Ruski standardi informacijske sigurnosti. Standardi informacijske sigurnosti. Zahtjevi za znanjem i vještinama

Ovaj odjeljak pruža opće informacije i tekstove nacionalnih standarda Ruske Federacije u području informacijske sigurnosti GOST R.

Trenutačni popis modernih GOST-ova razvijenih posljednjih godina i planiranih za razvoj. Sustav certifikacije za alate za informacijsku sigurnost prema zahtjevima za informacijsku sigurnost br. ROSS RU.0001.01BI00 (FSTEC Rusije). DRŽAVNI STANDARD RUSKE FEDERACIJE. Zaštita podataka. POSTUPAK IZRADE AUTOMATIZIRANIH SUSTAVA U SIGURNOM IZVEDBI. Opće odredbe. Moskva DRŽAVNI STANDARD RUSKE FEDERACIJE. Računalna oprema. Zaštita od neovlaštenog pristupa informacijama. Opći tehnički zahtjevi. Datum uvođenja 1996-01-01 Nacionalni standard Ruske Federacije. Zaštita podataka. Osnovni pojmovi i definicije. Zaštita informacija. Osnovni pojmovi i definicije. Datum uvođenja 2008-02-01 DRŽAVNI STANDARD RUSKE FEDERACIJE. ZAŠTITA PODATAKA. SUSTAV STANDARDA. TEMELJNE ODREDBE (SIGURNOST INFORMACIJA. SUSTAV STANDARDA. OSNOVNA NAČELA) DRŽAVNI STANDARD RUSKE FEDERACIJE. Zaštita podataka. TESTIRANJE SOFTVERA NA PRISUTNOST RAČUNALNIH VIRUSA. Model priručnika (Informacijska sigurnost. Testiranje softvera na postojanje računalnih virusa. Ogledni priručnik). Informacijska tehnologija. Zaštita informacijskih tehnologija i automatiziranih sustava od prijetnji informacijskoj sigurnosti koja se provodi prikrivenim kanalima. Dio 1. Opće odredbe Informacijska tehnologija. Zaštita informacijskih tehnologija i automatiziranih sustava od prijetnji informacijskoj sigurnosti implementirana prikrivenim kanalima. Dio 2. Preporuke za organiziranje zaštite informacija, informacijskih tehnologija i automatiziranih sustava od napada korištenjem tajnih kanala Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Smjernice za razvoj sigurnosnih profila i sigurnosnih zadataka Automatska identifikacija. Biometrijska identifikacija. Testovi performansi i izvješća o ispitivanju biometrije. Dio 3. Značajke testiranja za različite biometrijske modalitete Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Metodologija procjene sigurnosti informacijske tehnologije GOST R ISO/IEC 15408-1-2008 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Kriteriji za ocjenu sigurnosti informacijskih tehnologija. 1. dio. Uvod i opći model (Informacijska tehnologija. Sigurnosne tehnike. Kriteriji ocjenjivanja IT sigurnosti. 1. dio. Uvod i opći model) GOST R ISO/IEC 15408-2-2008 - Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Kriteriji za ocjenu sigurnosti informacijskih tehnologija. Dio 2. Funkcionalni sigurnosni zahtjevi (Informacijska tehnologija. Sigurnosne tehnike. Kriteriji ocjenjivanja IT sigurnosti. Dio 2. Sigurnosni funkcionalni zahtjevi) GOST R ISO/IEC 15408-3-2008 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Kriteriji za ocjenu sigurnosti informacijskih tehnologija. Dio 3. Zahtjevi za osiguranje sigurnosti (Informacijska tehnologija. Sigurnosne tehnike. Kriteriji ocjenjivanja za IT sigurnost. Dio 3. Zahtjevi za osiguranje sigurnosti) GOST R 53109-2008 Sustav za osiguranje informacijske sigurnosti javne komunikacijske mreže. Putovnica informacijske sigurnosne komunikacijske organizacije. Informacijska sigurnost sustava pružanja javnih komunikacijskih mreža. Putovnica organizacije komunikacije informacijske sigurnosti. Datum stupanja na snagu: 30.09.2009. GOST R 53114-2008 Zaštita informacija. Osiguranje informacijske sigurnosti u organizaciji. Osnovni pojmovi i definicije. Zaštita informacija. Osiguranje informacijske sigurnosti u organizacijama. Osnovni pojmovi i definicije. Datum stupanja na snagu: 30.09.2009. GOST R 53112-2008 Zaštita informacija. Kompleksi za mjerenje parametara lažnog elektromagnetskog zračenja i smetnji. Tehnički zahtjevi i metode ispitivanja. Zaštita informacija. Uređaji za mjerenje bočnog elektromagnetskog zračenja i parametara hvatanja. Tehnički zahtjevi i metode ispitivanja. Datum stupanja na snagu: 30.09.2009. GOST R 53115-2008 Zaštita informacija. Ispitivanje tehničkih sredstava za obradu informacija na usklađenost sa zahtjevima sigurnosti od neovlaštenog pristupa. Metode i sredstva. Zaštita informacija. Ispitivanje sukladnosti tehničkih sredstava za obradu informacija zahtjevima zaštite od neovlaštenog pristupa. Metode i tehnike. Datum stupanja na snagu: 30.09.2009. GOST R 53113.2-2009 Informacijska tehnologija. Zaštita informacijskih tehnologija i automatiziranih sustava od prijetnji informacijskoj sigurnosti implementirana prikrivenim kanalima. Dio 2. Preporuke za organizaciju zaštite informacija, informacijskih tehnologija i automatiziranih sustava od napada korištenjem tajnih kanala. Informacijska tehnologija. Zaštita informacijske tehnologije i automatiziranih sustava od sigurnosnih prijetnji uzrokovanih korištenjem tajnih kanala. Dio 2. Preporuke o zaštiti informacija, informacijske tehnologije i automatiziranih sustava od napada tajnih kanala. Datum stupanja na snagu: 01.12.2009. GOST R ISO/IEC TO 19791-2008 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Procjena sigurnosti automatiziranih sustava. Informacijska tehnologija. Sigurnosne tehnike. Procjena sigurnosti operativnih sustava. Datum stupanja na snagu: 30.09.2009. GOST R 53131-2008 Zaštita informacija. Preporuke za usluge oporavka od katastrofe za sigurnosne funkcije i mehanizme informacijske i telekomunikacijske tehnologije. Opće odredbe. Zaštita informacija. Smjernice za usluge oporavka sigurnosnih funkcija i mehanizama informacijske i komunikacijske tehnologije. Općenito. Datum stupanja na snagu: 30.09.2009. GOST R 54581-2011 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Osnove povjerenja u IT sigurnost. 1. dio: Pregled i osnove. Informacijska tehnologija. Sigurnosne tehnike. Okvir za osiguranje IT sigurnosti. Dio 1. Pregled i okvir. Datum stupanja na snagu: 01.07.2012. GOST R ISO/IEC 27033-1-2011 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Sigurnost mreže. 1. dio: Pregled i koncepti. Informacijska tehnologija. Sigurnosne tehnike. Sigurnost mreže. Dio 1. Pregled i pojmovi. Datum stupanja na snagu: 01.01.2012. GOST R ISO/IEC 27006-2008 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Zahtjevi za tijela koja provode reviziju i certifikaciju sustava upravljanja informacijskom sigurnošću. Informacijska tehnologija. Sigurnosne tehnike. Zahtjevi za tijela koja provode reviziju i certifikaciju sustava upravljanja informacijskom sigurnošću. Datum stupanja na snagu: 30.09.2009. GOST R ISO/IEC 27004-2011 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Upravljanje informacijskom sigurnošću. Mjerenja. Informacijska tehnologija. Sigurnosne tehnike. Upravljanje informacijskom sigurnošću. Mjerenje. Datum stupanja na snagu: 01.01.2012. GOST R ISO/IEC 27005-2010 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Upravljanje rizicima informacijske sigurnosti. Informacijska tehnologija. Sigurnosne tehnike. Upravljanje rizicima informacijske sigurnosti. Datum stupanja na snagu: 01.12.2011. GOST R ISO/IEC 31010-2011 Upravljanje rizikom. Metode procjene rizika (Upravljanje rizicima. Metode procjene rizika). Datum stupanja na snagu: 01.12.2012 GOST R ISO 31000-2010 Upravljanje rizikom. Upravljanje rizikom. Načela i smjernice. Datum stupanja na snagu: 31.08.2011 GOST 28147-89 Sustavi za obradu informacija. Kriptografska zaštita. Algoritam kriptografske pretvorbe. Datum stupanja na snagu: 30.06.1990. GOST R ISO/IEC 27013-2014 „Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Smjernice za kombiniranu upotrebu ISO/IEC 27001 i ISO/IEC 20000-1 - na snazi od 1. rujna 2015. GOST R ISO/IEC 27033-3-2014 „Sigurnost mreže. Dio 3. Scenariji referentne mreže. Prijetnje, metode dizajna i problemi upravljanja” – na snazi od 1. studenog 2015 GOST R ISO/IEC 27037-2014 „Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Smjernice za identifikaciju, prikupljanje, dohvaćanje i zadržavanje digitalnih dokaza - na snazi od 1. studenog 2015. GOST R ISO/IEC 27002-2012 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Skup normi i pravila za upravljanje informacijskom sigurnošću. Informacijska tehnologija. Sigurnosne tehnike. Kodeks prakse upravljanja informacijskom sigurnošću. Datum stupanja na snagu: 01.01.2014. OKS šifra 35.040. GOST R 56939-2016 Zaštita informacija. Siguran razvoj softvera. Opći zahtjevi (Zaštita informacija. Siguran razvoj softvera. Opći zahtjevi). Datum stupanja na snagu: 01.06.2017. GOST R 51583-2014 Zaštita informacija. Postupak izrade automatiziranih sustava u sigurnom dizajnu. Opće odredbe. Zaštita informacija. Redoslijed formiranja zaštićenog operativnog sustava. Općenito. 01.09.2014 GOST R 7.0.97-2016 Sustav standarda za informacije, knjižnice i izdavaštvo. Organizacijska i upravna dokumentacija. Zahtjevi za izradu dokumenata (Sustav standarda o informaciji, knjižničarstvu i izdavaštvu. Organizacijska i upravna dokumentacija. Zahtjevi za prezentaciju dokumenata). Datum stupanja na snagu: 01.07.2017. OKS šifra 01.140.20. GOST R 57580.1-2017 Sigurnost financijskih (bankarskih) transakcija. Zaštita podataka financijskih organizacija. Osnovni sastav organizacijsko-tehničkih mjera - Sigurnost financijskog (bankarskog) poslovanja. Zaštita informacija financijskih organizacija. Osnovni set organizacijskih i tehničkih mjera. GOST R ISO 22301-2014 Sustavi upravljanja kontinuitetom poslovanja. Opći zahtjevi - Sustavi upravljanja kontinuitetom poslovanja. Zahtjevi. GOST R ISO 22313-2015 Upravljanje kontinuitetom poslovanja. Vodič za implementaciju - Sustavi upravljanja kontinuitetom poslovanja. Smjernice za provedbu. GOST R ISO/IEC 27031-2012 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Vodič za spremnost informacijske i komunikacijske tehnologije za kontinuitet poslovanja - Informacijska tehnologija. Sigurnosne tehnike. Smjernice spremnosti informacijske i komunikacijske tehnologije za kontinuitet poslovanja. GOST R IEC 61508-1-2012 Funkcionalna sigurnost električnih, elektroničkih, programabilnih elektroničkih sigurnosnih sustava. Dio 1. Opći zahtjevi. Funkcionalna sigurnost električnih, elektroničkih, programabilnih elektroničkih sigurnosnih sustava. Dio 1. Opći zahtjevi. Datum uvođenja 2013-08-01. GOST R IEC 61508-2-2012 Funkcionalna sigurnost električnih, elektroničkih, programabilnih elektroničkih sigurnosnih sustava. Dio 2. Zahtjevi sustava. Funkcionalna sigurnost električnih, elektroničkih, programabilnih elektroničkih sigurnosnih sustava. Dio 2. Zahtjevi za sustave. Datum uvođenja 2013-08-01. GOST R IEC 61508-3-2012 FUNKCIONALNA SIGURNOST ELEKTRIČNIH, ELEKTRONIČKIH, PROGRAMABILNIH ELEKTRONIČKIH SUSTAVA POVEZANIH SA SIGURNOŠĆU. Softverski zahtjevi. IEC 61508-3:2010 Funkcionalna sigurnost električnih/elektroničkih/programabilnih elektroničkih sigurnosnih sustava - 3. dio: Softverski zahtjevi (IDT). GOST R IEC 61508-4-2012 FUNKCIONALNA SIGURNOST ELEKTRIČNIH, ELEKTRONIČKIH, PROGRAMABILNIH ELEKTRONIČKIH SUSTAVA POVEZANIH SA SIGURNOŠĆU 4. dio Pojmovi i definicije. Funkcionalna sigurnost električnih, elektroničkih, programabilnih elektroničkih sigurnosnih sustava. Dio 4. Termini i definicije. Datum uvođenja 2013-08-01. . GOST R IEC 61508-6-2012 Funkcionalna sigurnost električnih, elektroničkih, programabilnih elektroničkih sigurnosnih sustava. Dio 6. Smjernice za korištenje GOST R IEC 61508-2 i GOST R IEC 61508-3. IEC 61508-6:2010. Funkcionalna sigurnost električnih/elektroničkih/programabilnih elektroničkih sigurnosnih sustava - 6. dio: Smjernice za primjenu IEC 61508-2 i IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 Funkcionalna sigurnost električnih sustava, Funkcionalna sigurnost električnih, elektroničkih, programabilnih elektroničkih sustava povezanih sa sigurnošću. Dio 7. Metode i sredstva. Funkcionalna sigurnost električnih elektroničkih programabilnih elektroničkih sigurnosnih sustava. Dio 7. Tehnike i mjere. Datum uvođenja 2013-08-01. GOST R 53647.6-2012. Upravljanje kontinuitetom poslovanja. Zahtjevi za sustav upravljanja osobnim informacijama kako bi se osigurala zaštita podataka

Ime:

Zaštita podataka. Osiguranje informacijske sigurnosti u organizaciji.

