Šajā sadaļā ir sniegta vispārīga informācija un teksti par Krievijas Federācijas nacionālajiem standartiem informācijas drošības jomā GOST R.

Pašreizējais mūsdienu GOST saraksts, kas izstrādāts pēdējos gados un paredzēts attīstībai. Informācijas drošības rīku sertifikācijas sistēma atbilstoši informācijas drošības prasībām Nr. ROSS RU.0001.01BI00 (Krievijas FSTEC). KRIEVIJAS FEDERĀCIJAS VALSTS STANDARTS. Datu aizsardzība. AUTOMATIZĒTO SISTĒMU IZVEIDE DROŠĀ IZPILDE. Vispārīgi noteikumi. Maskava KRIEVIJAS FEDERĀCIJAS VALSTS STANDARTS. Datoru iespējas. Aizsardzība pret nesankcionētu piekļuvi informācijai. Vispārīgās tehniskās prasības. Ieviešanas datums 1996-01-01 Krievijas Federācijas nacionālais standarts. Datu aizsardzība. Pamattermini un definīcijas. Informācijas aizsardzība. Pamattermini un definīcijas. Ieviešanas datums 2008-02-01 KRIEVIJAS FEDERĀCIJAS VALSTS STANDARTS. DATU AIZSARDZĪBA. STANDARTU SISTĒMA. PAMATA NOTEIKUMI (INFORMĀCIJAS DROŠĪBA. STANDARTU SISTĒMA. PAMATPRINCIPI) KRIEVIJAS FEDERĀCIJAS VALSTS STANDARTS. Datu aizsardzība. PROGRAMMATŪRAS TESTĒŠANA DATORVĪRUSU KĀRTĪBAI. Modeļa rokasgrāmata (Informācijas drošība. Programmatūras testēšana datorvīrusu esamībai. Rokasgrāmatas paraugs). Informāciju tehnoloģijas. Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret informācijas drošības apdraudējumiem, kas īstenoti, izmantojot slēptos kanālus. 1. daļa. Vispārīgie noteikumi Informāciju tehnoloģijas. Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret informācijas drošības apdraudējumiem, kas īstenoti, izmantojot slēptos kanālus. 2. daļa. Ieteikumi informācijas, informācijas tehnoloģiju un automatizēto sistēmu aizsardzības organizēšanai no uzbrukumiem, izmantojot slēptos kanālus Informāciju tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Norādījumi aizsardzības profilu un drošības uzdevumu izstrādei Automātiskā identifikācija. Biometriskā identifikācija. Veiktspējas testi un testu ziņojumi biometrijā. 3. daļa. Dažādu biometrisko modalitātes testēšanas iezīmes Informāciju tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas metodika GOST R ISO/IEC 15408-1-2008 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas kritēriji. 1.daļa. Ievads un vispārējais modelis (Informācijas tehnoloģija. Drošības tehnikas. IT drošības vērtēšanas kritēriji. 1.daļa. Ievads un vispārējais modelis) GOST R ISO/IEC 15408-2-2008 - Informācijas tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas kritēriji. 2. daļa. Funkcionālās drošības prasības (Informācijas tehnoloģija. Drošības tehnikas. IT drošības novērtēšanas kritēriji. 2. daļa. Drošības funkcionālās prasības) GOST R ISO/IEC 15408-3-2008 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas kritēriji. 3. daļa. Drošības nodrošināšanas prasības (Informācijas tehnoloģija. Drošības tehnikas. IT drošības novērtēšanas kritēriji. 3. daļa. Drošības garantijas prasības) GOST R 53109-2008 Sistēma publiskā sakaru tīkla informācijas drošības nodrošināšanai. Informācijas drošības sakaru organizācijas pase. Publisko sakaru tīklu nodrošināšanas sistēmas informācijas drošība. Informācijas drošības komunikāciju organizācijas pase. Stājas spēkā: 30.09.2009. GOST R 53114-2008 Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijā. Pamattermini un definīcijas. Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijās. Pamattermini un definīcijas. Stājas spēkā: 30.09.2009. GOST R 53112-2008 Informācijas aizsardzība. Kompleksi viltus elektromagnētiskā starojuma un traucējumu parametru mērīšanai. Tehniskās prasības un pārbaudes metodes. Informācijas aizsardzība. Iekārtas sānu elektromagnētiskā starojuma un uztveršanas parametru mērīšanai. Tehniskās prasības un pārbaudes metodes. Stājas spēkā: 30.09.2009. GOST R 53115-2008 Informācijas aizsardzība. Informācijas apstrādes tehnisko līdzekļu pārbaude, lai nodrošinātu atbilstību drošības prasībām pret nesankcionētu piekļuvi. Metodes un līdzekļi. Informācijas aizsardzība. Tehniskās informācijas apstrādes iekārtu atbilstības pārbaude nesankcionētas piekļuves aizsardzības prasībām. Metodes un tehnikas. Stājas spēkā: 30.09.2009. GOST R 53113.2-2009 Informācijas tehnoloģijas. Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret informācijas drošības apdraudējumiem, kas īstenoti, izmantojot slēptos kanālus. 2. daļa. Ieteikumi informācijas, informācijas tehnoloģiju un automatizēto sistēmu aizsardzības organizēšanai no uzbrukumiem, izmantojot slēptos kanālus. Informāciju tehnoloģijas. Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret drošības apdraudējumiem, ko rada slēpto kanālu izmantošana. 2. daļa. Ieteikumi informācijas, informācijas tehnoloģiju un automatizēto sistēmu aizsardzībai pret slēptu kanālu uzbrukumiem. Stājas spēkā: 12.01.2009. GOST R ISO/IEC TO 19791-2008 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Automatizēto sistēmu drošības novērtējums. Informāciju tehnoloģijas. Drošības tehnikas. Operatīvo sistēmu drošības novērtējums. Stājas spēkā: 30.09.2009. GOST R 53131-2008 Informācijas aizsardzība. Rekomendācijas avārijas seku likvidēšanas dienestiem informācijas un telekomunikāciju tehnoloģiju drošības funkcijām un mehānismiem. Vispārīgi noteikumi. Informācijas aizsardzība. Informācijas un komunikāciju tehnoloģiju drošības funkciju un mehānismu atkopšanas pakalpojumu vadlīnijas. Ģenerālis. Stājas spēkā: 30.09.2009. GOST R 54581-2011 Informācijas tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Uzticēšanās IT drošībai pamati. 1. daļa: Pārskats un pamati. Informāciju tehnoloģijas. Drošības tehnikas. IT drošības nodrošināšanas sistēma. 1. daļa. Pārskats un ietvars. Stājas spēkā: 01.07.2012. GOST R ISO/IEC 27033-1-2011 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Tīkla drošība. 1. daļa: Pārskats un jēdzieni. Informāciju tehnoloģijas. Drošības tehnikas. Tīkla drošība. 1. daļa. Pārskats un jēdzieni. Stājas spēkā: 01.01.2012. GOST R ISO/IEC 27006-2008 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Prasības institūcijām, kas veic informācijas drošības vadības sistēmu auditu un sertifikāciju. Informāciju tehnoloģijas. Drošības tehnikas. Prasības institūcijām, kas nodrošina informācijas drošības pārvaldības sistēmu auditu un sertifikāciju. Stājas spēkā: 30.09.2009. GOST R ISO/IEC 27004-2011 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības vadība. Mērījumi. Informāciju tehnoloģijas. Drošības tehnikas. Informācijas drošības vadība. Mērīšana. Stājas spēkā: 01.01.2012. GOST R ISO/IEC 27005-2010 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības risku vadība. Informāciju tehnoloģijas. Drošības tehnikas. Informācijas drošības risku vadība. Stājas spēkā: 12.01.2011. GOST R ISO/IEC 31010-2011 Riska vadība. Riska novērtēšanas metodes (Risk management. Riska novērtēšanas metodes). Stājas spēkā: 01.12.2012 GOST R ISO 31000-2010 Riska vadība. Riska pārvaldība. Principi un vadlīnijas. Stājas spēkā: 31.08.2011 GOST 28147-89 Informācijas apstrādes sistēmas. Kriptogrāfiskā aizsardzība. Kriptogrāfiskās konversijas algoritms. Stājas spēkā: 30.06.1990. GOST R ISO/IEC 27013-2014 “Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Vadlīnijas par ISO/IEC 27001 un ISO/IEC 20000-1 kombinētu izmantošanu — spēkā 2015. gada 1. septembrī. GOST R ISO/IEC 27033-3-2014 “Tīkla drošība. 