Ruské standardy informační bezpečnosti. Standardy informační bezpečnosti. Požadavky na znalosti a dovednosti

Tato část poskytuje obecné informace a texty národních norem Ruské federace v oblasti informační bezpečnosti GOST R.

Aktuální seznam moderních GOST vyvinutých v posledních letech a plánovaných pro vývoj. Certifikační systém pro nástroje informační bezpečnosti podle požadavků informační bezpečnosti č. ROSS RU.0001.01BI00 (FSTEC Ruska). STÁTNÍ STANDARD RUSKÉ FEDERACE. Ochrana dat. POSTUP PRO VYTVOŘENÍ AUTOMATIZOVANÝCH SYSTÉMŮ V ZAJIŠTĚNÉM PROVEDENÍ. Obecná ustanovení. Moskva STÁTNÍ STANDARD RUSKÉ FEDERACE. Počítačové vybavení. Ochrana před neoprávněným přístupem k informacím. Všeobecné technické požadavky. Datum zavedení 1996-01-01 Národní standard Ruské federace. Ochrana dat. Základní pojmy a definice. Ochrana informací. Základní pojmy a definice. Datum zavedení 2008-02-01 STÁTNÍ STANDARD RUSKÉ FEDERACE. OCHRANA DAT. SYSTÉM STANDARDŮ. ZÁKLADNÍ USTANOVENÍ (BEZPEČNOST INFORMACÍ. SYSTÉM STANDARDŮ. ZÁKLADNÍ PRINCIPY) STÁTNÍ STANDARD RUSKÉ FEDERACE. Ochrana dat. TESTOVÁNÍ SOFTWARU NA PŘÍTOMNOST POČÍTAČOVÝCH VIRŮ. Model manuálu (Informační bezpečnost. Testování softwaru na přítomnost počítačových virů. Vzorový manuál). Informační technologie. Ochrana informačních technologií a automatizovaných systémů před hrozbami informační bezpečnosti implementovanými pomocí skrytých kanálů. Část 1. Obecná ustanovení Informační technologie. Ochrana informačních technologií a automatizovaných systémů před hrozbami informační bezpečnosti implementovanými pomocí skrytých kanálů. Část 2. Doporučení pro organizaci ochrany informací, informačních technologií a automatizovaných systémů před útoky pomocí skrytých kanálů Informační technologie. Metody a prostředky zajištění bezpečnosti. Pokyny pro vývoj bezpečnostních profilů a bezpečnostních úkolů Automatická identifikace. Biometrická identifikace. Výkonové testy a testovací zprávy v biometrii. Část 3. Vlastnosti testování pro různé biometrické modality Informační technologie. Metody a prostředky zajištění bezpečnosti. Metodika hodnocení bezpečnosti informačních technologií GOST R ISO/IEC 15408-1-2008 Informační technologie. Metody a prostředky zajištění bezpečnosti. Kritéria pro hodnocení bezpečnosti informačních technologií. Část 1. Úvod a obecný model (Informační technologie. Bezpečnostní techniky. Kritéria hodnocení bezpečnosti IT. Část 1. Úvod a obecný model) GOST R ISO/IEC 15408-2-2008 - Informační technologie. Metody a prostředky zajištění bezpečnosti. Kritéria pro hodnocení bezpečnosti informačních technologií. Část 2. Požadavky na funkční bezpečnost (Informační technologie. Bezpečnostní techniky. Kritéria hodnocení bezpečnosti IT. Část 2. Funkční požadavky na zabezpečení) GOST R ISO/IEC 15408-3-2008 Informační technologie. Metody a prostředky zajištění bezpečnosti. Kritéria pro hodnocení bezpečnosti informačních technologií. Část 3. Požadavky na zajištění bezpečnosti (Informační technologie. Bezpečnostní techniky. Kritéria hodnocení bezpečnosti IT. Část 3. Požadavky na zajištění bezpečnosti) GOST R 53109-2008 Systém pro zajištění informační bezpečnosti veřejné komunikační sítě. Informační bezpečnost komunikace organizace pas. Informační bezpečnost systému poskytování veřejné komunikační sítě. Pas organizace komunikace informační bezpečnosti. Datum účinnosti: 30.09.2009. GOST R 53114-2008 Ochrana informací. Zajištění bezpečnosti informací v organizaci. Základní pojmy a definice. Ochrana informací. Zajištění bezpečnosti informací v organizacích. Základní pojmy a definice. Datum účinnosti: 30.09.2009. GOST R 53112-2008 Ochrana informací. Komplexy pro měření parametrů rušivého elektromagnetického záření a rušení. Technické požadavky a zkušební metody. Ochrana informací. Zařízení pro měření bočního elektromagnetického záření a snímacích parametrů. Technické požadavky a zkušební metody. Datum účinnosti: 30.09.2009. GOST R 53115-2008 Ochrana informací. Testování technických prostředků zpracování informací z hlediska plnění požadavků na zabezpečení proti neoprávněnému přístupu. Metody a prostředky. Ochrana informací. Testování shody zařízení pro zpracování technických informací s požadavky na ochranu proti neoprávněnému přístupu. Metody a techniky. Datum účinnosti: 30.09.2009. GOST R 53113.2-2009 Informační technologie. Ochrana informačních technologií a automatizovaných systémů před hrozbami informační bezpečnosti implementovanými pomocí skrytých kanálů. Část 2. Doporučení pro organizaci ochrany informací, informačních technologií a automatizovaných systémů před útoky pomocí skrytých kanálů. Informační technologie. Ochrana informačních technologií a automatizovaných systémů před bezpečnostními hrozbami, které představuje používání skrytých kanálů. Část 2. Doporučení k ochraně informací, informačních technologií a automatizovaných systémů před útoky skrytých kanálů. Datum účinnosti: 12.01.2009. GOST R ISO/IEC TO 19791-2008 Informační technologie. Metody a prostředky zajištění bezpečnosti. Hodnocení bezpečnosti automatizovaných systémů. Informační technologie. Bezpečnostní techniky. Hodnocení bezpečnosti operačních systémů. Datum účinnosti: 30.09.2009. GOST R 53131-2008 Ochrana informací. Doporučení pro služby obnovy po havárii pro bezpečnostní funkce a mechanismy informačních a telekomunikačních technologií. Obecná ustanovení. Ochrana informací. Směrnice pro služby obnovy bezpečnostních funkcí a mechanismů informačních a komunikačních technologií. Všeobecné. Datum účinnosti: 30.09.2009. GOST R 54581-2011 Informační technologie. Metody a prostředky zajištění bezpečnosti. Základy důvěry v IT bezpečnost. Část 1: Přehled a základy. Informační technologie. Bezpečnostní techniky. Rámec pro zajištění bezpečnosti IT. Část 1. Přehled a rámec. Datum účinnosti: 07.01.2012. GOST R ISO/IEC 27033-1-2011 Informační technologie. Metody a prostředky zajištění bezpečnosti. Zabezpečení sítě. Část 1: Přehled a koncepty. Informační technologie. Bezpečnostní techniky. Zabezpečení sítě. Část 1. Přehled a koncepty. Datum účinnosti: 01.01.2012. GOST R ISO/IEC 27006-2008 Informační technologie. Metody a prostředky zajištění bezpečnosti. Požadavky na orgány provádějící audit a certifikaci systémů managementu bezpečnosti informací. Informační technologie. Bezpečnostní techniky. Požadavky na orgány zajišťující audit a certifikaci systémů managementu bezpečnosti informací. Datum účinnosti: 30.09.2009. GOST R ISO/IEC 27004-2011 Informační technologie. Metody a prostředky zajištění bezpečnosti. Řízení informační bezpečnosti. Měření. Informační technologie. Bezpečnostní techniky. Řízení informační bezpečnosti. Měření. Datum účinnosti: 01.01.2012. GOST R ISO/IEC 27005-2010 Informační technologie. Metody a prostředky zajištění bezpečnosti. Řízení rizik informační bezpečnosti. Informační technologie. Bezpečnostní techniky. Řízení rizik informační bezpečnosti. Datum účinnosti: 12.01.2011. GOST R ISO/IEC 31010-2011 Řízení rizik. Metody hodnocení rizik (Risk management. Risk assessment methods). Datum účinnosti: 12.01.2012 GOST R ISO 31000-2010 Řízení rizik. Principy a směrnice. Datum účinnosti: 31.08.2011 GOST 28147-89 Systémy zpracování informací. Kryptografická ochrana. Algoritmus kryptografické konverze. Datum účinnosti: 30.06.1990. GOST R ISO/IEC 27013-2014 „Informační technologie. Metody a prostředky zajištění bezpečnosti. Pokyny pro kombinované použití ISO/IEC 27001 a ISO/IEC 20000-1 – platné od 1. září 2015. GOST R ISO/IEC 27033-3-2014 „Zabezpečení sítě. Část 3. Scénáře referenční sítě. Hrozby, metody návrhu a problémy řízení“ – účinnost od 1. listopadu 2015 GOST R ISO/IEC 27037-2014 „Informační technologie. Metody a prostředky zajištění bezpečnosti. Pokyny pro identifikaci, shromažďování, získávání a uchovávání digitálních důkazů – platné od 1. listopadu 2015. GOST R ISO/IEC 27002-2012 Informační technologie. Metody a prostředky zajištění bezpečnosti. Soubor norem a pravidel pro řízení bezpečnosti informací. Informační technologie. Bezpečnostní techniky. Pravidla pro řízení bezpečnosti informací. Datum účinnosti: 01.01.2014. OKS kód 35.040. GOST R 56939-2016 Ochrana informací. Bezpečný vývoj softwaru. Obecné požadavky (Ochrana informací. Zabezpečený vývoj softwaru. Obecné požadavky). Datum účinnosti: 06.01.2017. GOST R 51583-2014 Ochrana informací. Postup při vytváření automatizovaných systémů v bezpečném provedení. Obecná ustanovení. Ochrana informací. Posloupnost tvorby chráněného operačního systému. Všeobecné. 01.09.2014 GOST R 7.0.97-2016 Systém norem pro informace, knihovnictví a publikování. Organizační a administrativní dokumentace. Požadavky na přípravu dokumentů (Systém norem pro informace, knihovnictví a publikování. Organizační a administrativní dokumentace. Požadavky na prezentaci dokumentů). Datum účinnosti: 07.01.2017. OKS kód 01.140.20. GOST R 57580.1-2017 Bezpečnost finančních (bankovních) transakcí. Ochrana informací finančních organizací. Základní skladba organizačních a technických opatření - Zabezpečení finančních (bankovních) operací. Ochrana informací finančních organizací. Základní soubor organizačních a technických opatření. GOST R ISO 22301-2014 Systémy řízení kontinuity podnikání. Obecné požadavky - Systémy řízení kontinuity podnikání. Požadavky. GOST R ISO 22313-2015 Řízení kontinuity podnikání. Průvodce implementací - systémy řízení kontinuity podnikání. Návod k implementaci. GOST R ISO/IEC 27031-2012 Informační technologie. Metody a prostředky zajištění bezpečnosti. Průvodce po připravenosti informačních a komunikačních technologií pro kontinuitu podnikání - Informační technologie. Bezpečnostní techniky. Směrnice pro připravenost informačních a komunikačních technologií pro kontinuitu podnikání. GOST R IEC 61508-1-2012 Funkční bezpečnost elektrických, elektronických, programovatelných elektronických bezpečnostních systémů. Část 1. Obecné požadavky. Funkční bezpečnost elektrických, elektronických, programovatelných elektronických bezpečnostních systémů. Část 1. Obecné požadavky. Datum zavedení 2013-08-01. GOST R IEC 61508-2-2012 Funkční bezpečnost elektrických, elektronických, programovatelných elektronických systémů souvisejících s bezpečností. Část 2. Systémové požadavky. Funkční bezpečnost elektrických, elektronických, programovatelných elektronických bezpečnostních systémů. Část 2. Požadavky na systémy. Datum zavedení 2013-08-01. GOST R IEC 61508-3-2012 FUNKČNÍ BEZPEČNOST ELEKTRICKÝCH, ELEKTRONICKÝCH, PROGRAMOVATELNÝCH ELEKTRONICKÝCH SYSTÉMŮ SOUVISEJÍCÍCH S BEZPEČNOSTÍ. Požadavky na software. IEC 61508-3:2010 Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů souvisejících s bezpečností – Část 3: Požadavky na software (IDT). GOST R IEC 61508-4-2012 FUNKČNÍ BEZPEČNOST ELEKTRICKÝCH, ELEKTRONICKÝCH, PROGRAMOVATELNÝCH ELEKTRONICKÝCH SYSTÉMŮ SOUVISEJÍCÍCH S BEZPEČNOSTÍ Část 4 Termíny a definice. Funkční bezpečnost elektrických, elektronických, programovatelných elektronických bezpečnostních systémů. Část 4. Termíny a definice. Datum zavedení 2013-08-01. . GOST R IEC 61508-6-2012 Funkční bezpečnost elektrických, elektronických, programovatelných elektronických systémů souvisejících s bezpečností. Část 6. Směrnice pro použití GOST R IEC 61508-2 a GOST R IEC 61508-3. IEC 61508-6:2010. Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů souvisejících s bezpečností - Část 6: Pokyny pro aplikaci IEC 61508-2 a IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 Funkční bezpečnost elektrických systémů, Funkční bezpečnost elektrických, elektronických, programovatelných elektronických systémů souvisejících s bezpečností. Část 7. Metody a prostředky. Funkční bezpečnost elektrických elektronických programovatelných elektronických bezpečnostních systémů. Část 7. Techniky a opatření. Datum zavedení 2013-08-01. GOST R 53647.6-2012. Řízení kontinuity podnikání. Požadavky na systém správy osobních informací pro zajištění ochrany dat

Název:

Ochrana dat. Zajištění bezpečnosti informací v organizaci.

