Ρωσικά πρότυπα ασφάλειας πληροφοριών. Πρότυπα ασφάλειας πληροφοριών. Απαιτήσεις για γνώσεις και δεξιότητες

Αυτή η ενότητα παρέχει γενικές πληροφορίες και κείμενα των εθνικών προτύπων της Ρωσικής Ομοσπονδίας στον τομέα της ασφάλειας πληροφοριών GOST R.

Τρέχουσα λίστα σύγχρονων GOST που αναπτύχθηκαν τα τελευταία χρόνια και σχεδιάζονται για ανάπτυξη. Σύστημα πιστοποίησης για εργαλεία ασφάλειας πληροφοριών σύμφωνα με τις απαιτήσεις ασφάλειας πληροφοριών Αρ. ROSS RU.0001.01BI00 (FSTEC της Ρωσίας). ΚΡΑΤΙΚΟ ΠΡΟΤΥΠΟ ΤΗΣ ΡΩΣΙΚΗΣ ΟΜΟΣΠΟΝΔΙΑΣ. Προστασία δεδομένων. ΔΙΑΔΙΚΑΣΙΑ ΔΗΜΙΟΥΡΓΙΑΣ ΑΥΤΟΜΑΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΕ ΑΣΦΑΛΗΣ ΕΚΤΕΛΕΣΗ. Γενικές προμήθειες. Μόσχα ΚΡΑΤΙΚΟ ΠΡΟΤΥΠΟ ΤΗΣ ΡΩΣΙΚΗΣ ΟΜΟΣΠΟΝΔΙΑΣ. Εγκαταστάσεις ηλεκτρονικών υπολογιστών. Προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. Γενικές τεχνικές απαιτήσεις. Ημερομηνία εισαγωγής 1996-01-01 Εθνικό πρότυπο της Ρωσικής Ομοσπονδίας. Προστασία δεδομένων. Βασικοί όροι και ορισμοί. Προστασία πληροφοριών. Βασικοί όροι και ορισμοί. Ημερομηνία εισαγωγής 2008-02-01 ΚΡΑΤΙΚΟ ΠΡΟΤΥΠΟ ΤΗΣ ΡΩΣΙΚΗΣ ΟΜΟΣΠΟΝΔΙΑΣ. ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ. ΣΥΣΤΗΜΑ ΠΡΟΤΥΠΩΝ. ΒΑΣΙΚΕΣ ΔΙΑΤΑΞΕΙΣ (ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ. ΣΥΣΤΗΜΑ ΠΡΟΤΥΠΩΝ. ΒΑΣΙΚΕΣ ΑΡΧΕΣ) ΚΡΑΤΙΚΟ ΠΡΟΤΥΠΟ ΤΗΣ ΡΩΣΙΚΗΣ ΟΜΟΣΠΟΝΔΙΑΣ. Προστασία δεδομένων. ΛΟΓΙΣΜΙΚΟ ΔΟΚΙΜΗΣ ΓΙΑ ΤΗΝ ΠΑΡΟΥΣΙΑ ΙΩΝ ΥΠΟΛΟΓΙΣΤΩΝ. Εγχειρίδιο μοντέλου (Ασφάλεια πληροφοριών. Έλεγχος λογισμικού για την ύπαρξη ιών υπολογιστών. Το δείγμα εγχειριδίου). ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Προστασία των τεχνολογιών της πληροφορίας και των αυτοματοποιημένων συστημάτων από απειλές για την ασφάλεια των πληροφοριών που εφαρμόζονται με χρήση κρυφών καναλιών. Μέρος 1. Γενικές διατάξεις ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Προστασία των τεχνολογιών της πληροφορίας και των αυτοματοποιημένων συστημάτων από απειλές για την ασφάλεια των πληροφοριών που εφαρμόζονται με χρήση κρυφών καναλιών. Μέρος 2. Συστάσεις για την οργάνωση της προστασίας των πληροφοριών, των τεχνολογιών πληροφοριών και των αυτοματοποιημένων συστημάτων από επιθέσεις με χρήση κρυφών καναλιών ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Οδηγίες για την ανάπτυξη προφίλ ασφαλείας και εργασιών ασφαλείας Αυτόματη αναγνώριση. Βιομετρική ταυτοποίηση. Δοκιμές απόδοσης και εκθέσεις δοκιμών στη βιομετρία. Μέρος 3. Χαρακτηριστικά δοκιμών για διάφορες βιομετρικές μεθόδους ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Μεθοδολογία για την αξιολόγηση της ασφάλειας της πληροφορικής GOST R ISO/IEC 15408-1-2008 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών της πληροφορίας. Μέρος 1. Εισαγωγή και γενικό μοντέλο (Τεχνολογία πληροφοριών. Τεχνικές ασφάλειας. Κριτήρια αξιολόγησης για την ασφάλεια πληροφορικής. Μέρος 1. Εισαγωγή και γενικό μοντέλο) GOST R ISO/IEC 15408-2-2008 - Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών της πληροφορίας. Μέρος 2. Απαιτήσεις λειτουργικής ασφάλειας (Τεχνολογία πληροφοριών. Τεχνικές ασφάλειας. Κριτήρια αξιολόγησης για την ασφάλεια πληροφορικής. Μέρος 2. Λειτουργικές απαιτήσεις ασφάλειας) GOST R ISO/IEC 15408-3-2008 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών της πληροφορίας. Μέρος 3. Απαιτήσεις διασφάλισης ασφάλειας (Τεχνολογία πληροφοριών. Τεχνικές ασφάλειας. Κριτήρια αξιολόγησης για την ασφάλεια πληροφορικής. Μέρος 3. Απαιτήσεις διασφάλισης ασφάλειας) GOST R 53109-2008 Σύστημα για τη διασφάλιση της ασφάλειας πληροφοριών ενός δημόσιου δικτύου επικοινωνίας. Διαβατήριο οργανισμού επικοινωνιών ασφάλειας πληροφοριών. Ασφάλεια πληροφοριών του συστήματος παροχής δημόσιων δικτύων επικοινωνιών. Διαβατήριο του οργανισμού επικοινωνιών ασφάλειας πληροφοριών. Ημερομηνία έναρξης ισχύος: 30/09/2009. GOST R 53114-2008 Προστασία πληροφοριών. Διασφάλιση της ασφάλειας των πληροφοριών στον οργανισμό. Βασικοί όροι και ορισμοί. Προστασία πληροφοριών. Παροχή ασφάλειας πληροφοριών σε οργανισμούς. Βασικοί όροι και ορισμοί. Ημερομηνία έναρξης ισχύος: 30/09/2009. GOST R 53112-2008 Προστασία πληροφοριών. Συμπλέγματα για τη μέτρηση παραμέτρων ψευδούς ηλεκτρομαγνητικής ακτινοβολίας και παρεμβολών. Τεχνικές απαιτήσεις και μέθοδοι δοκιμής. Προστασία πληροφοριών. Εγκαταστάσεις μέτρησης πλευρικής ηλεκτρομαγνητικής ακτινοβολίας και παραμέτρων pickup. Τεχνικές απαιτήσεις και μέθοδοι δοκιμής. Ημερομηνία έναρξης ισχύος: 30/09/2009. GOST R 53115-2008 Προστασία πληροφοριών. Δοκιμή τεχνικών μέσων επεξεργασίας πληροφοριών για συμμόρφωση με τις απαιτήσεις ασφάλειας από μη εξουσιοδοτημένη πρόσβαση. Μέθοδοι και μέσα. Προστασία πληροφοριών. Έλεγχος συμμόρφωσης των εγκαταστάσεων επεξεργασίας τεχνικών πληροφοριών με απαιτήσεις προστασίας μη εξουσιοδοτημένης πρόσβασης. Μέθοδοι και τεχνικές. Ημερομηνία έναρξης ισχύος: 30/09/2009. GOST R 53113.2-2009 Τεχνολογία πληροφοριών. Προστασία των τεχνολογιών της πληροφορίας και των αυτοματοποιημένων συστημάτων από απειλές για την ασφάλεια των πληροφοριών που εφαρμόζονται με χρήση κρυφών καναλιών. Μέρος 2. Συστάσεις για την οργάνωση της προστασίας πληροφοριών, τεχνολογιών πληροφοριών και αυτοματοποιημένων συστημάτων από επιθέσεις με χρήση κρυφών καναλιών. ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Προστασία της τεχνολογίας των πληροφοριών και των αυτοματοποιημένων συστημάτων από απειλές ασφαλείας που προκύπτουν από τη χρήση κρυφών καναλιών. Μέρος 2. Συστάσεις για την προστασία των πληροφοριών, της τεχνολογίας πληροφοριών και των αυτοματοποιημένων συστημάτων από επιθέσεις μυστικών καναλιών. Ημερομηνία έναρξης ισχύος: 01/12/2009. GOST R ISO/IEC TO 19791-2008 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Αξιολόγηση ασφάλειας αυτοματοποιημένων συστημάτων. ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Τεχνικές ασφαλείας. Αξιολόγηση ασφάλειας λειτουργικών συστημάτων. Ημερομηνία έναρξης ισχύος: 30/09/2009. GOST R 53131-2008 Προστασία πληροφοριών. Συστάσεις για υπηρεσίες αποκατάστασης καταστροφών για λειτουργίες και μηχανισμούς ασφάλειας τεχνολογίας πληροφοριών και τηλεπικοινωνιών. Γενικές προμήθειες. Προστασία πληροφοριών. Οδηγίες για υπηρεσίες ανάκτησης λειτουργιών και μηχανισμών ασφάλειας τεχνολογίας πληροφοριών και επικοινωνιών. Γενικός. Ημερομηνία έναρξης ισχύος: 30/09/2009. GOST R 54581-2011 Τεχνολογία πληροφοριών. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Βασικές αρχές εμπιστοσύνης στην ασφάλεια πληροφορικής. Μέρος 1: Επισκόπηση και βασικά. ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Τεχνικές ασφαλείας. Ένα πλαίσιο διασφάλισης ασφάλειας πληροφορικής. Μέρος 1. Επισκόπηση και πλαίσιο. Ημερομηνία έναρξης ισχύος: 01/07/2012. GOST R ISO/IEC 27033-1-2011 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Ασφάλεια δικτύου. Μέρος 1: Επισκόπηση και έννοιες. ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Τεχνικές ασφαλείας. Ασφάλεια δικτύου. Μέρος 1. Επισκόπηση και έννοιες. Ημερομηνία έναρξης ισχύος: 01/01/2012. GOST R ISO/IEC 27006-2008 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Απαιτήσεις για φορείς που διενεργούν έλεγχο και πιστοποίηση συστημάτων διαχείρισης ασφάλειας πληροφοριών. ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Τεχνικές ασφαλείας. Απαιτήσεις για φορείς που παρέχουν έλεγχο και πιστοποίηση συστημάτων διαχείρισης ασφάλειας πληροφοριών. Ημερομηνία έναρξης ισχύος: 30/09/2009. GOST R ISO/IEC 27004-2011 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Διαχείριση ασφάλειας πληροφοριών. Μετρήσεις. ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Τεχνικές ασφαλείας. Διαχείριση ασφάλειας πληροφοριών. Μέτρηση. Ημερομηνία έναρξης ισχύος: 01/01/2012. GOST R ISO/IEC 27005-2010 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Διαχείριση κινδύνων ασφάλειας πληροφοριών. ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Τεχνικές ασφαλείας. Διαχείριση κινδύνων ασφάλειας πληροφοριών. Ημερομηνία έναρξης ισχύος: 12/01/2011. GOST R ISO/IEC 31010-2011 Διαχείριση κινδύνων. Μέθοδοι αξιολόγησης κινδύνων (Risk management. Risk estation method). Ημερομηνία έναρξης ισχύος: 01.12.2012 GOST R ISO 31000-2010 Διαχείριση κινδύνου. Αρχές και κατευθυντήριες γραμμές διαχείρισης κινδύνου. Ημερομηνία έναρξης ισχύος: 31/08/2011 GOST 28147-89 Συστήματα επεξεργασίας πληροφοριών. Κρυπτογραφική προστασία. Αλγόριθμος κρυπτογραφικής μετατροπής. Ημερομηνία έναρξης ισχύος: 30/06/1990. GOST R ISO/IEC 27013-2014 «Τεχνολογία πληροφοριών. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Οδηγίες για τη συνδυασμένη χρήση του ISO/IEC 27001 και του ISO/IEC 20000-1 - ισχύουν από 1 Σεπτεμβρίου 2015. GOST R ISO/IEC 27033-3-2014 «Ασφάλεια δικτύου. Μέρος 3. Σενάρια δικτύου αναφοράς. Απειλές, μέθοδοι σχεδιασμού και θέματα διαχείρισης» – ισχύει από 1 Νοεμβρίου 2015 GOST R ISO/IEC 27037-2014 «Τεχνολογία πληροφοριών. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Οδηγίες για τον εντοπισμό, τη συλλογή, την ανάκτηση και τη διατήρηση ψηφιακών αποδεικτικών στοιχείων - ισχύουν από 1 Νοεμβρίου 2015. GOST R ISO/IEC 27002-2012 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Σύνολο κανόνων και κανόνων για τη διαχείριση της ασφάλειας πληροφοριών. ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Τεχνικές ασφαλείας. Κώδικας πρακτικής για τη διαχείριση της ασφάλειας πληροφοριών. Ημερομηνία έναρξης ισχύος: 01/01/2014. Κωδικός ΟΚΣ 35.040. GOST R 56939-2016 Προστασία πληροφοριών. Ασφαλής ανάπτυξη λογισμικού. Γενικές απαιτήσεις (Προστασία πληροφοριών. Ασφαλής ανάπτυξη λογισμικού. Γενικές απαιτήσεις). Ημερομηνία έναρξης ισχύος: 01/06/2017. GOST R 51583-2014 Προστασία πληροφοριών. Η διαδικασία δημιουργίας αυτοματοποιημένων συστημάτων σε ασφαλή σχεδιασμό. Γενικές προμήθειες. Προστασία πληροφοριών. Ακολουθία σχηματισμού προστατευμένου λειτουργικού συστήματος. Γενικός. 09/01/2014 GOST R 7.0.97-2016 Σύστημα προτύπων για πληροφορίες, βιβλιοθήκη και εκδόσεις. Οργανωτική και διοικητική τεκμηρίωση. Απαιτήσεις για την προετοιμασία εγγράφων (Σύστημα προτύπων πληροφόρησης, βιβλιοθηκονομίας και δημοσίευσης. Οργανωτική και διοικητική τεκμηρίωση. Απαιτήσεις για παρουσίαση εγγράφων). Ημερομηνία έναρξης ισχύος: 01/07/2017. Κωδικός ΟΚΣ 01.140.20. GOST R 57580.1-2017 Ασφάλεια χρηματοοικονομικών (τραπεζικών) συναλλαγών. Προστασία πληροφοριών χρηματοπιστωτικών οργανισμών. Η βασική σύνθεση οργανωτικών και τεχνικών μέτρων - Ασφάλεια Χρηματοοικονομικών (τραπεζικών) Λειτουργιών. Προστασία Πληροφοριών Οικονομικών Οργανισμών. Βασικό Σετ Οργανωτικών και Τεχνικών Μέτρων. GOST R ISO 22301-2014 Συστήματα διαχείρισης επιχειρησιακής συνέχειας. Γενικές απαιτήσεις - Συστήματα διαχείρισης επιχειρησιακής συνέχειας. Απαιτήσεις. GOST R ISO 22313-2015 Διαχείριση επιχειρησιακής συνέχειας. Οδηγός Εφαρμογής - Συστήματα διαχείρισης επιχειρησιακής συνέχειας. Οδηγίες για την εφαρμογή. GOST R ISO/IEC 27031-2012 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Οδηγός Ετοιμότητας Τεχνολογίας Πληροφορικής και Επικοινωνιών για Επιχειρησιακή Συνέχεια - Τεχνολογία Πληροφορικής. Τεχνικές ασφαλείας. Οδηγίες για την ετοιμότητα των τεχνολογιών πληροφοριών και επικοινωνιών για επιχειρηματική συνέχεια. GOST R IEC 61508-1-2012 Λειτουργική ασφάλεια ηλεκτρικών, ηλεκτρονικών, προγραμματιζόμενων ηλεκτρονικών συστημάτων που σχετίζονται με την ασφάλεια. Μέρος 1. Γενικές απαιτήσεις. Λειτουργική ασφάλεια ηλεκτρικών, ηλεκτρονικών, προγραμματιζόμενων ηλεκτρονικών συστημάτων που σχετίζονται με την ασφάλεια. Μέρος 1. Γενικές απαιτήσεις. Ημερομηνία εισαγωγής 2013-08-01. GOST R IEC 61508-2-2012 Λειτουργική ασφάλεια ηλεκτρικών, ηλεκτρονικών, προγραμματιζόμενων ηλεκτρονικών συστημάτων που σχετίζονται με την ασφάλεια. Μέρος 2. Απαιτήσεις συστήματος. Λειτουργική ασφάλεια ηλεκτρικών, ηλεκτρονικών, προγραμματιζόμενων ηλεκτρονικών συστημάτων που σχετίζονται με την ασφάλεια. Μέρος 2. Απαιτήσεις για συστήματα. Ημερομηνία εισαγωγής 2013-08-01. GOST R IEC 61508-3-2012 ΛΕΙΤΟΥΡΓΙΚΗ ΑΣΦΑΛΕΙΑ ΗΛΕΚΤΡΙΚΩΝ, ΗΛΕΚΤΡΟΝΙΚΩΝ, ΠΡΟΓΡΑΜΜΑΤΙΣΜΩΝ ΗΛΕΚΤΡΟΝΙΚΩΝ, ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΑΣΦΑΛΕΙΑ ΣΥΣΤΗΜΑΤΩΝ. Απαιτήσεις λογισμικού. IEC 61508-3:2010 Λειτουργική ασφάλεια ηλεκτρικών/ηλεκτρονικών/προγραμματιζόμενων ηλεκτρονικών συστημάτων που σχετίζονται με την ασφάλεια - Μέρος 3: Απαιτήσεις λογισμικού (IDT). GOST R IEC 61508-4-2012 ΛΕΙΤΟΥΡΓΙΚΗ ΑΣΦΑΛΕΙΑ ΗΛΕΚΤΡΙΚΩΝ, ΗΛΕΚΤΡΟΝΙΚΩΝ, ΠΡΟΓΡΑΜΜΑΤΙΣΜΩΝ ΗΛΕΚΤΡΟΝΙΚΩΝ, ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΑΣΦΑΛΕΙΑ ΣΥΣΤΗΜΑΤΩΝ Μέρος 4 Όροι και ορισμοί. Λειτουργική ασφάλεια ηλεκτρικών, ηλεκτρονικών, προγραμματιζόμενων ηλεκτρονικών συστημάτων που σχετίζονται με την ασφάλεια. Μέρος 4. Όροι και ορισμοί. Ημερομηνία εισαγωγής 2013-08-01. . GOST R IEC 61508-6-2012 Λειτουργική ασφάλεια ηλεκτρικών, ηλεκτρονικών, προγραμματιζόμενων ηλεκτρονικών συστημάτων που σχετίζονται με την ασφάλεια. Μέρος 6. Οδηγίες για τη χρήση του GOST R IEC 61508-2 και του GOST R IEC 61508-3. IEC 61508-6:2010. Λειτουργική ασφάλεια ηλεκτρικών/ηλεκτρονικών/προγραμματιζόμενων ηλεκτρονικών συστημάτων που σχετίζονται με την ασφάλεια - Μέρος 6: Οδηγίες για την εφαρμογή των προτύπων IEC 61508-2 και IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 Λειτουργική ασφάλεια ηλεκτρικών συστημάτων, Λειτουργική ασφάλεια ηλεκτρικών, ηλεκτρονικών, προγραμματιζόμενων ηλεκτρονικών συστημάτων που σχετίζονται με την ασφάλεια. Μέρος 7. Μέθοδοι και μέσα. Λειτουργική ασφάλεια ηλεκτρικών ηλεκτρονικών προγραμματιζόμενων ηλεκτρονικών συστημάτων που σχετίζονται με την ασφάλεια. Μέρος 7. Τεχνικές και μέτρα. Ημερομηνία εισαγωγής 2013-08-01. GOST R 53647.6-2012. Διαχείριση επιχειρηματικής συνέχειας. Απαιτήσεις για σύστημα διαχείρισης προσωπικών πληροφοριών για τη διασφάλιση της προστασίας δεδομένων

Ονομα:

Προστασία δεδομένων. Διασφάλιση της ασφάλειας των πληροφοριών στον οργανισμό.

