuje se da svi korisnici imaju jedinstvene identifikatore, koji ne bi trebali sadržavati nikakve naznake nivoa privilegija korisnika. U sistemima upravljanje lozinkama moraju se obezbijediti efikasne interaktivne sposobnosti kako bi se podržao njihov traženi kvalitet 3 Primjer upravljanja kvalitetom lozinki u Windows operativnim sistemima razmatran je u laboratorijskom radu br. 3.. Korištenje sistemskih uslužnih programa treba biti ograničeno i pažljivo kontrolirano.

Preporučljivo je osigurati alarm u slučaju da korisnik može postati meta nasilja 4 Primjer za to bi bile lozinke za prijavu pod prinudom. Ako korisnik unese takvu lozinku, sistem prikazuje korisnikov normalan proces prijavljivanja, a zatim simulira neuspjeh da spriječi napadače da dobiju pristup podacima.(ako se takav događaj procijeni vjerovatnim). Moraju se definisati odgovornosti i procedure za reagovanje na takav alarm.

Terminale koji opslužuju sisteme visokog rizika, kada se nalaze na lako dostupnim lokacijama, treba isključiti nakon određenog perioda neaktivnosti kako bi se spriječio pristup neovlaštenim osobama. Može se uvesti i ograničenje vremenskog perioda tokom kojeg se terminalima dozvoljava povezivanje na računarske usluge.

Mjere sigurnosti informacija također se moraju primijeniti na nivou aplikacije. Konkretno, ovo može biti ograničenje pristupa za određene kategorije korisnika. Sistemi koji obrađuju važne informacije moraju biti opremljeni namenskim (izolovanim) računarskim okruženjem.

Monitoring sistema je neophodan da bi se otkrila odstupanja od zahteva politike kontrole pristupa i obezbedili dokazi u slučaju incidenta bezbednosti informacija. Rezultate monitoringa treba redovno revidirati. Dnevnik revizije se može koristiti za istraživanje incidenata, tako da je pravilno podešavanje (sinhronizacija) računarskog sata veoma važno.

Prilikom korištenja prijenosnih uređaja, poput prijenosnih računala, potrebno je poduzeti posebne mjere za suzbijanje kompromitiranja vlasničkih informacija. Treba usvojiti formalizovane politike koje se bave rizicima povezanim sa radom sa prenosivim uređajima, posebno u nesigurnim okruženjima.

Sljedeći odjeljak standarda se zove “Razvoj i održavanje sistema”. Već na pozornici razvoj informacionih sistema potrebno je osigurati da se uzmu u obzir sigurnosni zahtjevi. A tokom rada sistema potrebno je spriječiti gubitak, izmjenu ili zloupotrebu korisničkih podataka. U tu svrhu preporučuje se da aplikativni sistemi obezbede potvrdu ispravnosti unosa i izlaza podataka, kontrolu obrade podataka u sistem, autentifikacija poruke, evidentiranje radnji korisnika.

Da bi se osigurala povjerljivost, integritet i autentifikaciju podataka Mogu se koristiti kriptografske sigurnosne mjere.

Osiguravanje integriteta softvera igra važnu ulogu u procesu informacione sigurnosti. Da bi se minimizirala šteta na informacionim sistemima, implementaciju promjena treba strogo kontrolirati. S vremena na vrijeme postoji potreba za izmjenama operativnih sistema. U tim slučajevima potrebno je analizirati i testirati aplikativne sisteme kako bi se osiguralo da nema štetnog utjecaja na njihovu funkcionalnost i sigurnost. Koliko je to moguće, preporučuje se korištenje gotovih softverskih paketa bez modifikacija.

Povezano pitanje je suzbijanje trojanskih konja i korištenje prikrivenih kanala za curenje. Jedna protivmjera je korištenje softvera dobivenog od provjerenih dobavljača i monitora integritet sistema.

U slučajevima kada je u razvoj softvera uključena treća organizacija, potrebno je obezbijediti mjere za kontrolu kvaliteta i ispravnosti obavljenog posla.

Sljedeći dio standarda posvećen je upravljanju kontinuitetom poslovanja. U početnoj fazi treba identifikovati događaje koji mogu uzrokovati prekid poslovnih procesa (kvar opreme, požar i sl.). U tom slučaju potrebno je procijeniti posljedice, a zatim izraditi planove oporavka. Adekvatnost planova mora biti potvrđena testiranjem, a sami se moraju periodično revidirati kako bi se uzele u obzir promjene koje se dešavaju u sistemu.

Posljednji dio standarda bavi se pitanjima usklađenosti. Prije svega, to se tiče usklađenosti sistema i procedure njegovog rada sa zakonskim zahtjevima. Ovo uključuje pitanja usklađenosti sa autorskim pravima (uključujući softver), zaštitu ličnih podataka (zaposlenih, klijenata) i sprečavanje zloupotrebe alata za obradu informacija. Koristeći kriptografskim sredstvima zaštite informacija, moraju biti u skladu sa važećim zakonima. Takođe treba detaljno razraditi proceduru prikupljanja dokaza u slučaju sudskih sporova vezanih za incidente u oblasti sigurnosti informacionog sistema.

Sami informacioni sistemi moraju pridržavati se sigurnosne politike organizacija i korišteni standardi. Sigurnost informacionih sistema mora se redovno analizirati i procjenjivati. Istovremeno, potrebno je poštovati sigurnosne mjere prilikom obavljanja sigurnosne revizije kako to ne bi dovelo do neželjenih posljedica (na primjer, kvar kritičnog servera zbog revizije).

Da rezimiramo, može se primijetiti da se standard bavi širokim spektrom pitanja vezanih za osiguranje sigurnosti informacionih sistema. Date su praktične preporuke u brojnim oblastima.