Platný

Datum představení:

Datum zrušení:

Nahrazen:

Text GOST R 53114-2008 Ochrana informací. Zajištění bezpečnosti informací v organizaci. Základní pojmy a definice

FEDERÁLNÍ AGENTURA PRO TECHNICKOU REGULACI A METROLOGII

NÁRODNÍ

STANDARD

RUŠTINA

FEDERACE

Ochrana dat

ZAJIŠTĚNÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI

Základní pojmy a definice

Oficiální publikace

Oteidartenform

GOST R 53114-2008

Předmluva

Cíle a zásady normalizace v Ruské federaci jsou stanoveny federálním zákonem č. 184-FZ ze dne 27. prosince 2002 „O technickém předpisu“ a pravidla pro uplatňování národních norem Ruské federace jsou GOST R 1.0-2004 „Standardizace“. v Ruské federaci. Základní ustanovení »

Standardní informace

1 VYVINUTO federální státní institucí „Státní výzkumný zkušební ústav pro problémy bezpečnosti technických informací Federální služby pro technickou a exportní kontrolu“ (FGU „GNIIII PTZI FSTEC of Russia“), společnost s ručením omezeným „Výzkumná a výrobní společnost „Kristall“ (OOO NPF "Crystal")

2 PŘEDSTAVENO odborem technické regulace a normalizace Spolkové agentury pro technickou regulaci a metrologii

3 SCHVÁLENO A NABYLO V ÚČINNOST nařízením Spolkové agentury pro technickou regulaci a metrologii ze dne 18. prosince 2008 č. 532-st

4 8 POPRVÉ V ŘÍZENÍ

Informace o změnách tohoto standardu jsou zveřejňovány v každoročně vydávaném informačním indexu „Národní standardy“ a text změn a dodatků je zveřejňován v měsíčním zveřejňovaném informačním indexu „Národní standardy“. V případě revize (náhrady) nebo zrušení tohoto standardu bude odpovídající upozornění zveřejněno v měsíčním vydávaném informačním indexu „Národní standardy“. Relevantní informace, oznámení a texty jsou také zveřejněny ve veřejném informačním systému - na oficiálních stránkách Spolkové agentury pro technickou regulaci a metrologii na internetu

Tato norma nemůže být zcela nebo částečně reprodukována, replikována nebo distribuována jako oficiální publikace bez povolení Federální agentury pro technickou regulaci a metrologii.

GOST R 53114-2008

1 oblast použití ................................................ ... ....1

3 Termíny a definice ................................................................ ..... 2

3.1 Obecné pojmy ................................................ ........2

3.2 Pojmy související s předmětem ochrany informací................................................ ...4

3.3 Pojmy související s hrozbami bezpečnosti informací................................................7

3.4 Pojmy související s řízením informační bezpečnosti organizace......8

3.5 Pojmy související s kontrolou a hodnocením informační bezpečnosti organizace. ... 8

3.6 Termíny související s kontrolami bezpečnosti informací

organizace................................................. ..............9

Abecední rejstřík pojmů ................................................ .....11

Dodatek A (pro referenci) Termíny a definice obecných technických pojmů................................13

Příloha B (pro referenci) Vzájemný vztah základních pojmů v oblasti informační bezpečnosti v organizaci............................................ ......................15

Bibliografie................................................. ........16

GOST R 53114-2008

Úvod

Termíny stanovené tímto standardem jsou uspořádány v systematickém pořadí, které odráží systém pojmů v této oblasti znalostí.

Pro každý pojem existuje jeden standardizovaný termín.

Přítomnost hranatých závorek v terminologickém článku znamená, že obsahuje dva termíny, které mají společné termínové prvky. Tyto pojmy jsou uvedeny samostatně v abecedním rejstříku.

Část termínu uzavřená v závorkách může být při použití termínu v normalizačních dokumentech vynechána, zatímco část termínu neuvedená v závorkách tvoří jeho zkrácenou formu. Za standardizovanými termíny následují jejich krátké formy, oddělené středníky, reprezentované zkratkami.

Uvedené definice lze v případě potřeby změnit zavedením odvozených charakteristik. odhalující významy pojmů v nich použitých, označující objekty zahrnuté do rozsahu definovaného pojmu.

Změny nesmí ovlivnit rozsah a obsah pojmů definovaných v této normě.

Standardizované pojmy jsou psány tučně, jejich zkrácené formy jsou v textu a v abecedním rejstříku včetně zkratek. - světlo a synonyma - kurzíva.

Termíny a definice obecných technických pojmů nezbytných pro pochopení textu hlavní části této normy jsou uvedeny v příloze A.

GOST R 53114-2008

NÁRODNÍ STANDARD RUSKÉ FEDERACE

Ochrana dat

ZAJIŠTĚNÍ INFORMAČNÍ BEZPEČNOSTI 8 ORGANIZACE

Základní pojmy a definice

Ochrana informací. Zajištění bezpečnosti informací v organizaci.

Základní pojmy a definice

Datum zavedení - 2009-10-01

1 oblast použití

Tato norma stanoví základní pojmy používané při provádění standardizačních prací v oblasti informační bezpečnosti v organizaci.

Termíny stanovené touto normou jsou doporučeny pro použití v regulačních dokumentech, právní, technické a organizační a administrativní dokumentaci, vědecké, vzdělávací a referenční literatuře.

Tato norma se používá ve spojení s GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Podmínky uvedené v této normě jsou v souladu s ustanoveními federálního zákona Ruské federace ze dne 27. prosince 2002 M"184*FZ "Technický předpis" |3]. Federální zákon Ruské federace ze dne 27. července 2006 č. 149-FZ „O informacích, informačních technologiích a ochraně informací“. Federální zákon Ruské federace ze dne 27. července 2006 č. 152-FZ „O osobních údajích“. Doktríny informační bezpečnosti Ruské federace, schválené prezidentem Ruské federace dne 9. září 2000 Pr -1895.

2 Normativní odkazy

GOST R 22.0.02-94 Bezpečnost v nouzových situacích. Pojmy a definice základních pojmů

GOST R ISO 9000-2001 Systémy managementu jakosti. Základy a slovní zásoba

GOST R ISO 9001-2008 Systémy managementu jakosti. Požadavky

GOST R IS0 14001-2007 Systémy environmentálního managementu. Požadavky a návod k použití

GOST R ISO/IEC 13335-1-2006 Informační technologie. Metody a prostředky zajištění bezpečnosti. Část 1. Koncepce a modely řízení bezpečnosti informačních a telekomunikačních technologií

GOST R ISO/IEC 27001-2006 Informační technologie. Metody a prostředky zajištění bezpečnosti. Systémy řízení bezpečnosti informací. Požadavky

GOST R 50922-2006 Ochrana informací. Základní pojmy a definice

GOST R 51275-2006 Ochrana informací. Informační objekt. Faktory ovlivňující informace. Obecná ustanovení

GOST R 51897-2002 Řízení rizik. Termíny a definice

Oficiální publikace

GOST R 53114-2008

GOST R51898-2003 Bezpečnostní aspekty. Pravidla pro zahrnutí do norem GOST R 52069.0-2003 Ochrana informací. Systém norem. Základní ustanovení GOST 34.003-90 Informační technologie. Soubor standardů pro automatizované systémy. Automatizované systémy. Termíny a definice

GOST 19781-90 Software pro systémy zpracování informací. Termíny a definice

Poznámka - Při používání této normy je vhodné ověřit si platnost referenčních norem ve veřejném informačním systému - na oficiálních stránkách Spolkové agentury pro technickou regulaci a metrologii na internetu nebo podle každoročně vydávaného informačního indexu „Národní Standardy“, který byl zveřejněn k 1. lednu běžného roku a podle příslušných měsíčních informačních indexů zveřejněných v aktuálním roce. Pokud je referenční standard nahrazen (změněn), pak byste se při používání tohoto standardu měli řídit nahrazeným (změněným) standardem. Pokud je referenční norma zrušena bez náhrady, pak se ustanovení, ve kterém je na ni uveden odkaz, vztahuje na část, která tento odkaz neovlivňuje.

3 Termíny a definice

3.1 Obecné pojmy

security of information [data]: Stav bezpečnosti informací [data], ve kterém je zajištěna jejich [jejich] důvěrnost, dostupnost a integrita.

[GOST R 50922-2006. odstavec 2.4.5]

bezpečnost informačních technologií: Stav bezpečnosti informačních technologií. která zajišťuje bezpečnost informací, pro které se používá ke zpracování. a informační bezpečnost informačního systému, ve kterém je implementován.

[R 50.1.056-2006. odstavec 2.4.5]

informační sféra: Souhrn informací, informační infrastruktura, subjekty. provádění shromažďování, vytváření, šíření a využívání informací, jakož i systémy pro regulaci společenských vztahů, které v tomto případě vznikají.

3.1.4 Informační infrastruktura: Soubor objektů informatizace, který poskytuje spotřebitelům přístup k informačním zdrojům.

objekt informatizace: Soubor informačních zdrojů, nástrojů a systémů zpracování informací používaných v souladu s danou informační technologií, jakož i podpůrná zařízení, prostory nebo zařízení (budovy, stavby, technické prostředky), ve kterých jsou tyto nástroje a systémy instalovány, popř. prostory a zařízení určené k vedení důvěrných jednání.

[GOST R 51275-2006. odstavec 3.1]

3.1.6 aktiva organizace: Vše. co má pro organizaci hodnotu v zájmu dosažení jejích cílů a co má k dispozici.

Poznámka: Majetek organizace může zahrnovat:

Informační aktiva, včetně různých typů informací obíhajících v informačním systému (servisní, řídící, analytické, obchodní atd.) ve všech fázích životního cyklu (vytváření, ukládání, zpracování, přenos, ničení):

Zdroje (finanční, lidské, výpočetní, informační, telekomunikační a další):

Procesy (technologické, informační atd.);

Vyrobené produkty nebo poskytované služby.

GOST R 53114-2008

Systémový zdroj zpracování informací: Zařízení systému zpracování informací, které lze přidělit procesu zpracování dat na určitý časový interval.

Poznámka - Hlavními zdroji jsou procesory, oblasti hlavní paměti, datové sady. periferní zařízení, programy.

[GOST 19781-90. odstavec 93)

3.1.8 informační proces: Proces tvorby, sběru, zpracování, akumulace, ukládání, vyhledávání. šíření a využívání informací.

informační technologie; IT: Procesy, metody vyhledávání, shromažďování, ukládání, zpracování, poskytování. šíření informací a způsoby provádění takových procesů a metod. [Federální zákon Ruské federace ze dne 27. prosince 2002 č. 184-FZ. článek 2. odstavec 2)]

technická podpora automatizovaného systému; Technická podpora JE: Souhrn všech technických prostředků používaných při provozu JE.