Εγκυρος

Ημερομηνία εισαγωγής:

Ημερομηνία ακύρωσης:

Αντικαταστάθηκε από:

Κείμενο GOST R 53114-2008 Προστασία πληροφοριών. Διασφάλιση της ασφάλειας των πληροφοριών στον οργανισμό. Βασικοί όροι και ορισμοί

ΟΜΟΣΠΟΝΔΙΑΚΟΣ ΟΡΓΑΝΙΣΜΟΣ ΤΕΧΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΚΑΙ ΜΕΤΡΟΛΟΓΙΑΣ

ΕΘΝΙΚΟΣ

ΠΡΟΤΥΠΟ

ΡΩΣΙΚΗ

ΟΜΟΣΠΟΝΔΙΑ

Προστασία δεδομένων

ΕΞΑΣΦΑΛΙΣΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΣΤΟΝ ΟΡΓΑΝΙΣΜΟ

Βασικοί όροι και ορισμοί

Επίσημη δημοσίευση


Oteidartenform

GOST R 53114-2008

Πρόλογος

Οι στόχοι και οι αρχές της τυποποίησης στη Ρωσική Ομοσπονδία καθορίζονται από τον Ομοσπονδιακό Νόμο αριθ. στη Ρωσική Ομοσπονδία. Βασικές διατάξεις »

Τυπικές πληροφορίες

1 ΑΝΑΠΤΥΞΕ από το Ομοσπονδιακό Κρατικό Ίδρυμα «Κρατικό Ινστιτούτο Δοκιμών Ερευνών για Προβλήματα Ασφάλειας Τεχνικών Πληροφοριών της Ομοσπονδιακής Υπηρεσίας Τεχνικού και Ελέγχου Εξαγωγών» (FGU «GNIIII PTZI FSTEC of Russia»), Εταιρεία Περιορισμένης Ευθύνης «Εταιρεία Έρευνας και Παραγωγής «Kristall» (OOO NPF "Crystal")

2 ΕΙΣΑΓΘΗΚΕ από το Τμήμα Τεχνικού Κανονισμού και Τυποποίησης της Ομοσπονδιακής Υπηρεσίας Τεχνικού Κανονισμού και Μετρολογίας

3 ΕΓΚΡΙΘΗΚΕ ΚΑΙ ΣΕ ΙΣΧΥΕΙ με εντολή της Ομοσπονδιακής Υπηρεσίας Τεχνικού Κανονισμού και Μετρολογίας της 18ης Δεκεμβρίου 2008 Αρ. 532-st

4 8ΟΔΗΓΗΣΕ ΓΙΑ ΠΡΩΤΗ ΦΟΡΑ

Πληροφορίες σχετικά με αλλαγές σε αυτό το πρότυπο δημοσιεύονται στον ετήσιο δημοσιευμένο ευρετήριο πληροφοριών «Εθνικά Πρότυπα» και το κείμενο των αλλαγών και τροποποιήσεων δημοσιεύεται στο μηνιαίο δημοσιευμένο ευρετήριο πληροφοριών «Εθνικά Πρότυπα». Σε περίπτωση αναθεώρησης (αντικατάστασης) ή ακύρωσης αυτού του προτύπου, η αντίστοιχη ειδοποίηση θα δημοσιευτεί στο μηνιαίο δημοσιευμένο ευρετήριο πληροφοριών «Εθνικά Πρότυπα». Σχετικές πληροφορίες, ειδοποιήσεις και κείμενα δημοσιεύονται επίσης στο δημόσιο σύστημα πληροφοριών - στον επίσημο ιστότοπο της Ομοσπονδιακής Υπηρεσίας Τεχνικού Κανονισμού και Μετρολογίας στο Διαδίκτυο

© Sgandartinform.2009

Αυτό το πρότυπο δεν μπορεί να αναπαραχθεί πλήρως ή εν μέρει, να αναπαραχθεί ή να διανεμηθεί ως επίσημη δημοσίευση χωρίς άδεια από την Ομοσπονδιακή Υπηρεσία Τεχνικού Κανονισμού και Μετρολογίας

GOST R 53114-2008

1 περιοχή χρήσης................................................ ... ....1

3 Όροι και ορισμοί................................................ ..... ..2

3.1 Γενικές έννοιες................................................ .... .....2

3.2 Όροι που σχετίζονται με το αντικείμενο προστασίας πληροφοριών................................ ...4

3.3 Όροι που σχετίζονται με απειλές για την ασφάλεια των πληροφοριών...................................7

3.4 Όροι που σχετίζονται με τη διαχείριση της ασφάλειας πληροφοριών του οργανισμού......8

3.5 Όροι που σχετίζονται με τον έλεγχο και την αξιολόγηση της ασφάλειας πληροφοριών ενός οργανισμού. ... 8

3.6 Όροι που σχετίζονται με ελέγχους ασφάλειας πληροφοριών

οργανισμοί................................................ ....... .......9

Αλφαβητικό ευρετήριο όρων................................................ .....11

Παράρτημα Α (για αναφορά) Όροι και ορισμοί γενικών τεχνικών εννοιών.................................13

Παράρτημα Β (για αναφορά) Αλληλεπίδραση βασικών εννοιών στον τομέα της ασφάλειας πληροφοριών σε έναν οργανισμό............................... .....................15

Βιβλιογραφία................................................. .......16

GOST R 53114-2008

Εισαγωγή

Οι όροι που καθορίζονται από αυτό το πρότυπο είναι διατεταγμένοι με συστηματική σειρά, αντανακλώντας το σύστημα εννοιών σε αυτό το πεδίο γνώσης.

Υπάρχει ένας τυποποιημένος όρος για κάθε έννοια.

Η παρουσία αγκύλων σε ένα άρθρο ορολογίας σημαίνει ότι περιλαμβάνει δύο όρους που έχουν κοινά στοιχεία όρου. Αυτοί οι όροι παρατίθενται χωριστά στο αλφαβητικό ευρετήριο.

Το τμήμα ενός όρου που περικλείεται σε παρένθεση μπορεί να παραλειφθεί κατά τη χρήση του όρου σε έγγραφα τυποποίησης, ενώ το τμήμα του όρου που δεν περιλαμβάνεται σε παρενθέσεις αποτελεί τη σύντομη μορφή του. Μετά τους τυποποιημένους όρους ακολουθούν οι σύντομες μορφές τους, χωρισμένες με ερωτηματικά, που αντιπροσωπεύονται με συντομογραφίες.

Οι ορισμοί που δίνονται μπορούν να αλλάξουν εάν είναι απαραίτητο εισάγοντας παράγωγα χαρακτηριστικά σε αυτούς. αποκαλύπτοντας τις έννοιες των όρων που χρησιμοποιούνται σε αυτά, υποδεικνύοντας τα αντικείμενα που περιλαμβάνονται στο πεδίο εφαρμογής της καθορισμένης έννοιας.

Οι αλλαγές δεν πρέπει να επηρεάζουν το εύρος και το περιεχόμενο των εννοιών που ορίζονται σε αυτό το πρότυπο.

Οι τυποποιημένοι όροι πληκτρολογούνται με έντονη γραφή, οι σύντομες μορφές τους βρίσκονται στο κείμενο και στο αλφαβητικό ευρετήριο, συμπεριλαμβανομένων των συντμήσεων. - φως, και συνώνυμα - πλάγια γράμματα.

Όροι και ορισμοί γενικών τεχνικών εννοιών που είναι απαραίτητοι για την κατανόηση του κειμένου του κύριου μέρους αυτού του προτύπου δίνονται στο Παράρτημα Α.

GOST R 53114-2008

ΕΘΝΙΚΟ ΠΡΟΤΥΠΟ ΤΗΣ ΡΩΣΙΚΗΣ ΟΜΟΣΠΟΝΔΙΑΣ

Προστασία δεδομένων

ΕΞΑΣΦΑΛΙΣΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ 8 ΟΡΓΑΝΙΣΜΟΙ

Βασικοί όροι και ορισμοί

Προστασία πληροφοριών. Παροχή ασφάλειας πληροφοριών στον οργανισμό.

Βασικοί όροι και ορισμοί

Ημερομηνία εισαγωγής - 2009-10-01

1 περιοχή χρήσης

Αυτό το πρότυπο καθορίζει τους βασικούς όρους που χρησιμοποιούνται κατά την εκτέλεση εργασιών τυποποίησης στον τομέα της ασφάλειας πληροφοριών σε έναν οργανισμό.

Οι όροι που καθορίζονται από αυτό το πρότυπο συνιστώνται για χρήση σε κανονιστικά έγγραφα, νομική, τεχνική και οργανωτική και διοικητική τεκμηρίωση, επιστημονική, εκπαιδευτική και βιβλιογραφία αναφοράς.

Αυτό το πρότυπο εφαρμόζεται σε συνδυασμό με το GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Οι όροι που δίνονται σε αυτό το πρότυπο συμμορφώνονται με τις διατάξεις του Ομοσπονδιακού Νόμου της Ρωσικής Ομοσπονδίας της 27ης Δεκεμβρίου 2002 M"184*FZ "Τεχνικός Κανονισμός" |3]. Ομοσπονδιακός νόμος της Ρωσικής Ομοσπονδίας της 27ης Ιουλίου 2006 Αρ. 149-FZ «Σχετικά με τις πληροφορίες, τις τεχνολογίες των πληροφοριών και την προστασία των πληροφοριών». Ομοσπονδιακός νόμος της Ρωσικής Ομοσπονδίας της 27ης Ιουλίου 2006 Αρ. 152-FZ «Περί Προσωπικών Δεδομένων». Δόγματα ασφάλειας πληροφοριών της Ρωσικής Ομοσπονδίας, που εγκρίθηκαν από τον Πρόεδρο της Ρωσικής Ομοσπονδίας στις 9 Σεπτεμβρίου 2000 Pr -1895.

2 Κανονιστικές αναφορές

GOST R 22.0.02-94 Ασφάλεια σε καταστάσεις έκτακτης ανάγκης. Όροι και ορισμοί βασικών εννοιών

GOST R ISO 9000-2001 Συστήματα διαχείρισης ποιότητας. Βασικές αρχές και λεξιλόγιο

GOST R ISO 9001-2008 Συστήματα διαχείρισης ποιότητας. Απαιτήσεις

GOST R IS0 14001-2007 Συστήματα περιβαλλοντικής διαχείρισης. Απαιτήσεις και οδηγίες χρήσης

GOST R ISO/IEC 13335-1-2006 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Μέρος 1. Έννοια και μοντέλα διαχείρισης ασφάλειας τεχνολογιών πληροφορικής και τηλεπικοινωνιών

GOST R ISO/IEC 27001-2006 Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Συστήματα διαχείρισης ασφάλειας πληροφοριών. Απαιτήσεις

GOST R 50922-2006 Προστασία πληροφοριών. Βασικοί όροι και ορισμοί

GOST R 51275-2006 Προστασία πληροφοριών. Αντικείμενο πληροφοριών. Παράγοντες που επηρεάζουν τις πληροφορίες. Γενικές προμήθειες

GOST R 51897-2002 Διαχείριση κινδύνου. Οροι και ορισμοί

Επίσημη δημοσίευση

GOST R 53114-2008

GOST R51898-2003 Θέματα ασφάλειας. Κανόνες για συμπερίληψη στα πρότυπα GOST R 52069.0-2003 Προστασία πληροφοριών. Σύστημα προτύπων. Βασικές διατάξεις του GOST 34.003-90 Τεχνολογία πληροφοριών. Σύνολο προτύπων για αυτοματοποιημένα συστήματα. Αυτοματοποιημένα συστήματα. Οροι και ορισμοί

GOST 19781-90 Λογισμικό για συστήματα επεξεργασίας πληροφοριών. Οροι και ορισμοί

Σημείωση - Όταν χρησιμοποιείτε αυτό το πρότυπο, συνιστάται να ελέγχετε την εγκυρότητα των προτύπων αναφοράς στο δημόσιο σύστημα πληροφοριών - στον επίσημο ιστότοπο της Ομοσπονδιακής Υπηρεσίας Τεχνικού Κανονισμού και Μετρολογίας στο Διαδίκτυο ή σύμφωνα με το ετήσιο δημοσιευμένο ευρετήριο πληροφοριών «Εθνικό Πρότυπα», η οποία δημοσιεύτηκε την 1η Ιανουαρίου του τρέχοντος έτους και σύμφωνα με τους αντίστοιχους μηνιαίους δείκτες πληροφόρησης που δημοσιεύθηκαν στο τρέχον έτος. Εάν το πρότυπο αναφοράς έχει αντικατασταθεί (αλλάξει), τότε κατά τη χρήση αυτού του προτύπου θα πρέπει να καθοδηγηθείτε από το πρότυπο που έχει αντικατασταθεί (αλλάξει). Εάν ένα πρότυπο αναφοράς ακυρωθεί χωρίς αντικατάσταση, τότε η διάταξη στην οποία γίνεται αναφορά σε αυτό ισχύει για το τμήμα που δεν επηρεάζει αυτήν την αναφορά.

3 Όροι και ορισμοί

3.1 Γενικές έννοιες

ασφάλεια πληροφοριών [δεδομένων]: Η κατάσταση ασφάλειας των πληροφοριών [δεδομένων], κατά την οποία διασφαλίζεται η εμπιστευτικότητα, η διαθεσιμότητα και η ακεραιότητά τους.

[GOST R 50922-2006. παράγραφος 2.4.5]

ασφάλεια τεχνολογίας πληροφοριών: Η κατάσταση ασφάλειας της τεχνολογίας των πληροφοριών. που διασφαλίζει την ασφάλεια των πληροφοριών για τις οποίες χρησιμοποιούνται για επεξεργασία. και ασφάλεια πληροφοριών του πληροφοριακού συστήματος στο οποίο εφαρμόζεται.

[R 50.1.056-2006. παράγραφος 2.4.5]

σφαίρα πληροφοριών: Το σύνολο των πληροφοριών, πληροφοριακή υποδομή, θέματα. τη διενέργεια συλλογής, διαμόρφωσης, διάδοσης και χρήσης πληροφοριών, καθώς και συστημάτων ρύθμισης των κοινωνικών σχέσεων που προκύπτουν στην περίπτωση αυτή.

3.1.4 πληροφοριακή υποδομή: Ένα σύνολο αντικειμένων πληροφόρησης που παρέχει στους καταναλωτές πρόσβαση σε πόρους πληροφοριών.

Αντικείμενο πληροφόρησης: ένα σύνολο πόρων πληροφοριών, εργαλείων και συστημάτων επεξεργασίας πληροφοριών που χρησιμοποιούνται σύμφωνα με μια δεδομένη τεχνολογία πληροφοριών, καθώς και υποστηρικτικές εγκαταστάσεις, εγκαταστάσεις ή εγκαταστάσεις (κτίρια, κατασκευές, τεχνικά μέσα) στα οποία είναι εγκατεστημένα αυτά τα εργαλεία και συστήματα, ή εγκαταστάσεις και εγκαταστάσεις , που προορίζονται για τη διεξαγωγή εμπιστευτικών διαπραγματεύσεων.

[GOST R 51275-2006. ρήτρα 3.1]

3.1.6 περιουσιακά στοιχεία του οργανισμού: Όλα. τι έχει αξία για τον οργανισμό προς το συμφέρον της επίτευξης των στόχων του και είναι στη διάθεσή του.

Σημείωση: Τα περιουσιακά στοιχεία ενός οργανισμού μπορεί να περιλαμβάνουν:

Πληροφοριακά στοιχεία, συμπεριλαμβανομένων διαφόρων τύπων πληροφοριών που κυκλοφορούν στο πληροφοριακό σύστημα (υπηρεσία, διαχείριση, αναλυτικό, επιχειρηματικό κ.λπ.) σε όλα τα στάδια του κύκλου ζωής (παραγωγή, αποθήκευση, επεξεργασία, μετάδοση, καταστροφή):

Πόροι (οικονομικοί, ανθρώπινοι, υπολογιστές, πληροφορίες, τηλεπικοινωνίες και άλλοι):

Διαδικασίες (τεχνολογικές, πληροφορίες, κ.λπ.).

Κατασκευασμένα προϊόντα ή παρεχόμενες υπηρεσίες.

GOST R 53114-2008

Πηγή συστήματος επεξεργασίας πληροφοριών: Μια εγκατάσταση συστήματος επεξεργασίας πληροφοριών που μπορεί να εκχωρηθεί στη διαδικασία επεξεργασίας δεδομένων για ένα ορισμένο χρονικό διάστημα.

Σημείωση - Οι κύριοι πόροι είναι επεξεργαστές, περιοχές κύριας μνήμης, σύνολα δεδομένων. περιφερειακές συσκευές, προγράμματα.

[GOST 19781-90. παράγραφος 93)

3.1.8 Διαδικασία πληροφοριών: Η διαδικασία δημιουργίας, συλλογής, επεξεργασίας, συσσώρευσης, αποθήκευσης, αναζήτησης. διάδοση και χρήση πληροφοριών.

ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ; IT: Διαδικασίες, μέθοδοι αναζήτησης, συλλογής, αποθήκευσης, επεξεργασίας, παροχής. διάδοση πληροφοριών και τρόποι διεξαγωγής τέτοιων διαδικασιών και μεθόδων. [Ομοσπονδιακός Νόμος της Ρωσικής Ομοσπονδίας με ημερομηνία 27 Δεκεμβρίου 2002 Αρ. 184-FZ. άρθρο 2. παράγραφος 2)]

τεχνική υποστήριξη του αυτοματοποιημένου συστήματος· Τεχνική υποστήριξη NPP: Το σύνολο όλων των τεχνικών μέσων που χρησιμοποιούνται για τη λειτουργία του NPP.

[GOST R 34.003-90. παράγραφος 2.5]

αυτοματοποιημένο λογισμικό συστήματος. Λογισμικό AS: Ένα σύνολο προγραμμάτων σε μέσα αποθήκευσης και έγγραφα προγράμματος που προορίζονται για εντοπισμό σφαλμάτων, λειτουργία και δοκιμή της λειτουργικότητας του AS.

[GOST R 34.003-90. ρήτρα 2.7]

υποστήριξη πληροφοριών του αυτοματοποιημένου συστήματος· πληροφοριακή υποστήριξη του AS: Ένα σύνολο εντύπων εγγράφων, ταξινομητών, κανονιστικού πλαισίου και εφαρμοσμένων λύσεων σχετικά με τον όγκο, την τοποθέτηση και τις μορφές ύπαρξης των πληροφοριών που χρησιμοποιούνται στο AS κατά τη λειτουργία του.

[GOST R 34.003-90. ρήτρα 2.8]

3.1.13 υπηρεσία; υπηρεσία: Το αποτέλεσμα των δραστηριοτήτων του εκτελεστή για την ικανοποίηση των αναγκών του καταναλωτή.

Σημείωση - 8 ένας οργανισμός, ένα άτομο ή μια διαδικασία μπορεί να ενεργήσει ως εκτελεστής (καταναλωτής) μιας υπηρεσίας.

3.1.14 Υπηρεσίες πληροφορικής: Υπηρεσίες πληροφορικής: Το σύνολο των λειτουργικών δυνατοτήτων των πληροφοριών και. πιθανώς τεχνολογία μη πληροφοριών που παρέχεται στους τελικούς χρήστες ως υπηρεσία.

ΣΗΜΕΙΩΣΗ Παραδείγματα υπηρεσιών πληροφορικής περιλαμβάνουν μηνύματα, επαγγελματικές εφαρμογές, υπηρεσίες αρχείων και εκτύπωσης, υπηρεσίες δικτύου κ.λπ.