Valjano

Datum predstavljanja:

Datum otkazivanja:

Zamijenjeno sa:

Tekst GOST R 53114-2008 Zaštita informacija. Osiguranje informacijske sigurnosti u organizaciji. Osnovni pojmovi i definicije

FEDERALNA AGENCIJA ZA TEHNIČKU REGULACIJU I MJERITELJSTVO

NACIONALNI

STANDARD

RUSKI

FEDERACIJA

Zaštita podataka

OSIGURAVANJE SIGURNOSTI INFORMACIJA U ORGANIZACIJI

Osnovni pojmovi i definicije

Službena objava

Oteidartenform

GOST R 53114-2008

Predgovor

Ciljevi i načela standardizacije u Ruskoj Federaciji utvrđeni su Saveznim zakonom br. 184-FZ od 27. prosinca 2002. „O tehničkoj regulativi”, a pravila za primjenu nacionalnih normi Ruske Federacije su GOST R 1.0-2004 „Normizacija u Ruskoj Federaciji. Osnovne odredbe »

Standardne informacije

1 RAZVIJALA Savezna državna ustanova “Državni istraživački institut za ispitivanje problema tehničke informacijske sigurnosti Savezne službe za tehničku i izvoznu kontrolu” (FGU “GNIIII PTZI FSTEC Rusije”), društvo s ograničenom odgovornošću “Istraživačko-proizvodno poduzeće “Kristall” (OOO NPF "Kristal")

2 UVODIO Odsjek za tehničku regulativu i normizaciju Federalne agencije za tehničku regulativu i mjeriteljstvo

3 ODOBRENO I STUPILO NA SNAGU naredbom Federalne agencije za tehničku regulaciju i mjeriteljstvo od 18. prosinca 2008. br. 532-st

4 8 PRVI PUT VOZIO

Podaci o izmjenama ove norme objavljuju se u jednom godišnje objavljenom indeksu informacija “Nacionalne norme”, a tekst izmjena i dopuna objavljuje se u mjesečnom indeksu informacija “Nacionalne norme”. U slučaju revizije (zamjene) ili ukidanja ove norme, odgovarajuća obavijest bit će objavljena u mjesečnom indeksu informacija "Nacionalne norme". Relevantne informacije, obavijesti i tekstovi objavljuju se iu sustavu javnog informiranja - na službenim stranicama Federalne agencije za tehničko reguliranje i mjeriteljstvo na internetu

Ova norma se ne može u potpunosti ili djelomično reproducirati, umnožavati ili distribuirati kao službena publikacija bez dopuštenja Savezne agencije za tehničku regulativu i mjeriteljstvo

GOST R 53114-2008

1 područje upotrebe ............................................ ... ....1

3 Pojmovi i definicije..................................................... ..... ..2

3.1 Opći pojmovi..................................................... .... .....2

3.2 Pojmovi vezani uz objekt zaštite informacija..................................... ...4

3.3 Pojmovi koji se odnose na prijetnje informacijskoj sigurnosti.....................................7

3.4 Pojmovi koji se odnose na upravljanje sigurnošću organizacijskih informacija......8

3.5 Pojmovi koji se odnose na kontrolu i procjenu informacijske sigurnosti organizacije. ... 8

3.6 Pojmovi koji se odnose na kontrole informacijske sigurnosti

organizacije ................................................ ....... .......9

Abecedno kazalo pojmova..................................................... .....11

Dodatak A (za referencu) Pojmovi i definicije općih tehničkih koncepata..................................13

Dodatak B (za referencu) Međuodnos temeljnih pojmova u području informacijske sigurnosti u organizaciji................................... ...................15

Bibliografija................................................. .......16

GOST R 53114-2008

Uvod

Pojmovi utvrđeni ovim standardom raspoređeni su u sustavan redoslijed, odražavajući sustav pojmova u ovom području znanja.

Za svaki koncept postoji jedan standardizirani termin.

Prisutnost uglatih zagrada u terminološkom članku znači da uključuje dva pojma koji imaju zajedničke pojmovne elemente. Ovi su pojmovi zasebno navedeni u abecednom kazalu.

Dio pojma u zagradi može se izostaviti pri korištenju pojma u normizacijskim dokumentima, dok dio pojma koji nije u zagradama čini njegov skraćeni oblik. Nakon standardiziranih pojmova slijede njihovi kratki oblici, odvojeni točkom i zarezom, predstavljeni kraticama.

Date definicije se po potrebi mogu mijenjati uvođenjem izvedenih karakteristika u njih. otkrivajući značenja pojmova koji se u njima koriste, ukazujući na objekte koji su uključeni u opseg definiranog pojma.

Promjene ne smiju utjecati na opseg i sadržaj pojmova definiranih u ovoj normi.

Standardizirani pojmovi ispisani su masnim slovima, njihovi skraćeni oblici nalaze se u tekstu i u abecednom kazalu, uključujući i kratice. - svjetlo, a sinonimi - kurziv.

Izrazi i definicije općih tehničkih koncepata potrebnih za razumijevanje teksta glavnog dijela ove norme dani su u Dodatku A.

GOST R 53114-2008

NACIONALNI STANDARD RUSKE FEDERACIJE

Zaštita podataka

OSIGURAVANJE SIGURNOSTI INFORMACIJA 8 ORGANIZACIJE

Osnovni pojmovi i definicije

Zaštita informacija. Osiguranje informacijske sigurnosti u organizaciji.

Osnovni pojmovi i definicije

Datum uvođenja - 2009-10-01

1 područje upotrebe

Ova norma utvrđuje osnovne pojmove koji se koriste pri provođenju poslova standardizacije u području informacijske sigurnosti u organizaciji.

Pojmovi utvrđeni ovim standardom preporučuju se za korištenje u regulatornim dokumentima, pravnoj, tehničkoj i organizacijskoj i administrativnoj dokumentaciji, znanstvenoj, obrazovnoj i referentnoj literaturi.

Ovaj standard se primjenjuje zajedno s GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Uvjeti navedeni u ovom standardu u skladu su s odredbama Saveznog zakona Ruske Federacije od 27. prosinca 2002. M"184*FZ "Tehnički propis" |3]. Savezni zakon Ruske Federacije od 27. srpnja 2006. br. 149-FZ “O informacijama, informacijskim tehnologijama i zaštiti informacija”. Savezni zakon Ruske Federacije od 27. srpnja 2006. br. 152-FZ "O osobnim podacima". Doktrine informacijske sigurnosti Ruske Federacije, odobrene od strane predsjednika Ruske Federacije 9. rujna 2000. Pr -1895.

2 Normativne reference

GOST R 22.0.02-94 Sigurnost u hitnim situacijama. Termini i definicije temeljnih pojmova

GOST R ISO 9000-2001 Sustavi upravljanja kvalitetom. Osnove i rječnik

GOST R ISO 9001-2008 Sustavi upravljanja kvalitetom. Zahtjevi

GOST R IS0 14001-2007 Sustavi upravljanja okolišem. Zahtjevi i upute za uporabu

GOST R ISO/IEC 13335-1-2006 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Dio 1. Koncept i modeli upravljanja sigurnošću informacijskih i telekomunikacijskih tehnologija

GOST R ISO/IEC 27001-2006 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Sustavi upravljanja informacijskom sigurnošću. Zahtjevi

GOST R 50922-2006 Zaštita informacija. Osnovni pojmovi i definicije

GOST R 51275-2006 Zaštita informacija. Informacijski objekt. Čimbenici koji utječu na informacije. Opće odredbe

GOST R 51897-2002 Upravljanje rizikom. Pojmovi i definicije

Službena objava

GOST R 53114-2008

GOST R51898-2003 Sigurnosni aspekti. Pravila za uključivanje u standarde GOST R 52069.0-2003 Zaštita informacija. Sustav standarda. Osnovne odredbe GOST 34.003-90 Informacijska tehnologija. Skup standarda za automatizirane sustave. Automatizirani sustavi. Pojmovi i definicije

GOST 19781-90 Softver za sustave obrade informacija. Pojmovi i definicije

Napomena - Prilikom korištenja ovog standarda, preporučljivo je provjeriti valjanost referentnih standarda u javnom informacijskom sustavu - na službenim stranicama Federalne agencije za tehničko reguliranje i mjeriteljstvo na internetu ili prema godišnjem objavljenom indeksu informacija "Nacionalni Standardi”, koji je objavljen od 1. siječnja tekuće godine, a prema pripadajućim mjesečnim informativnim indeksima objavljenim u tekućoj godini. Ako je referentni standard zamijenjen (promijenjen), tada se pri korištenju ovog standarda trebate voditi zamijenjenim (promijenjenim) standardom. Ako se referentna norma poništi bez zamjene, tada se odredba u kojoj je navedena referenca primjenjuje na dio koji ne utječe na tu referencu.

3 Termini i definicije

3.1 Opći pojmovi

sigurnost informacija [podataka]: Stanje sigurnosti informacija [podataka], u kojem se osigurava njihova [njihova] povjerljivost, dostupnost i cjelovitost.

[GOST R 50922-2006. stavak 2.4.5]

sigurnost informacijske tehnologije: Stanje sigurnosti informacijske tehnologije. čime se osigurava sigurnost informacija za čije obrađivanje se koriste. te informacijsku sigurnost informacijskog sustava u koji je implementiran.

[R 50.1.056-2006. stavak 2.4.5]

informacijska sfera: Sveukupnost informacija, informacijska infrastruktura, subjekti. provođenje prikupljanja, formiranja, širenja i korištenja informacija, kao i sustavi za reguliranje društvenih odnosa koji pritom nastaju.

3.1.4 informacijska infrastruktura: Skup informatizacijskih objekata koji potrošačima osiguravaju pristup informacijskim resursima.

objekt informatizacije: skup informacijskih resursa, alata i sustava za obradu informacija koji se koriste u skladu s određenom informacijskom tehnologijom, kao i pomoćni objekti, prostori ili objekti (zgrade, strukture, tehnička sredstva) u kojima su ti alati i sustavi instalirani, ili prostorije i objekti namijenjeni za vođenje povjerljivih pregovora.

[GOST R 51275-2006. klauzula 3.1]

3.1.6 imovina organizacije: Sve. ono što je od vrijednosti za organizaciju u interesu postizanja njezinih ciljeva i što joj je na raspolaganju.

Napomena: imovina organizacije može uključivati:

Informacijska imovina, uključujući razne vrste informacija koje cirkuliraju u informacijskom sustavu (uslužne, upravljačke, analitičke, poslovne itd.) u svim fazama životnog ciklusa (generiranje, pohranjivanje, obrada, prijenos, uništavanje):

Resursi (financijski, ljudski, računalni, informacijski, telekomunikacijski i drugi):

Procesi (tehnološki, informacijski itd.);

Proizvedeni proizvodi ili pružene usluge.

GOST R 53114-2008

Resurs sustava za obradu informacija: Objekt sustava za obradu informacija koji se može dodijeliti procesu obrade podataka za određeni vremenski interval.

Napomena - Glavni resursi su procesori, područja glavne memorije, skupovi podataka. periferni uređaji, programi.

[GOST 19781-90. paragraf 93)

3.1.8 informacijski proces: Proces stvaranja, prikupljanja, obrade, akumulacije, pohrane, pretraživanja. širenje i korištenje informacija.

informacijska tehnologija; IT: Procesi, metode pretraživanja, prikupljanja, pohranjivanja, obrade, pružanja. širenje informacija i načine provođenja takvih procesa i metoda. [Savezni zakon Ruske Federacije od 27. prosinca 2002. br. 184-FZ. članak 2. stavak 2)]

tehnička podrška automatiziranog sustava; Tehnička podrška NEK: Ukupnost svih tehničkih sredstava koja se koriste u radu NEK.

[GOST R 34.003-90. stavak 2.5]

softver automatiziranog sustava; AS softver: skup programa na mediju za pohranu i programskih dokumenata namijenjenih otklanjanju pogrešaka, radu i testiranju funkcionalnosti AS.

[GOST R 34.003-90. stavak 2.7]

informacijska podrška automatiziranog sustava; informacijska potpora AS-a: Skup obrazaca dokumenata, klasifikatora, regulatornog okvira i implementiranih rješenja o obujmu, smještaju i oblicima postojanja informacija koje se koriste u AS-u tijekom njegova rada.