[GOST R 34.003-90. odstavec 2.5]

Automatizovaný systémový software; AS software: Soubor programů na paměťových médiích a programových dokumentů určených k ladění, obsluze a testování funkčnosti AS.

[GOST R 34.003-90. odstavec 2.7]

informační podpora automatizovaného systému; informační podpora AS: Soubor formulářů dokumentů, klasifikátorů, regulačního rámce a implementovaných řešení objemu, umístění a forem existence informací používaných v AS při jeho provozu.

[GOST R 34.003-90. odstavec 2.8]

3.1.13 služba; služba: Výsledek činností výkonného umělce k uspokojení potřeb spotřebitele.

Poznámka - 8 organizace, jednotlivec nebo proces může vystupovat jako poskytovatel (spotřebitel) služby.

3.1.14 služby informačních technologií: IT služby: Soubor funkčních schopností informačních a. případně neinformační technologie poskytované koncovým uživatelům jako služba.

POZNÁMKA Příklady služeb IT zahrnují zasílání zpráv, obchodní aplikace, souborové a tiskové služby, síťové služby atd.

3.1.15 systém kritické informační infrastruktury; systém klíčové informační infrastruktury: FIAC: Informační management nebo informační telekomunikační systém, který řídí nebo poskytuje informace kritickému objektu nebo procesu, nebo slouží k oficiálnímu informování společnosti a občanů, jehož narušení nebo přerušení fungování (v důsledku destruktivní informační vlivy, stejně jako poruchy či poruchy) mohou vést k mimořádné události s významnými negativními důsledky.

3.1.18 kritický objekt: Objekt nebo proces, jehož narušení kontinuity provozu by mohlo způsobit značné škody.

GOST R 53114-2008

Poznámka - Může dojít k poškození majetku fyzických nebo právnických osob. státní nebo obecní majetek, životní prostředí, jakož i poškozování života nebo zdraví občanů.

informační systém osobních údajů: Informační systém, který je souborem osobních údajů obsažených v databázi, jakož i informačních technologií a technických prostředků, které umožňují zpracování těchto osobních údajů pomocí nástrojů automatizace nebo bez použití těchto nástrojů.

osobní údaje: Jakékoli informace týkající se fyzické osoby identifikované nebo určené na základě těchto informací (předmět osobních údajů), včetně jejího příjmení, jména. patronymum, roč měsíc, datum a místo narození, adresa, rodina, sociální, majetkové poměry, vzdělání, profese, příjem, další údaje.

3.1.19 automatizovaný systém v chráněném vzoru; AS v chráněném provedení: Automatizovaný systém, který implementuje informační technologie k provádění zavedených funkcí v souladu s požadavky norem a/nebo regulačních dokumentů o ochraně informací.

3.2 Pojmy související s předmětem ochrany informací

3.2.1 informační bezpečnost organizace; Organizační zpravodajství: Stav ochrany zájmů organizace tváří v tvář hrozbám v informační sféře.

Poznámka - Bezpečnost je dosažena zajištěním souboru vlastností zabezpečení informací - důvěrnost, integrita, dostupnost informačních aktiv a infrastruktura organizace. Priorita vlastností informační bezpečnosti je dána významem informačních aktiv pro zájmy (cíle) organizace.

předmět ochrany informace: Informační nebo informační nosič, případně informační proces. které musí být chráněny v souladu s účelem ochrany informací.

[GOST R 50922-2006. odstavec 2.5.1]

3.2.3 chráněný proces (informační technologie): Proces používaný informačními technologiemi ke zpracování chráněných informací s požadovanou úrovní jejich zabezpečení.

3.2.4 porušení informační bezpečnosti organizace: porušení informační bezpečnosti organizace: Náhodné nebo úmyslné protiprávní jednání jednotlivce (subjektu, objektu) ve vztahu k majetku organizace, jehož důsledkem je porušení bezpečnosti informací, kdy je zpracováván technickými prostředky v informačních systémech, což má pro organizaci negativní důsledky (poškození).

nouzový; nepředvídaná situace; Mimořádná situace: Situace na určitém území nebo vodní ploše, která vznikla v důsledku havárie, nebezpečného přírodního jevu, katastrofy, přírodní nebo jiné katastrofy, která může mít za následek ztráty na životech nebo lidské oběti, poškození lidského zdraví. nebo životní prostředí, značné materiální ztráty a narušení životních podmínek lidí.

Poznámka - Nouzové situace se rozlišují podle povahy zdroje (přírodní, člověkem způsobené, biologicko-sociální a vojenské) a podle rozsahu (místní, místní, územní, regionální, federální a přeshraniční).

(GOST R 22.0.02-94. Článek 2.1.1)

GOST R 53114-2008

3.2.6

nebezpečná situace: Okolnosti, za kterých jsou ohroženi lidé, majetek nebo životní prostředí.

(GOST R 51898-2003. odstavec 3.6)

3.2.7

incident zabezpečení informací: Jakákoli neočekávaná nebo nechtěná událost, která může narušit provoz nebo bezpečnost informací.

Poznámka – Incidenty zabezpečení informací jsou:

Ztráta služeb, vybavení nebo zařízení:

Selhání nebo přetížení systému:

Uživatelské chyby.

Porušení opatření fyzické ochrany:

Nekontrolované změny systémů.

Selhání softwaru a selhání hardwaru:

Porušení pravidel přístupu.

(GOST R ISO/IEC 27001 -2006. Článek 3.6)

3.2.8 událost: Výskyt nebo přítomnost určitého souboru okolností.

Poznámky

1 Povaha, pravděpodobnost a důsledky události nemusí být zcela známy.

2 Událost může nastat jednou nebo vícekrát.

3 Pravděpodobnost spojenou s událostí lze odhadnout.

4 Událost může spočívat v tom, že nenastane jedna nebo více okolností.

5 Nepředvídatelná událost se někdy nazývá „incident“.

6 Událost, při které nedochází ke ztrátám, se někdy nazývá předpokladem incidentu (incidentu), nebezpečným stavem, nebezpečnou souhrou okolností atd.

3.2.9 riziko: Vliv nejistot na proces dosahování cílů.

Poznámky

1 Cíle mohou mít různé aspekty: finanční, zdravotní, bezpečnostní a environmentální a mohou být stanoveny na různých úrovních: na strategické úrovni, na úrovni organizace, na úrovni projektu, produktu a procesu.

3 Riziko je často vyjádřeno jako kombinace důsledků události nebo změny okolností a jejich pravděpodobnosti.

3.2.10

Risk Assessment: Proces, který kombinuje identifikaci rizik, analýzu rizik a kvantifikaci rizik.

(GOST R ISO/IEC 13335-1 -2006, odstavec 2.21]

3.2.11 posouzení rizik bezpečnosti informací (organizace); hodnocení rizika informační bezpečnosti (organizace): Celkový proces identifikace, analýzy a stanovení přijatelnosti úrovně rizika informační bezpečnosti organizace.

3.2.12 identifikace rizik: Proces zjišťování, rozpoznávání a popisu rizik.

Poznámky

1 Identifikace rizik zahrnuje identifikaci zdrojů rizik, událostí a jejich příčin, jakož i jejich možných následků.

POZNÁMKA 2 Identifikace rizik může zahrnovat statistická data, teoretickou analýzu, informované názory a názory odborníků a potřeby zúčastněných stran.

GOST R 53114-2008

analýza rizik: Systematické využívání informací k identifikaci zdrojů rizik a kvantifikaci rizik.

(GOST R ISO/IEC 27001-2006. Článek 3.11)

3.2.14 Stanovení přijatelnosti rizika: Proces porovnávání výsledků analýzy rizika s kritérii rizika za účelem stanovení přijatelnosti nebo tolerovatelnosti úrovně rizika.

POZNÁMKA Stanovení přijatelnosti úrovně rizika pomáhá při rozhodování o léčbě

3.2.15 zvládání rizika informační bezpečnosti organizace; Zacházení s riziky bezpečnosti informací v organizaci: Proces vývoje a/nebo výběru a implementace opatření pro řízení rizik bezpečnosti informací v organizaci.

Poznámky

1 Léčba rizik může zahrnovat:

Vyhýbání se riziku tím, že se rozhodnete nezahajovat nebo nepokračovat v činnostech, které vytvářejí podmínky

Hledání příležitosti tím, že se rozhodnete zahájit nebo pokračovat v činnostech, které mohou vytvářet nebo zvyšovat riziko;

Odstranění zdroje rizika:

Změny v povaze a velikosti rizika:

Měnící se důsledky;

Sdílení rizika s jinou stranou nebo stranami.

Přetrvávání rizika jak v důsledku vědomého rozhodnutí, tak „standardně“.

2 Léčba rizik s negativními důsledky se někdy nazývá zmírnění, eliminace, prevence. snížení, potlačení a korekci rizika.

3.2.16 řízení rizik: Koordinované akce k řízení a kontrole činností organizace ve vztahu k rizikům.

3.2.17 zdroj rizika pro informační bezpečnost organizace; zdroj rizika zabezpečení informací organizace: Objekt nebo akce, která může způsobit [vytvořit) riziko.

Poznámky

1 Neexistuje žádné riziko, pokud neexistuje interakce mezi objektem, osobou nebo organizací se zdrojem rizika.

2 Zdroj rizika může být hmotný nebo nehmotný.

3.2.18 politika bezpečnosti informací (organizace); Politika bezpečnosti informací (organizace): Formální prohlášení o pravidlech, postupech, postupech nebo směrnicích bezpečnosti informací, kterými se řídí činnosti organizace.

Poznámka – Zásady musí obsahovat.

Předmět, hlavní cíle a cíle bezpečnostní politiky:

Podmínky pro uplatnění bezpečnostní politiky a případná omezení:

Popis pozice vedení organizace k implementaci bezpečnostní politiky a organizaci režimu informační bezpečnosti organizace jako celku.

Práva a povinnosti a také míra odpovědnosti zaměstnanců za dodržování bezpečnostní politiky organizace.

Nouzové postupy v případě porušení bezpečnostní politiky

3.2.19 cíl informační bezpečnosti (organizace); Cíl IS (organizace): Předem stanovený výsledek zajištění informační bezpečnosti organizace v souladu se stanovenými požadavky v politice IS (organizace).

Poznámka - Výsledkem zajištění bezpečnosti informací může být zamezení poškození vlastníka informací z důvodu možného úniku informací a (nebo) neoprávněného a neúmyslného ovlivnění informací.

3.2.20 systém dokumentů o bezpečnosti informací v organizaci; systém dokumentů bezpečnosti informací v organizaci: uspořádaný soubor dokumentů sjednocený cílovou orientací. vzájemně propojeny na základě původu, účelu, druhu, rozsahu činnosti, jednotných požadavků na jejich konstrukci a regulující činnost organizace k zajištění bezpečnosti informací.

GOST R 53114-2008

3.3 Pojmy související s hrozbami bezpečnosti informací

3.3.1 ohrožení informační bezpečnosti organizace; hrozba informační bezpečnosti pro organizaci: Soubor faktorů a podmínek, které vytvářejí nebezpečí narušení informační bezpečnosti organizace, způsobují nebo mohou způsobit organizaci negativní důsledky (poškození/poškození).

Poznámky

1 Formou implementace (projevem) hrozby informační bezpečnosti je propuknutí jedné nebo více vzájemně souvisejících událostí informační bezpečnosti a incidentů informační bezpečnosti. vedoucí k narušení vlastností informační bezpečnosti chráněných objektů organizace.

2 Hrozbu charakterizuje přítomnost předmětu ohrožení, zdroj ohrožení a projev ohrožení.

hrozba (bezpečnost informací): Soubor podmínek a faktorů, které vytvářejí potenciální nebo skutečné nebezpečí narušení bezpečnosti informací.

[GOST R 50922-2006. odstavec 2.6.1]

3.3.3 model ohrožení (bezpečnost informací): Fyzické, matematické, popisné znázornění vlastností nebo charakteristik ohrožení bezpečnosti informací.

Poznámka – zvláštní regulační dokument může být druhem popisné reprezentace vlastností nebo charakteristik hrozeb informační bezpečnosti.

zranitelnost (informačního systému); porušení: Vlastnost informačního systému, která umožňuje realizovat ohrožení bezpečnosti informací v něm zpracovávaných.