3.1.15 Σύστημα υποδομής πληροφοριών ζωτικής σημασίας. βασικό σύστημα πληροφορικής υποδομής: FIAC: Σύστημα διαχείρισης πληροφοριών ή τηλεπικοινωνιών πληροφοριών που διαχειρίζεται ή παρέχει πληροφορίες σε ένα κρίσιμο αντικείμενο ή διαδικασία ή χρησιμοποιείται για την επίσημη ενημέρωση της κοινωνίας και των πολιτών, η διακοπή ή η διακοπή της λειτουργίας των οποίων (ως αποτέλεσμα καταστροφικών επιρροές πληροφοριών, καθώς και αστοχίες ή αστοχίες) μπορεί να οδηγήσουν σε κατάσταση έκτακτης ανάγκης με σημαντικές αρνητικές συνέπειες.

3.1.18 κρίσιμο αντικείμενο: Αντικείμενο ή διαδικασία, η διακοπή της συνέχειας λειτουργίας του οποίου θα μπορούσε να προκαλέσει σημαντική ζημιά.

GOST R 53114-2008

Σημείωση - Μπορεί να προκληθεί ζημιά σε περιουσία φυσικών ή νομικών προσώπων. κρατική ή δημοτική περιουσία, το περιβάλλον, καθώς και πρόκληση βλάβης στη ζωή ή την υγεία των πολιτών.

σύστημα πληροφοριών προσωπικών δεδομένων: Ένα πληροφοριακό σύστημα που είναι ένα σύνολο προσωπικών δεδομένων που περιέχονται σε μια βάση δεδομένων, καθώς και τεχνολογίες πληροφοριών και τεχνικά μέσα που επιτρέπουν την επεξεργασία τέτοιων προσωπικών δεδομένων με χρήση εργαλείων αυτοματισμού ή χωρίς τη χρήση τέτοιων εργαλείων.

προσωπικά δεδομένα: Οποιαδήποτε πληροφορία που σχετίζεται με ένα άτομο που ταυτοποιήθηκε ή προσδιορίστηκε βάσει αυτών των πληροφοριών (αντικείμενο των προσωπικών δεδομένων), συμπεριλαμβανομένου του επωνύμου, του επωνύμου του. πατρώνυμο, έτος μήνας, ημερομηνία και τόπος γέννησης, διεύθυνση, οικογένεια, κοινωνική, περιουσιακή κατάσταση, εκπαίδευση, επάγγελμα, εισόδημα, άλλες πληροφορίες.

3.1.19 αυτοματοποιημένο σύστημα σε προστατευμένο σχεδιασμό. AS σε προστατευμένο σχέδιο: Ένα αυτοματοποιημένο σύστημα που εφαρμόζει τεχνολογία πληροφοριών για την εκτέλεση καθιερωμένων λειτουργιών σύμφωνα με τις απαιτήσεις των προτύπων ή/και των κανονιστικών εγγράφων για την προστασία πληροφοριών.

3.2 Όροι που σχετίζονται με το αντικείμενο προστασίας πληροφοριών

3.2.1 ασφάλεια πληροφοριών του οργανισμού. IW του οργανισμού: Η κατάσταση προστασίας των συμφερόντων του οργανισμού απέναντι σε απειλές στη σφαίρα της πληροφόρησης.

Σημείωση - Η ασφάλεια επιτυγχάνεται με τη διασφάλιση ενός συνόλου ιδιοτήτων ασφάλειας πληροφοριών - εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας στοιχείων ενεργητικού πληροφοριών και υποδομής του οργανισμού. Η προτεραιότητα των ιδιοτήτων ασφάλειας πληροφοριών καθορίζεται από τη σημασία των στοιχείων ενεργητικού για τα συμφέροντα (στόχους) του οργανισμού.

αντικείμενο προστασίας πληροφοριών: Πληροφορίες ή φορέας πληροφοριών ή διαδικασία πληροφοριών. τα οποία πρέπει να προστατεύονται σύμφωνα με το σκοπό της προστασίας των πληροφοριών.

[GOST R 50922-2006. ρήτρα 2.5.1]

3.2.3 προστατευμένη διαδικασία (τεχνολογία πληροφοριών): Μια διαδικασία που χρησιμοποιείται από την τεχνολογία πληροφοριών για την επεξεργασία προστατευμένων πληροφοριών με το απαιτούμενο επίπεδο ασφάλειας.

3.2.4 παραβίαση της ασφάλειας πληροφοριών του οργανισμού: παραβίαση της ασφάλειας πληροφοριών του οργανισμού: Τυχαία ή εσκεμμένη παράνομη ενέργεια ενός ατόμου (αντικείμενο, αντικείμενο) σε σχέση με τα περιουσιακά στοιχεία του οργανισμού, συνέπεια της οποίας είναι παραβίαση της ασφάλειας των πληροφοριών όταν επεξεργάζεται με τεχνικά μέσα σε πληροφοριακά συστήματα, προκαλώντας αρνητικές συνέπειες (ζημία/ζημία) στον οργανισμό.

επείγον; απρόβλεπτη κατάσταση? Έκτακτη ανάγκη: Μια κατάσταση σε μια συγκεκριμένη περιοχή ή υδάτινη περιοχή που αναπτύχθηκε ως αποτέλεσμα ατυχήματος, επικίνδυνου φυσικού φαινομένου, καταστροφής, φυσικής ή άλλης καταστροφής που μπορεί να οδηγήσει σε απώλεια ζωών ή να προκαλέσει ανθρώπινες απώλειες, βλάβη στην ανθρώπινη υγεία ή το περιβάλλον, σημαντικές υλικές απώλειες και διατάραξη των συνθηκών διαβίωσης των ανθρώπων.

Σημείωση - Οι καταστάσεις έκτακτης ανάγκης διακρίνονται από τη φύση της πηγής (φυσική, ανθρωπογενής, βιολογική-κοινωνική και στρατιωτική) και από την κλίμακα (τοπική, τοπική, εδαφική, περιφερειακή, ομοσπονδιακή και διασυνοριακή).

(GOST R 22.0.02-94. Άρθρο 2.1.1)

GOST R 53114-2008

3.2.6

επικίνδυνη κατάσταση: Περιστάσεις στις οποίες κινδυνεύουν άνθρωποι, περιουσίες ή το περιβάλλον.

(GOST R 51898-2003. παράγραφος 3.6)

3.2.7

Συμβάν ασφάλειας πληροφοριών: Κάθε απροσδόκητο ή ανεπιθύμητο συμβάν που μπορεί να διαταράξει τις λειτουργίες ή την ασφάλεια των πληροφοριών.

Σημείωση - Τα περιστατικά ασφάλειας πληροφοριών είναι:

Απώλεια υπηρεσιών, εξοπλισμού ή συσκευών:

Βλάβες ή υπερφορτώσεις συστήματος:

Σφάλματα χρήστη.

Παραβίαση των μέτρων φυσικής προστασίας:

Ανεξέλεγκτες αλλαγές στα συστήματα.

Βλάβες λογισμικού και αστοχίες υλικού:

Παραβίαση κανόνων πρόσβασης.

(GOST R ISO/IEC 27001 -2006. Άρθρο 3.6)

3.2.8 συμβάν: Η εμφάνιση ή η παρουσία ενός συγκεκριμένου συνόλου περιστάσεων.

Σημειώσεις

1 Η φύση, η πιθανότητα και οι συνέπειες του συμβάντος ενδέχεται να μην είναι πλήρως γνωστές.

2 Ένα συμβάν μπορεί να συμβεί μία ή περισσότερες φορές.

3 Η πιθανότητα που σχετίζεται με ένα γεγονός μπορεί να εκτιμηθεί.

4 Ένα γεγονός μπορεί να συνίσταται στη μη εμφάνιση μίας ή περισσότερων περιστάσεων.

5 Ένα απρόβλεπτο γεγονός αποκαλείται μερικές φορές «περιστατικό».

6 Ένα γεγονός στο οποίο δεν σημειώνονται απώλειες ονομάζεται μερικές φορές προϋπόθεση για ένα περιστατικό (συμβάν), μια επικίνδυνη κατάσταση, έναν επικίνδυνο συνδυασμό περιστάσεων κ.λπ.

3.2.9 κίνδυνος: Ο αντίκτυπος των αβεβαιοτήτων στη διαδικασία επίτευξης των στόχων.

Σημειώσεις

1 Οι στόχοι μπορεί να έχουν διαφορετικές πτυχές: οικονομικές, υγιεινές, ασφαλείς και περιβαλλοντικές πτυχές και μπορούν να τεθούν σε διαφορετικά επίπεδα: σε στρατηγικό επίπεδο, σε οργανωτικό επίπεδο, σε επίπεδο έργου, προϊόντος και διαδικασίας.

3 Ο κίνδυνος συχνά εκφράζεται ως συνδυασμός των συνεπειών ενός γεγονότος ή αλλαγής των συνθηκών και της πιθανότητάς τους.

3.2.10

Αξιολόγηση κινδύνου: Μια διαδικασία που συνδυάζει τον προσδιορισμό κινδύνου, την ανάλυση κινδύνου και την ποσοτικοποίηση του κινδύνου.

(GOST R ISO/IEC 13335-1 -2006, παράγραφος 2.21 ]

3.2.11 Αξιολόγηση κινδύνου ασφάλειας πληροφοριών (του οργανισμού). αξιολόγηση κινδύνου ασφάλειας πληροφοριών (οργανισμός): Η συνολική διαδικασία εντοπισμού, ανάλυσης και προσδιορισμού της αποδοχής του επιπέδου κινδύνου ασφάλειας πληροφοριών ενός οργανισμού.

3.2.12 Προσδιορισμός κινδύνου: Η διαδικασία ανίχνευσης, αναγνώρισης και περιγραφής κινδύνων.

Σημειώσεις

1 Ο προσδιορισμός κινδύνου περιλαμβάνει τον προσδιορισμό των πηγών κινδύνου, των γεγονότων και των αιτιών τους, καθώς και των πιθανών συνεπειών τους.

ΣΗΜΕΙΩΣΗ 2 Ο προσδιορισμός κινδύνου μπορεί να περιλαμβάνει στατιστικά δεδομένα, θεωρητική ανάλυση, τεκμηριωμένες απόψεις και γνώμες εμπειρογνωμόνων και ανάγκες των ενδιαφερομένων.

GOST R 53114-2008

ανάλυση κινδύνου: Η συστηματική χρήση πληροφοριών για τον εντοπισμό των πηγών κινδύνου και την ποσοτικοποίηση του κινδύνου.

(GOST R ISO/IEC 27001-2006. Άρθρο 3.11)

3.2.14 Προσδιορισμός αποδοχής κινδύνου: Η διαδικασία σύγκρισης των αποτελεσμάτων μιας ανάλυσης κινδύνου με κριτήρια κινδύνου για τον προσδιορισμό της αποδοχής ή της ανεκτικότητας του επιπέδου κινδύνου.

ΣΗΜΕΙΩΣΗ Ο προσδιορισμός της αποδοχής του επιπέδου κινδύνου βοηθά στη λήψη αποφάσεων για τη θεραπεία

3.2.15 χειρισμός του κινδύνου ασφάλειας πληροφοριών του οργανισμού. Αντιμετώπιση Κινδύνου για την Ασφάλεια Πληροφοριών Οργανισμού: Η διαδικασία ανάπτυξης ή/και επιλογής και εφαρμογής μέτρων για τη διαχείριση των κινδύνων ασφάλειας πληροφοριών ενός οργανισμού.

Σημειώσεις

1 Η θεραπεία κινδύνου μπορεί να περιλαμβάνει:

Αποφυγή κινδύνου αποφασίζοντας να μην ξεκινήσετε ή να συνεχίσετε δραστηριότητες που δημιουργούν συνθήκες

Αναζητώντας μια ευκαιρία αποφασίζοντας να ξεκινήσετε ή να συνεχίσετε δραστηριότητες που μπορεί να δημιουργήσουν ή να αυξήσουν τον κίνδυνο.

Εξάλειψη της πηγής κινδύνου:

Αλλαγές στη φύση και το μέγεθος του κινδύνου:

Μεταβαλλόμενες συνέπειες.

Κοινή χρήση κινδύνου με άλλο μέρος ή μέρη.

Εμμονή του κινδύνου τόσο ως αποτέλεσμα μιας συνειδητής απόφασης όσο και «από προεπιλογή».

2 Οι θεραπείες κινδύνου με αρνητικές συνέπειες ονομάζονται μερικές φορές μετριασμός, εξάλειψη, πρόληψη. μείωση, καταστολή και διόρθωση κινδύνου.

3.2.16 διαχείριση κινδύνων: Συντονισμένες ενέργειες για την κατεύθυνση και τον έλεγχο των δραστηριοτήτων του οργανισμού σε σχέση με τους κινδύνους.

3.2.17 πηγή κινδύνου για την ασφάλεια πληροφοριών του οργανισμού. πηγή οργανωτικού κινδύνου ασφάλειας πληροφοριών: Αντικείμενο ή ενέργεια που μπορεί να προκαλέσει [δημιουργία) κινδύνου.

Σημειώσεις

1 Δεν υπάρχει κίνδυνος εάν δεν υπάρχει αλληλεπίδραση μεταξύ ενός αντικειμένου, ενός προσώπου ή ενός οργανισμού με την πηγή του κινδύνου.

2 Η πηγή του κινδύνου μπορεί να είναι υλική ή άυλη.

3.2.18 πολιτική ασφάλειας πληροφοριών (του οργανισμού). πολιτική ασφάλειας πληροφοριών (οργανισμός): Μια επίσημη δήλωση των κανόνων, διαδικασιών, πρακτικών ή κατευθυντήριων γραμμών για την ασφάλεια των πληροφοριών που καθοδηγούν τις δραστηριότητες ενός οργανισμού.

Σημείωση - Οι πολιτικές πρέπει να περιέχουν.

Αντικείμενο, κύριοι στόχοι και στόχοι της πολιτικής ασφάλειας:

Προϋποθέσεις για την εφαρμογή της πολιτικής ασφαλείας και πιθανοί περιορισμοί:

Περιγραφή της θέσης της διοίκησης του οργανισμού σχετικά με την εφαρμογή της πολιτικής ασφάλειας και την οργάνωση του καθεστώτος ασφάλειας πληροφοριών του οργανισμού συνολικά.

Δικαιώματα και ευθύνες, καθώς και ο βαθμός ευθύνης των εργαζομένων για τη συμμόρφωση με την πολιτική ασφαλείας του οργανισμού.

Επείγουσες διαδικασίες σε περίπτωση παραβίασης της πολιτικής ασφαλείας

3.2.19 στόχος ασφάλειας πληροφοριών (του οργανισμού). Στόχος IS (οργανισμός): Ένα προκαθορισμένο αποτέλεσμα της διασφάλισης της ασφάλειας πληροφοριών ενός οργανισμού σύμφωνα με τις καθιερωμένες απαιτήσεις στην πολιτική IS (οργανισμός).

Σημείωση - Το αποτέλεσμα της διασφάλισης της ασφάλειας των πληροφοριών μπορεί να είναι η αποτροπή ζημίας στον κάτοχο των πληροφοριών λόγω πιθανής διαρροής πληροφοριών και (ή) μη εξουσιοδοτημένης και ακούσιας επίπτωσης στις πληροφορίες.

3.2.20 σύστημα εγγράφων για την ασφάλεια των πληροφοριών στον οργανισμό. σύστημα εγγράφων ασφάλειας πληροφοριών σε έναν οργανισμό: ένα ταξινομημένο σύνολο εγγράφων που ενώνονται με έναν προσανατολισμό στόχο. διασυνδέονται με βάση την προέλευση, το σκοπό, το είδος, το πεδίο δραστηριότητας, τις ενιαίες απαιτήσεις για το σχεδιασμό τους και τη ρύθμιση των δραστηριοτήτων του οργανισμού για τη διασφάλιση της ασφάλειας των πληροφοριών.

GOST R 53114-2008

3.3 Όροι που σχετίζονται με απειλές για την ασφάλεια των πληροφοριών

3.3.1 απειλή για την ασφάλεια πληροφοριών του οργανισμού. Απειλή για την ασφάλεια των πληροφοριών σε έναν οργανισμό: Ένα σύνολο παραγόντων και συνθηκών που δημιουργούν κίνδυνο παραβίασης της ασφάλειας πληροφοριών ενός οργανισμού, προκαλώντας ή ικανές να προκαλέσουν αρνητικές συνέπειες (ζημία/ζημία) στον οργανισμό.

Σημειώσεις

1 Η μορφή υλοποίησης (εκδήλωσης) μιας απειλής για την ασφάλεια των πληροφοριών είναι το ξέσπασμα ενός ή περισσότερων αλληλένδετων συμβάντων ασφάλειας πληροφοριών και συμβάντων ασφάλειας πληροφοριών. που οδηγεί σε παραβιάσεις των ιδιοτήτων ασφάλειας πληροφοριών των προστατευόμενων αντικειμένων του οργανισμού.

2 Μια απειλή χαρακτηρίζεται από την παρουσία ενός αντικειμένου απειλής, μιας πηγής απειλής και μιας εκδήλωσης της απειλής.

απειλή (ασφάλεια πληροφοριών): Ένα σύνολο συνθηκών και παραγόντων που δημιουργούν δυνητικό ή πραγματικό κίνδυνο παραβίασης της ασφάλειας των πληροφοριών.

[GOST R 50922-2006. ρήτρα 2.6.1]

3.3.3 μοντέλο απειλής (ασφάλεια πληροφοριών): Φυσική, μαθηματική, περιγραφική αναπαράσταση των ιδιοτήτων ή των χαρακτηριστικών των απειλών για την ασφάλεια των πληροφοριών.

Σημείωση - ένα ειδικό κανονιστικό έγγραφο μπορεί να είναι ένας τύπος περιγραφικής αναπαράστασης των ιδιοτήτων ή των χαρακτηριστικών των απειλών για την ασφάλεια των πληροφοριών.

ευπάθεια (του πληροφοριακού συστήματος). παραβίαση: Μια ιδιότητα ενός πληροφοριακού συστήματος που καθιστά δυνατή την εφαρμογή απειλών για την ασφάλεια των πληροφοριών που υποβάλλονται σε επεξεργασία σε αυτό.

Σημειώσεις

1 Προϋπόθεση για την εφαρμογή μιας απειλής ασφαλείας που υποβάλλεται σε επεξεργασία στο πληροφοριακό σύστημα μπορεί να είναι μια ανεπάρκεια ή αδυναμία του συστήματος πληροφοριών.

2 Εάν η ευπάθεια ταιριάζει με την απειλή, τότε υπάρχει κίνδυνος.

[GOST R 50922-2006. παράγραφος 2.6.4]

3.3.5 παραβάτης της ασφάλειας πληροφοριών του οργανισμού. παραβάτης της ασφάλειας πληροφοριών του οργανισμού: Ένα άτομο ή μια λογική οντότητα που διέπραξε κατά λάθος ή σκόπιμα μια ενέργεια, συνέπεια της οποίας είναι παραβίαση της ασφάλειας πληροφοριών του οργανισμού.

3.3.6 μη εξουσιοδοτημένη πρόσβαση: Πρόσβαση σε πληροφορίες ή σε πόρους ενός αυτοματοποιημένου συστήματος πληροφοριών, που πραγματοποιείται κατά παράβαση των καθιερωμένων κανόνων (ή) δικαιωμάτων πρόσβασης.

Σημειώσεις

1 Η μη εξουσιοδοτημένη πρόσβαση μπορεί να είναι σκόπιμη ή ακούσια.

2 Δικαιώματα και κανόνες πρόσβασης σε πληροφορίες και πόρους πληροφοριακών συστημάτων έχουν θεσπιστεί για διαδικασίες επεξεργασίας πληροφοριών, συντήρηση αυτοματοποιημένου συστήματος πληροφοριών και αλλαγές προγραμμάτων. τεχνικούς και πληροφοριακούς πόρους, καθώς και τη λήψη πληροφοριών σχετικά με αυτούς.

3.3.7 Επίθεση δικτύου: Ενέργειες με χρήση λογισμικού και (ή) υλικού και με χρήση πρωτοκόλλου δικτύου, που στοχεύουν στην υλοποίηση απειλών μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες, επηρεάζοντας αυτές ή τους πόρους ενός αυτοματοποιημένου συστήματος πληροφοριών.