[GOST R 34.003-90. klauzula 2.8]

3.1.13 usluga; usluga: Rezultat aktivnosti izvođača da zadovolji potrebe potrošača.

Napomena - 8 organizacija, pojedinac ili proces mogu djelovati kao izvođač (potrošač) usluge.

3.1.14 usluge informacijske tehnologije: IT usluge: Skup funkcionalnih mogućnosti informacija i. možda neinformacijska tehnologija koja se pruža krajnjim korisnicima kao usluga.

NAPOMENA Primjeri IT usluga uključuju razmjenu poruka, poslovne aplikacije, usluge datoteka i ispisa, mrežne usluge itd.

3.1.15 sustav kritične informacijske infrastrukture; sustav ključne informacijske infrastrukture: FIAC: informacijski upravljački ili informacijski telekomunikacijski sustav koji upravlja ili daje informacije kritičnom objektu ili procesu, ili se koristi za službeno informiranje društva i građana, čiji poremećaj ili prekid funkcioniranja (kao posljedica destruktivne informacijski utjecaji, kao i kvarovi ili kvarovi) mogu dovesti do izvanrednog stanja sa značajnim negativnim posljedicama.

3.1.18 kritični objekt: Objekt ili proces čiji bi prekid kontinuiteta rada mogao uzrokovati značajnu štetu.

GOST R 53114-2008

Napomena - Moguća je šteta na imovini fizičkih i pravnih osoba. državne ili općinske imovine, okoliša, kao i nanošenje štete životu ili zdravlju građana.

informacijski sustav osobnih podataka: informacijski sustav koji je skup osobnih podataka sadržanih u bazi podataka, kao i informacijske tehnologije i tehnička sredstva koja omogućuju obradu takvih osobnih podataka pomoću alata za automatizaciju ili bez upotrebe takvih alata.

osobni podaci: Svaka informacija koja se odnosi na pojedinca identificiranog ili utvrđenog na temelju takvih podataka (subjekt osobnih podataka), uključujući njegovo prezime, ime. patronim, god mjesec, datum i mjesto rođenja, adresa, obiteljsko, socijalno, imovinsko stanje, stručna sprema, zanimanje, prihod, drugi podaci.

3.1.19 automatizirani sustav u zaštićenom dizajnu; AS u zaštićenom dizajnu: automatizirani sustav koji implementira informacijsku tehnologiju za obavljanje utvrđenih funkcija u skladu sa zahtjevima standarda i/ili regulatornih dokumenata o zaštiti informacija.

3.2 Pojmovi vezani uz objekt zaštite informacija

3.2.1 informacijska sigurnost organizacije; Organizacijska inteligencija: Stanje zaštite interesa organizacije pred prijetnjama u informacijskoj sferi.

Napomena - Sigurnost se postiže osiguravanjem skupa svojstava informacijske sigurnosti - povjerljivosti, cjelovitosti, dostupnosti informacijskih sredstava i infrastrukture organizacije. Prioritet svojstava informacijske sigurnosti određen je značajem informacijske imovine za interese (ciljeve) organizacije.

objekt informacijske zaštite: Informacija ili nositelj informacije, odnosno informacijski proces. koji moraju biti zaštićeni u skladu sa svrhom zaštite podataka.

[GOST R 50922-2006. klauzula 2.5.1]

3.2.3 zaštićeni proces (informacijska tehnologija): Proces koji koristi informacijska tehnologija za obradu zaštićenih informacija uz potrebnu razinu njihove sigurnosti.

3.2.4 povreda informacijske sigurnosti organizacije: povreda informacijske sigurnosti organizacije: Slučajna ili namjerna nezakonita radnja pojedinca (subjekta, objekta) u odnosu na imovinu organizacije, čija je posljedica povreda sigurnosti informacija kada obrađuje se tehničkim sredstvima u informacijskim sustavima, uzrokujući negativne posljedice (štetu/štetu) za organizaciju.

hitan slučaj; nepredviđena situacija; Hitna situacija: Situacija na određenom području ili akvatoriju nastala kao posljedica nesreće, opasne prirodne pojave, katastrofe, prirodne ili druge nesreće koja može rezultirati gubitkom života ili ljudskim žrtvama, oštećenjem zdravlja ljudi ili okoliša, znatne materijalne gubitke i narušavanje životnih uvjeta ljudi.

Napomena - Izvanredne situacije razlikuju se prema prirodi izvora (prirodni, izazvani čovjekom, biološko-socijalni i vojni) i prema opsegu (lokalni, lokalni, teritorijalni, regionalni, federalni i prekogranični).

(GOST R 22.0.02-94. Članak 2.1.1.)

GOST R 53114-2008

3.2.6

opasna situacija: Okolnosti u kojima su ljudi, imovina ili okoliš u opasnosti.

(GOST R 51898-2003. stavak 3.6)

3.2.7

informacijski sigurnosni incident: Svaki neočekivani ili neželjeni događaj koji može poremetiti rad ili informacijsku sigurnost.

Napomena - incidenti informacijske sigurnosti su:

Gubitak usluga, opreme ili uređaja:

Kvarovi ili preopterećenja sustava:

Pogreške korisnika.

Kršenje mjera fizičke zaštite:

Nekontrolirane promjene sustava.

Kvarovi softvera i kvarovi hardvera:

Kršenje pravila pristupa.

(GOST R ISO/IEC 27001 -2006. Članak 3.6)

3.2.8 događaj: Pojava ili prisutnost određenog niza okolnosti.

Bilješke

1 Priroda, vjerojatnost i posljedice događaja možda neće biti u potpunosti poznate.

2 Događaj se može dogoditi jednom ili više puta.

3 Vjerojatnost povezana s događajem može se procijeniti.

4 Događaj se može sastojati od nenastupanja jedne ili više okolnosti.

5 Nepredvidiv događaj ponekad se naziva "incident".

6 Događaj u kojem nema gubitaka ponekad se naziva preduvjetom za incident (incident), opasnim stanjem, opasnim spletom okolnosti itd.

3.2.9 rizik: Utjecaj neizvjesnosti na proces postizanja ciljeva.

Bilješke

1 Ciljevi mogu imati različite aspekte: financijski, zdravstveni, sigurnosni i ekološki, a mogu se postaviti na različitim razinama: na strateškoj razini, na organizacijskoj razini, na razini projekta, proizvoda i procesa.

3 Rizik se često izražava u smislu kombinacije posljedica nekog događaja ili promjene okolnosti i njihove vjerojatnosti.

3.2.10

Procjena rizika: proces koji kombinira identifikaciju rizika, analizu rizika i kvantifikaciju rizika.

(GOST R ISO/IEC 13335-1 -2006, paragraf 2.21)

3.2.11 procjena rizika informacijske sigurnosti (organizacije); procjena rizika informacijske sigurnosti (organizacija): Sveukupni proces identifikacije, analize i određivanja prihvatljivosti razine rizika informacijske sigurnosti organizacije.

3.2.12 identifikacija rizika: Proces otkrivanja, prepoznavanja i opisivanja rizika.

Bilješke

1 Identifikacija rizika uključuje identifikaciju izvora rizika, događaja i njihovih uzroka, kao i njihovih mogućih posljedica.

NAPOMENA 2 Identifikacija rizika može uključivati statističke podatke, teorijsku analizu, informirana stajališta i stručna mišljenja te potrebe dionika.

GOST R 53114-2008

analiza rizika: Sustavno korištenje informacija za prepoznavanje izvora rizika i kvantificiranje rizika.

(GOST R ISO/IEC 27001-2006. Članak 3.11.)

3.2.14 određivanje prihvatljivosti rizika: Proces usporedbe rezultata analize rizika s kriterijima rizika kako bi se odredila prihvatljivost ili podnošljivost razine rizika.

NAPOMENA Određivanje prihvatljivosti razine rizika pomaže u donošenju odluka o liječenju

3.2.15 rukovanje rizikom informacijske sigurnosti organizacije; Liječenje rizika organizacijske informacijske sigurnosti: Proces razvoja i/ili odabira i provedbe mjera za upravljanje rizicima informacijske sigurnosti organizacije.

Bilješke

1 Liječenje rizika može uključivati:

Izbjegavanje rizika odlukom da se ne započnu ili nastave aktivnosti koje stvaraju uvjete

Traženje prilike odlučivanjem o pokretanju ili nastavku aktivnosti koje mogu stvoriti ili povećati rizik;

Uklanjanje izvora rizika:

Promjene u prirodi i veličini rizika:

Mijenjanje posljedica;

Dijeljenje rizika s drugom stranom ili stranama.

Postojanost rizika kao rezultat svjesne odluke i "po defaultu".

2 Tretmani rizika s negativnim posljedicama ponekad se nazivaju ublažavanje, eliminacija, prevencija. smanjenje, suzbijanje i korekcija rizika.

3.2.16 upravljanje rizikom: Koordinirane radnje za usmjeravanje i kontrolu aktivnosti organizacije u vezi s rizicima.

3.2.17 izvor rizika za informacijsku sigurnost organizacije; izvor organizacijskih informacija sigurnosni rizik: objekt ili radnja koja može uzrokovati [stvoriti] rizik.

Bilješke

1 Nema rizika ako ne postoji interakcija između objekta, osobe ili organizacije s izvorom rizika.

2 Izvor rizika može biti materijalan ili nematerijalan.

3.2.18 politika informacijske sigurnosti (organizacije); Politika informacijske sigurnosti (organizacija): Službena izjava pravila, postupaka, praksi ili smjernica informacijske sigurnosti koji usmjeravaju aktivnosti organizacije.

Napomena - Pravila moraju sadržavati.

Predmet, glavni ciljevi i ciljevi sigurnosne politike:

Uvjeti za primjenu sigurnosne politike i moguća ograničenja:

Opis stajališta uprave organizacije o provedbi sigurnosne politike i organizaciji režima informacijske sigurnosti organizacije u cjelini.

Prava i odgovornosti, kao i stupanj odgovornosti zaposlenika za poštivanje sigurnosne politike organizacije.

Hitni postupci u slučaju kršenja sigurnosne politike

3.2.19 cilj informacijske sigurnosti (organizacije); Cilj IS (organizacije): Unaprijed određeni rezultat osiguranja informacijske sigurnosti organizacije u skladu s utvrđenim zahtjevima u politici IS (organizacije).

Napomena - Rezultat osiguranja informacijske sigurnosti može biti sprječavanje štete vlasniku informacije zbog mogućeg curenja informacija i(ili) neovlaštenog i nenamjernog utjecaja na informacije.

3.2.20 sustav dokumenata o informacijskoj sigurnosti u organizaciji; sustav dokumenata informacijske sigurnosti u organizaciji: uređen skup dokumenata objedinjenih ciljnom orijentacijom. međusobno povezani na temelju podrijetla, namjene, vrste, opsega djelatnosti, jedinstvenih zahtjeva za njihov dizajn i reguliranja aktivnosti organizacije radi osiguranja informacijske sigurnosti.

GOST R 53114-2008

3.3 Pojmovi koji se odnose na prijetnje informacijskoj sigurnosti

3.3.1 prijetnja informacijskoj sigurnosti organizacije; informacijska sigurnosna prijetnja organizaciji: skup čimbenika i uvjeta koji stvaraju opasnost od povrede informacijske sigurnosti organizacije, uzrokujući ili mogu izazvati negativne posljedice (šteta/šteta) za organizaciju.

Bilješke

1 Oblik provedbe (manifestacije) prijetnje informacijskoj sigurnosti je izbijanje jednog ili više međusobno povezanih događaja informacijske sigurnosti i incidenata informacijske sigurnosti. što dovodi do kršenja svojstava informacijske sigurnosti zaštićenih objekata organizacije.

2 Prijetnju karakterizira prisutnost predmeta prijetnje, izvor prijetnje i manifestacija prijetnje.

Prijetnja (informacijska sigurnost): skup uvjeta i čimbenika koji stvaraju potencijalnu ili stvarnu opasnost od povrede informacijske sigurnosti.

[GOST R 50922-2006. klauzula 2.6.1]

3.3.3 model prijetnje (informacijske sigurnosti): Fizički, matematički, opisni prikaz svojstava ili karakteristika prijetnji informacijskoj sigurnosti.

Napomena - poseban regulatorni dokument može biti vrsta opisnog prikaza svojstava ili karakteristika prijetnji informacijskoj sigurnosti.

ranjivost (informacijskog sustava); kršenje: Svojstvo informacijskog sustava koje omogućuje implementaciju prijetnji sigurnosti informacija koje se u njemu obrađuju.

Bilješke

1 Uvjet za realizaciju sigurnosne prijetnje obrađene u informacijskom sustavu može biti nedostatak ili slabost informacijskog sustava.

2 Ako ranjivost odgovara prijetnji, tada postoji rizik.

[GOST R 50922-2006. stavak 2.6.4]

3.3.5 prekršitelj informacijske sigurnosti organizacije; prekršitelj informacijske sigurnosti organizacije: pojedinac ili logički entitet koji je slučajno ili namjerno počinio radnju čija je posljedica povreda informacijske sigurnosti organizacije.