Poznámky

1 Podmínkou pro realizaci bezpečnostní hrozby zpracovávané v informačním systému může být nedostatek nebo slabina informačního systému.

2 Pokud se zranitelnost shoduje s hrozbou, existuje riziko.

[GOST R 50922-2006. odstavec 2.6.4]

3.3.5 narušitel informační bezpečnosti organizace; narušitel informační bezpečnosti organizace: Jednotlivec nebo logický subjekt, který se náhodně nebo úmyslně dopustil jednání, jehož důsledkem je porušení informační bezpečnosti organizace.

3.3.6 neoprávněný přístup: Přístup k informacím nebo ke zdrojům automatizovaného informačního systému, prováděný v rozporu se stanovenými přístupovými právy (nebo) pravidly.

Poznámky

1 Neoprávněný přístup může být úmyslný nebo neúmyslný.

2 Pro procesy zpracování informací, údržbu automatizovaného informačního systému a programové změny jsou stanovena práva a pravidla pro přístup k informacím a zdrojům informačního systému. technické a informační zdroje, jakož i získávání informací o nich.

3.3.7 síťový útok: Akce využívající software a (nebo) hardware a využívající síťový protokol, zaměřené na realizaci hrozeb neoprávněného přístupu k informacím, ovlivňování je nebo zdrojů automatizovaného informačního systému.

Aplikace – síťový protokol je soubor sémantických a syntaktických pravidel, která určují interakci programů pro správu sítě umístěných na stejném počítači. se stejnojmennými programy umístěnými na jiném počítači.

3.3.8 blokování přístupu (k informacím): Ukončení nebo ztížení přístupu osob k informacím. k tomu oprávněni (oprávnění uživatelé).

3.3.9 útok denial of service: Síťový útok vedoucí k zablokování informačních procesů v automatizovaném systému.

3.3.10 únik informací: nekontrolované šíření chráněných informací v důsledku jejich prozrazení, neoprávněného přístupu k informacím a přijímání chráněných informací cizími zpravodajskými službami.

3.3.11 zpřístupnění informací: Neoprávněné sdělování chráněných informací osobám. nemá oprávnění k přístupu k těmto informacím.

GOST R 53114-2008

odposlech (informace): Nelegální příjem informací pomocí technického prostředku, který detekuje, přijímá a zpracovává informační signály.

(R 50.1.053-2005, odstavec 3.2.5]

informativní signál: Signál, jehož parametry lze použít k určení chráněné informace.

[R 50.1.05S-2005. odstavec 3.2.6]

3.3.14 deklarované schopnosti: Funkční schopnosti počítačového hardwaru a softwaru, které nejsou popsány nebo neodpovídají těm, které jsou popsány v dokumentaci. což může vést ke snížení nebo narušení bezpečnostních vlastností informací.

3.3.15 rušivé elektromagnetické záření a interference: elektromagnetické záření ze zařízení pro zpracování technických informací, vznikající jako vedlejší účinek a způsobené elektrickými signály působícími v jejich elektrických a magnetických obvodech, jakož i elektromagnetické rušení těchto signálů na vodivých vedeních, konstrukcích a napájení obvody.

3.4 Pojmy související s řízením informační bezpečnosti organizace

3.4.1 řízení informační bezpečnosti organizace; řízení organizace bezpečnosti informací; Koordinované akce pro vedení a řízení organizace z hlediska zajištění její informační bezpečnosti v souladu s měnícími se podmínkami vnitřního a vnějšího prostředí organizace.

3.4.2 řízení rizik informační bezpečnosti organizace; řízení rizik informační bezpečnosti organizace: Koordinované akce pro vedení a řízení organizace ve vztahu k riziku informační bezpečnosti za účelem jeho minimalizace.

POZNÁMKA Základními procesy řízení rizik jsou nastavení kontextu, posouzení rizika, ošetření a přijetí rizika, monitorování a přezkoumání rizika.

Systém řízení bezpečnosti informací; ISMS: Součást celkového systému řízení. založené na použití metod hodnocení bioenergetických rizik pro vývoj, implementaci a provoz. monitorování, analýza, podpora a zlepšování bezpečnosti informací.

POZNÁMKA Systém managementu zahrnuje organizační strukturu, zásady, plánovací činnosti, odpovědnosti, praktiky, postupy, procesy a zdroje.

[GOST R ISO/IEC 27001 -2006. odstavec 3.7]

3.4.4 role informační bezpečnosti v organizaci; role informační bezpečnosti v organizaci: Soubor specifických funkcí a úkolů pro zajištění informační bezpečnosti organizace, které vytvářejí přijatelnou interakci mezi subjektem a objektem v organizaci.

Poznámky

1 Subjekty zahrnují osoby z řad manažerů organizace, jejích zaměstnanců nebo procesů zahájených jejich jménem za účelem provádění akcí na objektech

2 Objekty mohou být hardware, software, software a hardware nebo informační zdroj, na kterém se provádějí akce.

3.4.5 Služba informační bezpečnosti organizace: Organizační a technická struktura systému řízení bezpečnosti informací organizace, která implementuje řešení konkrétního úkolu zaměřeného na boj proti hrozbám informační bezpečnosti organizace.

3.5 Pojmy související s monitorováním a hodnocením informační bezpečnosti organizace

3.5.1 kontrola zajištění informační bezpečnosti organizace; kontrola zajištění bezpečnosti informací v organizaci: Kontrola souladu zajištění bezpečnosti informací v organizaci.

GOST R 53114-2008

3.5.2 sledování informační bezpečnosti organizace; Monitorování informační bezpečnosti organizace: Neustálé monitorování procesu informační bezpečnosti v organizaci za účelem zjištění jeho souladu s požadavky na informační bezpečnost.

3.5.3 audit informační bezpečnosti organizace; audit organizace informační bezpečnosti: Systematický, nezávislý a dokumentovaný proces získávání důkazů o činnostech organizace k zajištění bezpečnosti informací a stanovení stupně plnění kritérií bezpečnosti informací v organizaci, jakož i umožnění vytvoření odborného auditu úsudek o stavu informační bezpečnosti organizace.

3.5.4 důkazy (důkazy) auditu informační bezpečnosti organizace; Údaje z auditu bezpečnosti informací v organizaci: Záznamy, prohlášení o faktech nebo jiné informace, které jsou relevantní pro kritéria auditu bezpečnosti informací organizace a lze je ověřit.

POZNÁMKA Důkazy o bezpečnosti informací mohou být kvalitativní nebo kvantitativní.

3.5.5 posouzení souladu informační bezpečnosti organizace se stanovenými požadavky; posouzení souladu informační bezpečnosti organizace se stanovenými požadavky: Činnosti spojené s přímým nebo nepřímým stanovením souladu nebo nesouladu se stanovenými požadavky na bezpečnost informací v organizaci.

3.5.6 kritérium pro audit informační bezpečnosti organizace; Kritérium auditu organizace pro bezpečnost informací: Soubor zásad, ustanovení, požadavků a ukazatelů aktuálních regulačních dokumentů* souvisejících s činnostmi organizace v oblasti informační bezpečnosti.

Aplikace – Kritéria auditu bezpečnosti informací se používají k porovnání důkazů auditu bezpečnosti informací s nimi.

3.5.7 certifikace automatizovaného systému v bezpečném provedení: Proces komplexního ověřování výkonu stanovených funkcí automatizovaného systému pro zpracování chráněných informací pro soulad s požadavky norem a/nebo regulačních dokumentů v oblasti informací ochrany a přípravy podkladů o jejím souladu s výkonem funkce zpracování chráněných informací na konkrétním zařízení informatizace.

3.5.8 kritérium pro zajištění informační bezpečnosti organizace; kritérium informační bezpečnosti organizace: Ukazatel, na jehož základě se posuzuje stupeň dosažení cíle (cílů) informační bezpečnosti organizace.

3.5.9 účinnost informační bezpečnosti; účinnost informační bezpečnosti: Vztah mezi dosaženým výsledkem a použitými zdroji k zajištění dané úrovně informační bezpečnosti.

3.6 Termíny související s kontrolami bezpečnosti informací v organizaci

3.6.1 zajištění informační bezpečnosti organizace; zajišťování informační bezpečnosti organizace: Činnosti zaměřené na eliminaci (neutralizaci, čelení) vnitřním a vnějším hrozbám pro informační bezpečnost organizace nebo minimalizaci škod z možné implementace takových hrozeb.

3.6.2 bezpečnostní opatření; bezpečnostní kontrola: Zavedená praxe, postup nebo mechanismus pro zvládání rizik.

3.6.3 opatření k zajištění bezpečnosti informací; opatření pro bezpečnost informací: Soubor akcí zaměřených na vývoj a/nebo praktickou aplikaci metod a prostředků k zajištění bezpečnosti informací.

3.6.4 organizační opatření k zajištění bezpečnosti informací; organizační opatření k zajištění informační bezpečnosti: Opatření k zajištění informační bezpečnosti, zajišťující stanovení dočasných, územních, prostorových, právních, metodických a jiných omezení podmínek užívání a provozních režimů objektu informatizace.

3.6.5 technické prostředky k zajištění bezpečnosti informací; technické prostředky informační bezpečnosti: Zařízení sloužící k zajištění informační bezpečnosti organizace pomocí nekryptografických metod.

Poznámka - Takové zařízení může představovat hardware a software zabudovaný do chráněného objektu a/nebo fungující autonomně (nezávisle na chráněném objektu).

GOST R 53114-2008

3.5.6 nástroj pro detekci narušení, nástroj pro detekci útoků: Softwarový nebo softwarově-hardwarový nástroj, který automatizuje proces monitorování událostí vyskytujících se v počítačovém systému nebo síti a také tyto události nezávisle analyzuje při hledání známek incidentu v oblasti bezpečnosti informací.

3.6.7 prostředky ochrany před neoprávněným přístupem: Software, hardware nebo software a hardware navržený tak, aby zabránil neoprávněnému přístupu nebo mu výrazně bránil.

GOST R 53114-2008

Abecední rejstřík pojmů

majetek organizace 3.1.6

analýza rizik 3.2.13

Reproduktory v chráněné verzi 3.1.19

útok odmítnutí služby 3.3.9

síťový útok 3.3.7

certifikace automatizovaného systému v chráněné verzi 3.5.7

audit informační bezpečnosti organizace 3.5.3

zabezpečení (údaje) 3.1.1

informační bezpečnost 3.1.1

bezpečnost informačních technologií 3.1.2

informační bezpečnost organizace 3.2.1

blokování přístupu (k informacím) 3.3.8

porušení 3.3.4

nedeklarované schopnosti 3.3.14

osobní údaje 3.1.18

neoprávněný přístup 3.3.6

Organizační informační bezpečnost 3.2.1

identifikace rizik 3.2.12

informační infrastruktura 3.1.4

incident bezpečnosti informací 3.2.7

zdroj rizika informační bezpečnosti organizace 3.2.17

zdroj rizik pro informační bezpečnost organizace 3.2.17

kontrola informační bezpečnosti organizace 3.5.1

kontrola nad informační bezpečností organizace 3.5.1

kritéria pro zajištění informační bezpečnosti organizace 3.5.8

Kritérium auditu organizačního IS 3.5.6

Kritérium auditu bezpečnosti informací organizace 3.5.6

kritérium pro zajištění informační bezpečnosti organizace 3.5.8

řízení informační bezpečnosti organizace 3.4.1

řízení rizik bezpečnosti informací organizace 3.4.2

bezpečnostní opatření 3.6.2

opatření pro bezpečnost informací 3.6.3

organizační opatření informační bezpečnosti 3.6.4

opatření pro bezpečnost informací 3.6.3

organizační opatření informační bezpečnosti 3.4.6

model hrozby (bezpečnost informací) 3.3.3

monitorování bezpečnosti informací organizace 3.5.2

monitorování informační bezpečnosti organizace 3.5.2

narušení informační bezpečnosti organizace 3.2.4

narušitel informační bezpečnosti organizace 3.3.5

automatizovaná informační podpora systému 3.1.12

software automatizovaného systému 3.1.11

technická podpora automatizovaného systému 3.1.10

Informační podpora AS 3.1.12

AC software 3.1.11

Technická podpora AC 3.1.10

zajištění informační bezpečnosti organizace 3.6.1

zacházení s riziky bezpečnosti informací organizace 3.2.15

GOST R 53114-2008

řízení rizika informační bezpečnosti organizace 3.2.1S

objekt ochrany informací 3.2.2

objekt informatizace 3.1.5

kritický objekt 3.1.16

stanovení přijatelné míry rizika 3.2.14

hodnocení rizik 3.2.10

hodnocení rizik I6 (organizace) 3.2.11

hodnocení rizik bezpečnosti informací (organizace) 3.2.11

posouzení souladu IS organizace se stanovenými požadavky 3.5.5

posouzení souladu informační bezpečnosti organizace se stanovenými požadavky 3.5.5