Εφαρμογή - Πρωτόκολλο δικτύου είναι ένα σύνολο σημασιολογικών και συντακτικών κανόνων που καθορίζουν την αλληλεπίδραση των προγραμμάτων διαχείρισης δικτύου που βρίσκονται στον ίδιο υπολογιστή. με προγράμματα με το ίδιο όνομα που βρίσκονται σε άλλον υπολογιστή.

3.3.8 αποκλεισμός πρόσβασης (σε πληροφορίες): Τερματισμός ή δυσκολία πρόσβασης σε πληροφορίες προσώπων. δικαιούνται να το πράξουν (νόμιμοι χρήστες).

3.3.9 Επίθεση άρνησης υπηρεσίας: Επίθεση δικτύου που οδηγεί σε αποκλεισμό των διαδικασιών πληροφοριών σε ένα αυτοματοποιημένο σύστημα.

3.3.10 Διαρροή πληροφοριών: Ανεξέλεγκτη διάδοση προστατευόμενων πληροφοριών ως αποτέλεσμα της αποκάλυψής τους, μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες και λήψη προστατευόμενων πληροφοριών από ξένες υπηρεσίες πληροφοριών.

3.3.11 αποκάλυψη πληροφοριών: Μη εξουσιοδοτημένη κοινοποίηση προστατευόμενων πληροφοριών σε πρόσωπα. δεν έχει εξουσιοδότηση πρόσβασης σε αυτές τις πληροφορίες.

GOST R 53114-2008

υποκλοπή (πληροφοριών): Παράνομη λήψη πληροφοριών με χρήση τεχνικού μέσου που ανιχνεύει, λαμβάνει και επεξεργάζεται πληροφοριακά σήματα.

(R 50.1.053-2005, παράγραφος 3.2.5]

πληροφοριακό σήμα: Ένα σήμα του οποίου οι παράμετροι μπορούν να χρησιμοποιηθούν για τον προσδιορισμό των προστατευμένων πληροφοριών.

[R 50.1.05S-2005. παράγραφος 3.2.6]

3.3.14 δηλωμένες δυνατότητες: Λειτουργικές δυνατότητες υλικού και λογισμικού υπολογιστών που δεν περιγράφονται ή δεν αντιστοιχούν σε αυτές που περιγράφονται στην τεκμηρίωση. που μπορεί να οδηγήσει σε μείωση ή παραβίαση των ιδιοτήτων ασφαλείας των πληροφοριών.

3.3.15 ψευδής ηλεκτρομαγνητική ακτινοβολία και παρεμβολές: Ηλεκτρομαγνητική ακτινοβολία από εξοπλισμό επεξεργασίας τεχνικών πληροφοριών, που προκύπτει ως παρενέργεια και προκαλείται από ηλεκτρικά σήματα που δρουν στα ηλεκτρικά και μαγνητικά τους κυκλώματα, καθώς και ηλεκτρομαγνητική παρεμβολή αυτών των σημάτων σε αγώγιμες γραμμές, δομές και ισχύ κυκλώματα.

3.4 Όροι που σχετίζονται με τη διαχείριση της ασφάλειας πληροφοριών του οργανισμού

3.4.1 διαχείριση της ασφάλειας πληροφοριών του οργανισμού. διαχείριση του οργανισμού ασφάλειας πληροφοριών· Συντονισμένες ενέργειες για την ηγεσία και τη διοίκηση του οργανισμού ως προς τη διασφάλιση της ασφάλειας των πληροφοριών του σύμφωνα με τις μεταβαλλόμενες συνθήκες του εσωτερικού και εξωτερικού περιβάλλοντος του οργανισμού.

3.4.2 Διαχείριση κινδύνου ασφάλειας πληροφοριών του οργανισμού. διαχείριση κινδύνων ασφάλειας πληροφοριών του οργανισμού: Συντονισμένες ενέργειες για την καθοδήγηση και τη διαχείριση ενός οργανισμού σε σχέση με τον κίνδυνο ασφάλειας πληροφοριών προκειμένου να ελαχιστοποιηθεί.

ΣΗΜΕΙΩΣΗ Οι βασικές διαδικασίες της διαχείρισης κινδύνου είναι ο καθορισμός του πλαισίου, η αξιολόγηση του κινδύνου, η αντιμετώπιση και η αποδοχή του κινδύνου, η παρακολούθηση και η αναθεώρηση του κινδύνου.

σύστημα διαχείρισης ασφάλειας πληροφοριών· ISMS: Μέρος του συνολικού συστήματος διαχείρισης. με βάση τη χρήση μεθόδων αξιολόγησης του κινδύνου βιοενέργειας για ανάπτυξη, εφαρμογή και λειτουργία. παρακολούθηση, ανάλυση, υποστήριξη και βελτίωση της ασφάλειας των πληροφοριών.

ΣΗΜΕΙΩΣΗ Ένα σύστημα διαχείρισης περιλαμβάνει οργανωτική δομή, πολιτικές, δραστηριότητες προγραμματισμού, αρμοδιότητες, πρακτικές, διαδικασίες, διαδικασίες και πόρους.

[GOST R ISO/IEC 27001 -2006. παράγραφος 3.7]

3.4.4 ο ρόλος της ασφάλειας των πληροφοριών στον οργανισμό. ρόλος της ασφάλειας πληροφοριών σε έναν οργανισμό: Ένα σύνολο συγκεκριμένων λειτουργιών και καθηκόντων για τη διασφάλιση της ασφάλειας των πληροφοριών ενός οργανισμού που καθιερώνουν αποδεκτή αλληλεπίδραση μεταξύ ενός υποκειμένου και ενός αντικειμένου σε έναν οργανισμό.

Σημειώσεις

1 Τα θέματα περιλαμβάνουν άτομα από τα στελέχη του οργανισμού, το προσωπικό του ή τις διαδικασίες που έχουν ξεκινήσει για λογαριασμό τους για την εκτέλεση ενεργειών σε αντικείμενα

2 Τα αντικείμενα μπορεί να είναι υλικό, λογισμικό, λογισμικό και υλικό ή ένας πόρος πληροφοριών στον οποίο εκτελούνται ενέργειες.

3.4.5 Υπηρεσία ασφάλειας πληροφοριών ενός οργανισμού: Η οργανωτική και τεχνική δομή του συστήματος διαχείρισης ασφάλειας πληροφοριών ενός οργανισμού που υλοποιεί τη λύση μιας συγκεκριμένης εργασίας με στόχο την αντιμετώπιση απειλών για την ασφάλεια πληροφοριών του οργανισμού.

3.5 Όροι που σχετίζονται με την παρακολούθηση και την αξιολόγηση της ασφάλειας πληροφοριών ενός οργανισμού

3.5.1 έλεγχος για τη διασφάλιση της ασφάλειας των πληροφοριών του οργανισμού. έλεγχος της παροχής ασφάλειας πληροφοριών του οργανισμού: Έλεγχος της συμμόρφωσης της παροχής ασφάλειας πληροφοριών στον οργανισμό.

GOST R 53114-2008

3.5.2 παρακολούθηση της ασφάλειας πληροφοριών του οργανισμού. παρακολούθηση ασφάλειας πληροφοριών του οργανισμού: Συνεχής παρακολούθηση της διαδικασίας ασφάλειας πληροφοριών στον οργανισμό προκειμένου να διαπιστωθεί η συμμόρφωσή του με τις απαιτήσεις ασφάλειας πληροφοριών.

3.5.3 έλεγχος της ασφάλειας πληροφοριών του οργανισμού. έλεγχος ενός οργανισμού ασφάλειας πληροφοριών: Μια συστηματική, ανεξάρτητη και τεκμηριωμένη διαδικασία απόκτησης αποδεικτικών στοιχείων για τις δραστηριότητες του οργανισμού για τη διασφάλιση της ασφάλειας των πληροφοριών και τον καθορισμό του βαθμού εκπλήρωσης των κριτηρίων ασφάλειας πληροφοριών στον οργανισμό, καθώς και τη δυνατότητα δημιουργίας επαγγελματικού ελέγχου κρίση σχετικά με την κατάσταση της ασφάλειας πληροφοριών του οργανισμού.

3.5.4 στοιχεία (αποδεικτικά στοιχεία) ελέγχου ασφάλειας πληροφοριών ενός οργανισμού. Δεδομένα ελέγχου ασφάλειας πληροφοριών οργανισμού: Αρχεία, δηλώσεις γεγονότων ή άλλες πληροφορίες που σχετίζονται με τα κριτήρια ελέγχου ασφάλειας πληροφοριών του οργανισμού και μπορούν να επαληθευτούν.

ΣΗΜΕΙΩΣΗ Τα στοιχεία ασφάλειας πληροφοριών μπορεί να είναι ποιοτικά ή ποσοτικά.

3.5.5 αξιολόγηση της συμμόρφωσης της ασφάλειας πληροφοριών του οργανισμού με τις καθιερωμένες απαιτήσεις. αξιολόγηση της συμμόρφωσης της ασφάλειας πληροφοριών ενός οργανισμού με καθιερωμένες απαιτήσεις: Δραστηριότητες που εμπλέκονται στον άμεσο ή έμμεσο προσδιορισμό της συμμόρφωσης ή μη συμμόρφωσης με καθιερωμένες απαιτήσεις ασφάλειας πληροφοριών σε έναν οργανισμό.

3.5.6 κριτήριο για τον έλεγχο της ασφάλειας πληροφοριών ενός οργανισμού. κριτήριο ελέγχου ενός οργανισμού ασφάλειας πληροφοριών: Ένα σύνολο αρχών, διατάξεων, απαιτήσεων και δεικτών υφιστάμενων κανονιστικών εγγράφων* που σχετίζονται με τις δραστηριότητες του οργανισμού στον τομέα της ασφάλειας πληροφοριών.

Εφαρμογή - Τα κριτήρια ελέγχου ασφάλειας πληροφοριών χρησιμοποιούνται για τη σύγκριση των τεκμηρίων ελέγχου ασφάλειας πληροφοριών με αυτά.

3.5.7 πιστοποίηση αυτοματοποιημένου συστήματος σε ασφαλή σχεδιασμό: Η διαδικασία ολοκληρωμένης επαλήθευσης της απόδοσης των καθορισμένων λειτουργιών ενός αυτοματοποιημένου συστήματος επεξεργασίας προστατευμένων πληροφοριών για συμμόρφωση με τις απαιτήσεις προτύπων ή/και κανονιστικών εγγράφων στον τομέα των πληροφοριών προστασία και προετοιμασία εγγράφων σχετικά με τη συμμόρφωσή του με την εκτέλεση της λειτουργίας επεξεργασίας προστατευμένων πληροφοριών σε μια συγκεκριμένη πληροφοριακή εγκατάσταση.

3.5.8 κριτήριο για τη διασφάλιση της ασφάλειας των πληροφοριών του οργανισμού. κριτήριο ασφάλειας πληροφοριών του οργανισμού: Ένας δείκτης βάσει του οποίου αξιολογείται ο βαθμός επίτευξης των στόχων ασφάλειας πληροφοριών του οργανισμού.

3.5.9 αποτελεσματικότητα της ασφάλειας των πληροφοριών. αποτελεσματικότητα της ασφάλειας πληροφοριών: Η σχέση μεταξύ του επιτευχθέντος αποτελέσματος και των πόρων που χρησιμοποιούνται για τη διασφάλιση ενός δεδομένου επιπέδου ασφάλειας πληροφοριών.

3.6 Όροι που σχετίζονται με τους ελέγχους ασφάλειας πληροφοριών ενός οργανισμού

3.6.1 διασφάλιση της ασφάλειας των πληροφοριών του οργανισμού. παροχή ασφάλειας πληροφοριών ενός οργανισμού: Δραστηριότητες που στοχεύουν στην εξάλειψη (εξουδετέρωση, αντιμετώπιση) εσωτερικών και εξωτερικών απειλών για την ασφάλεια πληροφοριών ενός οργανισμού ή στην ελαχιστοποίηση της ζημίας από την πιθανή εφαρμογή τέτοιων απειλών.

3.6.2 μέτρο ασφαλείας. έλεγχος ασφαλείας: Καθιερωμένη πρακτική, διαδικασία ή μηχανισμός για τη διαχείριση του κινδύνου.

3.6.3 μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών. μέτρα ασφάλειας πληροφοριών: Ένα σύνολο ενεργειών που στοχεύουν στην ανάπτυξη ή/και πρακτική εφαρμογή μεθόδων και μέσων για τη διασφάλιση της ασφάλειας των πληροφοριών.

3.6.4 οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών. οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών: Μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών, που προβλέπουν τη θέσπιση προσωρινών, εδαφικών, χωρικών, νομικών, μεθοδολογικών και άλλων περιορισμών στις συνθήκες χρήσης και στους τρόπους λειτουργίας ενός αντικειμένου πληροφορικής.

3.6.5 τεχνικά μέσα για τη διασφάλιση της ασφάλειας των πληροφοριών. Τεχνικά μέσα ασφάλειας πληροφοριών: Εξοπλισμός που χρησιμοποιείται για τη διασφάλιση της ασφάλειας πληροφοριών ενός οργανισμού χρησιμοποιώντας μη κρυπτογραφικές μεθόδους.

Σημείωση - Αυτός ο εξοπλισμός μπορεί να αντιπροσωπεύεται από υλικό και λογισμικό ενσωματωμένο στο προστατευμένο αντικείμενο ή/και να λειτουργεί αυτόνομα (ανεξάρτητα από το προστατευμένο αντικείμενο).

GOST R 53114-2008

3.5.6 Εργαλείο ανίχνευσης εισβολής, εργαλείο ανίχνευσης επιθέσεων: Ένα λογισμικό ή εργαλείο λογισμικού-υλισμικού που αυτοματοποιεί τη διαδικασία παρακολούθησης συμβάντων που συμβαίνουν σε ένα σύστημα υπολογιστή ή δίκτυο και επίσης αναλύει ανεξάρτητα αυτά τα συμβάντα αναζητώντας σημάδια συμβάντος ασφάλειας πληροφοριών.

3.6.7 Μέσα προστασίας από μη εξουσιοδοτημένη πρόσβαση: Λογισμικό, υλικό ή λογισμικό και υλικό που έχουν σχεδιαστεί για να αποτρέπουν ή να εμποδίζουν σημαντικά τη μη εξουσιοδοτημένη πρόσβαση.

GOST R 53114-2008

Αλφαβητικό ευρετήριο όρων

περιουσιακά στοιχεία του οργανισμού 3.1.6

ανάλυση κινδύνου 3.2.13

Ηχεία σε προστατευμένη έκδοση 3.1.19

επίθεση άρνησης υπηρεσίας 3.3.9

επίθεση δικτύου 3.3.7

πιστοποίηση αυτοματοποιημένου συστήματος σε προστατευμένη έκδοση 3.5.7

έλεγχος ασφάλειας πληροφοριών οργανισμού 3.5.3

έλεγχος ασφάλειας πληροφοριών οργανισμού 3.5.3

ασφάλεια (δεδομένα) 3.1.1

ασφάλεια πληροφοριών 3.1.1

ασφάλεια τεχνολογίας πληροφοριών 3.1.2

ασφάλεια πληροφοριών οργανισμού 3.2.1

αποκλεισμός της πρόσβασης (σε πληροφορίες) 3.3.8

παραβίαση 3.3.4

αδήλωτες δυνατότητες 3.3.14

προσωπικά δεδομένα 3.1.18

μη εξουσιοδοτημένη πρόσβαση 3.3.6

Ασφάλεια οργανωτικών πληροφοριών 3.2.1

προσδιορισμός κινδύνου 3.2.12

υποδομή πληροφοριών 3.1.4

περιστατικό ασφάλειας πληροφοριών 3.2.7

πηγή κινδύνου για την ασφάλεια των πληροφοριών του οργανισμού 3.2.17

πηγή κινδύνου για την ασφάλεια πληροφοριών του οργανισμού 3.2.17

έλεγχος της ασφάλειας πληροφοριών του οργανισμού 3.5.1

έλεγχος της ασφάλειας πληροφοριών του οργανισμού 3.5.1

κριτήρια για τη διασφάλιση της ασφάλειας των πληροφοριών του οργανισμού 3.5.8

κριτήριο ελέγχου οργανωτικού IS 3.5.6

κριτήριο ελέγχου ασφάλειας πληροφοριών οργανισμού 3.5.6

κριτήριο για τη διασφάλιση της ασφάλειας των πληροφοριών του οργανισμού 3.5.8

διαχείριση ασφάλειας πληροφοριών του οργανισμού 3.4.1

διαχείριση ασφάλειας πληροφοριών του οργανισμού 3.4.1

Διαχείριση κινδύνων ασφάλειας πληροφοριών του οργανισμού 3.4.2

Διαχείριση κινδύνων ασφάλειας πληροφοριών του οργανισμού 3.4.2

μέτρο ασφαλείας 3.6.2

μέτρο ασφαλείας 3.6.2

μέτρα ασφάλειας πληροφοριών 3.6.3

οργανωτικά μέτρα ασφάλειας πληροφοριών 3.6.4

μέτρα ασφάλειας πληροφοριών 3.6.3

οργανωτικά μέτρα ασφάλειας πληροφοριών 3.4.6

μοντέλο απειλής (ασφάλεια πληροφοριών) 3.3.3

παρακολούθηση της ασφάλειας πληροφοριών του οργανισμού 3.5.2

παρακολούθηση της ασφάλειας πληροφοριών του οργανισμού 3.5.2

παραβίαση της ασφάλειας πληροφοριών του οργανισμού 3.2.4

παραβίαση της ασφάλειας πληροφοριών του οργανισμού 3.2.4

παραβάτης της ασφάλειας πληροφοριών του οργανισμού 3.3.5

παραβάτης της ασφάλειας πληροφοριών ενός οργανισμού 3.3.5

υποστήριξη αυτοματοποιημένου πληροφοριακού συστήματος 3.1.12

αυτοματοποιημένο λογισμικό συστήματος 3.1.11

τεχνική υποστήριξη του αυτοματοποιημένου συστήματος 3.1.10

Υποστήριξη πληροφοριών AS 3.1.12

Λογισμικό AC 3.1.11

Τεχνική υποστήριξη AC 3.1.10

διασφάλιση της ασφάλειας των πληροφοριών του οργανισμού 3.6.1

διασφάλιση της ασφάλειας των πληροφοριών του οργανισμού 3.6.1

Αντιμετώπιση κινδύνου ασφάλειας πληροφοριών του οργανισμού 3.2.15

GOST R 53114-2008

διαχείριση του κινδύνου ασφάλειας πληροφοριών του οργανισμού 3.2.1S

αντικείμενο προστασίας πληροφοριών 3.2.2

αντικείμενο πληροφόρησης 3.1.5

κρίσιμο αντικείμενο 3.1.16

προσδιορισμός αποδεκτού επιπέδου κινδύνου 3.2.14

εκτίμηση κινδύνου 3.2.10

εκτίμηση κινδύνου I6 (οργανισμοί) 3.2.11

αξιολόγηση κινδύνου ασφάλειας πληροφοριών (οργανισμός) 3.2.11

αξιολόγηση της συμμόρφωσης IS του οργανισμού με τις καθιερωμένες απαιτήσεις 3.5.5

αξιολόγηση της συμμόρφωσης της ασφάλειας πληροφοριών του οργανισμού με τις καθιερωμένες απαιτήσεις 3.5.5

υποκλοπή (πληροφορίες) 3.3.12

Πολιτική IS (οργανισμός) 3.2.18

πολιτική ασφάλειας πληροφοριών (οργανισμός) 3.2.18

διαδικασία (τεχνολογία πληροφοριών) προστατευμένη 3.2.3

διαδικασία πληροφόρησης 3.1.8

αποκάλυψη πληροφοριών 3.3.11

πόρος συστήματος επεξεργασίας πληροφοριών 3.1.7

ο ρόλος της ασφάλειας των πληροφοριών στον οργανισμό 3.4.4

ο ρόλος της ασφάλειας πληροφοριών 8 στον οργανισμό 3.4.4

πιστοποιητικά (αποδεικτικά στοιχεία) ελέγχου IS ενός οργανισμού 3.5.4

αποδεικτικά στοιχεία (αποδεικτικά στοιχεία) ελέγχου ασφάλειας πληροφοριών ενός οργανισμού 3.5.4

υπηρεσία 3.1.13

πληροφοριακό σήμα 3.3.13

ασφαλές αυτοματοποιημένο σύστημα 3.1.19

σύστημα εγγράφων ασφάλειας πληροφοριών στον οργανισμό 3.2.20

σύστημα εγγράφων για την ασφάλεια πληροφοριών στον οργανισμό 3.2.20

σύστημα βασικής υποδομής πληροφοριών 3.1.15

σύστημα υποδομής κρίσιμων πληροφοριών 3.1.15

σύστημα διαχείρισης ασφάλειας πληροφοριών 3.4.3

σύστημα πληροφοριών προσωπικού χαρακτήρα 3.1.17

απρόβλεπτη κατάσταση 3.2.5

επικίνδυνη κατάσταση 3.2.6

κατάσταση έκτακτης ανάγκης 3.2.5

υπηρεσία ασφάλειας πληροφοριών οργάνωσης 3.4.6

γεγονός 3.2.8

προστασία από μη εξουσιοδοτημένη πρόσβαση 3.6.7

εργαλείο ασφάλειας τεχνικών πληροφοριών 3.6.5

εργαλείο ασφάλειας τεχνικών πληροφοριών 3.6.5

Εργαλείο ανίχνευσης επίθεσης 3.6.6

Εργαλείο ανίχνευσης εισβολής 3.6.6

σφαίρα πληροφοριών 3.1.3

τεχνολογία πληροφοριών 3.1.9

απειλή (ασφάλεια πληροφοριών) 3.3.2

απειλή για την ασφάλεια πληροφοριών του οργανισμού 3.3.1

απειλή για την ασφάλεια πληροφοριών του οργανισμού 3.3.1

διαχείριση κινδύνου 3.2.16

υπηρεσία 3.1.13

υπηρεσίες πληροφορικής 3.1.14

Υπηρεσίες πληροφορικής 3.1.14

διαρροή πληροφοριών 3.3.10

ευπάθεια (σύστημα πληροφοριών) 3.3.4

Στόχος (οργάνωση) IS 3.2.19

στόχος ασφάλειας πληροφοριών (οργανισμός) 3.2.19

ηλεκτρομαγνητική ακτινοβολία και πλευρικές παρεμβολές 3.3.15

Αποδοτικότητα IS 3.5.9

αποτελεσματικότητα της ασφάλειας των πληροφοριών 3.5.9

GOST R 53114-2008

Παράρτημα Α (παραπομπή)

Όροι και ορισμοί γενικών τεχνικών εννοιών

οργάνωση: Ομάδα εργαζομένων και απαραίτητοι πόροι με κατανομή ευθυνών, εξουσιών και σχέσεων.