3.3.6 neovlašteni pristup: Pristup informacijama ili resursima automatiziranog informacijskog sustava, izvršen uz kršenje utvrđenih prava pristupa (ili) pravila.

Bilješke

1 Neovlašteni pristup može biti namjeran ili nenamjeran.

2. Prava i pravila pristupa informacijama i resursima informacijskog sustava utvrđuju se za procese obrade informacija, održavanje automatiziranog informacijskog sustava i promjene programa. tehnička i informacijska sredstva, kao i dobivanje informacija o njima.

3.3.7 mrežni napad: Radnje koje koriste softver i (ili) hardver i koriste mrežni protokol, usmjerene na implementaciju prijetnji neovlaštenog pristupa informacijama, utjecaja na njih ili resurse automatiziranog informacijskog sustava.

Aplikacija - Mrežni protokol je skup semantičkih i sintaktičkih pravila koja određuju interakciju programa za upravljanje mrežom koji se nalaze na istom računalu. s istoimenim programima koji se nalaze na drugom računalu.

3.3.8 blokiranje pristupa (informacijama): Prekid ili otežani pristup informacijama osoba. na to imaju pravo (legitimni korisnici).

3.3.9 napad uskraćivanjem usluge: Mrežni napad koji dovodi do blokiranja informacijskih procesa u automatiziranom sustavu.

3.3.10 curenje informacija: Nekontrolirano širenje zaštićenih informacija kao rezultat njihovog otkrivanja, neovlaštenog pristupa informacijama i primanja zaštićenih informacija od strane stranih obavještajnih službi.

3.3.11 otkrivanje podataka: Neovlašteno priopćavanje zaštićenih podataka osobama. nije ovlašten za pristup ovim informacijama.

GOST R 53114-2008

presretanje (informacija): Nezakonito primanje informacija korištenjem tehničkog sredstva koje otkriva, prima i obrađuje informativne signale.

(R 50.1.053-2005, stavak 3.2.5)

informativni signal: signal čiji se parametri mogu koristiti za određivanje zaštićene informacije.

[R 50.1.05S-2005. stavak 3.2.6]

3.3.14 deklarirane mogućnosti: Funkcionalne mogućnosti računalnog hardvera i softvera koje nisu opisane ili ne odgovaraju onima opisanima u dokumentaciji. što može dovesti do smanjenja ili kršenja sigurnosnih svojstava informacija.

3.3.15 lažno elektromagnetsko zračenje i smetnje: Elektromagnetsko zračenje iz opreme za obradu tehničkih informacija, koje nastaje kao nuspojava i uzrokovano električnim signalima koji djeluju u njihovim električnim i magnetskim krugovima, kao i elektromagnetske smetnje tih signala na vodljivim vodovima, strukturama i snazi sklopovi.

3.4 Pojmovi koji se odnose na upravljanje sigurnošću organizacijskih informacija

3.4.1 upravljanje informacijskom sigurnošću organizacije; upravljanje organizacijom informacijske sigurnosti; Koordinirano djelovanje za vodstvo i upravljanje organizacijom u smislu osiguranja njezine informacijske sigurnosti u skladu s promjenjivim uvjetima unutarnjeg i vanjskog okruženja organizacije.

3.4.2 upravljanje rizikom informacijske sigurnosti organizacije; upravljanje rizikom informacijske sigurnosti organizacije: Koordinirane radnje za usmjeravanje i upravljanje organizacijom u odnosu na rizik informacijske sigurnosti kako bi se on sveo na minimum.

NAPOMENA Osnovni procesi upravljanja rizikom su postavljanje konteksta, procjena rizika, tretiranje i prihvaćanje rizika, praćenje i pregled rizika.

sustav upravljanja informacijskom sigurnošću; ISMS: Dio cjelokupnog sustava upravljanja. na temelju korištenja metoda procjene rizika bioenergije za razvoj, implementaciju i rad. praćenje, analiza, podrška i unapređenje informacijske sigurnosti.

NAPOMENA Sustav upravljanja uključuje organizacijsku strukturu, politike, aktivnosti planiranja, odgovornosti, prakse, postupke, procese i resurse.

[GOST R ISO/IEC 27001 -2006. klauzula 3.7]

3.4.4 uloga informacijske sigurnosti u organizaciji; uloga informacijske sigurnosti u organizaciji: skup specifičnih funkcija i zadataka za osiguranje informacijske sigurnosti organizacije koji uspostavljaju prihvatljivu interakciju između subjekta i objekta u organizaciji.

Bilješke

1 Subjekti uključuju osobe među rukovoditeljima organizacije, njezino osoblje ili procese pokrenute u njihovo ime za obavljanje radnji na objektima

2 Objekti mogu biti hardver, softver, softver i hardver ili informacijski resurs na kojem se izvode radnje.

3.4.5 usluga informacijske sigurnosti organizacije: Organizacijska i tehnička struktura sustava upravljanja informacijskom sigurnošću organizacije koja implementira rješenje specifičnog zadatka usmjerenog na suprotstavljanje prijetnjama informacijskoj sigurnosti organizacije.

3.5 Pojmovi koji se odnose na praćenje i procjenu informacijske sigurnosti organizacije

3.5.1 nadzor nad osiguravanjem informacijske sigurnosti organizacije; kontrola pružanja informacijske sigurnosti organizacije: Provjera usklađenosti pružanja informacijske sigurnosti u organizaciji.

GOST R 53114-2008

3.5.2 praćenje informacijske sigurnosti organizacije; nadzor informacijske sigurnosti organizacije: Stalni nadzor procesa informacijske sigurnosti u organizaciji kako bi se utvrdila njegova usklađenost sa zahtjevima informacijske sigurnosti.

3.5.3 revizija informacijske sigurnosti organizacije; revizija organizacije informacijske sigurnosti: Sustavan, neovisan i dokumentiran proces pribavljanja dokaza o aktivnostima organizacije radi osiguranja informacijske sigurnosti i utvrđivanja stupnja ispunjenja kriterija informacijske sigurnosti u organizaciji, kao i dopuštanje mogućnosti formiranja stručne revizije. prosudba o stanju informacijske sigurnosti organizacije.

3.5.4 evidencija (dokaz) revizije informacijske sigurnosti organizacije; Podaci revizije organizacijske informacijske sigurnosti: Zapisi, izjave o činjenicama ili druge informacije koje su relevantne za kriterije revizije informacijske sigurnosti organizacije i mogu se provjeriti.

NAPOMENA: Dokazi o sigurnosti informacija mogu biti kvalitativni ili kvantitativni.

3.5.5 procjena usklađenosti informacijske sigurnosti organizacije s utvrđenim zahtjevima; procjena usklađenosti informacijske sigurnosti organizacije s utvrđenim zahtjevima: Aktivnosti uključene u izravno ili neizravno utvrđivanje usklađenosti ili neusklađenosti s utvrđenim zahtjevima informacijske sigurnosti u organizaciji.

3.5.6 kriterij za reviziju informacijske sigurnosti organizacije; revizijski kriterij organizacije za informacijsku sigurnost: skup načela, odredbi, zahtjeva i pokazatelja važećih regulatornih dokumenata* koji se odnose na aktivnosti organizacije u području informacijske sigurnosti.

Primjena - Kriteriji revizije informacijske sigurnosti koriste se za usporedbu dokaza revizije informacijske sigurnosti s njima.

3.5.7 certifikacija automatiziranog sustava u sigurnom dizajnu: Proces sveobuhvatne provjere izvedbe specificiranih funkcija automatiziranog sustava za obradu zaštićenih informacija radi usklađenosti sa zahtjevima standarda i/ili regulatornih dokumenata u području informacija. zaštitu i izradu dokumenata o njezinoj usklađenosti s obavljanjem funkcije obrade zaštićenih podataka na konkretnom objektu informatizacije.

3.5.8 kriterij za osiguranje informacijske sigurnosti organizacije; kriterij informacijske sigurnosti organizacije: pokazatelj na temelju kojeg se procjenjuje stupanj postignuća ciljeva informacijske sigurnosti organizacije.

3.5.9 učinkovitost informacijske sigurnosti; učinkovitost informacijske sigurnosti: Odnos između postignutog rezultata i resursa koji se koriste za osiguranje određene razine informacijske sigurnosti.

3.6 Pojmovi koji se odnose na kontrole informacijske sigurnosti organizacije

3.6.1 osiguranje informacijske sigurnosti organizacije; pružanje informacijske sigurnosti organizacije: Aktivnosti usmjerene na uklanjanje (neutraliziranje, suzbijanje) unutarnjih i vanjskih prijetnji informacijskoj sigurnosti organizacije ili minimiziranje štete od moguće implementacije takvih prijetnji.

3.6.2 sigurnosna mjera; sigurnosna kontrola: uspostavljena praksa, postupak ili mehanizam za rukovanje rizikom.

3.6.3 mjere za osiguranje informacijske sigurnosti; mjere informacijske sigurnosti: skup radnji usmjerenih na razvoj i/ili praktičnu primjenu metoda i sredstava za osiguranje informacijske sigurnosti.

3.6.4 organizacijske mjere za osiguranje informacijske sigurnosti; organizacijske mjere za osiguranje informacijske sigurnosti: Mjere za osiguranje informacijske sigurnosti, koje predviđaju uspostavu privremenih, teritorijalnih, prostornih, pravnih, metodoloških i drugih ograničenja uvjeta korištenja i načina rada objekta informatizacije.

3.6.5 tehnička sredstva za osiguranje informacijske sigurnosti; tehnička sredstva za informacijsku sigurnost: Oprema koja se koristi za osiguranje informacijske sigurnosti organizacije korištenjem nekriptografskih metoda.

Napomena - Takvu opremu može predstavljati hardver i softver ugrađen u štićeni objekt i/ili koji rade samostalno (neovisno o štićenom objektu).

GOST R 53114-2008

3.5.6 alat za otkrivanje upada, alat za otkrivanje napada: softverski ili softversko-hardverski alat koji automatizira proces nadziranja događaja koji se događaju u računalnom sustavu ili mreži, te također neovisno analizira te događaje u potrazi za znakovima informacijsko sigurnosnog incidenta.

3.6.7 sredstva zaštite od neovlaštenog pristupa: Softver, hardver ili softver i hardver namijenjeni sprječavanju ili značajnom sprječavanju neovlaštenog pristupa.

GOST R 53114-2008

Abecedno kazalo pojmova

imovina organizacije 3.1.6

analiza rizika 3.2.13

Zvučnici u zaštićenoj verziji 3.1.19

napad uskraćivanjem usluge 3.3.9

mrežni napad 3.3.7

certifikacija automatiziranog sustava u zaštićenoj verziji 3.5.7

revizija informacijske sigurnosti organizacije 3.5.3

sigurnost (podaci] 3.1.1

informacijska sigurnost 3.1.1

sigurnost informacijske tehnologije 3.1.2

informacijska sigurnost organizacije 3.2.1

blokiranje pristupa (informacijama) 3.3.8

kršenje 3.3.4

nedeklarisane sposobnosti 3.3.14

osobni podaci 3.1.18

neovlašteni pristup 3.3.6

Organizacijska informacijska sigurnost 3.2.1

identifikacija rizika 3.2.12

informacijska infrastruktura 3.1.4

informacijski sigurnosni incident 3.2.7

sigurnosni rizik izvora organizacijskih informacija 3.2.17

izvor rizika za informacijsku sigurnost organizacije 3.2.17

kontrola informacijske sigurnosti organizacije 3.5.1

kontrola nad informacijskom sigurnošću organizacije 3.5.1

kriteriji za osiguranje informacijske sigurnosti organizacije 3.5.8

kriterij revizije organizacijskog IS-a 3.5.6

kriterij revizije informacijske sigurnosti organizacije 3.5.6

kriterij za osiguranje informacijske sigurnosti organizacije 3.5.8

upravljanje informacijskom sigurnošću organizacije 3.4.1

upravljanje rizikom informacijske sigurnosti organizacije 3.4.2

sigurnosna mjera 3.6.2

mjere informacijske sigurnosti 3.6.3

organizacijske mjere sigurnosti informacija 3.6.4

mjere informacijske sigurnosti 3.6.3

organizacijske informacijske sigurnosne mjere 3.4.6

model prijetnji (informacijska sigurnost) 3.3.3

nadzor informacijske sigurnosti organizacije 3.5.2

praćenje informacijske sigurnosti organizacije 3.5.2

povreda informacijske sigurnosti organizacije 3.2.4

prekršitelj informacijske sigurnosti organizacije 3.3.5

kršitelj informacijske sigurnosti organizacije 3.3.5

automatizirani sustav informacijske podrške 3.1.12

softver automatiziranog sustava 3.1.11

tehnička podrška automatiziranog sustava 3.1.10

Informacijska podrška AS 3.1.12

AC softver 3.1.11

AC tehnička podrška 3.1.10

osiguranje informacijske sigurnosti organizacije 3.6.1

Tretman rizika informacijske sigurnosti organizacije 3.2.15

GOST R 53114-2008

upravljanje rizikom informacijske sigurnosti organizacije 3.2.1S

objekt zaštite informacija 3.2.2

objekt informatizacije 3.1.5

kritični objekt 3.1.16

određivanje prihvatljive razine rizika 3.2.14

procjena rizika 3.2.10

procjena rizika I6 (organizacije) 3.2.11

procjena rizika informacijske sigurnosti (organizacija) 3.2.11

procjena usklađenosti IS-a organizacije s utvrđenim zahtjevima 3.5.5

procjena usklađenosti informacijske sigurnosti organizacije s utvrđenim zahtjevima 3.5.5