odposlech (informace) 3.3.12

Politika IS (organizace) 3.2.18

politika bezpečnosti informací (organizace) 3.2.18

chráněný proces (informační technologie) 3.2.3

informační proces 3.1.8

zpřístupnění informací 3.3.11

zdroj systému zpracování informací 3.1.7

role informační bezpečnosti v organizaci 3.4.4

role informační bezpečnosti 8 v organizaci 3.4.4

certifikáty (důkazy) auditu IS organizace 3.5.4

důkaz (důkaz) o auditu bezpečnosti informací organizace 3.5.4

servis 3.1.13

informativní signál 3.3.13

bezpečný automatizovaný systém 3.1.19

dokumentový systém bezpečnosti informací v organizaci 3.2.20

systém dokumentů o bezpečnosti informací v organizaci 3.2.20

systém klíčové informační infrastruktury 3.1.15

systém kritické informační infrastruktury 3.1.15

systém řízení bezpečnosti informací 3.4.3

informační systém osobních údajů 3.1.17

nepředvídaná situace 3.2.5

nebezpečná situace 3.2.6

mimořádná situace 3.2.5

služba informační bezpečnosti organizace 3.4.6

akce 3.2.8

ochrana proti neoprávněnému přístupu 3.6.7

nástroj technické bezpečnosti informací 3.6.5

Nástroj pro detekci útoku 3.6.6

Nástroj pro detekci narušení 3.6.6

informační sféra 3.1.3

informační technologie 3.1.9

hrozba (bezpečnost informací) 3.3.2

ohrožení informační bezpečnosti organizace 3.3.1

řízení rizik 3.2.16

servis 3.1.13

služby informačních technologií 3.1.14

IT služby 3.1.14

únik informací 3.3.10

zranitelnost (informační systém) 3.3.4

Cíl IS (organizace) 3.2.19

informační bezpečnost cíl (organizace) 3.2.19

elektromagnetické záření a boční rušení 3.3.15

Efektivita IS 3.5.9

účinnost informační bezpečnosti 3.5.9

GOST R 53114-2008

Příloha A (odkaz)

Termíny a definice obecných technických pojmů

organizace: Skupina pracovníků a potřebných zdrojů s rozdělením odpovědností, pravomocí a vztahů.

(GOST R ISO 9000-2001, odstavec 3.3.1]

Poznámky

1 Mezi organizace patří: společnost, korporace, firma, podnik, instituce, charitativní organizace, maloobchod, sdružení. stejně jako jejich pododdělení nebo jejich kombinace.

2 Distribuce je obvykle objednána.

3 Organizace může být veřejná nebo soukromá.

A.2 podnikání: Ekonomická činnost, která produkuje zisk; jakýkoli druh činnosti, která vytváří příjem a je zdrojem obohacení.

A.Z business process: Procesy používané v ekonomických činnostech organizace.

informace: Informace (zprávy, data) bez ohledu na formu jejich prezentace.

aktiva: Vše. co má pro organizaci hodnotu. (GOST R ISO/IEC13335-1-2006, odstavec 2.2(

A.6 Zdroje: Aktiva (organizace), která se používají nebo spotřebovávají během provádění procesu. Poznámky

1 Zdroje mohou zahrnovat různé položky, jako je personál, vybavení, dlouhodobý majetek, nástroje a veřejné služby, jako je energie, voda, palivo a infrastruktura komunikačních sítí.

2 Zdroje mohou být opakovaně použitelné, obnovitelné nebo spotřebovatelné.

A.7 nebezpečí: Vlastnost předmětu, která charakterizuje jeho schopnost způsobit škodu nebo poškodit jiné předměty. A.8 mimořádná událost: událost vedoucí k nouzové situaci.

A.9 poškození: Fyzické poškození nebo poškození lidského zdraví nebo poškození majetku nebo životního prostředí.

A. 10 hrozba: Soubor podmínek a faktorů, které mohou způsobit narušení integrity a dostupnosti. Soukromí.

A.11 zranitelnost: Vnitřní vlastnosti objektu, které vytvářejí náchylnost k účinkům zdroje rizika, které mohou vést k nějakému důsledku.

A. 12 útok: Pokus o překonání bezpečnostního systému informačního systému.

Poznámky - Míra „úspěchu“ útoku závisí na zranitelnosti a účinnosti obranného systému.

A.13 management: Koordinované činnosti pro směřování a řízení organizace

A.14 obchodní (kontinuitní) řízení: Koordinované řídící a kontrolní činnosti

obchodní procesy organizace.

A. 15 role: Předem stanovený soubor pravidel a postupů pro činnosti organizace, které vytvářejí přijatelnou interakci mezi subjektem a objektem činnosti.

vlastník informací: Osoba, která nezávisle vytvořila informace nebo získala na základě zákona nebo dohody právo povolit nebo omezit přístup k informacím určeným jakýmkoli kritériem.

GOST R 53114-2008

infrastruktura: Souhrn budov, zařízení a podpůrných služeb nezbytných pro fungování organizace.

[GOST R ISO 9000-2001. odstavec 3.3.3]

A.18 audit: Systematický, nezávislý a zdokumentovaný proces získávání důkazních informací z auditu a jejich objektivního hodnocení s cílem určit, do jaké míry byla splněna dohodnutá kritéria auditu.

Poznámky

1 Interní audity, nazývané audity první strany, jsou prováděny pro interní účely samotnou organizací nebo jejím jménem jiná organizace. Výsledky interního auditu mohou sloužit jako podklad pro prohlášení o shodě. V mnoha případech, zejména v malých podnicích, musí audit provádět specialisté (lidé, kteří nenesou odpovědnost za auditovanou činnost).

POZNÁMKA 2 Externí audity zahrnují audity nazývané audity druhé strany a audity třetích stran. Audity druhé strany provádějí například strany, které se zajímají o činnost podniku.

spotřebitelům nebo jiným jejich jménem. Audity třetích stran provádějí externí nezávislé organizace. Tyto organizace provádějí certifikaci nebo registraci pro shodu s požadavky, například požadavky GOST R ISO 9001 a GOST R ISO 14001.

3 Souběžně prováděný audit systémů managementu kvality a environmentálního managementu se nazývá „komplexní audit“.

4 Pokud audit auditované organizace provádí současně několik organizací, pak se takový audit nazývá „společný audit“.

A.19 monitorování: Systematické nebo nepřetržité monitorování objektu, zajištění kontroly a/nebo měření jeho parametrů, jakož i provádění analýz k předpovídání variability parametrů a rozhodování o potřebě a složení nápravných a preventivních opatření.

prohlášení o shodě: Formulář potvrzení o shodě výrobku s požadavky technických předpisů.

Technologie A.21: Systém vzájemně propojených metod, metod, technik objektivní činnosti. A.22

dokument: Informace zaznamenané na hmotném nosiči s podrobnostmi, které umožňují jejich identifikaci.

[GOST R 52069.0-2003. odstavec 3.18]

A.23 zpracování informací: Soubor operací shromažďování, shromažďování, vstupu, výstupu, příjmu, přenosu, záznamu, ukládání, registrace, ničení, transformace, zobrazení, prováděných s informacemi.

GOST R 53114-2008

Dodatek B (pro referenci)

Vztah základních pojmů v oblasti informační bezpečnosti v organizaci

Vztah mezi základními pojmy je znázorněn na obrázku B.1.

Obrázek B.1 - vztah mezi základními pojmy

GOST R 53114-2008

Bibliografie

(1] R 50.1.053-2005

(2]PS0.1.056-2005

Informační technologie. Základní pojmy a definice v oblasti technické informační bezpečnosti Technická informační bezpečnost. Základní pojmy a definice

O technickém předpisu

O informacích, informačních technologiích a ochraně informací

O osobních údajích

Doktrína informační bezpečnosti Ruské federace

MDT 351.864.1:004:006.354 OKS 35.020 LLP

Klíčová slova: informace, informační bezpečnost, informační bezpečnost v organizaci, ohrožení informační bezpečnosti, kritéria informační bezpečnosti

Redaktor V.N. Cops soya Technický redaktor V.N. Prusakova korektor V.E. Nestorovo Počítačový software I.A. NapeikinoO

Dodáno k náboru dne 11.06.2009. Podepsané razítko 12.1.2009. Formát 60" 84 ofsetový papír. Typ písma Arial. Ofsetový tisk. Usp. trouba l. 2.32. Uch.-ed. l. 1,90. Náklad 373 »kz. Zach. 626

FSUE "STANDARTNÍ INFORMACE*. 123995 Moskva. Granátové jablko por.. 4. info@goslmlo gi

Zadáno do FSUE "STANDARTINFORM" na PC.

Vytištěno na pobočce FSUE "STANDARTINFORM* - typ. "Moskevská tiskárna". 105062 Moskva. Lyalinův pruh.. 6.