(GOST R ISO 9000-2001, παράγραφος 3.3.1]

Σημειώσεις

1 Οι οργανισμοί περιλαμβάνουν: εταιρεία, εταιρεία, εταιρεία, επιχείρηση, ίδρυμα, φιλανθρωπικός οργανισμός, επιχείρηση λιανικής, ένωση. καθώς και οι υποδιαιρέσεις τους ή συνδυασμός τους.

2 Η διανομή συνήθως παραγγέλνεται.

3 Ένας οργανισμός μπορεί να είναι δημόσιος ή ιδιωτικός.

Α.2 Επιχειρήσεις: Οικονομική δραστηριότητα που παράγει κέρδη. κάθε είδους δραστηριότητα που παράγει εισόδημα και αποτελεί πηγή εμπλουτισμού.

Επιχειρηματική διαδικασία A.Z: Διαδικασίες που χρησιμοποιούνται στις οικονομικές δραστηριότητες ενός οργανισμού.

πληροφορίες: Πληροφορίες (μηνύματα, δεδομένα) ανεξάρτητα από τη μορφή παρουσίασής τους.

περιουσιακά στοιχεία: Όλα. τι έχει αξία για τον οργανισμό. (GOST R ISO/IEC13335-1-2006, παράγραφος 2.2(

Α.6 Πόροι: Περιουσιακά στοιχεία (ενός οργανισμού) που χρησιμοποιούνται ή καταναλώνονται κατά την εκτέλεση μιας διαδικασίας. Σημειώσεις

1 Οι πόροι μπορεί να περιλαμβάνουν διάφορα είδη όπως προσωπικό, εξοπλισμό, πάγια στοιχεία ενεργητικού, εργαλεία και υπηρεσίες κοινής ωφέλειας όπως ενέργεια, νερό, καύσιμα και υποδομές δικτύου επικοινωνιών.

2 Οι πόροι μπορεί να είναι επαναχρησιμοποιήσιμοι, ανανεώσιμοι ή αναλώσιμοι.

A.7 κίνδυνος: Μια ιδιότητα ενός αντικειμένου που χαρακτηρίζει την ικανότητά του να προκαλεί ζημιά ή βλάβη σε άλλα αντικείμενα. A.8 έκτακτο συμβάν: Συμβάν που οδηγεί σε κατάσταση έκτακτης ανάγκης.

Α.9 ζημιά: Φυσική βλάβη ή βλάβη στην ανθρώπινη υγεία ή ζημιά σε ιδιοκτησία ή στο περιβάλλον.

Α. 10 απειλή: Ένα σύνολο συνθηκών και παραγόντων που μπορεί να προκαλέσουν παραβίαση της ακεραιότητας και της διαθεσιμότητας. μυστικότητα.

Α.11 ευπάθεια: Εσωτερικές ιδιότητες ενός αντικειμένου που δημιουργούν ευαισθησία στις επιπτώσεις μιας πηγής κινδύνου που μπορεί να οδηγήσει σε κάποια συνέπεια.

Α. 12 επίθεση: Προσπάθεια υπέρβασης του συστήματος ασφαλείας ενός πληροφοριακού συστήματος.

Σημειώσεις - Ο βαθμός «επιτυχίας» μιας επίθεσης εξαρτάται από την ευπάθεια και την αποτελεσματικότητα του αμυντικού συστήματος.

Α.13 διαχείριση: Συντονισμένες δραστηριότητες για τη διεύθυνση και τη διαχείριση του οργανισμού

Α.14 διαχείριση επιχειρήσεων (συνέχειας): Συντονισμένες δραστηριότητες διαχείρισης και ελέγχου

επιχειρηματικές διαδικασίες του οργανισμού.

Α. 15 ρόλος: Ένα προκαθορισμένο σύνολο κανόνων και διαδικασιών για τις δραστηριότητες ενός οργανισμού που καθιερώνουν αποδεκτή αλληλεπίδραση μεταξύ του υποκειμένου και του αντικειμένου της δραστηριότητας.

κάτοχος πληροφοριών: Πρόσωπο που δημιούργησε ανεξάρτητα πληροφορίες ή έλαβε, βάσει νόμου ή συμφωνίας, το δικαίωμα να επιτρέπει ή να περιορίζει την πρόσβαση σε πληροφορίες που καθορίζονται από οποιαδήποτε κριτήρια.

GOST R 53114-2008

υποδομή: Το σύνολο των κτιρίων, του εξοπλισμού και των υπηρεσιών υποστήριξης που απαιτούνται για τη λειτουργία ενός οργανισμού.

[GOST R ISO 9000-2001. παράγραφος 3.3.3]

Α.18 Έλεγχος: Συστηματική, ανεξάρτητη και τεκμηριωμένη διαδικασία απόκτησης ελεγκτικών τεκμηρίων και αντικειμενικής αξιολόγησής τους για τον προσδιορισμό του βαθμού στον οποίο πληρούνται τα συμφωνηθέντα κριτήρια ελέγχου.

Σημειώσεις

1 Οι εσωτερικοί έλεγχοι, που ονομάζονται έλεγχοι πρώτου μέρους, διενεργούνται για εσωτερικούς σκοπούς από τον ίδιο τον οργανισμό ή για λογαριασμό του από άλλο οργανισμό. Τα αποτελέσματα του εσωτερικού ελέγχου μπορούν να χρησιμεύσουν ως βάση για μια δήλωση συμμόρφωσης. Σε πολλές περιπτώσεις, ειδικά στις μικρές επιχειρήσεις, ο έλεγχος πρέπει να διενεργείται από ειδικούς (άτομα που δεν είναι υπεύθυνα για την ελεγχόμενη δραστηριότητα).

ΣΗΜΕΙΩΣΗ 2 Οι εξωτερικοί έλεγχοι περιλαμβάνουν ελέγχους που ονομάζονται έλεγχοι δεύτερου μέρους και ελέγχους τρίτων. Οι έλεγχοι από δεύτερο μέρος διενεργούνται από μέρη που ενδιαφέρονται για τις δραστηριότητες της επιχείρησης, για παράδειγμα.

καταναλωτές ή άλλους για λογαριασμό τους. Οι έλεγχοι τρίτων πραγματοποιούνται από εξωτερικούς ανεξάρτητους οργανισμούς. Αυτοί οι οργανισμοί πραγματοποιούν πιστοποίηση ή εγγραφή για συμμόρφωση με απαιτήσεις, για παράδειγμα, τις απαιτήσεις του GOST R ISO 9001 και του GOST R ISO 14001.

3 Ένας έλεγχος συστημάτων διαχείρισης ποιότητας και συστημάτων περιβαλλοντικής διαχείρισης που διενεργείται ταυτόχρονα ονομάζεται «συνολικός έλεγχος».

4 Εάν ο έλεγχος του ελεγχόμενου οργανισμού διενεργείται ταυτόχρονα από πολλούς οργανισμούς, τότε ένας τέτοιος έλεγχος ονομάζεται «κοινός έλεγχος».

Α.19 παρακολούθηση: Συστηματική ή συνεχής παρακολούθηση ενός αντικειμένου, διασφάλιση ελέγχου ή/και μέτρησης των παραμέτρων του, καθώς και διεξαγωγή ανάλυσης για την πρόβλεψη της μεταβλητότητας των παραμέτρων και τη λήψη αποφάσεων σχετικά με την ανάγκη και τη σύνθεση διορθωτικών και προληπτικών ενεργειών.

δήλωση συμμόρφωσης: Μια μορφή επιβεβαίωσης της συμμόρφωσης του προϊόντος με τις απαιτήσεις των τεχνικών κανονισμών.

Α.21 τεχνολογία: Σύστημα διασυνδεδεμένων μεθόδων, μεθόδων, τεχνικών αντικειμενικής δραστηριότητας. Α.22

έγγραφο: Πληροφορίες καταγεγραμμένες σε απτό μέσο με λεπτομέρειες που επιτρέπουν την αναγνώρισή του.

[GOST R 52069.0-2003. παράγραφος 3.18]

Α.23 Επεξεργασία πληροφοριών: Ένα σύνολο λειτουργιών συλλογής, συσσώρευσης, εισόδου, εξόδου, λήψης, μετάδοσης, καταγραφής, αποθήκευσης, εγγραφής, καταστροφής, μετατροπής, εμφάνισης, που εκτελούνται σε πληροφορίες.

GOST R 53114-2008

Παράρτημα Β (για αναφορά)

Η σχέση βασικών εννοιών στον τομέα της ασφάλειας πληροφοριών σε έναν οργανισμό

Η σχέση μεταξύ των βασικών εννοιών φαίνεται στο Σχήμα Β.1.


Σχήμα Β.1 - σχέση μεταξύ βασικών εννοιών

GOST R 53114-2008

Βιβλιογραφία

(1] R 50.1.053-2005

(2]PS0.1.056-2005

ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ. Βασικοί όροι και ορισμοί στον τομέα της ασφάλειας τεχνικών πληροφοριών Ασφάλεια τεχνικών πληροφοριών. Βασικοί όροι και ορισμοί

Σχετικά με τον τεχνικό κανονισμό

Σχετικά με τις πληροφορίες, τις τεχνολογίες πληροφοριών και την προστασία των πληροφοριών

Σχετικά με τα προσωπικά δεδομένα

Δόγμα ασφάλειας πληροφοριών της Ρωσικής Ομοσπονδίας

UDC 351.864.1:004:006.354 OKS 35.020 LLP

Λέξεις κλειδιά: πληροφορίες, ασφάλεια πληροφοριών, ασφάλεια πληροφοριών σε έναν οργανισμό, απειλές για την ασφάλεια πληροφοριών, κριτήρια ασφάλειας πληροφοριών

Συντάκτης V.N. Cops soya Τεχνικός συντάκτης V.N. Prusakova Διορθωτής V.E. Nestorovo Λογισμικό υπολογιστών I.A. NapeikinoO

Παραδόθηκε για πρόσληψη στις 06/11/2009. Υπογεγραμμένο γραμματόσημο 12/01/2009. Χαρτί όφσετ 60"84. Γραμματοσειρά Arial. Εκτύπωση όφσετ. Usp. φούρνος μεγάλο. 2.32. Uch.-ed. μεγάλο. 1,90. Κυκλοφορία 373 »kz. Zach. 626

FSUE "STANDARTINFORM*. 123995 Μόσχα. Ρόδι πορ.. 4. info@goslmlo gi

Πληκτρολογήθηκε σε FSUE "STANDARTINFORM" σε υπολογιστή.

Τυπωμένο στο υποκατάστημα της FSUE "STANDARTINFORM* - τύπου. "Τυπωτής της Μόσχας". 105062 Μόσχα. Λωρίδα Lyalin.. 6.