presretanje (informacija) 3.3.12

Politika (organizacija) IS-a 3.2.18

politika informacijske sigurnosti (organizacija) 3.2.18

proces (informacijska tehnologija) zaštićen 3.2.3

informacijski proces 3.1.8

objavljivanje informacija 3.3.11

resurs sustava za obradu informacija 3.1.7

uloga informacijske sigurnosti u organizaciji 3.4.4

uloga informacijske sigurnosti 8 u organizaciji 3.4.4

potvrde (dokazi) o reviziji IS organizacije 3.5.4

evidencija (evidencija) revizije informacijske sigurnosti organizacije 3.5.4

usluga 3.1.13

informativni signal 3.3.13

siguran automatizirani sustav 3.1.19

dokumentacijski sustav informacijske sigurnosti u organizaciji 3.2.20

sustav dokumenata o informacijskoj sigurnosti u organizaciji 3.2.20

sustav ključne informacijske infrastrukture 3.1.15

sustav kritične informacijske infrastrukture 3.1.15

sustav upravljanja informacijskom sigurnošću 3.4.3

informacijski sustav osobnih podataka 3.1.17

nepredviđena situacija 3.2.5

opasna situacija 3.2.6

hitna situacija 3.2.5

služba informacijske sigurnosti organizacije 3.4.6

događaj 3.2.8

zaštita od neovlaštenog pristupa 3.6.7

tehnički alat za informacijsku sigurnost 3.6.5

Alat za otkrivanje napada 3.6.6

Alat za otkrivanje upada 3.6.6

informacijska sfera 3.1.3

informacijska tehnologija 3.1.9

prijetnja (informacijska sigurnost) 3.3.2

prijetnja informacijskoj sigurnosti organizacije 3.3.1

upravljanje rizicima 3.2.16

usluga 3.1.13

usluge informacijske tehnologije 3.1.14

IT usluge 3.1.14

curenje informacija 3.3.10

ranjivost (informacijski sustav) 3.3.4

Cilj (organizacija) IS-a 3.2.19

cilj informacijske sigurnosti (organizacija) 3.2.19

elektromagnetsko zračenje i bočne smetnje 3.3.15

Učinkovitost IS-a 3.5.9

učinkovitost informacijske sigurnosti 3.5.9

GOST R 53114-2008

Dodatak A (referenca)

Termini i definicije općih tehničkih pojmova

organizacija: Skupina radnika i potrebnih resursa s raspodjelom odgovornosti, ovlasti i odnosa.

(GOST R ISO 9000-2001, paragraf 3.3.1)

Bilješke

1 Organizacije uključuju: kompaniju, korporaciju, firmu, poduzeće, instituciju, dobrotvornu organizaciju, maloprodajno trgovačko poduzeće, udrugu. kao i njihovi pododjeli ili njihova kombinacija.

2 Distribucija je obično naručena.

3 Organizacija može biti javna ili privatna.

A.2 posao: Gospodarska aktivnost koja proizvodi dobit; svaka vrsta aktivnosti koja stvara prihod i predstavlja izvor bogaćenja.

A.Z poslovni proces: Procesi koji se koriste u gospodarskim aktivnostima organizacije.

informacije: Informacije (poruke, podaci) bez obzira na oblik njihove prezentacije.

sredstva: Sve. ono što je od vrijednosti za organizaciju. (GOST R ISO/IEC13335-1-2006, paragraf 2.2(

A.6 resursi: Sredstva (organizacije) koja se koriste ili troše tijekom izvođenja procesa. Bilješke

1 Resursi mogu uključivati tako različite stavke kao što su osoblje, oprema, dugotrajna imovina, alati i komunalije kao što su energija, voda, gorivo i infrastruktura komunikacijske mreže.

2 Resursi mogu biti višekratni, obnovljivi ili potrošni.

A.7 opasnost: Svojstvo objekta koje karakterizira njegovu sposobnost da uzrokuje štetu ili štetu drugim objektima. A.8 hitni događaj: događaj koji dovodi do hitne situacije.

A.9 šteta: Fizička šteta ili šteta ljudskom zdravlju ili šteta imovini ili okolišu.

A. 10 prijetnja: skup uvjeta i čimbenika koji mogu uzrokovati povredu integriteta i dostupnosti. privatnost.

A.11 ranjivost: Unutarnja svojstva objekta koja stvaraju osjetljivost na učinke izvora rizika koji mogu dovesti do neke posljedice.

A. 12 napad: Pokušaj nadvladavanja sigurnosnog sustava informacijskog sustava.

Napomene - Stupanj "uspjeha" napada ovisi o ranjivosti i učinkovitosti obrambenog sustava.

A.13 menadžment: Koordinirane aktivnosti za usmjeravanje i upravljanje organizacijom

A.14 Upravljanje (kontinuitetom) poslovanja: Koordinirano upravljanje i kontrolne aktivnosti

poslovnih procesa organizacije.

A. 15 uloga: Unaprijed određeni skup pravila i postupaka za aktivnosti organizacije koji uspostavljaju prihvatljivu interakciju između subjekta i objekta aktivnosti.

Vlasnik informacije: Osoba koja je samostalno stvorila informaciju ili je na temelju zakona ili ugovora dobila pravo dopustiti ili ograničiti pristup informaciji prema bilo kojem kriteriju.

GOST R 53114-2008

infrastruktura: Sveukupnost zgrada, opreme i pomoćnih usluga potrebnih za funkcioniranje organizacije.

[GOST R ISO 9000-2001. klauzula 3.3.3]

A.18 revizija: Sustavan, neovisan i dokumentiran proces dobivanja revizijskih dokaza i njihove objektivne procjene kako bi se utvrdilo u kojoj su mjeri ispunjeni dogovoreni revizijski kriteriji.

Bilješke

1 Interne revizije, koje se nazivaju revizije prve strane, provode za interne potrebe sama organizacija ili druga organizacija u njezino ime. Rezultati interne revizije mogu poslužiti kao osnova za izjavu o sukladnosti. U mnogim slučajevima, posebno u malim poduzećima, reviziju moraju provoditi stručnjaci (osobe koje nisu odgovorne za djelatnost koja se revidira).

NAPOMENA 2. Vanjske revizije uključuju revizije koje se nazivaju revizije druge strane i revizije treće strane. Revizije druge strane provode strane zainteresirane za aktivnosti poduzeća, na primjer.

potrošači ili drugi u njihovo ime. Revizije treće strane provode vanjske neovisne organizacije. Ove organizacije provode certificiranje ili registraciju za usklađenost sa zahtjevima, na primjer, zahtjevima GOST R ISO 9001 i GOST R ISO 14001.

3 Audit sustava upravljanja kvalitetom i okolišem koji se provodi istovremeno naziva se "sveobuhvatni audit".

4 Ako reviziju revidirane organizacije istovremeno provodi nekoliko organizacija, tada se takva revizija naziva "zajednička revizija".

A.19 praćenje: Sustavno ili kontinuirano praćenje objekta, osiguravanje kontrole i/ili mjerenje njegovih parametara, kao i provođenje analiza za predviđanje varijabilnosti parametara i donošenje odluka o potrebi i sastavu korektivnih i preventivnih radnji.

izjava o sukladnosti: Obrazac potvrde o sukladnosti proizvoda sa zahtjevima tehničkih propisa.

A.21 tehnologija: Sustav međusobno povezanih metoda, metoda, tehnika objektivne aktivnosti. A.22

dokument: Podaci zabilježeni na materijalnom mediju s detaljima koji omogućuju njihovu identifikaciju.

[GOST R 52069.0-2003. paragraf 3.18]

A.23 obrada informacija: Skup operacija prikupljanja, akumulacije, unosa, izlaza, prijema, prijenosa, snimanja, pohranjivanja, registracije, uništavanja, transformacije, prikaza, koje se provode na informacijama.

GOST R 53114-2008

Dodatak B (za referencu)

Odnos temeljnih pojmova iz područja informacijske sigurnosti u organizaciji

Odnos između osnovnih pojmova prikazan je na slici B.1.

Slika B.1 - odnos između osnovnih pojmova

GOST R 53114-2008

Bibliografija

(1] R 50.1.053-2005

(2]PS0.1.056-2005

Informacijska tehnologija. Osnovni pojmovi i definicije iz područja tehničke informacijske sigurnosti Tehnička informacijska sigurnost. Osnovni pojmovi i definicije

O tehničkoj regulativi

O informacijama, informacijskim tehnologijama i zaštiti informacija

O osobnim podacima

Doktrina informacijske sigurnosti Ruske Federacije

UDK 351.864.1:004:006.354 OKS 35.020 LLP

Ključne riječi: informacije, informacijska sigurnost, informacijska sigurnost u organizaciji, prijetnje informacijskoj sigurnosti, kriteriji informacijske sigurnosti

Urednik V.N. Cops soya Tehnički urednik V.N. Prusakova Korektor V.E. Nestorovo Računalni softver I.A. NapeikinoO

Predan u službu 06.11.2009. Potpisani pečat 01.12.2009. Format 60"84 Offset papir. Pismo Arial. Offset tisak. Usp. pećnica l. 2.32. Uč.-ur. l. 1.90. Naklada 373 »kz. Zach. 626

FSUE "STANDARTINFORM*. 123995 Moskva. Nar por.. 4. info@goslmlo gi

Upisano u FSUE "STANDARTINFORM" na računalu.

Tiskano u podružnici FSUE "STANDARTINFORM* - tip. "Moskovski tiskar". 105062 Moskva. Lyalin traka.. 6.