GOST 22731-77 Systémy přenosu dat, postupy řízení datového spoje v hlavním režimu pro poloduplexní výměnu informací
GOST 26525-85 Systémy zpracování dat. Metriky využití
GOST 27771-88 Procedurální charakteristiky na rozhraní mezi datovým koncovým zařízením a koncovým zařízením datového kanálu. Obecné požadavky a normy
GOST 28082-89 Systémy zpracování informací. Metody detekce chyb v sériovém přenosu dat
GOST 28270-89 Systémy zpracování informací. Popis dat Specifikace souboru pro výměnu informací
GOST R 43.2.11-2014 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Strukturovaná prezentace textových informací ve formátech zpráv
GOST R 43.2.8-2014 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Formáty zpráv pro technické činnosti
GOST R 43.4.1-2011 Informační podpora pro zařízení a činnosti operátora. "Člověk-informační" systém
GOST R 53633.10-2015 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Řízení organizace. Řízení organizačních rizik
GOST R 53633.11-2015 Informační technologie. Telekomunikační řídicí síť. Rozšířený diagram činnosti organizace komunikace (eTOM) Dekompozice a popisy procesů. Procesy eTOM úrovně 2. Řízení organizace. Řízení výkonnosti organizace
GOST R 53633.4-2015 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Primární činnost. Řízení a provoz služeb
GOST R 53633.7-2015 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Strategie, infrastruktura a produkt. Vývoj a řízení zdrojů
GOST R 53633.9-2015 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Řízení organizace. Strategie plánování a rozvoje organizace
GOST R 55767-2013 Informační technologie. Evropský rámec kompetencí ICT 2.0. Část 1. Společný evropský rámec kompetencí pro odborníky v oblasti ICT pro všechna průmyslová odvětví
GOST R 55768-2013 Informační technologie. Model otevřeného Grid systému. Základní ustanovení
GOST R 56093-2014 Ochrana informací. Automatizované systémy v bezpečném provedení. Prostředky pro detekci záměrných silových elektromagnetických vlivů. Obecné požadavky
GOST R 56115-2014 Ochrana informací. Automatizované systémy v bezpečném provedení. Prostředky ochrany před záměrnými silovými elektromagnetickými vlivy. Obecné požadavky
GOST R 56545-2015 Ochrana informací. Zranitelnosti informačních systémů. Pravidla pro popis zranitelností
GOST R 56546-2015 Ochrana informací. Zranitelnosti informačních systémů. Klasifikace zranitelností informačního systému
GOST IEC 60950-21-2013 Zařízení informačních technologií. Bezpečnostní požadavky. Část 21. Vzdálené napájení
GOST IEC 60950-22-2013 Zařízení informačních technologií. Bezpečnostní požadavky. Část 22. Zařízení určená pro venkovní instalaci
GOST R 51583-2014 Ochrana informací. Postup při vytváření automatizovaných systémů v bezpečném provedení. Obecná ustanovení
GOST R 55766-2013 Informační technologie. Evropský rámec kompetencí ICT 2.0. Část 3. Tvorba e-CF - spojení metodických základů a odborných zkušeností
GOST R 55248-2012 Elektrická bezpečnost. Klasifikace rozhraní pro zařízení připojená k sítím informačních a komunikačních technologií
GOST R 43.0.11-2014 Informační podpora pro zařízení a činnosti operátora. Databáze v technických činnostech
GOST R 56174-2014 Informační technologie. Architektura služeb otevřeného gridového prostředí. Termíny a definice
GOST IEC 61606-4-2014 Audio a audiovizuální zařízení. Komponenty digitálního audio zařízení. Základní metody měření zvukových charakteristik. Část 4. Osobní počítač
GOST R 43.2.5-2011 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Gramatika
GOST R 53633.5-2012 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Strategie, infrastruktura a produkt. Marketing a řízení nabídky produktů
GOST R 53633.6-2012 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Strategie, infrastruktura a produkt. Vývoj a správa služeb
GOST R 53633.8-2012 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Strategie, infrastruktura a produkt. Rozvoj a řízení dodavatelského řetězce
GOST R 43.0.7-2011 Informační podpora pro zařízení a činnosti operátora. Hybridně-intelektualizovaná interakce člověk-informace. Obecná ustanovení
GOST R 43.2.6-2011 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Morfologie
GOST R 53633.14-2016 Informační technologie. Síť správy telekomunikací je rozšířený rámec provozu komunikační organizace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Řízení organizace. Řízení stakeholderů a vnějších vztahů
GOST R 56938-2016 Ochrana informací. Ochrana informací při použití virtualizačních technologií. Obecná ustanovení
GOST R 56939-2016 Ochrana informací. Bezpečný vývoj softwaru. Obecné požadavky
GOST R ISO/IEC 17963-2016 Specifikace webových služeb pro správu (WS-management)
GOST R 43.0.6-2011 Informační podpora pro zařízení a činnosti operátora. Přirozeně intelektualizovaná interakce člověk-informace. Obecná ustanovení
GOST R 54817-2011 Náhodné zapálení audio, video, informačních technologií a komunikačních zařízení způsobené plamenem svíčky
GOST R IEC 60950-23-2011 Zařízení informačních technologií. Bezpečnostní požadavky. Část 23. Zařízení pro ukládání velkých objemů dat
GOST R IEC 62018-2011 Spotřeba energie zařízení informačních technologií. Metody měření
GOST R 53538-2009 Vícepárové kabely s měděnými vodiči pro širokopásmové přístupové obvody. Všeobecné technické požadavky
GOST R 53633.0-2009 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Obecná struktura podnikových procesů
GOST R 53633.1-2009 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Primární činnost. Řízení vztahů s dodavateli a partnery
GOST R 53633.2-2009 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Primární činnost. Řízení zdrojů a provoz
GOST R 53633.3-2009 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Primární činnost. Management vztahu se zákazníky
GOST R ISO/IEC 20000-2-2010 Informační technologie. Správa služeb. Část 2: Zásady správné praxe
GOST R 43.0.3-2009 Informační podpora pro zařízení a činnosti operátora. Polední technika v technických činnostech. Obecná ustanovení
GOST R 43.0.4-2009 Informační podpora pro zařízení a činnosti operátora. Informace v technických činnostech. Obecná ustanovení
GOST R 43.0.5-2009 Informační podpora pro zařízení a činnosti operátora. Procesy výměny informací v technických činnostech. Obecná ustanovení
GOST R 43.2.1-2007 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Obecná ustanovení
GOST R 43.2.2-2009 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Obecná ustanovení pro použití
GOST R 43.2.3-2009 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Typy a vlastnosti ikonických komponent
GOST R 43.2.4-2009 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Syntaktika znakových komponent
GOST R 52919-2008 Informační technologie. Metody a prostředky fyzické ochrany. Klasifikace a zkušební metody požární odolnosti. Datové místnosti a kontejnery
GOST R 53114-2008 Ochrana informací. Zajištění bezpečnosti informací v organizaci. Základní pojmy a definice
GOST R 53245-2008 Informační technologie. Systémy strukturovaných kabelů. Instalace hlavních komponent systému. Testovací metody
GOST R 53246-2008 Informační technologie. Systémy strukturovaných kabelů. Návrh hlavních komponent systému. Obecné požadavky
GOST R IEC 60990-2010 Metody měření dotykového proudu a proudu ochranného vodiče
GOST 33707-2016 Informační technologie. Slovník
GOST R 57392-2017 Informační technologie. Správa služeb. Část 10. Základní pojmy a terminologie
GOST R 43.0.13-2017 Informační podpora pro zařízení a činnosti operátora. Řízené školení specialistů
GOST R 43.0.8-2017 Informační podpora pro zařízení a činnosti operátora. Uměle intelektualizovaná interakce člověk-informace. Obecná ustanovení
GOST R 43.0.9-2017 Informační podpora pro zařízení a činnosti operátora. Informační zdroje
GOST R 43.2.7-2017 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Syntax
GOST R ISO/IEC 38500-2017 Informační technologie. Strategické řízení IT v organizaci
GOST R 43.0.10-2017 Informační podpora pro zařízení a činnosti operátora. Informační objekty, objektově orientovaný design při tvorbě technických informací
GOST R 53633.21-2017 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Dekompozice a popis procesů. Primární činnost. Řízení a provoz služeb. Procesy eTOM úrovně 3. Proces 1.1.2.1 - Podpora a dostupnost procesů SM&O
GOST R 57875-2017 Telekomunikace. Schémata zapojení a uzemnění v telekomunikačních centrech
GOST R 53633.22-2017 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Dekompozice a popis procesů. Primární činnost. Řízení a provoz služeb. Procesy eTOM úrovně 3. Proces 1.1.2.2 - Konfigurace a aktivace služeb

Mezinárodní standardy

BS 7799-1:2005 - Britský standard BS 7799 první část. BS 7799, část 1 - Pravidla pro správu bezpečnosti informací popisuje 127 ovládacích prvků potřebných k vytvoření systémy řízení bezpečnosti informací(ISMS) organizace, stanovené na základě nejlepších příkladů světových zkušeností (best practices) v této oblasti. Tento dokument slouží jako praktický průvodce vytvořením ISMS
BS 7799-2:2005 - Britská norma BS 7799 je druhou částí normy. BS 7799 Část 2 - Řízení informační bezpečnosti - specifikace pro systémy řízení bezpečnosti informací definuje specifikaci ISMS. Druhá část normy se používá jako kritéria při oficiálním certifikačním řízení pro ISMS organizace.
BS 7799-3:2006 - Britská norma BS 7799 třetí část normy. Nový standard v řízení rizik informační bezpečnosti
ISO/IEC 17799:2005 - "Informační technologie - Bezpečnostní technologie - Postupy řízení bezpečnosti informací." Mezinárodní norma založená na BS 7799-1:2005.
ISO/IEC 27000 - Slovník a definice.
ISO/IEC 27001:2005 - "Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Požadavky." Mezinárodní norma založená na BS 7799-2:2005.
ISO/IEC 27002 – nyní: ISO/IEC 17799:2005. "Informační technologie - Bezpečnostní technologie - Praktická pravidla pro řízení bezpečnosti informací." Datum vydání: 2007.
ISO/IEC 27005 – nyní: BS 7799-3:2006 – Pokyny pro řízení rizik v oblasti bezpečnosti informací.
Německý úřad pro bezpečnost informací. IT Baseline Protection Manual - Standardní bezpečnostní záruky.

Státní (národní) normy Ruské federace

GOST R 50922-2006 - Ochrana informací. Základní pojmy a definice.
R 50.1.053-2005 - Informační technologie. Základní pojmy a definice v oblasti technické informační bezpečnosti.
GOST R 51188-98 - Ochrana informací. Testovací software pro počítačové viry. Návod k modelu.
GOST R 51275-2006 - Ochrana informací. Informační objekt. Faktory ovlivňující informace. Obecná ustanovení.
GOST R ISO/IEC 15408-1-2008 - Informační technologie. Metody a prostředky zajištění bezpečnosti. Kritéria pro hodnocení bezpečnosti informačních technologií. Část 1. Úvod a obecný model.
GOST R ISO/IEC 15408-2-2008 - Informační technologie. Metody a prostředky zajištění bezpečnosti. Kritéria pro hodnocení bezpečnosti informačních technologií. Část 2. Požadavky na funkční bezpečnost.
GOST R ISO/IEC 15408-3-2008 - Informační technologie. Metody a prostředky zajištění bezpečnosti. Kritéria pro hodnocení bezpečnosti informačních technologií. Část 3. Požadavky na zajištění bezpečnosti.
GOST R ISO/IEC 15408 – „Obecná kritéria pro hodnocení bezpečnosti informačních technologií“ – norma, která definuje nástroje a metody pro hodnocení bezpečnosti informačních produktů a systémů; obsahuje seznam požadavků, se kterými lze porovnávat výsledky nezávislých hodnocení bezpečnosti – což umožňuje spotřebiteli rozhodovat o bezpečnosti výrobků. Rozsah aplikace „Obecných kritérií“ je ochrana informací před neoprávněným přístupem, modifikací nebo únikem a další způsoby ochrany realizované hardwarem a softwarem.
GOST R ISO/IEC 17799 - „Informační technologie. Praktická pravidla pro řízení informační bezpečnosti.“ Přímá aplikace mezinárodní normy s dodatkem ISO/IEC 17799:2005.
GOST R ISO/IEC 27001 - „Informační technologie. Bezpečnostní metody. Systém řízení bezpečnosti informací. Požadavky". Přímou aplikací mezinárodní normy je ISO/IEC 27001:2005.
GOST R 51898-2002: Bezpečnostní hlediska. Pravidla pro zařazení do norem.

Průvodní dokumenty

RD SVT. Ochrana proti NSD. Bezpečnostní indikátory od NSD k informacím - obsahuje popis bezpečnostních indikátorů informačních systémů a požadavky na bezpečnostní třídy.

viz také

Nedeklarované schopnosti

externí odkazy

Mezinárodní standardy řízení bezpečnosti informací

Nadace Wikimedia. 2010.

Důležitost zajištění bezpečnosti informací je těžké přeceňovat, protože potřeba ukládat a přenášet data je nedílnou součástí provozování jakéhokoli podnikání.

Různé metody informační bezpečnosti závisí na formě, ve které jsou uloženy, nicméně pro systematizaci a zefektivnění této oblasti je nutné stanovit standardy informační bezpečnosti, neboť standardizace je důležitým determinantem kvality při posuzování poskytovaných služeb.

Jakékoli zajištění bezpečnosti informací vyžaduje kontrolu a ověřování, které nelze provádět pouze individuálním posouzením, bez zohlednění mezinárodních a státních norem.

K formování standardů bezpečnosti informací dochází po jasném vymezení jejích funkcí a hranic. Informační bezpečnost zajišťuje důvěrnost, integritu a dostupnost dat.

Pro zjištění stavu informační bezpečnosti je nejvhodnější kvalitativní hodnocení, protože je možné vyjádřit míru bezpečnosti nebo zranitelnosti v procentech, ale to nedává úplný a objektivní obraz.

Pro posouzení a audit bezpečnosti informačních systémů můžete použít řadu pokynů a doporučení, které zahrnují regulační podporu.

Státní a mezinárodní standardy informační bezpečnosti

Sledování a hodnocení stavu bezpečnosti se provádí kontrolou jejich souladu se státními standardy (GOST, ISO) a mezinárodními standardy (ISo, Společná kritéria pro bezpečnost IT).

Mezinárodní soubor standardů vyvinutý Mezinárodní organizací pro standardizaci (ISO) je souborem postupů a doporučení pro implementaci systémů a zařízení pro bezpečnost informací.

ISO 27000 je jednou z nejpoužívanějších a nejrozšířenějších norem pro hodnocení, která obsahuje více než 15 ustanovení a je postupně číslována.