  • GOST 22731-77 Συστήματα μετάδοσης δεδομένων, διαδικασίες ελέγχου ζεύξης δεδομένων στην κύρια λειτουργία για ανταλλαγή πληροφοριών ημιαμφίδρομης λειτουργίας
  • GOST 26525-85 Συστήματα επεξεργασίας δεδομένων. Μετρήσεις χρήσης
  • GOST 27771-88 Διαδικαστικά χαρακτηριστικά στη διεπαφή μεταξύ τερματικού εξοπλισμού δεδομένων και εξοπλισμού τερματισμού καναλιών δεδομένων. Γενικές απαιτήσεις και πρότυπα
  • GOST 28082-89 Συστήματα επεξεργασίας πληροφοριών. Μέθοδοι ανίχνευσης σφαλμάτων στη σειριακή μετάδοση δεδομένων
  • GOST 28270-89 Συστήματα επεξεργασίας πληροφοριών. Περιγραφή δεδομένων Προδιαγραφές αρχείου για ανταλλαγή πληροφοριών
  • GOST R 43.2.11-2014 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Γλώσσα χειριστή. Δομημένη παρουσίαση πληροφοριών κειμένου σε μορφές μηνυμάτων
  • GOST R 43.2.8-2014 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Γλώσσα χειριστή. Μορφές μηνυμάτων για τεχνικές δραστηριότητες
  • GOST R 43.4.1-2011 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Σύστημα «άνθρωπος-πληροφοριών».
  • GOST R 53633.10-2015 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο Επιχειρησιακό Πλαίσιο Οργανισμού Επικοινωνιών (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Διοίκηση οργανισμού. Διαχείριση οργανωτικού κινδύνου
  • GOST R 53633.11-2015 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο διάγραμμα δραστηριοτήτων οργάνωσης επικοινωνίας (eTOM). Διαδικασίες eTOM Επιπέδου 2. Διοίκηση οργανισμού. Διοίκηση Οργανωτικής Απόδοσης
  • GOST R 53633.4-2015 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο Επιχειρησιακό Πλαίσιο Οργανισμού Επικοινωνιών (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Πρωτοβάθμια δραστηριότητα. Διαχείριση και λειτουργία υπηρεσιών
  • GOST R 53633.7-2015 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο Επιχειρησιακό Πλαίσιο Οργανισμού Επικοινωνιών (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Στρατηγική, υποδομή και προϊόν. Ανάπτυξη και διαχείριση πόρων
  • GOST R 53633.9-2015 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο Επιχειρησιακό Πλαίσιο Οργανισμού Επικοινωνιών (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Διοίκηση οργανισμού. Σχεδιασμός στρατηγικής και ανάπτυξης του οργανισμού
  • GOST R 55767-2013 Τεχνολογία πληροφοριών. Ευρωπαϊκό Πλαίσιο Ικανοτήτων ΤΠΕ 2.0. Μέρος 1. Κοινό Ευρωπαϊκό Πλαίσιο Ικανοτήτων για Επαγγελματίες ΤΠΕ για όλους τους κλάδους
  • GOST R 55768-2013 Τεχνολογία πληροφοριών. Μοντέλο συστήματος ανοιχτού πλέγματος. Βασικές διατάξεις
  • GOST R 56093-2014 Προστασία πληροφοριών. Αυτοματοποιημένα συστήματα σε ασφαλή σχεδιασμό. Μέσα για την ανίχνευση σκόπιμων ηλεκτρομαγνητικών επιρροών δύναμης. Γενικές Προϋποθέσεις
  • GOST R 56115-2014 Προστασία πληροφοριών. Αυτοματοποιημένα συστήματα σε ασφαλή σχεδιασμό. Μέσα προστασίας από σκόπιμες ηλεκτρομαγνητικές επιρροές. Γενικές Προϋποθέσεις
  • GOST R 56545-2015 Προστασία πληροφοριών. Τρωτά σημεία πληροφοριακών συστημάτων. Κανόνες για την περιγραφή των τρωτών σημείων
  • GOST R 56546-2015 Προστασία πληροφοριών. Τρωτά σημεία πληροφοριακών συστημάτων. Ταξινόμηση τρωτών σημείων πληροφοριακού συστήματος
  • GOST IEC 60950-21-2013 Εξοπλισμός τεχνολογίας πληροφοριών. Απαιτήσεις ασφαλείας. Μέρος 21. Απομακρυσμένη παροχή ρεύματος
  • GOST IEC 60950-22-2013 Εξοπλισμός τεχνολογίας πληροφοριών. Απαιτήσεις ασφαλείας. Μέρος 22. Εξοπλισμός που προορίζεται για εγκατάσταση σε εξωτερικούς χώρους
  • GOST R 51583-2014 Προστασία πληροφοριών. Η διαδικασία δημιουργίας αυτοματοποιημένων συστημάτων σε ασφαλή σχεδιασμό. Γενικές προμήθειες
  • GOST R 55766-2013 Τεχνολογία πληροφοριών. Ευρωπαϊκό Πλαίσιο Ικανοτήτων ΤΠΕ 2.0. Μέρος 3. Δημιουργία e-CF - συνδυάζοντας μεθοδολογικά θεμέλια και εμπειρία εμπειρογνωμόνων
  • GOST R 55248-2012 Ηλεκτρική ασφάλεια. Ταξινόμηση διεπαφών για εξοπλισμό συνδεδεμένο με δίκτυα τεχνολογίας πληροφοριών και επικοινωνιών
  • GOST R 43.0.11-2014 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Βάσεις δεδομένων σε τεχνικές δραστηριότητες
  • GOST R 56174-2014 Τεχνολογίες πληροφοριών. Αρχιτεκτονική υπηρεσιών περιβάλλοντος ανοιχτού Grid. Οροι και ορισμοί
  • GOST IEC 61606-4-2014 Ηχητικός και οπτικοακουστικός εξοπλισμός. Εξαρτήματα ψηφιακού ακουστικού εξοπλισμού. Βασικές μέθοδοι μέτρησης χαρακτηριστικών ήχου. Μέρος 4. Προσωπικός υπολογιστής
  • GOST R 43.2.5-2011 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Γλώσσα χειριστή. Γραμματική
  • GOST R 53633.5-2012 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο Επιχειρησιακό Πλαίσιο Οργανισμού Επικοινωνιών (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Στρατηγική, υποδομή και προϊόν. Διαχείριση μάρκετινγκ και προσφοράς προϊόντων
  • GOST R 53633.6-2012 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο Επιχειρησιακό Πλαίσιο Οργανισμού Επικοινωνιών (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Στρατηγική, υποδομή και προϊόν. Ανάπτυξη και διαχείριση υπηρεσιών
  • GOST R 53633.8-2012 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο Επιχειρησιακό Πλαίσιο Οργανισμού Επικοινωνιών (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Στρατηγική, υποδομή και προϊόν. Ανάπτυξη και διαχείριση εφοδιαστικής αλυσίδας
  • GOST R 43.0.7-2011 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Αλληλεπίδραση ανθρώπου-πληροφορίας με υβριδική διανοούμενη. Γενικές προμήθειες
  • GOST R 43.2.6-2011 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Γλώσσα χειριστή. Μορφολογία
  • GOST R 53633.14-2016 Τεχνολογίες πληροφοριών. Το δίκτυο διαχείρισης τηλεπικοινωνιών είναι ένα διευρυμένο πλαίσιο λειτουργίας οργανισμού επικοινωνιών (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Διοίκηση οργανισμού. Διαχείριση ενδιαφερομένων και εξωτερικών σχέσεων
  • GOST R 56938-2016 Προστασία πληροφοριών. Προστασία πληροφοριών κατά τη χρήση τεχνολογιών εικονικοποίησης. Γενικές προμήθειες
  • GOST R 56939-2016 Προστασία πληροφοριών. Ασφαλής ανάπτυξη λογισμικού. Γενικές Προϋποθέσεις
  • GOST R ISO/IEC 17963-2016 Προδιαγραφή υπηρεσιών web για διαχείριση (WS-management)
  • GOST R 43.0.6-2011 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Φυσικά διανοητική αλληλεπίδραση ανθρώπου-πληροφορίας. Γενικές προμήθειες
  • GOST R 54817-2011 Ανάφλεξη εξοπλισμού ήχου, εικόνας, τεχνολογίας πληροφοριών και επικοινωνιών που προκλήθηκε κατά λάθος από φλόγα κεριού
  • GOST R IEC 60950-23-2011 Εξοπλισμός τεχνολογίας πληροφοριών. Απαιτήσεις ασφαλείας. Μέρος 23. Εξοπλισμός για την αποθήκευση μεγάλων όγκων δεδομένων
  • GOST R IEC 62018-2011 Κατανάλωση ενέργειας εξοπλισμού πληροφορικής. Μέθοδοι μέτρησης
  • GOST R 53538-2009 Καλώδια πολλαπλών ζευγών με χάλκινους αγωγούς για κυκλώματα ευρυζωνικής πρόσβασης. Γενικές τεχνικές απαιτήσεις
  • GOST R 53633.0-2009 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο σχήμα δραστηριοτήτων οργάνωσης επικοινωνίας (eTOM). Γενική δομή των επιχειρηματικών διαδικασιών
  • GOST R 53633.1-2009 Τεχνολογία πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο σχήμα δραστηριοτήτων οργάνωσης επικοινωνίας (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Πρωτοβάθμια δραστηριότητα. Διαχείριση σχέσεων με προμηθευτές και συνεργάτες
  • GOST R 53633.2-2009 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο σχήμα δραστηριοτήτων οργάνωσης επικοινωνίας (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Πρωτοβάθμια δραστηριότητα. Διαχείριση και Λειτουργία Πόρων
  • GOST R 53633.3-2009 Τεχνολογία πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο σχήμα δραστηριοτήτων οργάνωσης επικοινωνίας (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Διαδικασίες eTOM Επιπέδου 2. Πρωτοβάθμια δραστηριότητα. Διαχείριση Σχέσεων Πελατών
  • GOST R ISO/IEC 20000-2-2010 Πληροφορική. Διαχείρισης υπηρεσιών. Μέρος 2: Κώδικας Πρακτικής
  • GOST R 43.0.3-2009 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Μεσημεριανή τεχνολογία σε τεχνικές δραστηριότητες. Γενικές προμήθειες
  • GOST R 43.0.4-2009 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Πληροφορίες σε τεχνικές δραστηριότητες. Γενικές προμήθειες
  • GOST R 43.0.5-2009 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Διαδικασίες ανταλλαγής πληροφοριών σε τεχνικές δραστηριότητες. Γενικές προμήθειες
  • GOST R 43.2.1-2007 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Γλώσσα χειριστή. Γενικές προμήθειες
  • GOST R 43.2.2-2009 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Γλώσσα χειριστή. Γενικές διατάξεις για τη χρήση
  • GOST R 43.2.3-2009 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Γλώσσα χειριστή. Τύποι και ιδιότητες εμβληματικών εξαρτημάτων
  • GOST R 43.2.4-2009 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Γλώσσα χειριστή. Συντακτικά συστατικών σημείων
  • GOST R 52919-2008 Πληροφορική. Μέθοδοι και μέσα φυσικής προστασίας. Ταξινόμηση και μέθοδοι δοκιμής αντοχής στη φωτιά. Αίθουσες δεδομένων και κοντέινερ
  • GOST R 53114-2008 Προστασία πληροφοριών. Διασφάλιση της ασφάλειας των πληροφοριών στον οργανισμό. Βασικοί όροι και ορισμοί
  • GOST R 53245-2008 Τεχνολογίες πληροφοριών. Συστήματα δομημένων καλωδίων. Εγκατάσταση των κύριων εξαρτημάτων του συστήματος. Μέθοδοι δοκιμής
  • GOST R 53246-2008 Τεχνολογίες πληροφοριών. Συστήματα δομημένων καλωδίων. Σχεδιασμός των κύριων στοιχείων του συστήματος. Γενικές Προϋποθέσεις
  • GOST R IEC 60990-2010 Μέθοδοι μέτρησης ρεύματος αφής και ρεύματος προστατευτικού αγωγού
  • GOST 33707-2016 Τεχνολογίες πληροφοριών. Λεξικό
  • GOST R 57392-2017 Τεχνολογίες πληροφοριών. Διαχείρισης υπηρεσιών. Μέρος 10. Βασικές έννοιες και ορολογία
  • GOST R 43.0.13-2017 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Κατευθυνόμενη εκπαίδευση ειδικών
  • GOST R 43.0.8-2017 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Τεχνητά διανοούμενη αλληλεπίδραση ανθρώπου-πληροφορίας. Γενικές προμήθειες
  • GOST R 43.0.9-2017 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Πηγές πληροφοριών
  • GOST R 43.2.7-2017 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Γλώσσα χειριστή. Σύνταξη
  • GOST R ISO/IEC 38500-2017 Τεχνολογίες πληροφοριών. Στρατηγική διαχείριση πληροφορικής σε έναν οργανισμό
  • GOST R 43.0.10-2017 Υποστήριξη πληροφοριών για δραστηριότητες εξοπλισμού και χειριστή. Αντικείμενα πληροφοριών, αντικειμενοστραφής σχεδιασμός στη δημιουργία τεχνικών πληροφοριών
  • GOST R 53633.21-2017 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο σχήμα δραστηριοτήτων οργάνωσης επικοινωνίας (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Πρωτοβάθμια δραστηριότητα. Διαχείριση και λειτουργία υπηρεσιών. Διαδικασίες eTOM επιπέδου 3. Διαδικασία 1.1.2.1 - Υποστήριξη και Διαθεσιμότητα Διαδικασιών SM&O
  • GOST R 57875-2017 Τηλεπικοινωνίες. Διαγράμματα σύνδεσης και γείωσης σε τηλεπικοινωνιακά κέντρα
  • GOST R 53633.22-2017 Τεχνολογίες πληροφοριών. Δίκτυο ελέγχου τηλεπικοινωνιών. Εκτεταμένο σχήμα δραστηριοτήτων οργάνωσης επικοινωνίας (eTOM). Αποσύνθεση και περιγραφές διεργασιών. Πρωτοβάθμια δραστηριότητα. Διαχείριση και λειτουργία υπηρεσιών. Διαδικασίες eTOM επιπέδου 3. Διαδικασία 1.1.2.2 - Διαμόρφωση και ενεργοποίηση υπηρεσιών

Διεθνή πρότυπα

  • BS 7799-1:2005 - British Standard BS 7799 πρώτο μέρος. Το BS 7799 Part 1 - Code of Practice for Information Security Management περιγράφει τα 127 στοιχεία ελέγχου που απαιτούνται για τη δημιουργία συστήματα διαχείρισης ασφάλειας πληροφοριών(ISMS) του οργανισμού, που προσδιορίζεται με βάση τα καλύτερα παραδείγματα παγκόσμιας εμπειρίας (βέλτιστες πρακτικές) στον τομέα αυτό. Αυτό το έγγραφο χρησιμεύει ως πρακτικός οδηγός για τη δημιουργία ενός ISMS
  • BS 7799-2:2005 - Το Βρετανικό Πρότυπο BS 7799 είναι το δεύτερο μέρος του προτύπου. BS 7799 Μέρος 2 - Διαχείριση ασφάλειας πληροφοριών - η προδιαγραφή για συστήματα διαχείρισης ασφάλειας πληροφοριών καθορίζει την προδιαγραφή ISMS. Το δεύτερο μέρος του προτύπου χρησιμοποιείται ως κριτήρια κατά την επίσημη διαδικασία πιστοποίησης για το ISMS του οργανισμού.
  • BS 7799-3:2006 - Βρετανικό Πρότυπο BS 7799 τρίτο μέρος του προτύπου. Ένα νέο πρότυπο στη διαχείριση κινδύνων ασφάλειας πληροφοριών
  • ISO/IEC 17799:2005 - "Τεχνολογία πληροφοριών - Τεχνολογίες ασφάλειας - Πρακτική διαχείρισης ασφάλειας πληροφοριών." Διεθνές πρότυπο με βάση το BS 7799-1:2005.
  • ISO/IEC 27000 - Λεξιλόγιο και ορισμοί.
  • ISO/IEC 27001:2005 - "Τεχνολογία πληροφοριών - Τεχνικές ασφάλειας - Συστήματα διαχείρισης ασφάλειας πληροφοριών - Απαιτήσεις." Διεθνές πρότυπο με βάση το BS 7799-2:2005.
  • ISO/IEC 27002 - Τώρα: ISO/IEC 17799:2005. «Τεχνολογίες πληροφοριών - Τεχνολογίες ασφάλειας - Πρακτικοί κανόνες για τη διαχείριση της ασφάλειας πληροφοριών». Ημερομηνία κυκλοφορίας: 2007.
  • ISO/IEC 27005 - Τώρα: BS 7799-3:2006 - Καθοδήγηση για τη διαχείριση κινδύνων ασφάλειας πληροφοριών.
  • Γερμανική Υπηρεσία Ασφάλειας Πληροφοριών. Εγχειρίδιο IT Baseline Protection - Τυπικές διασφαλίσεις ασφαλείας.

Κρατικά (εθνικά) πρότυπα της Ρωσικής Ομοσπονδίας

  • GOST R 50922-2006 - Προστασία πληροφοριών. Βασικοί όροι και ορισμοί.
  • R 50.1.053-2005 - Τεχνολογίες πληροφοριών. Βασικοί όροι και ορισμοί στον τομέα της ασφάλειας τεχνικών πληροφοριών.
  • GOST R 51188-98 - Προστασία πληροφοριών. Λογισμικό δοκιμών για ιούς υπολογιστών. Εγχειρίδιο μοντέλου.
  • GOST R 51275-2006 - Προστασία πληροφοριών. Αντικείμενο πληροφοριών. Παράγοντες που επηρεάζουν τις πληροφορίες. Γενικές προμήθειες.
  • GOST R ISO/IEC 15408-1-2008 - Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών της πληροφορίας. Μέρος 1. Εισαγωγή και γενικό μοντέλο.
  • GOST R ISO/IEC 15408-2-2008 - Πληροφορική. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών της πληροφορίας. Μέρος 2. Απαιτήσεις λειτουργικής ασφάλειας.
  • GOST R ISO/IEC 15408-3-2008 - Τεχνολογία πληροφοριών. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών της πληροφορίας. Μέρος 3. Απαιτήσεις διασφάλισης ασφάλειας.
  • GOST R ISO/IEC 15408 - «Γενικά κριτήρια για την αξιολόγηση της ασφάλειας των τεχνολογιών πληροφοριών» - ένα πρότυπο που ορίζει εργαλεία και μεθόδους για την αξιολόγηση της ασφάλειας προϊόντων και συστημάτων πληροφοριών. περιέχει έναν κατάλογο απαιτήσεων με τις οποίες μπορούν να συγκριθούν τα αποτελέσματα ανεξάρτητων αξιολογήσεων ασφάλειας - επιτρέποντας στον καταναλωτή να λάβει αποφάσεις σχετικά με την ασφάλεια των προϊόντων. Το πεδίο εφαρμογής των «Γενικών κριτηρίων» είναι η προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, τροποποίηση ή διαρροή και άλλες μέθοδοι προστασίας που εφαρμόζονται από υλικό και λογισμικό.
  • GOST R ISO/IEC 17799 - «Τεχνολογίες πληροφοριών. Πρακτικοί κανόνες για τη διαχείριση της ασφάλειας πληροφοριών." Άμεση εφαρμογή του διεθνούς προτύπου με την προσθήκη ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 - «Τεχνολογίες πληροφοριών. Μέθοδοι ασφαλείας. Σύστημα διαχείρισης ασφάλειας πληροφοριών. Απαιτήσεις". Η άμεση εφαρμογή του διεθνούς προτύπου είναι το ISO/IEC 27001:2005.
  • GOST R 51898-2002: Θέματα ασφάλειας. Κανόνες για ένταξη στα πρότυπα.

Καθοδηγητικά Έγγραφα

  • RD SVT. Προστασία από NSD. Δείκτες ασφαλείας από το NSD στις πληροφορίες - περιέχει μια περιγραφή των δεικτών ασφαλείας των συστημάτων πληροφοριών και των απαιτήσεων για κλάσεις ασφαλείας.

δείτε επίσης

  • Μη δηλωμένες δυνατότητες

εξωτερικοί σύνδεσμοι

  • Διεθνή Πρότυπα Διαχείρισης Ασφάλειας Πληροφοριών

Ίδρυμα Wikimedia. 2010.

Η σημασία της διασφάλισης της ασφάλειας των πληροφοριών είναι δύσκολο να υπερεκτιμηθεί, καθώς η ανάγκη αποθήκευσης και μεταφοράς δεδομένων αποτελεί αναπόσπαστο μέρος της λειτουργίας κάθε επιχείρησης.

Διάφορες μέθοδοι ασφάλειας πληροφοριών εξαρτώνται από τη μορφή με την οποία αποθηκεύονται, ωστόσο, προκειμένου να συστηματοποιηθεί και να εξορθολογιστεί αυτή η περιοχή, είναι απαραίτητο να θεσπιστούν πρότυπα ασφάλειας πληροφοριών, καθώς η τυποποίηση είναι σημαντικός καθοριστικός παράγοντας ποιότητας στην αξιολόγηση των παρεχόμενων υπηρεσιών.

Οποιαδήποτε παροχή ασφάλειας πληροφοριών απαιτεί έλεγχο και επαλήθευση, η οποία δεν μπορεί να πραγματοποιηθεί μόνο με ατομική αξιολόγηση, χωρίς να λαμβάνονται υπόψη διεθνή και κρατικά πρότυπα.

Ο σχηματισμός προτύπων ασφάλειας πληροφοριών γίνεται μετά από σαφή καθορισμό των λειτουργιών και των ορίων του. Η ασφάλεια των πληροφοριών διασφαλίζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των δεδομένων.

Για τον προσδιορισμό της κατάστασης της ασφάλειας των πληροφοριών, είναι πιο εφαρμόσιμη μια ποιοτική αξιολόγηση, καθώς είναι δυνατό να εκφραστεί ο βαθμός ασφάλειας ή ευπάθειας ως ποσοστό, αλλά αυτό δεν δίνει μια πλήρη και αντικειμενική εικόνα.

Για να αξιολογήσετε και να ελέγξετε την ασφάλεια των συστημάτων πληροφοριών, μπορείτε να εφαρμόσετε μια σειρά από οδηγίες και συστάσεις, που συνεπάγονται κανονιστική υποστήριξη.

Κρατικά και διεθνή πρότυπα ασφάλειας πληροφοριών

Η παρακολούθηση και η αξιολόγηση της κατάστασης ασφαλείας πραγματοποιείται με έλεγχο της συμμόρφωσής τους με τα κρατικά πρότυπα (GOST, ISO) και τα διεθνή πρότυπα (Iso, Κοινά κριτήρια για την ασφάλεια πληροφορικής).

Το διεθνές σύνολο προτύπων που αναπτύχθηκε από τον Διεθνή Οργανισμό Τυποποίησης (ISO) είναι ένα σύνολο πρακτικών και συστάσεων για την εφαρμογή συστημάτων και εξοπλισμού ασφάλειας πληροφοριών.

Το ISO 27000 είναι ένα από τα πιο εφαρμόσιμα και διαδεδομένα πρότυπα αξιολόγησης, συμπεριλαμβανομένων περισσότερων από 15 διατάξεων, και με διαδοχική αρίθμηση.

Σύμφωνα με τα κριτήρια αξιολόγησης τυποποίησης ISO 27000, η ​​ασφάλεια των πληροφοριών δεν είναι μόνο η ακεραιότητα, η εμπιστευτικότητα και η διαθεσιμότητά τους, αλλά και η αυθεντικότητα, η αξιοπιστία, η ανοχή σε σφάλματα και η ταυτότητά τους. Συμβατικά, αυτή η σειρά προτύπων μπορεί να χωριστεί σε 4 ενότητες:

  • επισκόπηση και εισαγωγή στην ορολογία, περιγραφή των όρων που χρησιμοποιούνται στον τομέα της ασφάλειας.
  • υποχρεωτικές απαιτήσεις για ένα σύστημα διαχείρισης ασφάλειας πληροφοριών, λεπτομερής περιγραφή των μεθόδων και των μέσων διαχείρισης του συστήματος. Είναι το κύριο πρότυπο αυτής της ομάδας.
  • συστάσεις ελέγχου, καθοδήγηση ελέγχων ασφαλείας·
  • πρότυπα που προτείνουν πρακτικές για την εφαρμογή, την ανάπτυξη και τη βελτίωση ενός συστήματος διαχείρισης ασφάλειας πληροφοριών.

Τα κρατικά πρότυπα ασφάλειας πληροφοριών περιλαμβάνουν έναν αριθμό κανονισμών και εγγράφων που αποτελούνται από περισσότερες από 30 διατάξεις (GOST).

Διάφορα πρότυπα στοχεύουν όχι μόνο στον καθορισμό γενικών κριτηρίων αξιολόγησης, όπως το GOST R ISO/IEC 15408, το οποίο περιέχει μεθοδολογικές κατευθυντήριες γραμμές για την αξιολόγηση της ασφάλειας και έναν κατάλογο απαιτήσεων για το σύστημα διαχείρισης. Μπορούν να είναι συγκεκριμένα και να περιέχουν επίσης πρακτικές οδηγίες.

Η σωστή οργάνωση της αποθήκης και η τακτική παρακολούθηση της λειτουργίας της θα βοηθήσει στην εξάλειψη της κλοπής εμπορευμάτων και υλικών περιουσιακών στοιχείων, η οποία επηρεάζει αρνητικά την οικονομική ευημερία κάθε επιχείρησης, ανεξάρτητα από τη μορφή ιδιοκτησίας της.

Μέχρι τη στιγμή της κυκλοφορίας, το σύστημα αυτοματισμού αποθήκης περνά από δύο ακόμη στάδια: εσωτερική δοκιμή και συμπλήρωση δεδομένων. Μετά από μια τέτοια προετοιμασία, το σύστημα ξεκινά πλήρως. Διαβάστε περισσότερα για την αυτοματοποίηση εδώ.

Η αλληλεπίδραση και το σύνολο των τεχνικών οδηγούν στην ανάπτυξη γενικών διατάξεων και στη συγχώνευση διεθνούς και κρατικής τυποποίησης. Έτσι, οι GOST της Ρωσικής Ομοσπονδίας περιέχουν προσθήκες και αναφορές σε διεθνή πρότυπα ISO.

Αυτή η αλληλεπίδραση βοηθά στην ανάπτυξη ενός ενιαίου συστήματος παρακολούθησης και αξιολόγησης, το οποίο, με τη σειρά του, αυξάνει σημαντικά την αποτελεσματικότητα της εφαρμογής αυτών των διατάξεων στην πράξη, την αντικειμενική αξιολόγηση των αποτελεσμάτων της εργασίας και τη γενική βελτίωση.