GOST 22731-77 Sustavi prijenosa podataka, postupci kontrole podatkovne veze u glavnom načinu rada za razmjenu informacija u polu-dupleksu
GOST 26525-85 Sustavi za obradu podataka. Mjerni podaci korištenja
GOST 27771-88 Proceduralne karakteristike na sučelju između podatkovne terminalne opreme i opreme za završetak podatkovnog kanala. Opći zahtjevi i standardi
GOST 28082-89 Sustavi za obradu informacija. Metode otkrivanja grešaka u serijskom prijenosu podataka
GOST 28270-89 Sustavi za obradu informacija. Specifikacija datoteke opisa podataka za razmjenu informacija
GOST R 43.2.11-2014 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Strukturirana prezentacija tekstualnih informacija u formatima poruka
GOST R 43.2.8-2014 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Formati poruka za tehničke aktivnosti
GOST R 43.4.1-2011 Informacijska podrška za opremu i aktivnosti operatera. Sustav “čovjek-informacija”.
GOST R 53633.10-2015 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Upravljanje organizacijom. Upravljanje organizacijskim rizicima
GOST R 53633.11-2015 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Prošireni dijagram aktivnosti komunikacije (eTOM). Procesi eTOM razine 2. Upravljanje organizacijom. Upravljanje organizacijskim učinkom
GOST R 53633.4-2015 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Primarna djelatnost. Upravljanje i rad usluge
GOST R 53633.7-2015 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Operativni okvir proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Strategija, infrastruktura i proizvod. Razvoj i upravljanje resursima
GOST R 53633.9-2015 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Upravljanje organizacijom. Planiranje strategije i razvoja organizacije
GOST R 55767-2013 Informacijska tehnologija. Europski ICT okvir kompetencija 2.0. Dio 1. Zajednički europski okvir kompetencija za ICT stručnjake za sve industrijske sektore
GOST R 55768-2013 Informacijska tehnologija. Model otvorenog Grid sustava. Osnovne odredbe
GOST R 56093-2014 Zaštita informacija. Automatizirani sustavi u sigurnom dizajnu. Sredstva za otkrivanje namjernih silnih elektromagnetskih utjecaja. Opći zahtjevi
GOST R 56115-2014 Zaštita informacija. Automatizirani sustavi u sigurnom dizajnu. Sredstva zaštite od namjernih silnih elektromagnetskih utjecaja. Opći zahtjevi
GOST R 56545-2015 Zaštita informacija. Ranjivosti informacijskih sustava. Pravila za opisivanje ranjivosti
GOST R 56546-2015 Zaštita informacija. Ranjivosti informacijskih sustava. Klasifikacija ranjivosti informacijskog sustava
GOST IEC 60950-21-2013 Oprema informacijske tehnologije. Sigurnosni zahtjevi. Dio 21. Daljinsko napajanje
GOST IEC 60950-22-2013 Oprema informacijske tehnologije. Sigurnosni zahtjevi. Dio 22. Oprema namijenjena za postavljanje na otvorenom
GOST R 51583-2014 Zaštita informacija. Postupak izrade automatiziranih sustava u sigurnom dizajnu. Opće odredbe
GOST R 55766-2013 Informacijska tehnologija. Europski ICT okvir kompetencija 2.0. Dio 3. Stvaranje e-CF-a - spajanje metodoloških temelja i stručnog iskustva
GOST R 55248-2012 Električna sigurnost. Klasifikacija sučelja za opremu spojenu na mreže informacijske i komunikacijske tehnologije
GOST R 43.0.11-2014 Informacijska podrška za opremu i aktivnosti operatera. Baze podataka u tehničkim djelatnostima
GOST R 56174-2014 Informacijske tehnologije. Arhitektura usluga otvorenog Grid okruženja. Pojmovi i definicije
GOST IEC 61606-4-2014 Audio i audiovizualna oprema. Komponente digitalne audio opreme. Osnovne metode mjerenja karakteristika zvuka. Dio 4. Osobno računalo
GOST R 43.2.5-2011 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Gramatika
GOST R 53633.5-2012 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Strategija, infrastruktura i proizvod. Upravljanje marketingom i ponudom proizvoda
GOST R 53633.6-2012 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Strategija, infrastruktura i proizvod. Razvoj i upravljanje uslugama
GOST R 53633.8-2012 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Strategija, infrastruktura i proizvod. Razvoj i upravljanje opskrbnim lancem
GOST R 43.0.7-2011 Informacijska podrška za opremu i aktivnosti operatera. Hibridno-intelektualizirana interakcija čovjek-informacija. Opće odredbe
GOST R 43.2.6-2011 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Morfologija
GOST R 53633.14-2016 Informacijske tehnologije. Mreža za upravljanje telekomunikacijama je prošireni operativni okvir komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Upravljanje organizacijom. Upravljanje dionicima i vanjskim odnosima
GOST R 56938-2016 Zaštita informacija. Zaštita informacija pri korištenju virtualizacijskih tehnologija. Opće odredbe
GOST R 56939-2016 Zaštita informacija. Siguran razvoj softvera. Opći zahtjevi
GOST R ISO/IEC 17963-2016 Specifikacija web usluga za upravljanje (WS-upravljanje)
GOST R 43.0.6-2011 Informacijska podrška za opremu i aktivnosti operatera. Prirodno intelektualizirana interakcija čovjek-informacija. Opće odredbe
GOST R 54817-2011 Paljenje audio, video, informacijske tehnologije i komunikacijske opreme slučajno uzrokovano plamenom svijeće
GOST R IEC 60950-23-2011 Oprema informacijske tehnologije. Sigurnosni zahtjevi. Dio 23. Oprema za pohranu velikih količina podataka
GOST R IEC 62018-2011 Potrošnja energije opreme informacijske tehnologije. Metode mjerenja
GOST R 53538-2009 Višeparični kabeli s bakrenim vodičima za širokopojasne pristupne krugove. Opći tehnički zahtjevi
GOST R 53633.0-2009 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Opća struktura poslovnih procesa
GOST R 53633.1-2009 Informacijska tehnologija. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Primarna djelatnost. Upravljanje odnosima s dobavljačima i partnerima
GOST R 53633.2-2009 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Primarna djelatnost. Upravljanje resursima i rad
GOST R 53633.3-2009 Informacijska tehnologija. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Primarna djelatnost. Upravljanje odnosima s kupcima
GOST R ISO/IEC 20000-2-2010 Informacijska tehnologija. Upravljanje uslugama. Dio 2: Kodeks prakse
GOST R 43.0.3-2009 Informacijska podrška za opremu i aktivnosti operatera. Podnevna tehnologija u tehničkim djelatnostima. Opće odredbe
GOST R 43.0.4-2009 Informacijska podrška za opremu i aktivnosti operatera. Informacije u tehničkim djelatnostima. Opće odredbe
GOST R 43.0.5-2009 Informacijska podrška za opremu i aktivnosti operatera. Procesi razmjene informacija u tehničkim djelatnostima. Opće odredbe
GOST R 43.2.1-2007 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Opće odredbe
GOST R 43.2.2-2009 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Opće odredbe za korištenje
GOST R 43.2.3-2009 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Vrste i svojstva ikoničkih komponenti
GOST R 43.2.4-2009 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Sintaktika znakovnih sastavnica
GOST R 52919-2008 Informacijska tehnologija. Metode i sredstva fizičke zaštite. Klasifikacija i metode ispitivanja otpornosti na požar. Podatkovne sobe i spremnici
GOST R 53114-2008 Zaštita informacija. Osiguranje informacijske sigurnosti u organizaciji. Osnovni pojmovi i definicije
GOST R 53245-2008 Informacijske tehnologije. Strukturirani kabelski sustavi. Instalacija glavnih komponenti sustava. Metode ispitivanja
GOST R 53246-2008 Informacijske tehnologije. Strukturirani kabelski sustavi. Projektiranje glavnih komponenti sustava. Opći zahtjevi
GOST R IEC 60990-2010 Metode za mjerenje struje dodira i struje zaštitnog vodiča
GOST 33707-2016 Informacijske tehnologije. Rječnik
GOST R 57392-2017 Informacijske tehnologije. Upravljanje uslugama. Dio 10. Osnovni pojmovi i terminologija
GOST R 43.0.13-2017 Informacijska podrška za opremu i aktivnosti operatera. Usmjereno usavršavanje specijalista
GOST R 43.0.8-2017 Informacijska podrška za opremu i aktivnosti operatera. Umjetno intelektualizirana interakcija čovjek-informacija. Opće odredbe
GOST R 43.0.9-2017 Informacijska podrška za opremu i aktivnosti operatera. Informativni izvori
GOST R 43.2.7-2017 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Sintaksa
GOST R ISO/IEC 38500-2017 Informacijska tehnologija. Strateško IT upravljanje u organizaciji
GOST R 43.0.10-2017 Informacijska podrška za opremu i aktivnosti operatera. Informacijski objekti, objektno orijentirano projektiranje u stvaranju tehničkih informacija
GOST R 53633.21-2017 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Dekompozicija i opisi procesa. Primarna djelatnost. Upravljanje i rad usluga. Procesi eTOM razine 3. Proces 1.1.2.1 - Podrška i dostupnost SM&O procesa
GOST R 57875-2017 Telekomunikacije. Sheme spajanja i uzemljenja u telekomunikacijskim centrima
GOST R 53633.22-2017 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Dekompozicija i opisi procesa. Primarna djelatnost. Upravljanje i rad usluga. Procesi eTOM razine 3. Proces 1.1.2.2 - Konfiguriranje i aktiviranje usluga

Međunarodni standardi

BS 7799-1:2005 - Britanski standard BS 7799 prvi dio. BS 7799 Dio 1 - Kodeks prakse za upravljanje sigurnošću informacija opisuje 127 kontrola potrebnih za izgradnju sustavi upravljanja informacijskom sigurnošću(ISMS) organizacije, utvrđen na temelju najboljih primjera svjetskog iskustva (best practices) u ovom području. Ovaj dokument služi kao praktični vodič za stvaranje ISMS-a
BS 7799-2:2005 - Britanski standard BS 7799 je drugi dio standarda. BS 7799 Dio 2 - Upravljanje informacijskom sigurnošću - specifikacija za sustave upravljanja informacijskom sigurnošću definira ISMS specifikaciju. Drugi dio standarda koristi se kao kriterij tijekom postupka službene certifikacije za ISMS organizacije.
BS 7799-3:2006 - Britanski standard BS 7799 treći dio standarda. Novi standard u upravljanju rizicima informacijske sigurnosti
ISO/IEC 17799:2005 - "Informacijska tehnologija - Sigurnosne tehnologije - Praksa upravljanja sigurnošću informacija." Međunarodna norma temeljena na BS 7799-1:2005.
ISO/IEC 27000 - Rječnik i definicije.
ISO/IEC 27001:2005 - "Informacijska tehnologija - Sigurnosne tehnike - Sustavi upravljanja sigurnošću informacija - Zahtjevi." Međunarodna norma temeljena na BS 7799-2:2005.
ISO/IEC 27002 - sada: ISO/IEC 17799:2005. "Informacijske tehnologije - Sigurnosne tehnologije - Praktična pravila upravljanja informacijskom sigurnošću." Datum izlaska: 2007.
ISO/IEC 27005 - Sada: BS 7799-3:2006 - Smjernice za upravljanje rizikom sigurnosti informacija.
Njemačka agencija za informacijsku sigurnost. IT Baseline Protection Manual - Standardne sigurnosne mjere zaštite.

Državni (nacionalni) standardi Ruske Federacije

GOST R 50922-2006 - Zaštita informacija. Osnovni pojmovi i definicije.
R 50.1.053-2005 - Informacijske tehnologije. Osnovni pojmovi i definicije u području tehničke informacijske sigurnosti.
GOST R 51188-98 - Zaštita informacija. Softver za testiranje na računalne viruse. Model priručnik.
GOST R 51275-2006 - Zaštita informacija. Informacijski objekt. Čimbenici koji utječu na informacije. Opće odredbe.
GOST R ISO/IEC 15408-1-2008 - Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Kriteriji za ocjenu sigurnosti informacijskih tehnologija. Dio 1. Uvod i opći model.
GOST R ISO/IEC 15408-2-2008 - Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Kriteriji za ocjenu sigurnosti informacijskih tehnologija. Dio 2. Zahtjevi funkcionalne sigurnosti.
GOST R ISO/IEC 15408-3-2008 - Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Kriteriji za ocjenu sigurnosti informacijskih tehnologija. Dio 3. Zahtjevi za osiguranje sigurnosti.
GOST R ISO/IEC 15408 - “Opći kriteriji za procjenu sigurnosti informacijskih tehnologija” - standard koji definira alate i metode za procjenu sigurnosti informacijskih proizvoda i sustava; sadrži popis zahtjeva s kojima se mogu usporediti rezultati neovisnih sigurnosnih procjena - omogućujući potrošaču donošenje odluka o sigurnosti proizvoda. Područje primjene “Općih kriterija” je zaštita informacija od neovlaštenog pristupa, izmjene ili curenja, te druge metode zaštite koje se provode hardverski i softverski.
GOST R ISO/IEC 17799 - “Informacijske tehnologije. Praktična pravila upravljanja informacijskom sigurnošću." Izravna primjena međunarodne norme uz dodatak ISO/IEC 17799:2005.
GOST R ISO/IEC 27001 - “Informacijske tehnologije. Sigurnosne metode. Sustav upravljanja informacijskom sigurnošću. Zahtjevi". Izravna primjena međunarodne norme je ISO/IEC 27001:2005.
GOST R 51898-2002: Sigurnosni aspekti. Pravila za uključivanje u standarde.

Vodeći dokumenti

RD SVT. Zaštita od NSD. Sigurnosni pokazatelji od NSD do informacija - sadrži opis sigurnosnih pokazatelja informacijskih sustava i zahtjeve za sigurnosne klase.

vidi također

Nedeklarirane mogućnosti

vanjske poveznice

Međunarodni standardi upravljanja informacijskom sigurnošću

Zaklada Wikimedia. 2010.

Važnost osiguranja informacijske sigurnosti teško je precijeniti, budući da je potreba za pohranjivanjem i prijenosom podataka sastavni dio vođenja svakog poslovanja.

Različiti načini informacijske sigurnosti ovise o obliku u kojem se pohranjuju, međutim, da bi se ovo područje sistematiziralo i racionaliziralo, potrebno je uspostaviti standarde informacijske sigurnosti, jer je standardizacija važna odrednica kvalitete u ocjeni pruženih usluga.

Svako osiguranje informacijske sigurnosti zahtijeva kontrolu i provjeru, koja se ne može provoditi samo pojedinačnom procjenom, bez uvažavanja međunarodnih i državnih standarda.

Formiranje standarda informacijske sigurnosti događa se nakon jasnog definiranja njegovih funkcija i granica. Informacijska sigurnost je osiguranje povjerljivosti, cjelovitosti i dostupnosti podataka.

Za utvrđivanje stanja informacijske sigurnosti najprimjenjivija je kvalitativna procjena, jer je moguće postotkom izraziti stupanj sigurnosti ili ranjivosti, ali to ne daje cjelovitu i objektivnu sliku.

Za procjenu i reviziju sigurnosti informacijskih sustava možete primijeniti niz uputa i preporuka koje podrazumijevaju regulatornu podršku.

Državni i međunarodni standardi informacijske sigurnosti

Praćenje i procjena stanja sigurnosti provodi se provjerom njihove usklađenosti s državnim standardima (GOST, ISO) i međunarodnim standardima (Iso, Common criteris for IT security).

Međunarodni skup standarda koje je razvila Međunarodna organizacija za standardizaciju (ISO) skup je praksi i preporuka za implementaciju sustava i opreme informacijske sigurnosti.

ISO 27000 je jedan od najprimjenjivijih i najrasprostranjenijih standarda ocjenjivanja, uključujući više od 15 odredbi, i redom numeriranih.

Prema kriterijima ocjenjivanja norme ISO 27000, sigurnost informacija nije samo njihov integritet, povjerljivost i dostupnost, već i autentičnost, pouzdanost, otpornost na pogreške i prepoznatljivost. Konvencionalno se ova serija standarda može podijeliti u 4 odjeljka:

pregled i upoznavanje s terminologijom, opis pojmova koji se koriste u području sigurnosti;
obvezni zahtjevi za sustav upravljanja informacijskom sigurnošću, detaljan opis metoda i sredstava upravljanja sustavom. Glavni je standard ove skupine;
revizijske preporuke, smjernice za sigurnosne kontrole;
standardi koji preporučuju prakse za implementaciju, razvoj i poboljšanje sustava upravljanja informacijskom sigurnošću.