Podle kritérií hodnocení standardizace ISO 27000 není bezpečnost informací pouze jejich integrita, důvěrnost a dostupnost, ale také autenticita, spolehlivost, odolnost proti chybám a identifikovatelnost. Obvykle lze tuto řadu norem rozdělit do 4 částí:

přehled a úvod do terminologie, popis pojmů používaných v oblasti bezpečnosti;
povinné požadavky na systém řízení bezpečnosti informací, podrobný popis metod a prostředků řízení systému. Je hlavním standardem této skupiny;
doporučení auditu, pokyny k bezpečnostním kontrolám;
standardy, které doporučují postupy pro zavádění, vývoj a zlepšování systému řízení bezpečnosti informací.

Státní standardy bezpečnosti informací zahrnují řadu předpisů a dokumentů obsahujících více než 30 ustanovení (GOST).

Různé normy jsou zaměřeny nejen na stanovení obecných hodnotících kritérií, např. GOST R ISO/IEC 15408, která obsahuje metodické pokyny pro hodnocení bezpečnosti a seznam požadavků na systém managementu. Mohou být konkrétní a obsahovat také praktický návod.

Správná organizace skladu a jeho pravidelné sledování jeho provozu pomůže eliminovat krádeže komoditních a hmotných aktiv, které negativně ovlivňují finanční pohodu každého podniku bez ohledu na formu vlastnictví.
V době spuštění projde systém automatizace skladů ještě dvěma fázemi: interním testováním a plněním dat. Po takové přípravě se systém rozběhne naplno. Přečtěte si více o automatizaci zde.

Vzájemný vztah a soubor technik vede k rozvoji obecných ustanovení a ke sloučení mezinárodní a státní normalizace. GOST Ruské federace tedy obsahují dodatky a odkazy na mezinárodní normy ISO.

Taková interakce napomáhá rozvoji jednotného systému monitorování a hodnocení, což ve svém důsledku výrazně zvyšuje efektivitu uplatňování těchto ustanovení v praxi, objektivní hodnocení pracovních výsledků a celkové zlepšování.

Srovnání a analýza národních a mezinárodních normalizačních systémů

Počet evropských standardizačních standardů pro zajištění a kontrolu informační bezpečnosti výrazně převyšuje zákonné standardy stanovené Ruskou federací.

V národních státních normách převládají ustanovení o ochraně informací před možným hackováním, únikem a hrozbami ztráty. Zahraniční bezpečnostní systémy se specializují na vývoj standardů pro přístup k datům a autentizaci.

Rozdíly jsou také v ustanoveních týkajících se provádění kontroly a auditu systémů. Kromě toho se praxe uplatňování a implementace systému řízení informační bezpečnosti evropské normalizace projevuje téměř ve všech sférách života a normy Ruské federace jsou zaměřeny především na zachování materiálního blahobytu.

Neustále aktualizované státní normy však obsahují nezbytný minimální soubor požadavků na vytvoření kompetentního systému řízení bezpečnosti informací.

Standardy bezpečnosti informací pro přenos dat

Podnikání zahrnuje ukládání, výměnu a přenos dat přes internet. V moderním světě se měnové transakce, obchodní aktivity a převody finančních prostředků často odehrávají online a zajistit informační bezpečnost této činnosti je možné pouze uplatněním kompetentního a profesionálního přístupu.

Na internetu existuje mnoho standardů, které zajišťují bezpečné ukládání a přenos dat, známé antivirové ochranné programy, speciální protokoly pro finanční transakce a mnoho dalších.

Rychlost vývoje informačních technologií a systémů je tak velká, že výrazně předbíhá tvorbu protokolů a jednotných standardů pro jejich použití.

Jedním z populárních protokolů pro bezpečný přenos dat je SSL (Secure Socket Layer), vyvinutý americkými specialisty. Umožňuje vám chránit data pomocí kryptografie.

Výhodou tohoto protokolu je možnost ověření a autentizace např. bezprostředně před výměnou dat. Použití těchto systémů při přenosu dat je však spíše poradní, protože použití těchto standardů není pro podnikatele povinné.

Chcete-li otevřít LLC, potřebujete chartu podniku. Postup, který je vyvíjen v souladu s legislativou Ruské federace. Můžete si jej napsat sami, vzít si standardní vzorek jako vodítko nebo můžete kontaktovat specialisty, kteří jej napíší.
Aspirující podnikatel, který plánuje rozvinout vlastní podnikání jako samostatný podnikatel, musí při vyplňování žádosti uvést kód ekonomické činnosti v souladu s OKVED. Podrobnosti zde.

Pro provádění bezpečných transakcí a operací byl vyvinut přenosový protokol SET (Security Electronic Transaction), který umožňuje minimalizovat rizika při provádění obchodních a obchodních operací. Tento protokol je standardem pro platební systémy Visa a Master Card a umožňuje použití bezpečnostního mechanismu platebního systému.

Výbory, které standardizují internetové zdroje, jsou dobrovolné, proto činnosti, které provádějí, nejsou legální a povinné.

Podvody na internetu jsou však v moderním světě považovány za jeden z globálních problémů, a proto je jednoduše nemožné zajistit bezpečnost informací bez použití speciálních technologií a jejich standardizace.

Systémy řízení bezpečnosti – Specifikace s návodem k použití" (Systémy – specifikace s návodem k použití). Na jeho základě byla vyvinuta norma ISO/IEC 27001:2005 „Informační technologie". Bezpečnostní techniky. Systémy řízení bezpečnosti informací. Požadavky“, jejichž splnění lze certifikovat.

V Rusku jsou v současné době v platnosti normy GOST R ISO/IEC 17799-2005 „Informační technologie“. řízení bezpečnosti informací"(autentický překlad ISO/IEC 17799:2000) a GOST R ISO/IEC 27001-2006 "Informační technologie. Metody a prostředky zajištění bezpečnosti. Systémy řízení bezpečnosti informací. Požadavky" (překlad ISO/IEC 27001:2005). Navzdory některým vnitřním nesrovnalostem spojeným s různými verzemi a funkcemi překladu nám přítomnost norem umožňuje přinést systém řízení bezpečnosti informací v souladu s jejich požadavky a v případě potřeby certifikovat.

GOST R ISO/IEC 17799:2005 "Informační technologie. Praktická pravidla pro řízení bezpečnosti informací"

Podívejme se nyní na obsah normy. V úvodu se uvádí, že „informace, procesy, které je podporují, informační systémy a síťová infrastruktura jsou základními aktivy organizace Důvěrnost, integrita a dostupnost informací mohou významně přispívat ke konkurenceschopnosti, likviditě, ziskovosti, dodržování předpisů obchodní pověst Organizace." Můžeme tedy říci, že tato norma zvažuje otázky bezpečnosti informací, a to i z hlediska ekonomického efektu.

Jsou uvedeny tři skupiny faktorů, které je třeba vzít v úvahu při vývoji požadavků v oblasti informační bezpečnosti. Tento:

hodnocení rizik organizace. Prostřednictvím hodnocení rizik jsou identifikovány hrozby pro majetek organizace, posouzení zranitelnosti relevantní aktiva a pravděpodobnost výskytu hrozeb, jakož i posouzení možných důsledků;
právní, zákonné, regulační a smluvní požadavky, které musí splňovat organizace, její obchodní partneři, dodavatelé a poskytovatelé služeb;
specifický soubor zásad, cílů a požadavků vypracovaných organizací ohledně zpracování informací.

Jakmile jsou požadavky stanoveny, začíná fáze výběru a realizace opatření, která zajistí snížení rizik na přijatelnou úroveň. Výběr událostí podle řízení bezpečnosti informací by měly vycházet z poměru nákladů na jejich realizaci, efektu snížení rizik a možných ztrát v případě narušení bezpečnosti. Je třeba vzít v úvahu i faktory, které nelze vyjádřit v penězích, jako je ztráta dobrého jména. Možný seznam činností je uveden ve standardu, ale je třeba poznamenat, že jej lze doplňovat nebo tvořit samostatně na základě potřeb organizace.

Stručně uveďme části normy a v nich navrhovaná opatření na ochranu informací. První skupina se týká bezpečnostní politiky. Požaduje se, aby byla vypracována, schválena vedením organizace, zveřejněna a dána na vědomí všem zaměstnancům. Měl by určovat postup pro práci s informačními zdroji organizace, povinnosti a odpovědnosti zaměstnanců. Zásady jsou pravidelně revidovány, aby odrážely aktuální stav systému a identifikovaná rizika.

Další část se zabývá organizačními otázkami souvisejícími s bezpečností informací. Norma doporučuje vytvářet řídící rady (za účasti vrcholového vedení společnosti), které schvalují bezpečnostní politiku, jmenují odpovědné osoby, rozdělení odpovědnosti a koordinace realizace opatření pro řízení bezpečnosti informací V organizaci. Měl by být popsán také proces získání povolení k používání nástrojů pro zpracování informací (včetně nového softwaru a hardwaru) v organizaci, aby to nevedlo k bezpečnostním problémům. Je také nutné stanovit postup pro interakci s jinými organizacemi v otázkách bezpečnosti informací, konzultace s „externími“ specialisty a nezávislé ověřování (audit) bezpečnosti informací.

Při poskytování přístupu k informačním systémům specialistům z organizací třetích stran je třeba věnovat zvláštní pozornost otázkám bezpečnosti. Musí být provedeno posouzení rizik spojených s různými typy přístupu (fyzického nebo logického, tj. vzdáleného) takových specialistů k různým organizačním zdrojům. Potřeba poskytnout přístup musí být odůvodněná a smlouvy s třetími stranami a organizacemi musí obsahovat požadavky týkající se souladu s bezpečnostní politikou. Totéž se navrhuje v případě zapojení organizací třetích stran do zpracování informací (outsourcing).

Další část normy je věnována otázkám klasifikace a správa aktiv. Pro zajištění informační bezpečnosti organizace je nutné, aby všechna klíčová informační aktiva byla zaúčtována a přidělena odpovědným vlastníkům. Doporučujeme začít inventářem. Následující klasifikace je uvedena jako příklad:

informační majetek (databáze a datové soubory, systémové dokumentaci atd.);
softwarová aktiva (aplikační software, systémový software, vývojové nástroje a utility);
fyzický majetek (počítačové vybavení, komunikační zařízení, paměťová média, ostatní technické vybavení, nábytek, prostory);
služby (výpočetní a komunikační služby, základní služby).

Dále se navrhuje klasifikovat informace za účelem určení jejich priority, nutnosti a stupně ochrany. Současně lze relevantní informace posuzovat s ohledem na to, jak kritické jsou pro organizaci například z hlediska zajištění její integrity a dostupnosti. Poté se navrhuje vyvinout a zavést postup označování při zpracování informací. Postupy označování by měly být definovány pro každý stupeň utajení, aby vyhovovaly následujícím typům zpracování informací:

kopírování;
úložný prostor;
přenos poštou, faxem a e-mailem;
hlasový přenos, včetně mobilních telefonů, hlasové pošty, záznamníků;
zničení.

Další část se zabývá bezpečnostními otázkami týkajícími se personálu. Norma určuje, že odpovědnosti za dodržování bezpečnostních požadavků jsou rozděleny ve fázi výběru personálu, zahrnuty do pracovních smluv a sledovány po celou dobu práce zaměstnance. Zejména při přijímání stálého zaměstnance se doporučuje zkontrolovat pravost dokumentů předložených uchazečem, úplnost a správnost životopisu a doporučení, která mu byla předložena. Doporučuje se, aby zaměstnanci podepsali dohodu o mlčenlivosti, ve které bude uvedeno, které informace jsou důvěrné nebo citlivé. Musí být stanovena disciplinární odpovědnost za zaměstnance, kteří porušují bezpečnostní zásady a postupy organizace. V případě potřeby by tato odpovědnost měla trvat určitou dobu po ukončení zaměstnání.

Uživatelé musí být vyškoleni bezpečnostní postupy a správné používání nástrojů pro zpracování informací k minimalizaci možných rizik. Navíc postup pro informování o narušení bezpečnosti informací, se kterým musí být personál seznámen. Obdobně by se mělo postupovat v případě selhání softwaru. Takové incidenty je třeba zaznamenávat a analyzovat, aby bylo možné identifikovat opakující se problémy.