Σύγκριση και ανάλυση εθνικών και διεθνών συστημάτων τυποποίησης

Ο αριθμός των ευρωπαϊκών προτύπων τυποποίησης για τη διασφάλιση και τον έλεγχο της ασφάλειας των πληροφοριών υπερβαίνει σημαντικά τα νομικά πρότυπα που έχουν θεσπιστεί από τη Ρωσική Ομοσπονδία.

Στα εθνικά κρατικά πρότυπα, οι ισχύουσες διατάξεις αφορούν την προστασία των πληροφοριών από πιθανή εισβολή, διαρροή και απειλές απώλειας. Τα ξένα συστήματα ασφαλείας ειδικεύονται στην ανάπτυξη προτύπων για την πρόσβαση και τον έλεγχο ταυτότητας δεδομένων.

Υπάρχουν επίσης διαφορές στις διατάξεις που αφορούν την εφαρμογή του ελέγχου και του ελέγχου των συστημάτων. Επιπλέον, η πρακτική της εφαρμογής και εφαρμογής του συστήματος διαχείρισης ασφάλειας πληροφοριών ευρωπαϊκής τυποποίησης εκδηλώνεται σχεδόν σε όλους τους τομείς της ζωής και τα πρότυπα της Ρωσικής Ομοσπονδίας στοχεύουν κυρίως στη διατήρηση της υλικής ευημερίας.

Ωστόσο, τα κρατικά πρότυπα που ενημερώνονται συνεχώς περιέχουν το απαραίτητο ελάχιστο σύνολο απαιτήσεων για τη δημιουργία ενός ικανού συστήματος διαχείρισης ασφάλειας πληροφοριών.

Πρότυπα ασφάλειας πληροφοριών για τη μετάδοση δεδομένων

Η επιχειρηματική δραστηριότητα περιλαμβάνει την αποθήκευση, την ανταλλαγή και τη μετάδοση δεδομένων μέσω του Διαδικτύου. Στον σύγχρονο κόσμο, οι συναλλαγές συναλλάγματος, οι εμπορικές δραστηριότητες και οι μεταφορές κεφαλαίων πραγματοποιούνται συχνά στο Διαδίκτυο και είναι δυνατό να διασφαλιστεί η ασφάλεια των πληροφοριών αυτής της δραστηριότητας μόνο με την εφαρμογή μιας ικανής και επαγγελματικής προσέγγισης.

Υπάρχουν πολλά πρότυπα στο Διαδίκτυο που διασφαλίζουν την ασφαλή αποθήκευση και μετάδοση δεδομένων, γνωστά προγράμματα προστασίας από ιούς, ειδικά πρωτόκολλα για οικονομικές συναλλαγές και πολλά άλλα.

Η ταχύτητα ανάπτυξης των τεχνολογιών και των συστημάτων πληροφοριών είναι τόσο μεγάλη που ξεπερνά σημαντικά τη δημιουργία πρωτοκόλλων και ενιαίων προτύπων για τη χρήση τους.

Ένα από τα δημοφιλή πρωτόκολλα ασφαλούς μεταφοράς δεδομένων είναι το SSL (Secure Socket Layer), που αναπτύχθηκε από Αμερικανούς ειδικούς. Σας επιτρέπει να προστατεύετε δεδομένα χρησιμοποιώντας κρυπτογραφία.

Το πλεονέκτημα αυτού του πρωτοκόλλου είναι η δυνατότητα επαλήθευσης και ελέγχου ταυτότητας, για παράδειγμα, αμέσως πριν την ανταλλαγή δεδομένων. Ωστόσο, η χρήση τέτοιων συστημάτων κατά τη μεταφορά δεδομένων είναι μάλλον συμβουλευτική, καθώς η χρήση αυτών των προτύπων δεν είναι υποχρεωτική για τους επιχειρηματίες.

Για να ανοίξετε μια LLC, χρειάζεστε ένα καταστατικό της επιχείρησης. Μια διαδικασία που αναπτύσσεται σύμφωνα με τη νομοθεσία της Ρωσικής Ομοσπονδίας. Μπορείτε να το γράψετε μόνοι σας, να πάρετε ένα τυπικό δείγμα ως οδηγό ή μπορείτε να επικοινωνήσετε με ειδικούς που θα το γράψουν.

Ένας επίδοξος επιχειρηματίας που σχεδιάζει να αναπτύξει τη δική του επιχείρηση ως μεμονωμένος επιχειρηματίας πρέπει να υποδείξει τον κωδικό οικονομικής δραστηριότητας σύμφωνα με το OKVED κατά τη συμπλήρωση της αίτησης. Λεπτομέρειες εδώ.

Για την πραγματοποίηση ασφαλών συναλλαγών και λειτουργιών, αναπτύχθηκε το πρωτόκολλο μετάδοσης SET (Security Electronic Transaction), το οποίο επιτρέπει την ελαχιστοποίηση των κινδύνων κατά τη διεξαγωγή εμπορικών και εμπορικών συναλλαγών. Αυτό το πρωτόκολλο είναι ένα πρότυπο για συστήματα πληρωμών Visa και Master Card, επιτρέποντας τη χρήση ενός μηχανισμού ασφαλείας συστήματος πληρωμών.

Οι επιτροπές που τυποποιούν τους πόρους του Διαδικτύου είναι εθελοντικές, επομένως οι δραστηριότητες που πραγματοποιούν δεν είναι νόμιμες και υποχρεωτικές.

Ωστόσο, η απάτη στο Διαδίκτυο στον σύγχρονο κόσμο αναγνωρίζεται ως ένα από τα παγκόσμια προβλήματα, επομένως, είναι απλά αδύνατο να διασφαλιστεί η ασφάλεια των πληροφοριών χωρίς τη χρήση ειδικών τεχνολογιών και την τυποποίησή τους.

Συστήματα Διαχείρισης Ασφαλείας - Προδιαγραφή με καθοδήγηση για χρήση» (Συστήματα - προδιαγραφές με οδηγίες χρήσης). Στη βάση του αναπτύχθηκε το πρότυπο ISO/IEC 27001:2005 «Τεχνολογία Πληροφοριών». Τεχνικές ασφαλείας. Συστήματα διαχείρισης ασφάλειας πληροφοριών. Απαιτήσεις», για τη συμμόρφωση με τις οποίες μπορεί να πραγματοποιηθεί η πιστοποίηση.

Στη Ρωσία, ισχύουν επί του παρόντος τα πρότυπα GOST R ISO/IEC 17799-2005 «Πρακτικοί κανόνες πληροφορικής». διαχείριση ασφάλειας πληροφοριών"(αυθεντική μετάφραση ISO/IEC 17799:2000) και GOST R ISO/IEC 27001-2006 "Τεχνολογία πληροφοριών. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Συστήματα διαχείρισης ασφάλειας πληροφοριών. Απαιτήσεις" (μετάφραση ISO/IEC 27001:2005). Παρά ορισμένες εσωτερικές αποκλίσεις που σχετίζονται με διαφορετικές εκδόσεις και χαρακτηριστικά μετάφρασης, η παρουσία προτύπων μας επιτρέπει να φέρουμε το σύστημα διαχείριση ασφάλειας πληροφοριώνσύμφωνα με τις απαιτήσεις τους και, εάν χρειάζεται, πιστοποιούν.

GOST R ISO/IEC 17799:2005 "Τεχνολογία πληροφοριών. Πρακτικοί κανόνες για τη διαχείριση της ασφάλειας πληροφοριών"

Ας εξετάσουμε τώρα τα περιεχόμενα του προτύπου. Η εισαγωγή αναφέρει ότι «οι πληροφορίες, οι διαδικασίες που τις υποστηρίζουν, τα πληροφοριακά συστήματα και η δικτυακή υποδομή είναι βασικά στοιχεία ενός οργανισμού Η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των πληροφοριών μπορούν να συμβάλουν σημαντικά στην ανταγωνιστικότητα, τη ρευστότητα, την κερδοφορία, τη συμμόρφωση και. επιχειρηματική φήμηΈτσι, μπορούμε να πούμε ότι αυτό το πρότυπο εξετάζει θέματα ασφάλειας πληροφοριών, μεταξύ άλλων από την άποψη του οικονομικού αποτελέσματος.

Υποδεικνύονται τρεις ομάδες παραγόντων που πρέπει να λαμβάνονται υπόψη κατά την ανάπτυξη απαιτήσεων στον τομέα της ασφάλειας πληροφοριών. Αυτό:

  • αξιολόγηση κινδύνου οργάνωσης. Μέσω της αξιολόγησης κινδύνου, εντοπίζονται οι απειλές για τα περιουσιακά στοιχεία του οργανισμού, αξιολόγηση της ευπάθειαςσχετικά περιουσιακά στοιχεία και την πιθανότητα εμφάνισης απειλών, καθώς και αξιολόγηση πιθανών συνεπειών·
  • νομικές, νομοθετικές, ρυθμιστικές και συμβατικές απαιτήσεις που πρέπει να πληρούνται από τον οργανισμό, τους εμπορικούς του εταίρους, τους εργολάβους και τους παρόχους υπηρεσιών·
  • ένα συγκεκριμένο σύνολο αρχών, στόχων και απαιτήσεων που αναπτύσσει ένας οργανισμός σχετικά με την επεξεργασία πληροφοριών.

Αφού καθοριστούν οι απαιτήσεις, ξεκινά το στάδιο της επιλογής και της εφαρμογής μέτρων που θα εξασφαλίσουν τη μείωση του κινδύνου σε αποδεκτό επίπεδο. Επιλογή εκδηλώσεων από διαχείριση ασφάλειας πληροφοριώνθα πρέπει να βασίζεται στην αναλογία του κόστους εφαρμογής τους, στην επίδραση της μείωσης των κινδύνων και των πιθανών απωλειών σε περίπτωση παραβίασης της ασφάλειας. Θα πρέπει επίσης να ληφθούν υπόψη παράγοντες που δεν μπορούν να εκφραστούν με χρηματικούς όρους, όπως η απώλεια φήμης. Μια πιθανή λίστα δραστηριοτήτων δίνεται στο πρότυπο, αλλά σημειώνεται ότι μπορεί να συμπληρωθεί ή να διαμορφωθεί ανεξάρτητα με βάση τις ανάγκες του οργανισμού.

Ας απαριθμήσουμε εν συντομία τις ενότητες του προτύπου και τα μέτρα προστασίας πληροφοριών που προτείνονται σε αυτά. Η πρώτη ομάδα αφορά την πολιτική ασφάλειας. Απαιτείται να αναπτυχθεί, να εγκριθεί από τη διοίκηση του οργανισμού, να δημοσιευτεί και να τεθεί υπόψη όλων των εργαζομένων. Θα πρέπει να καθορίζει τη διαδικασία εργασίας με τους πόρους πληροφοριών του οργανισμού, τα καθήκοντα και τις ευθύνες των εργαζομένων. Η πολιτική επανεξετάζεται περιοδικά για να αντικατοπτρίζει την τρέχουσα κατάσταση του συστήματος και τους εντοπισμένους κινδύνους.

Η επόμενη ενότητα πραγματεύεται οργανωτικά ζητήματα που σχετίζονται με την ασφάλεια των πληροφοριών. Το πρότυπο συνιστά τη δημιουργία διοικητικών συμβουλίων (με τη συμμετοχή της ανώτατης διοίκησης της εταιρείας) για την έγκριση της πολιτικής ασφαλείας, τον ορισμό υπεύθυνων προσώπων, κατανομή των ευθυνώνκαι συντονισμός εφαρμογής μέτρων για διαχείριση ασφάλειας πληροφοριώνΣτην οργάνωση. Θα πρέπει επίσης να περιγραφεί η διαδικασία για την απόκτηση άδειας χρήσης εργαλείων επεξεργασίας πληροφοριών (συμπεριλαμβανομένου νέου λογισμικού και υλικού) στον οργανισμό, ώστε αυτό να μην οδηγήσει σε προβλήματα ασφάλειας. Είναι επίσης απαραίτητο να καθοριστεί η διαδικασία αλληλεπίδρασης με άλλους οργανισμούς σε θέματα ασφάλειας πληροφοριών, διαβουλεύσεις με «εξωτερικούς» ειδικούς και ανεξάρτητη επαλήθευση (έλεγχος) της ασφάλειας των πληροφοριών.

Κατά την παροχή πρόσβασης σε συστήματα πληροφοριών σε ειδικούς από τρίτους οργανισμούς, πρέπει να δίνεται ιδιαίτερη προσοχή σε θέματα ασφάλειας. Πρέπει να διενεργηθεί αξιολόγηση των κινδύνων που σχετίζονται με διαφορετικούς τύπους πρόσβασης (φυσική ή λογική, δηλαδή απομακρυσμένη) τέτοιων ειδικών σε διάφορους οργανωτικούς πόρους. Η ανάγκη παροχής πρόσβασης πρέπει να αιτιολογείται και οι συμβάσεις με τρίτα μέρη και οργανισμούς πρέπει να περιλαμβάνουν απαιτήσεις σχετικά με τη συμμόρφωση με την πολιτική ασφαλείας. Προτείνεται να γίνει το ίδιο στην περίπτωση εμπλοκής τρίτων οργανισμών στην επεξεργασία πληροφοριών (outsourcing).

Η επόμενη ενότητα του προτύπου είναι αφιερωμένη σε θέματα ταξινόμησης και διαχείριση περιουσιακών στοιχείων. Για να διασφαλιστεί η ασφάλεια των πληροφοριών ενός οργανισμού, είναι απαραίτητο όλα τα βασικά περιουσιακά στοιχεία πληροφοριών να λογιστικοποιούνται και να ανατίθενται στους υπεύθυνους κατόχους. Προτείνουμε να ξεκινήσετε με ένα απόθεμα. Ως παράδειγμα δίνεται η ακόλουθη ταξινόμηση:

  • στοιχεία ενεργητικού (βάσεις δεδομένων και αρχεία δεδομένων, τεκμηρίωση συστήματοςκαι τα λοιπά.);
  • περιουσιακά στοιχεία λογισμικού (λογισμικό εφαρμογών, λογισμικό συστήματος, εργαλεία ανάπτυξης και βοηθητικά προγράμματα).
  • φυσικά περιουσιακά στοιχεία (εξοπλισμός ηλεκτρονικών υπολογιστών, εξοπλισμός επικοινωνιών, μέσα αποθήκευσης, άλλος τεχνικός εξοπλισμός, έπιπλα, εγκαταστάσεις)·
  • υπηρεσίες (υπολογιστικές υπηρεσίες και υπηρεσίες επικοινωνίας, βασικές υπηρεσίες κοινής ωφέλειας).

Στη συνέχεια, προτείνεται η ταξινόμηση των πληροφοριών προκειμένου να προσδιοριστεί η προτεραιότητα, η αναγκαιότητα και ο βαθμός προστασίας τους. Ταυτόχρονα, οι σχετικές πληροφορίες μπορούν να αξιολογηθούν λαμβάνοντας υπόψη πόσο κρίσιμες είναι για τον οργανισμό, για παράδειγμα, από την άποψη της διασφάλισης της ακεραιότητας και της διαθεσιμότητάς τους. Μετά από αυτό, προτείνεται η ανάπτυξη και εφαρμογή μιας διαδικασίας επισήμανσης κατά την επεξεργασία πληροφοριών. Οι διαδικασίες επισήμανσης θα πρέπει να καθοριστούν για κάθε επίπεδο ταξινόμησης, ώστε να καλύπτονται οι ακόλουθοι τύποι επεξεργασίας πληροφοριών:

  • αντιγραφή?
  • αποθήκευση;
  • μετάδοση μέσω ταχυδρομείου, φαξ και e-mail·
  • μετάδοση φωνής, συμπεριλαμβανομένου του κινητού τηλεφώνου, του φωνητικού ταχυδρομείου, των τηλεφωνητών·
  • καταστροφή.

Η επόμενη ενότητα πραγματεύεται θέματα ασφάλειας που σχετίζονται με το προσωπικό. Το πρότυπο καθορίζει ότι οι ευθύνες για τη συμμόρφωση με τις απαιτήσεις ασφάλειας κατανέμονται στο στάδιο της επιλογής προσωπικού, περιλαμβάνονται στις συμβάσεις εργασίας και παρακολουθούνται καθ' όλη τη διάρκεια της απασχόλησης του εργαζομένου. Ειδικότερα, κατά την πρόσληψη μόνιμου υπαλλήλου, συνιστάται να ελέγχεται η γνησιότητα των εγγράφων που υποβάλλει ο αιτών, η πληρότητα και ακρίβεια του βιογραφικού και οι συστάσεις που του υποβάλλονται. Συνιστάται στους εργαζόμενους να υπογράψουν μια συμφωνία εμπιστευτικότητας που να αναφέρει ποιες πληροφορίες είναι εμπιστευτικές ή ευαίσθητες. Πρέπει να καθοριστεί η πειθαρχική ευθύνη για τους υπαλλήλους που παραβιάζουν τις πολιτικές και τις διαδικασίες ασφαλείας του οργανισμού. Όπου είναι απαραίτητο, αυτή η ευθύνη θα πρέπει να συνεχιστεί για μια καθορισμένη περίοδο μετά την αποχώρηση από την εργασία.

Οι χρήστες πρέπει να εκπαιδευτούν διαδικασίες ασφαλείαςκαι τη σωστή χρήση εργαλείων επεξεργασίας πληροφοριών για την ελαχιστοποίηση πιθανών κινδύνων. Επιπλέον, η διαδικασία ενημέρωσης για παραβιάσεις ασφάλειας πληροφοριών, το οποίο πρέπει να είναι εξοικειωμένο με το προσωπικό. Παρόμοια διαδικασία θα πρέπει να ακολουθείται σε περιπτώσεις αστοχίας λογισμικού. Τέτοια περιστατικά πρέπει να καταγράφονται και να αναλύονται για τον εντοπισμό επαναλαμβανόμενων προβλημάτων.

Η επόμενη ενότητα του προτύπου πραγματεύεται θέματα φυσικής και περιβαλλοντικής προστασίας. Αναφέρεται ότι «τα μέσα για την επεξεργασία κρίσιμων ή σημαντικών πληροφοριών υπηρεσίας πρέπει να βρίσκονται σε ζώνες ασφαλείας που ορίζονται από συγκεκριμένο περίμετρο ασφαλείαςμε κατάλληλα προστατευτικά εμπόδια και ελέγχους εισβολής. Αυτές οι περιοχές πρέπει να προστατεύονται φυσικά από μη εξουσιοδοτημένη πρόσβαση, ζημιές και επιπτώσεις." Εκτός από την οργάνωση του ελέγχου πρόσβασης στις προστατευόμενες περιοχές, πρέπει να καθοριστεί η διαδικασία για την εκτέλεση εργασιών σε αυτές και, εάν είναι απαραίτητο, οι διαδικασίες για την οργάνωση της πρόσβασης επισκεπτών. απαραίτητη για τη διασφάλιση της ασφάλειας του εξοπλισμού (συμπεριλαμβανομένου του , που χρησιμοποιείται εκτός του οργανισμού) για τη μείωση του κινδύνου μη εξουσιοδοτημένης πρόσβασης στα δεδομένα και την προστασία του από απώλεια ή ζημιά Αυτή η ομάδα απαιτήσεων περιλαμβάνει επίσης την παροχή προστασίας από διακοπές ρεύματος και την προστασία του καλωδιακού δικτύου. Πρέπει επίσης να καθοριστεί μια διαδικασία για τη συντήρηση του εξοπλισμού που λαμβάνει υπόψη τις απαιτήσεις ασφαλείας και διαδικασίες για την ασφαλή απόρριψη ή επαναχρησιμοποίηση του εξοπλισμού, για παράδειγμα, συνιστάται η φυσική καταστροφή ή η αντικατάσταση των μέσων αποθήκευσης που περιέχουν ευαίσθητες πληροφορίες. αντί να χρησιμοποιείτε τυπικές συναρτήσεις διαγραφής δεδομένων.