Državni standardi informacijske sigurnosti uključuju niz propisa i dokumenata koji se sastoje od više od 30 odredbi (GOST).

Različiti standardi usmjereni su ne samo na utvrđivanje općih kriterija ocjenjivanja, kao što je GOST R ISO/IEC 15408, koji sadrži metodološke smjernice za procjenu sigurnosti i popis zahtjeva za sustav upravljanja. Oni mogu biti specifični i također sadržavati praktične smjernice.

Pravilna organizacija skladišta i njegovo redovito praćenje njegovog rada pomoći će u otklanjanju krađe robe i materijalnih dobara, što negativno utječe na financijsko blagostanje bilo kojeg poduzeća, bez obzira na oblik vlasništva.
Do trenutka lansiranja, sustav automatizacije skladišta prolazi kroz još dvije faze: interno testiranje i punjenje podataka. Nakon takve pripreme, sustav se pokreće u potpunosti. Više o automatizaciji pročitajte ovdje.

Međusobni odnos i skup tehnika dovode do razvoja općih odredbi i do spajanja međunarodne i državne normizacije. Stoga GOST-ovi Ruske Federacije sadrže dodatke i reference na međunarodne ISO standarde.

Takva interakcija pomaže u razvoju jedinstvenog sustava praćenja i ocjenjivanja, što zauzvrat značajno povećava učinkovitost primjene ovih odredbi u praksi, objektivno ocjenjujući rezultate rada i općenito poboljšavajući.

Usporedba i analiza nacionalnih i međunarodnih normizacijskih sustava

Broj europskih standardizacijskih standarda za osiguranje i kontrolu informacijske sigurnosti znatno premašuje zakonske standarde koje je uspostavila Ruska Federacija.

U nacionalnim državnim standardima prevladavaju odredbe o zaštiti informacija od mogućeg hakiranja, curenja i prijetnji gubitka. Strani sigurnosni sustavi specijalizirani su za razvoj standarda za pristup podacima i autentifikaciju.

Razlike postoje iu odredbama koje se odnose na provedbu kontrole i revizije sustava. Osim toga, praksa primjene i implementacije sustava upravljanja informacijskom sigurnošću europske standardizacije očituje se u gotovo svim sferama života, a standardi Ruske Federacije uglavnom su usmjereni na očuvanje materijalnog blagostanja.

Međutim, stalno ažurirane državne norme sadrže potreban minimalni skup zahtjeva za stvaranje kompetentnog sustava upravljanja sigurnošću informacija.

Standardi informacijske sigurnosti za prijenos podataka

Poslovanje uključuje pohranu, razmjenu i prijenos podataka putem Interneta. U suvremenom svijetu valutne transakcije, komercijalne aktivnosti i prijenosi sredstava često se odvijaju online, a informacijsku sigurnost ove aktivnosti moguće je osigurati samo primjenom kompetentnog i profesionalnog pristupa.

Na internetu postoje brojni standardi koji osiguravaju sigurnu pohranu i prijenos podataka, dobro poznati antivirusni programi za zaštitu, posebni protokoli za financijske transakcije i mnogi drugi.

Brzina razvoja informacijskih tehnologija i sustava je tolika da značajno prestiže stvaranje protokola i jedinstvenih standarda za njihovu upotrebu.

Jedan od popularnih sigurnih protokola za prijenos podataka je SSL (Secure Socket Layer), koji su razvili američki stručnjaci. Omogućuje vam zaštitu podataka pomoću kriptografije.

Prednost ovog protokola je mogućnost provjere i autentifikacije, primjerice, neposredno prije razmjene podataka. Međutim, korištenje ovakvih sustava pri prijenosu podataka je više savjetodavno, budući da korištenje ovih standarda nije obvezno za poduzetnike.

Za otvaranje LLC-a potrebna vam je povelja poduzeća. Postupak koji se razvija u skladu sa zakonodavstvom Ruske Federacije. Možete ga napisati sami, uzeti standardni uzorak kao vodič ili se možete obratiti stručnjacima koji će ga napisati.
Ambiciozni poduzetnik koji planira razviti vlastiti posao kao samostalni poduzetnik mora prilikom ispunjavanja prijave navesti šifru gospodarske djelatnosti u skladu s OKVED-om. Pojedinosti ovdje.

Za provođenje sigurnih transakcija i operacija razvijen je prijenosni protokol SET (Security Electronic Transaction) koji omogućuje minimiziranje rizika pri obavljanju komercijalnih i trgovačkih operacija. Ovaj protokol je standard za platne sustave Visa i Master Card i omogućuje korištenje sigurnosnog mehanizma platnog sustava.

Povjerenstva koja standardiziraju internetske resurse su dobrovoljna, stoga aktivnosti koje provode nisu zakonite i obvezne.

Međutim, prijevara na internetu u suvremenom svijetu prepoznata je kao jedan od globalnih problema, stoga je jednostavno nemoguće osigurati informacijsku sigurnost bez korištenja posebnih tehnologija i njihove standardizacije.

Security Management Systems - Specification with guidance for use" (Sustavi - specifikacije s uputama za uporabu). Na temelju njega razvijena je norma ISO/IEC 27001:2005 "Information Technology". Sigurnosne tehnike. Sustavi upravljanja informacijskom sigurnošću. Zahtjevi", za sukladnost s kojima se može provesti certifikacija.

U Rusiji su trenutno na snazi standardi GOST R ISO/IEC 17799-2005 “Praktična pravila”. upravljanje informacijskom sigurnošću"(autentičan prijevod ISO/IEC 17799:2000) i GOST R ISO/IEC 27001-2006 "Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Sustavi upravljanja informacijskom sigurnošću. Zahtjevi" (prijevod ISO/IEC 27001:2005). Unatoč nekim internim razlikama povezanim s različitim verzijama i značajkama prijevoda, prisutnost standarda omogućuje nam da sustav upravljanje informacijskom sigurnošću u skladu sa svojim zahtjevima i po potrebi certificirati.

GOST R ISO/IEC 17799:2005 "Informacijska tehnologija. Praktična pravila za upravljanje sigurnošću informacija"

Razmotrimo sada sadržaj standarda. U uvodu se navodi da su „informacije, procesi koji ih podržavaju, informacijski sustavi i mrežna infrastruktura bitna imovina organizacije. Povjerljivost, cjelovitost i dostupnost informacija mogu značajno doprinijeti konkurentnosti, likvidnosti, profitabilnosti, usklađenosti i. poslovni ugled organizacija." Dakle, možemo reći da ova norma razmatra pitanja informacijske sigurnosti, uključujući i sa stajališta ekonomskog učinka.

Navedene su tri skupine čimbenika koje je potrebno uzeti u obzir pri izradi zahtjeva u području informacijske sigurnosti. Ovaj:

procjena rizika organizacije. Procjenom rizika identificiraju se prijetnje imovini organizacije, procjena ranjivosti relevantna imovina i vjerojatnost nastanka prijetnji, kao i procjena mogućih posljedica;
pravni, statutarni, regulatorni i ugovorni zahtjevi koje moraju ispuniti organizacija, njeni trgovinski partneri, izvođači i pružatelji usluga;
određeni skup načela, ciljeva i zahtjeva koje je razvila organizacija u vezi s obradom informacija.

Nakon što su zahtjevi utvrđeni, započinje faza odabira i provedbe mjera koje će osigurati smanjenje rizika na prihvatljivu razinu. Izbor događanja po upravljanje informacijskom sigurnošću treba temeljiti na omjeru troškova njihove provedbe, učinka smanjenja rizika i mogućih gubitaka u slučaju proboja sigurnosti. Treba uzeti u obzir i čimbenike koji se ne mogu izraziti u novčanim iznosima, poput gubitka ugleda. Mogući popis aktivnosti naveden je u standardu, ali se napominje da se može nadopunjavati ili formirati samostalno na temelju potreba organizacije.

Ukratko nabrojimo odjeljke standarda i mjere zaštite informacija predložene u njima. Prva skupina odnosi se na sigurnosnu politiku. Potrebno ga je izraditi, odobriti uprava organizacije, objaviti i upoznati sve zaposlenike. Treba odrediti postupak rada s informacijskim resursima organizacije, dužnosti i odgovornosti zaposlenika. Politika se povremeno preispituje kako bi odražavala trenutno stanje sustava i identificirane rizike.

Sljedeći odjeljak bavi se organizacijskim pitanjima koja se odnose na informacijsku sigurnost. Standard preporuča stvaranje upravnih vijeća (uz sudjelovanje višeg menadžmenta tvrtke) za odobravanje sigurnosne politike, imenovanje odgovornih osoba, raspodjela odgovornosti te koordinacija provedbe mjera za upravljanje informacijskom sigurnošću U organizaciji. Proces dobivanja dopuštenja za korištenje alata za obradu informacija (uključujući novi softver i hardver) u organizaciji također treba biti opisan kako to ne bi dovelo do sigurnosnih problema. Također je potrebno utvrditi postupak interakcije s drugim organizacijama o pitanjima informacijske sigurnosti, konzultacije s "vanjskim" stručnjacima i neovisnu provjeru (reviziju) informacijske sigurnosti.

Prilikom pružanja pristupa informacijskim sustavima stručnjacima iz organizacija trećih strana, posebnu pozornost treba posvetiti sigurnosnim pitanjima. Mora se provesti procjena rizika povezanih s različitim vrstama pristupa (fizičkog ili logičkog, tj. daljinskog) takvih stručnjaka različitim organizacijskim resursima. Potreba za omogućavanjem pristupa mora biti opravdana, a ugovori s trećim stranama i organizacijama moraju sadržavati zahtjeve u pogledu poštivanja sigurnosne politike. Isto se predlaže učiniti iu slučaju uključivanja trećih strana u obradu informacija (outsourcing).

Sljedeći odjeljak standarda posvećen je pitanjima klasifikacije i upravljanje imovinom. Kako bi se osigurala informacijska sigurnost organizacije, potrebno je da se sva ključna informacijska imovina evidentira i dodijeli odgovornim vlasnicima. Predlažemo da počnete s popisom. Kao primjer navedena je sljedeća klasifikacija:

informacijska sredstva (baze podataka i podatkovne datoteke, dokumentacija sustava itd.);
softverska imovina (aplikacijski softver, sistemski softver, razvojni alati i uslužni programi);
fizička imovina (računalna oprema, komunikacijska oprema, mediji za pohranu podataka, ostala tehnička oprema, namještaj, prostorije);
usluge (računalne i komunikacijske usluge, osnovne komunalije).

Zatim se predlaže klasifikacija podataka kako bi se odredio njihov prioritet, nužnost i stupanj zaštite. Istodobno, relevantne informacije mogu se procijeniti uzimajući u obzir koliko su kritične za organizaciju, na primjer, sa stajališta osiguranja njezinog integriteta i dostupnosti. Nakon toga predlaže se razviti i implementirati postupak označavanja prilikom obrade informacija. Postupci označavanja trebaju biti definirani za svaku razinu klasifikacije kako bi se prilagodili sljedećim vrstama obrade informacija:

kopiranje;
skladištenje;
prijenos poštom, faksom i elektroničkom poštom;
prijenos glasa, uključujući mobilni telefon, govornu poštu, telefonske sekretarice;
uništenje.

Sljedeći odjeljak bavi se sigurnosnim pitanjima koja se odnose na osoblje. Standard određuje da su odgovornosti za usklađenost sa sigurnosnim zahtjevima raspoređene u fazi odabira osoblja, uključene u ugovore o radu i praćene tijekom cijelog razdoblja rada zaposlenika. Konkretno, pri zapošljavanju stalnog zaposlenika preporučuje se provjeriti vjerodostojnost dokumenata koje podnosi podnositelj zahtjeva, potpunost i točnost životopisa te preporuke koje su mu dostavljene. Preporuča se da zaposlenici potpišu ugovor o povjerljivosti u kojem navode koje su informacije povjerljive ili osjetljive. Mora se utvrditi disciplinska odgovornost za zaposlenike koji krše sigurnosne politike i procedure organizacije. Tamo gdje je potrebno, ova odgovornost treba trajati određeno razdoblje nakon prestanka zaposlenja.

Korisnici moraju biti obučeni sigurnosne procedure i ispravnu upotrebu alata za obradu informacija kako bi se mogući rizici sveli na minimum. Osim toga, postupak obavješćivanja o povrede informacijske sigurnosti, s kojim se osoblje mora upoznati. Sličan postupak treba slijediti u slučajevima kvarova softvera. Takve incidente treba zabilježiti i analizirati kako bi se identificirali problemi koji se ponavljaju.