Další část normy řeší otázky fyzické ochrany a ochrany životního prostředí. Uvádí se, že „prostředky pro zpracování kritických nebo důležitých servisních informací musí být umístěny v bezpečnostních zónách určených určitým bezpečnostní perimetr s vhodnými ochrannými bariérami a kontrolami vniknutí. Tyto prostory musí být fyzicky chráněny před neoprávněným přístupem, poškozením a nárazy." Kromě organizace kontroly vstupu do chráněných prostor musí být stanoven postup provádění prací v nich a případně postupy pro organizaci vstupu návštěvníků. nezbytné pro zajištění bezpečnosti zařízení (včetně , které se používá mimo organizaci) pro snížení rizika neoprávněného přístupu k datům a jejich ochranu před ztrátou nebo poškozením Do této skupiny požadavků patří také zajištění ochrany před výpadky napájení a ochrana kabelové sítě. Musí být také definován postup pro údržbu zařízení, který zohledňuje bezpečnostní požadavky, a postupy pro bezpečnou likvidaci nebo opětovné použití zařízení, doporučuje se například fyzicky zničit nebo přepsat zabezpečeným způsobem namísto použití standardních funkcí pro mazání dat.

Aby se minimalizovalo riziko neoprávněného přístupu nebo poškození papírových dokumentů, paměťových médií a médií pro zpracování informací, doporučuje se zavést politiku „čistého stolu“ pro papírové dokumenty a vyměnitelná paměťová média a také politiku „čisté obrazovky“ pro zařízení na zpracování informací. Zařízení, informace nebo software mohou být odstraněny z prostor organizace pouze s příslušným povolením.

Název další části normy je „Řízení přenosu dat a provozní činnosti“. Vyžaduje, aby byly stanoveny odpovědnosti a postupy spojené s provozem všech zařízení na zpracování informací. Musí být například řízeny změny konfigurace zařízení a systémů pro zpracování informací. Požaduje se zavést princip segregace odpovědnosti ve vztahu k řídícím funkcím, plnění určitých úkolů a oblastí.

Doporučuje se oddělit vývojové, testovací a produkční prostředí softwaru. Musí být definována a zdokumentována pravidla pro převod softwaru ze stavu vyvíjeného do stavu přijatého k provozu.

Další rizika vznikají při využívání externích dodavatelů ke správě zařízení pro zpracování informací. Taková rizika musí být identifikována předem a musí být přijata vhodná opatření řízení bezpečnosti informací dohodnuté se zhotovitelem a obsažené ve smlouvě.

Pro zajištění potřebné kapacity pro zpracování a úložiště je nutné analyzovat současné požadavky na výkon a také předvídat budoucí. Tyto prognózy by měly zohledňovat nové funkční a systémové požadavky a také současné a budoucí plány rozvoje informačních technologií v organizaci. Požadavky a kritéria pro přijetí nových systémů musí být jasně definovány, odsouhlaseny, zdokumentovány a testovány.

Musí být přijata opatření k prevenci a detekci zavlečení škodlivého softwaru, jako jsou počítačové viry, síťoví červi, trojští koně a logické bomby. Je třeba poznamenat, že ochrana proti malwaru by měla být založena na pochopení bezpečnostních požadavků, vhodných kontrolách přístupu k systémům a správném řízení změn.

Musí být stanoven postup pro provádění pomocných operací, který zahrnuje zálohování softwaru a dat 1 Příklad 10 se zabývá organizováním záloh v systému Windows Server 2008. protokolování událostí a chyb a v případě potřeby monitorování stavu hardwaru. Opatření redundance pro každý jednotlivý systém by měla být pravidelně testována, aby bylo zajištěno, že splňují požadavky plánů kontinuity provozu.

Zajistit bezpečnost informací na sítích a chránit podpůrná infrastruktura, je nutné zavedení finančních prostředků bezpečnostní kontrola a ochranu připojených služeb před neoprávněným přístupem.

Zvláštní pozornost je věnována zabezpečení různých typů paměťových médií: dokumentů, počítačových paměťových médií (pásky, disky, kazety), vstupních/výstupních dat a systémové dokumentace před poškozením. Doporučuje se stanovit postup pro používání vyměnitelných paměťových médií počítače (postup pro kontrolu obsahu, ukládání, ničení atd.). Jak je uvedeno výše, paměťová média by měla být po použití bezpečně a bezpečně zlikvidována.

Aby byla zajištěna ochrana informací před neoprávněným zveřejněním nebo zneužitím, je nutné stanovit postupy pro zpracování a uchovávání informací. Tyto postupy by měly být navrženy s ohledem kategorizace informace a jednání ve vztahu k dokumentům, výpočetním systémům, sítím, přenosným počítačům, mobilní komunikaci, poště, hlasové poště, hlasové komunikaci obecně, multimediálním zařízením, používání faxu a jakýmkoli dalším důležitým předmětům, jako jsou formuláře, šeky a účty. Systémová dokumentace mohou obsahovat určité důležité informace, a proto musí být také chráněny.

Proces výměny informací a softwaru mezi organizacemi musí být kontrolován a musí být v souladu s platnou legislativou. Zejména musí být zajištěna, stanovena bezpečnost nosičů informací při přenosu zásady použití e-mailové a elektronické kancelářské systémy. Je třeba dbát na ochranu integrity informací publikovaných elektronicky, jako jsou informace na webových stránkách. Před zveřejněním těchto informací je rovněž vyžadován náležitý formalizovaný schvalovací proces.

Další část normy je věnována otázkám řízení přístupu.

Je požadováno, aby pravidla řízení přístupu a práva každého uživatele nebo skupiny uživatelů byly jasně definovány bezpečnostní politikou. Uživatelé a poskytovatelé služeb si musí být vědomi nutnosti dodržovat tyto požadavky.

Použitím ověřování heslem, je nutné mít nad uživatelskými hesly kontrolu. Uživatelé musí zejména podepsat dokument, v němž souhlasí se zachováním úplné důvěrnosti hesel. Je požadováno, aby byla zajištěna bezpečnost procesu získávání hesla pro uživatele a v případě jeho použití, aby uživatelé svá hesla spravovali (vynucená změna hesla po prvním přihlášení apod.).

Přístup k interním i externím síťovým službám musí být řízen. Uživatelé by měli mít přímý přístup pouze k těm službám, ke kterým mají oprávnění. Zvláštní pozornost je třeba věnovat ověřování vzdálených uživatelů. Na základě vyhodnocení rizik je důležité určit požadovanou úroveň ochrany pro výběr vhodné metody autentizace. Musí být sledována i bezpečnost používání síťových služeb.

Mnoho síťových a počítačových zařízení má vestavěné možnosti vzdálené diagnostiky a správy. I na tato zařízení se musí vztahovat bezpečnostní opatření.

Pokud sítě sdílí více organizací, musí být definovány požadavky na politiku řízení přístupu, aby se to vzalo v úvahu. Může být také nutné zavést dodatečná opatření řízení bezpečnosti informací omezit možnost připojení uživatelů.

Na úrovni operačního systému by měla být použita opatření pro zabezpečení informací k omezení přístupu k počítačovým zdrojům 2 Příklad organizace řízení přístupu k souborům a složkám ve Windows Server 2008 bude probrán v laboratorní práci č. 9.. Odkazuje to na identifikace a autentizace terminály a uživatelé. Doporučuje se, aby všichni uživatelé měli jedinečné identifikátory, které by neměly obsahovat žádné údaje o úrovni oprávnění uživatele. V systémech správa hesel musí být poskytnuty efektivní interaktivní schopnosti na podporu jejich požadované kvality 3 Příklad správy kvality hesel v operačních systémech Windows je probrán v laboratorní práci č. 3.. Použití systémových nástrojů by mělo být omezeno a pečlivě kontrolováno.

Je vhodné zajistit alarm pro případ, že by se uživatel mohl stát terčem násilí 4 Příkladem mohou být „nátlaková“ přihlašovací hesla. Pokud uživatel zadá takové heslo, systém zobrazí běžný proces přihlášení uživatele a poté simuluje selhání, aby zabránil útočníkům v přístupu k datům.(pokud je taková událost vyhodnocena jako pravděpodobná). Musí být definovány odpovědnosti a postupy pro reakci na takový poplach.

Terminály obsluhující vysoce rizikové systémy, pokud jsou umístěny na snadno přístupných místech, by měly být po určité době nečinnosti vypnuty, aby se zabránilo přístupu neoprávněných osob. Omezení může být také zavedeno na dobu, po kterou se terminály mohou připojit k počítačovým službám.

Na aplikační úrovni je také třeba uplatňovat opatření pro bezpečnost informací. Zejména se může jednat o omezení přístupu pro určité kategorie uživatelů. Systémy, které zpracovávají důležité informace, musí být vybaveny vyhrazeným (izolovaným) výpočetním prostředím.

Monitorování systému je nezbytné pro zjištění odchylek od požadavků politiky řízení přístupu a poskytnutí důkazů v případě incidentu informační bezpečnosti. Výsledky monitorování by měly být pravidelně kontrolovány. Audit log lze použít k vyšetřování incidentů, takže správné nastavení (synchronizace) hodin počítače je docela důležité.

Při používání přenosných zařízení, jako jsou notebooky, je nutné přijmout zvláštní opatření, aby se zabránilo kompromitaci chráněných informací. Měly by být přijaty formální zásady, které řeší rizika spojená s prací s přenosnými zařízeními, zejména v nezabezpečeném prostředí.

Další část normy se nazývá „Vývoj a údržba systémů“. Už na jevišti vývoj informačních systémů je nutné zajistit, aby byly brány v úvahu bezpečnostní požadavky. A při provozu systému je nutné zabránit ztrátě, úpravě nebo zneužití uživatelských dat. Za tímto účelem se doporučuje, aby aplikační systémy poskytovaly potvrzení správnosti vstupu a výstupu dat, kontrolu zpracování dat v systém, autentizace zprávy, protokolování uživatelských akcí.

Pro zajištění důvěrnosti, integrity a autentizace dat Mohou být použita kryptografická bezpečnostní opatření.

Zajištění integrity softwaru hraje důležitou roli v procesu informační bezpečnosti. Pro minimalizaci škod na informačních systémech by měla být implementace změn přísně kontrolována. Čas od času je potřeba provést změny v operačních systémech. V těchto případech musí být aplikační systémy analyzovány a testovány, aby bylo zajištěno, že nedojde k nepříznivému dopadu na jejich funkčnost a bezpečnost. Pokud je to možné, doporučuje se používat hotové softwarové balíčky bez úprav.

Souvisejícím problémem je boj proti trojským koním a používání skrytých únikových kanálů. Jedním z protiopatření je použití softwaru získaného od důvěryhodných prodejců a monitoru integrita systému.

V případech, kdy se na vývoji softwaru podílí organizace třetí strany, je nutné zajistit opatření ke kontrole kvality a správnosti provedené práce.

Další část normy je věnována řízení kontinuity podnikání. V počáteční fázi má identifikovat události, které mohou způsobit přerušení obchodních procesů (porucha zařízení, požár atd.). V tomto případě je nutné vyhodnotit důsledky a následně vypracovat plány obnovy. Přiměřenost plánů musí být potvrzena testováním a samy o sobě musí být pravidelně revidovány, aby zohledňovaly změny, ke kterým v systému dochází.

Poslední část normy se zabývá otázkami souladu. Především se jedná o soulad systému a postupu při jeho provozování s právními požadavky. To zahrnuje otázky dodržování autorských práv (včetně softwaru), ochrany osobních údajů (zaměstnanců, klientů) a prevence zneužití nástrojů pro zpracování informací. Použitím kryptografickými prostředky ochrany informací, musí být v souladu s platnou legislativou. Důkladně by měl být také rozpracován postup pro shromažďování důkazů v případě soudních sporů souvisejících s incidenty v oblasti bezpečnosti informačních systémů.

Informační systémy samotné musí dodržovat bezpečnostní politiku organizace a používané normy. Bezpečnost informačních systémů musí být pravidelně analyzována a vyhodnocována. Zároveň je nutné při provádění bezpečnostního auditu dodržovat bezpečnostní opatření, aby nedocházelo k nežádoucím následkům (např. výpadek kritického serveru z důvodu auditu).

Shrneme-li, lze konstatovat, že norma řeší širokou škálu otázek souvisejících se zajištěním bezpečnosti informačních systémů. V řadě oblastí jsou uvedena praktická doporučení.