Για να ελαχιστοποιηθεί ο κίνδυνος μη εξουσιοδοτημένης πρόσβασης ή βλάβης σε χαρτιά έγγραφα, μέσα αποθήκευσης και μέσα επεξεργασίας πληροφοριών, συνιστάται η εφαρμογή μιας πολιτικής "καθαρού γραφείου" για χαρτιά και αφαιρούμενα μέσα αποθήκευσης, καθώς και πολιτική "καθαρής οθόνης" για εξοπλισμός επεξεργασίας πληροφοριών. Ο εξοπλισμός, οι πληροφορίες ή το λογισμικό μπορούν να αφαιρεθούν από τις εγκαταστάσεις του οργανισμού μόνο με την κατάλληλη άδεια.

Ο τίτλος της επόμενης ενότητας του προτύπου είναι «Διαχείριση μεταφοράς δεδομένων και επιχειρησιακών δραστηριοτήτων». Απαιτεί να καθοριστούν οι αρμοδιότητες και οι διαδικασίες που σχετίζονται με τη λειτουργία όλων των εγκαταστάσεων επεξεργασίας πληροφοριών. Για παράδειγμα, οι αλλαγές διαμόρφωσης στις εγκαταστάσεις και τα συστήματα επεξεργασίας πληροφοριών πρέπει να ελέγχονται. Απαιτείται η εφαρμογή της αρχής του διαχωρισμού των αρμοδιοτήτων σε σχέση με τα διοικητικά καθήκοντα, την εκτέλεση ορισμένων καθηκόντων και τομέων.

Συνιστάται ο διαχωρισμός των περιβαλλόντων ανάπτυξης, δοκιμής και παραγωγής λογισμικού. Πρέπει να καθοριστούν και να τεκμηριωθούν οι κανόνες για τη μεταφορά λογισμικού από την κατάσταση ανάπτυξης στην κατάσταση αποδοχής για λειτουργία.

Πρόσθετοι κίνδυνοι προκύπτουν κατά τη χρήση τρίτων εργολάβων για τη διαχείριση των εγκαταστάσεων επεξεργασίας πληροφοριών. Αυτοί οι κίνδυνοι πρέπει να εντοπίζονται εκ των προτέρων και να λαμβάνονται τα κατάλληλα μέτρα διαχείριση ασφάλειας πληροφοριώνσυμφωνηθεί με τον ανάδοχο και περιλαμβάνεται στη σύμβαση.

Για την παροχή της απαραίτητης ικανότητας επεξεργασίας και αποθήκευσης, είναι απαραίτητο να αναλυθούν οι τρέχουσες απαιτήσεις απόδοσης, καθώς και να προβλεφθούν οι μελλοντικές. Αυτές οι προβλέψεις θα πρέπει να λαμβάνουν υπόψη τις νέες λειτουργικές απαιτήσεις και απαιτήσεις συστήματος, καθώς και τα τρέχοντα και μελλοντικά σχέδια για την ανάπτυξη της τεχνολογίας πληροφοριών στον οργανισμό. Οι απαιτήσεις και τα κριτήρια για την υιοθέτηση νέων συστημάτων πρέπει να ορίζονται σαφώς, να συμφωνούνται, να τεκμηριώνονται και να ελέγχονται.

Πρέπει να ληφθούν μέτρα για την πρόληψη και τον εντοπισμό της εισαγωγής κακόβουλου λογισμικού όπως ιοί υπολογιστών, σκουλήκια δικτύου, δούρειοι ίπποι και βόμβες λογικής. Σημειώνεται ότι η προστασία από κακόβουλο λογισμικό θα πρέπει να βασίζεται στην κατανόηση των απαιτήσεων ασφαλείας, στους κατάλληλους ελέγχους πρόσβασης συστημάτων και στη σωστή διαχείριση αλλαγών.

Πρέπει να καθοριστεί η διαδικασία για τη διενέργεια βοηθητικών λειτουργιών, η οποία περιλαμβάνει αντίγραφα ασφαλείας λογισμικού και δεδομένων, 1 Για παράδειγμα, το εργαστήριο #10 εξετάζει την οργάνωση των αντιγράφων ασφαλείας στον Windows Server 2008.καταγραφή συμβάντων και σφαλμάτων και, όπου χρειάζεται, παρακολούθηση της κατάστασης του υλικού. Οι ρυθμίσεις απολύσεων για κάθε μεμονωμένο σύστημα θα πρέπει να ελέγχονται τακτικά για να διασφαλίζεται ότι πληρούν τις απαιτήσεις των σχεδίων επιχειρηματικής συνέχειας.

Για τη διασφάλιση της ασφάλειας των πληροφοριών στα δίκτυα και την προστασία υποστηρικτικές υποδομές, απαιτείται η εισαγωγή κονδυλίων έλεγχος ασφάλειαςκαι προστασία των συνδεδεμένων υπηρεσιών από μη εξουσιοδοτημένη πρόσβαση.

Ιδιαίτερη προσοχή δίνεται στην ασφάλεια διαφόρων τύπων μέσων αποθήκευσης: έγγραφα, μέσα αποθήκευσης υπολογιστών (κασέτες, δίσκοι, κασέτες), δεδομένα εισόδου/εξόδου και τεκμηρίωση συστήματος από ζημιές. Συνιστάται η καθιέρωση μιας διαδικασίας για τη χρήση αφαιρούμενων μέσων αποθήκευσης υπολογιστή (διαδικασία για έλεγχο περιεχομένου, αποθήκευση, καταστροφή κ.λπ.). Όπως σημειώθηκε παραπάνω, τα μέσα αποθήκευσης θα πρέπει να απορρίπτονται με ασφάλεια και ασφάλεια μετά τη χρήση.

Προκειμένου να διασφαλιστεί η προστασία των πληροφοριών από μη εξουσιοδοτημένη αποκάλυψη ή κακή χρήση, είναι απαραίτητο να θεσπιστούν διαδικασίες για την επεξεργασία και την αποθήκευση πληροφοριών. Αυτές οι διαδικασίες θα πρέπει να σχεδιαστούν λαμβάνοντας υπόψη κατηγοριοποίησηπληροφορίες και δράση σε σχέση με έγγραφα, υπολογιστικά συστήματα, δίκτυα, φορητούς υπολογιστές, κινητές επικοινωνίες, ταχυδρομείο, φωνητικό ταχυδρομείο, φωνητικές επικοινωνίες γενικά, συσκευές πολυμέσων, χρήση φαξ και οποιαδήποτε άλλα σημαντικά αντικείμενα, όπως έντυπα, επιταγές και λογαριασμούς. Τεκμηρίωση συστήματοςμπορεί να περιέχει ορισμένες σημαντικές πληροφορίες και επομένως πρέπει επίσης να προστατεύονται.

Η διαδικασία ανταλλαγής πληροφοριών και λογισμικού μεταξύ οργανισμών πρέπει να ελέγχεται και να συμμορφώνεται με την ισχύουσα νομοθεσία. Ειδικότερα, πρέπει να διασφαλίζεται, να καθορίζεται η ασφάλεια των φορέων πληροφοριών κατά τη μετάδοση πολιτική χρήσης email και ηλεκτρονικά συστήματα γραφείου. Θα πρέπει να λαμβάνεται μέριμνα για την προστασία της ακεραιότητας των πληροφοριών που δημοσιεύονται ηλεκτρονικά, όπως οι πληροφορίες σε μια τοποθεσία Web. Απαιτείται επίσης μια κατάλληλη επίσημη διαδικασία εξουσιοδότησης προτού οι πληροφορίες αυτές δημοσιοποιηθούν.

Η επόμενη ενότητα του προτύπου είναι αφιερωμένη σε ζητήματα ελέγχου πρόσβασης.

Απαιτείται οι κανόνες ελέγχου πρόσβασης και τα δικαιώματα κάθε χρήστη ή ομάδας χρηστών να ορίζονται σαφώς από την πολιτική ασφαλείας. Οι χρήστες και οι πάροχοι υπηρεσιών πρέπει να γνωρίζουν την ανάγκη συμμόρφωσης με αυτές τις απαιτήσεις.

Χρησιμοποιώντας έλεγχος ταυτότητας με κωδικό πρόσβασης, είναι απαραίτητο να ασκείται έλεγχος στους κωδικούς πρόσβασης των χρηστών. Ειδικότερα, οι χρήστες πρέπει να υπογράψουν ένα έγγραφο με το οποίο συμφωνούν να τηρούν την πλήρη εμπιστευτικότητα των κωδικών πρόσβασης. Απαιτείται η διασφάλιση της ασφάλειας της διαδικασίας απόκτησης κωδικού πρόσβασης για τον χρήστη και, εάν αυτός χρησιμοποιείται, η διαχείριση των κωδικών πρόσβασης από τους χρήστες (αναγκαστική αλλαγή κωδικού πρόσβασης μετά την πρώτη είσοδο κ.λπ.).

Η πρόσβαση τόσο σε εσωτερικές όσο και σε εξωτερικές υπηρεσίες δικτύου πρέπει να ελέγχεται. Οι χρήστες θα πρέπει να έχουν άμεση πρόσβαση μόνο στις υπηρεσίες για τις οποίες έχουν εξουσιοδοτηθεί. Ιδιαίτερη προσοχή πρέπει να δοθεί στον έλεγχο ταυτότητας των απομακρυσμένων χρηστών. Με βάση την αξιολόγηση κινδύνου, είναι σημαντικό να καθοριστεί το απαιτούμενο επίπεδο προστασίας προκειμένου να επιλεγεί η κατάλληλη μέθοδος επαλήθευσης ταυτότητας. Πρέπει επίσης να παρακολουθείται η ασφάλεια χρήσης των υπηρεσιών δικτύου.

Πολλές συσκευές δικτύου και υπολογιστών διαθέτουν ενσωματωμένες δυνατότητες απομακρυσμένης διάγνωσης και διαχείρισης. Σε αυτές τις εγκαταστάσεις πρέπει επίσης να ισχύουν μέτρα ασφαλείας.

Όταν τα δίκτυα είναι κοινόχρηστα από πολλούς οργανισμούς, πρέπει να ορίζονται απαιτήσεις πολιτικής ελέγχου πρόσβασης για να λαμβάνεται υπόψη αυτό. Μπορεί επίσης να χρειαστεί να εισαχθούν πρόσθετα μέτρα για διαχείριση ασφάλειας πληροφοριώνγια τον περιορισμό της δυνατότητας σύνδεσης των χρηστών.

Σε επίπεδο λειτουργικού συστήματος, θα πρέπει να χρησιμοποιούνται μέτρα ασφάλειας πληροφοριών για τον περιορισμό της πρόσβασης σε πόρους υπολογιστή 2 Ένα παράδειγμα οργάνωσης ελέγχου πρόσβασης σε αρχεία και φακέλους στον Windows Server 2008 θα συζητηθεί στην εργαστηριακή εργασία Νο. 9.. Αναφέρεται σε ταυτοποίηση και πιστοποίησητερματικά και χρήστες. Συνιστάται όλοι οι χρήστες να έχουν μοναδικά αναγνωριστικά, τα οποία δεν πρέπει να περιέχουν καμία ένδειξη για το επίπεδο προνομίων του χρήστη. Σε συστήματα διαχείριση κωδικού πρόσβασηςπρέπει να παρέχονται αποτελεσματικές διαδραστικές δυνατότητες για την υποστήριξη της απαιτούμενης ποιότητάς τους 3 Ένα παράδειγμα διαχείρισης ποιότητας κωδικού πρόσβασης στα λειτουργικά συστήματα Windows συζητείται στην εργαστηριακή εργασία Νο. 3.. Η χρήση των βοηθητικών προγραμμάτων του συστήματος θα πρέπει να είναι περιορισμένη και προσεκτικά ελεγχόμενη.

Συνιστάται η παροχή συναγερμού σε περίπτωση που ο χρήστης μπορεί να γίνει στόχος βίας 4 Ένα παράδειγμα αυτού θα ήταν οι κωδικοί πρόσβασης "υποχρεωτικών" εισόδου. Εάν ο χρήστης εισάγει έναν τέτοιο κωδικό πρόσβασης, το σύστημα εμφανίζει την κανονική διαδικασία σύνδεσης του χρήστη και στη συνέχεια προσομοιώνει μια αποτυχία να αποτρέψει τους εισβολείς από το να αποκτήσουν πρόσβαση στα δεδομένα.(εάν ένα τέτοιο γεγονός αξιολογηθεί ως πιθανό). Πρέπει να καθοριστούν οι ευθύνες και οι διαδικασίες για την απόκριση σε τέτοιο συναγερμό.

Οι τερματικοί σταθμοί που εξυπηρετούν συστήματα υψηλού κινδύνου, όταν βρίσκονται σε εύκολα προσβάσιμες τοποθεσίες, θα πρέπει να απενεργοποιούνται μετά από μια ορισμένη περίοδο αδράνειας για να αποτραπεί η πρόσβαση από μη εξουσιοδοτημένα άτομα. Μπορεί επίσης να εισαχθεί περιορισμός στη χρονική περίοδο κατά την οποία επιτρέπεται στα τερματικά να συνδέονται με υπηρεσίες υπολογιστών.

Πρέπει επίσης να εφαρμόζονται μέτρα ασφάλειας πληροφοριών σε επίπεδο εφαρμογής. Συγκεκριμένα, αυτό μπορεί να είναι περιορισμός πρόσβασης για ορισμένες κατηγορίεςχρήστες. Τα συστήματα που επεξεργάζονται σημαντικές πληροφορίες πρέπει να παρέχονται με ένα αποκλειστικό (απομονωμένο) υπολογιστικό περιβάλλον.

Η παρακολούθηση του συστήματος είναι απαραίτητη για τον εντοπισμό αποκλίσεων από τις απαιτήσεις της πολιτικής ελέγχου πρόσβασης και την παροχή αποδεικτικών στοιχείων σε περίπτωση συμβάντος ασφάλειας πληροφοριών. Τα αποτελέσματα της παρακολούθησης θα πρέπει να επανεξετάζονται τακτικά. Το αρχείο καταγραφής ελέγχου μπορεί να χρησιμοποιηθεί για τη διερεύνηση περιστατικών, επομένως η σωστή ρύθμιση (συγχρονισμός) του ρολογιού του υπολογιστή είναι αρκετά σημαντική.

Όταν χρησιμοποιείτε φορητές συσκευές, όπως φορητούς υπολογιστές, είναι απαραίτητο να λαμβάνετε ειδικά μέτρα για την εξουδετέρωση της παραβίασης των ιδιόκτητων πληροφοριών. Θα πρέπει να υιοθετηθούν επίσημες πολιτικές που αντιμετωπίζουν τους κινδύνους που σχετίζονται με την εργασία με φορητές συσκευές, ιδιαίτερα σε μη ασφαλή περιβάλλοντα.

Η επόμενη ενότητα του προτύπου ονομάζεται «Ανάπτυξη και συντήρηση συστημάτων». Ήδη στη σκηνή ανάπτυξη πληροφοριακών συστημάτωνείναι απαραίτητο να διασφαλιστεί ότι λαμβάνονται υπόψη οι απαιτήσεις ασφαλείας. Και κατά τη λειτουργία του συστήματος, είναι απαραίτητο να αποτραπεί η απώλεια, τροποποίηση ή κακή χρήση των δεδομένων χρήστη. Για το σκοπό αυτό, συνιστάται τα συστήματα εφαρμογών να παρέχουν επιβεβαίωση της ορθότητας της εισαγωγής και εξόδου δεδομένων, τον έλεγχο της επεξεργασίας δεδομένων σε σύστημα, έλεγχος ταυτότηταςμηνύματα, καταγραφή ενεργειών χρήστη.

Για τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας και έλεγχο ταυτότητας δεδομένωνΜπορούν να χρησιμοποιηθούν κρυπτογραφικά μέτρα ασφαλείας.

Η διασφάλιση της ακεραιότητας του λογισμικού διαδραματίζει σημαντικό ρόλο στη διαδικασία της ασφάλειας των πληροφοριών. Για την ελαχιστοποίηση των ζημιών στα πληροφοριακά συστήματα, η εφαρμογή των αλλαγών θα πρέπει να ελέγχεται αυστηρά. Από καιρό σε καιρό υπάρχει ανάγκη να γίνουν αλλαγές στα λειτουργικά συστήματα. Σε αυτές τις περιπτώσεις, είναι απαραίτητο να αναλυθούν και να δοκιμαστούν τα συστήματα εφαρμογής για να διασφαλιστεί ότι δεν υπάρχουν αρνητικές επιπτώσεις στη λειτουργικότητα και την ασφάλειά τους. Στο μέτρο του δυνατού, συνιστάται η χρήση έτοιμων πακέτων λογισμικού χωρίς τροποποίηση.

Ένα σχετικό ζήτημα είναι η αντιμετώπιση των δούρειων ίππων και η χρήση κρυφών καναλιών διαρροής. Ένα αντίμετρο είναι η χρήση λογισμικού που λαμβάνεται από αξιόπιστους προμηθευτές και οθόνη ακεραιότητα του συστήματος.

Σε περιπτώσεις που ένας τρίτος οργανισμός εμπλέκεται στην ανάπτυξη λογισμικού, είναι απαραίτητο να παρέχονται μέτρα για τον έλεγχο της ποιότητας και της ορθότητας της εργασίας που εκτελείται.

Η επόμενη ενότητα του προτύπου είναι αφιερωμένη στη διαχείριση της επιχειρηματικής συνέχειας. Στο αρχικό στάδιο, υποτίθεται ότι εντοπίζονται γεγονότα που μπορεί να προκαλέσουν διακοπή των επιχειρηματικών διαδικασιών (αστοχία εξοπλισμού, πυρκαγιά κ.λπ.). Σε αυτή την περίπτωση, είναι απαραίτητο να αξιολογηθούν οι συνέπειες και στη συνέχεια να αναπτυχθούν σχέδια ανάκαμψης. Η επάρκεια των σχεδίων πρέπει να επιβεβαιώνεται με δοκιμές και τα ίδια πρέπει να αναθεωρούνται περιοδικά ώστε να λαμβάνονται υπόψη οι αλλαγές που συμβαίνουν στο σύστημα.

Η τελευταία ενότητα του προτύπου εξετάζει ζητήματα συμμόρφωσης. Πρώτα απ 'όλα, αυτό αφορά τη συμμόρφωση του συστήματος και τη διαδικασία λειτουργίας του με τις νομικές απαιτήσεις. Αυτό περιλαμβάνει ζητήματα συμμόρφωσης με τα πνευματικά δικαιώματα (συμπεριλαμβανομένου του λογισμικού), την προστασία των προσωπικών πληροφοριών (εργαζόμενοι, πελάτες) και την πρόληψη της κακής χρήσης των εργαλείων επεξεργασίας πληροφοριών. Χρησιμοποιώντας κρυπτογραφικά μέσαπροστασία των πληροφοριών, πρέπει να συμμορφώνονται με την ισχύουσα νομοθεσία. Θα πρέπει επίσης να μελετηθεί διεξοδικά η διαδικασία συλλογής αποδεικτικών στοιχείων σε περίπτωση δικαστικής αγωγής που σχετίζεται με συμβάντα στον τομέα της ασφάλειας συστημάτων πληροφοριών.

Τα ίδια τα πληροφοριακά συστήματα πρέπει συμμορφώνονται με την πολιτική ασφαλείαςοργάνωση και τα πρότυπα που χρησιμοποιούνται. Η ασφάλεια των πληροφοριακών συστημάτων πρέπει να αναλύεται και να αξιολογείται τακτικά. Ταυτόχρονα, είναι απαραίτητο να τηρούνται μέτρα ασφαλείας κατά τη διεξαγωγή ελέγχου ασφαλείας, ώστε αυτό να μην έχει ανεπιθύμητες συνέπειες (για παράδειγμα, αστοχία ενός κρίσιμου διακομιστή λόγω ελέγχου).

Συνοψίζοντας, μπορεί να σημειωθεί ότι το πρότυπο αντιμετωπίζει ένα ευρύ φάσμα θεμάτων που σχετίζονται με τη διασφάλιση της ασφάλειας των συστημάτων πληροφοριών. Δίνονται πρακτικές συστάσεις σε διάφορους τομείς.