Sljedeći dio standarda bavi se pitanjima fizičke zaštite i zaštite okoliša. Navedeno je da „sredstva za obradu kritičnih ili važnih servisnih informacija moraju biti smještena u sigurnosnim zonama koje odredi određena osoba sigurnosni perimetar s odgovarajućim zaštitnim barijerama i kontrolama upada. Ti prostori moraju biti fizički zaštićeni od neovlaštenog pristupa, oštećenja i udara." Osim organiziranja kontrole pristupa zaštićenim prostorima, mora se utvrditi i postupak izvođenja radova u njima, a po potrebi i postupak organiziranja pristupa posjetitelja. Također nužna za osiguranje sigurnosti opreme (uključujući , koja se koristi izvan organizacije) kako bi se smanjio rizik od neovlaštenog pristupa podacima i zaštitila od gubitka ili oštećenja. Ova skupina zahtjeva također uključuje pružanje zaštite od prekida napajanja i zaštite kabelske mreže. Također se mora definirati procedura za održavanje opreme koja uzima u obzir sigurnosne zahtjeve i procedure za sigurno odlaganje ili ponovnu upotrebu opreme. Na primjer, preporuča se da se jednokratni mediji za pohranu koji sadrže osjetljive informacije fizički unište ili prepišu na siguran način. umjesto korištenja standardnih funkcija brisanja podataka.

Kako bi se smanjio rizik od neovlaštenog pristupa ili oštećenja papirnatih dokumenata, medija za pohranu i medija za obradu informacija, preporučuje se implementacija politike "čistog stola" za papirnate dokumente i prijenosne medije za pohranu, kao i politike "čistog ekrana" za oprema za obradu informacija. Oprema, informacije ili softver mogu se ukloniti iz prostorija organizacije samo uz odgovarajuće dopuštenje.

Naslov sljedećeg odjeljka standarda je “Upravljanje prijenosom podataka i operativnim aktivnostima”. Zahtijeva da se utvrde odgovornosti i postupci povezani s radom svih sredstava za obradu informacija. Na primjer, promjene konfiguracije u objektima i sustavima za obradu informacija moraju se kontrolirati. Potrebno je primijeniti načelo razdvajanja odgovornosti u odnosu na funkcije upravljanja, obavljanje pojedinih poslova i područja.

Preporuča se odvojiti okruženja za razvoj, testiranje i proizvodnju softvera. Pravila za prijenos softvera iz statusa u razvoju u status prihvaćenog za rad moraju biti definirana i dokumentirana.

Dodatni rizici nastaju kada se koriste izvođači trećih strana za upravljanje uređajima za obradu informacija. Takvi se rizici moraju identificirati unaprijed i poduzeti odgovarajuće mjere upravljanje informacijskom sigurnošću dogovoren s izvođačem i uključen u ugovor.

Kako bi se osigurao potreban kapacitet obrade i skladištenja, potrebno je analizirati trenutne zahtjeve performansi, kao i predvidjeti buduće. Ove prognoze trebaju uzeti u obzir nove funkcionalne i sistemske zahtjeve, kao i sadašnje i buduće planove razvoja informacijske tehnologije u organizaciji. Zahtjevi i kriteriji za usvajanje novih sustava moraju biti jasno definirani, dogovoreni, dokumentirani i testirani.

Moraju se poduzeti mjere za sprječavanje i otkrivanje uvođenja zlonamjernog softvera kao što su računalni virusi, mrežni crvi, trojanski konji i logičke bombe. Napominje se da bi se zaštita od zlonamjernog softvera trebala temeljiti na razumijevanju sigurnosnih zahtjeva, odgovarajućim kontrolama pristupa sustavima i pravilnom upravljanju promjenama.

Mora se utvrditi postupak za izvođenje pomoćnih operacija, što uključuje sigurnosno kopiranje softvera i podataka 1 Kao primjer, laboratorij #10 bavi se organiziranjem sigurnosnih kopija u sustavu Windows Server 2008. bilježenje događaja i pogrešaka te, gdje je potrebno, praćenje statusa hardvera. Redundancijski aranžmani za svaki pojedinačni sustav trebaju se redovito testirati kako bi se osiguralo da ispunjavaju zahtjeve planova kontinuiteta poslovanja.

Za osiguranje sigurnosti informacija na mrežama i zaštitu prateća infrastruktura, potrebno je uvođenje sredstava sigurnosna kontrola i zaštita povezanih usluga od neovlaštenog pristupa.

Posebna pažnja posvećena je sigurnosti različitih vrsta medija za pohranu: dokumenata, računalnih medija za pohranu (vrpce, diskovi, kazete), ulazno/izlaznih podataka i dokumentacije sustava od oštećenja. Preporuča se uspostaviti postupak korištenja prijenosnih računalnih medija za pohranu podataka (postupak kontrole sadržaja, pohrane, uništavanja i sl.). Kao što je gore navedeno, medije za pohranu treba nakon upotrebe sigurno i sigurno odložiti.

Kako bi se osigurala zaštita informacija od neovlaštenog otkrivanja ili zlouporabe, potrebno je uspostaviti postupke obrade i pohrane informacija. Ove postupke treba osmisliti uzimajući u obzir kategorizacija informacije, te djelovati u vezi s dokumentima, računalnim sustavima, mrežama, prijenosnim računalima, mobilnim komunikacijama, poštom, govornom poštom, glasovnom komunikacijom općenito, multimedijskim uređajima, korištenjem faksa i svim drugim važnim objektima, kao što su obrasci, čekovi i računi. Dokumentacija sustava mogu sadržavati određene važne podatke, te stoga moraju biti zaštićeni.

Proces razmjene informacija i softvera između organizacija mora biti kontroliran i u skladu s važećim zakonima. Posebice mora biti osigurana, određena sigurnost nositelja informacija tijekom prijenosa politika korištenja elektronička pošta i elektronički uredski sustavi. Treba voditi računa o zaštiti integriteta informacija objavljenih elektronički, kao što su informacije na web stranici. Također je potreban odgovarajući formalizirani postupak autorizacije prije nego što takve informacije postanu javno dostupne.

Sljedeći odjeljak standarda posvećen je pitanjima kontrole pristupa.

Zahtijeva se da pravila kontrole pristupa i prava svakog korisnika ili grupe korisnika budu jasno definirana sigurnosnom politikom. Korisnici i pružatelji usluga moraju biti upoznati s potrebom pridržavanja ovih zahtjeva.

Korištenje provjera autentičnosti lozinke, potrebno je vršiti kontrolu nad korisničkim lozinkama. Konkretno, korisnici moraju potpisati dokument kojim se slažu da će čuvati potpunu povjerljivost lozinki. Potrebno je osigurati sigurnost procesa dobivanja lozinke za korisnika i, ako se ista koristi, upravljanje samim lozinkama (prisilna promjena lozinke nakon prve prijave i sl.).

Pristup unutarnjim i vanjskim mrežnim uslugama mora biti kontroliran. Korisnicima treba omogućiti izravan pristup samo onim uslugama za koje su ovlašteni. Posebnu pozornost treba obratiti na autentifikaciju udaljenih korisnika. Na temelju procjene rizika važno je odrediti potrebnu razinu zaštite kako bi se odabrala odgovarajuća metoda autentifikacije. Mora se pratiti i sigurnost korištenja mrežnih usluga.

Mnogi mrežni i računalni uređaji imaju ugrađenu daljinsku dijagnostiku i mogućnosti upravljanja. Mjere sigurnosti moraju vrijediti i za te objekte.

Kada mreže dijeli više organizacija, moraju se definirati zahtjevi politike kontrole pristupa kako bi se to uzelo u obzir. Također može biti potrebno uvesti dodatne mjere za upravljanje informacijskom sigurnošću ograničiti mogućnost povezivanja korisnika.

Na razini operacijskog sustava treba koristiti mjere informacijske sigurnosti kako bi se ograničio pristup računalnim resursima 2 Primjer organizacije kontrole pristupa datotekama i mapama u sustavu Windows Server 2008 bit će obrađen u laboratorijskom radu br. 9.. Odnosi se na identifikaciju i autentifikaciju terminala i korisnika. Preporuča se da svi korisnici imaju jedinstvene identifikatore koji ne bi trebali sadržavati nikakvu naznaku razine povlastica korisnika. U sustavima upravljanje lozinkama moraju se osigurati učinkovite interaktivne mogućnosti koje podržavaju njihovu potrebnu kvalitetu 3 Primjer upravljanja kvalitetom lozinke u operacijskim sustavima Windows obrađen je u laboratorijskom radu br. 3.. Korištenje uslužnih programa sustava treba biti ograničeno i pažljivo kontrolirano.

Preporučljivo je osigurati alarm u slučaju da korisnik postane meta nasilja 4 Primjer za to bile bi lozinke za prijavu pod prisilom. Ako korisnik unese takvu zaporku, sustav prikazuje normalan postupak prijave korisnika, a zatim simulira neuspjeh kako bi spriječio napadače da dođu do podataka.(ako se takav događaj ocijeni vjerojatnim). Moraju se definirati odgovornosti i postupci za reagiranje na takav alarm.

Terminali koji opslužuju sustave visokog rizika, kada se nalaze na lako dostupnim lokacijama, trebaju biti isključeni nakon određenog razdoblja neaktivnosti kako bi se spriječio pristup neovlaštenim osobama. Može se uvesti i ograničenje vremenskog razdoblja tijekom kojeg se terminalima dopušta povezivanje s računalnim uslugama.

Mjere informacijske sigurnosti također je potrebno primijeniti na razini aplikacije. Konkretno, ovo može biti ograničenje pristupa za određene kategorije korisnika. Sustavi koji obrađuju važne informacije moraju imati namjensko (izolirano) računalno okruženje.

Nadzor sustava je neophodan za otkrivanje odstupanja od zahtjeva politike kontrole pristupa i pružanje dokaza u slučaju incidenta informacijske sigurnosti. Rezultate praćenja treba redovito pregledavati. Dnevnik revizije može se koristiti za istraživanje incidenata, tako da je pravilno podešavanje (sinkronizacija) sata računala vrlo važno.

Pri korištenju prijenosnih uređaja, poput prijenosnih računala, potrebno je poduzeti posebne mjere za sprječavanje ugrožavanja zaštićenih informacija. Treba usvojiti formalizirane politike koje se odnose na rizike povezane s radom s prijenosnim uređajima, osobito u nezaštićenim okruženjima.

Sljedeći odjeljak standarda zove se "Razvoj i održavanje sustava." Već na pozornici razvoj informacijskih sustava potrebno je osigurati da se uzmu u obzir sigurnosni zahtjevi. A tijekom rada sustava potrebno je spriječiti gubitak, modificiranje ili zlouporabu korisničkih podataka. U tu svrhu preporuča se da aplikacijski sustavi osiguraju potvrdu ispravnosti unosa i izlaza podataka, kontrolu obrade podataka u sustav, autentifikacija poruke, bilježenje radnji korisnika.

Kako bi se osigurala povjerljivost, integritet i provjera autentičnosti podataka Mogu se koristiti kriptografske sigurnosne mjere.

Osiguravanje integriteta softvera igra važnu ulogu u procesu informacijske sigurnosti. Kako bi se smanjila šteta za informacijske sustave, provedbu promjena treba strogo kontrolirati. S vremena na vrijeme postoji potreba za izmjenama operativnih sustava. U tim slučajevima, aplikacijski sustavi moraju se analizirati i testirati kako bi se osiguralo da nema negativnog utjecaja na njihovu funkcionalnost i sigurnost. Što je više moguće, preporučuje se korištenje gotovih programskih paketa bez izmjena.

Povezano pitanje je suzbijanje trojanskih konja i korištenje skrivenih kanala curenja. Jedna protumjera je korištenje softvera nabavljenog od provjerenih dobavljača i monitora cjelovitost sustava.

U slučajevima kada u razvoj softvera sudjeluje treća organizacija, potrebno je osigurati mjere za kontrolu kvalitete i ispravnosti obavljenog posla.

Sljedeći odjeljak standarda posvećen je upravljanju kontinuitetom poslovanja. U početnoj fazi treba identificirati događaje koji mogu uzrokovati prekid poslovnih procesa (kvar opreme, požar i sl.). U tom slučaju potrebno je procijeniti posljedice, a zatim izraditi planove oporavka. Adekvatnost planova mora se potvrditi testiranjem, a sami se moraju povremeno revidirati kako bi se uzele u obzir promjene koje se događaju u sustavu.

Posljednji odjeljak standarda bavi se pitanjima usklađenosti. Prije svega, to se odnosi na usklađenost sustava i postupak njegovog rada sa zakonskim zahtjevima. To uključuje pitanja usklađenosti s autorskim pravima (uključujući softver), zaštitu osobnih podataka (zaposlenici, klijenti) i sprječavanje zlouporabe alata za obradu informacija. Korištenje kriptografska sredstva zaštitu informacija, moraju biti u skladu s važećim zakonima. Također treba temeljito razraditi proceduru prikupljanja dokaza u slučaju sudskih sporova vezanih uz incidente u području sigurnosti informacijskog sustava.

Sami informacijski sustavi moraju u skladu sa sigurnosnom politikom organizacija i korišteni standardi. Sigurnost informacijskih sustava mora se redovito analizirati i ocjenjivati. Istodobno, prilikom provođenja sigurnosne revizije potrebno je pridržavati se sigurnosnih mjera kako to ne bi dovelo do neželjenih posljedica (primjerice, kvar kritičnog poslužitelja zbog revizije).

Ukratko, može se primijetiti da se standard bavi širokim rasponom pitanja koja se odnose na osiguravanje sigurnosti informacijskih sustava. Daju se praktične preporuke u nizu područja.