3. daļa. Atsauces tīkla scenāriji. Draudi, projektēšanas metodes un pārvaldības jautājumi” – spēkā 2015. gada 1. novembrī GOST R ISO/IEC 27037-2014 “Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Digitālo pierādījumu identifikācijas, vākšanas, izguves un saglabāšanas vadlīnijas – spēkā 2015. gada 1. novembrī. GOST R ISO/IEC 27002-2012 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības pārvaldības normu un noteikumu kopums. Informāciju tehnoloģijas. Drošības tehnikas. Informācijas drošības pārvaldības prakses kodekss. Stājas spēkā: 01.01.2014. OKS kods 35.040. GOST R 56939-2016 Informācijas aizsardzība. Droša programmatūras izstrāde. Vispārīgās prasības (Informācijas aizsardzība. Droša programmatūras izstrāde. Vispārīgās prasības). Stājas spēkā: 01.06.2017. GOST R 51583-2014 Informācijas aizsardzība. Procedūra automatizētu sistēmu izveidei drošā dizainā. Vispārīgi noteikumi. Informācijas aizsardzība. Aizsargātās operētājsistēmas veidošanas secība. Ģenerālis. 01.09.2014 GOST R 7.0.97-2016 Informācijas, bibliotēkas un izdevējdarbības standartu sistēma. Organizatoriskā un administratīvā dokumentācija. Prasības dokumentu sagatavošanai (Informācijas, bibliotēku un izdevējdarbības standartu sistēma. Organizatoriskā un administratīvā dokumentācija. Prasības dokumentu noformēšanai). Stājas spēkā: 01.07.2017. OKS kods 01.140.20. GOST R 57580.1-2017 Finanšu (banku) darījumu drošība. Finanšu organizāciju informācijas aizsardzība. Organizatorisko un tehnisko pasākumu pamatsastāvs - Finanšu (banku) operāciju drošība. Finanšu organizāciju informācijas aizsardzība. Organizatorisko un tehnisko pasākumu pamatkomplekts. GOST R ISO 22301-2014 Darbības nepārtrauktības vadības sistēmas. Vispārīgās prasības - Darbības nepārtrauktības vadības sistēmas. Prasības. GOST R ISO 22313-2015 Darbības nepārtrauktības vadība. Ieviešanas rokasgrāmata – darbības nepārtrauktības vadības sistēmas. Norādījumi īstenošanai. GOST R ISO/IEC 27031-2012 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Ceļvedis informācijas un komunikāciju tehnoloģiju gatavībai uzņēmējdarbības nepārtrauktībai — informācijas tehnoloģija. Drošības tehnikas. Vadlīnijas informācijas un komunikācijas tehnoloģiju gatavībai darbības nepārtrauktībai. GOST R IEC 61508-1-2012 Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 1. daļa. Vispārīgās prasības. Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 1. daļa. Vispārīgās prasības. Ievadīšanas datums 2013-08-01. GOST R IEC 61508-2-2012 Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 2. daļa. Sistēmas prasības. Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 2. daļa. Prasības sistēmām. Ievadīšanas datums 2013-08-01. GOST R IEC 61508-3-2012 ELEKTRISKĀS, ELEKTRONISKAS, PROGRAMĒJAMĀS ELEKTRONISKĀS, AR DROŠĪBAS SISTĒMU FUNKCIONĀLĀ DROŠĪBA. Programmatūras prasības. IEC 61508-3:2010 Elektrisko/elektronisko/programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība — 3. daļa: Programmatūras prasības (IDT). GOST R IEC 61508-4-2012 ELEKTRONISKO, ELEKTRONISKO, PROGRAMĒMU ELEKTRONisko, AR DROŠĪBU SAISTĪTO SISTĒMU FUNKCIONĀLĀ DROŠĪBA 4. daļa Termini un definīcijas. Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 4. daļa. Termini un definīcijas. Ievadīšanas datums 2013-08-01. . GOST R IEC 61508-6-2012 Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 6. daļa. GOST R IEC 61508-2 un GOST R IEC 61508-3 lietošanas vadlīnijas. IEC 61508-6:2010. Elektrisko/elektronisko/programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība — 6. daļa: IEC 61508-2 un IEC 61508-3 (IDT) piemērošanas vadlīnijas. GOST R IEC 61508-7-2012 Elektrisko sistēmu funkcionālā drošība, Ar drošību saistīto elektrisko, elektronisko, programmējamo elektronisko sistēmu funkcionālā drošība. 7. daļa. Metodes un līdzekļi. Elektriski elektroniski programmējamu elektronisku ar drošību saistītu sistēmu funkcionālā drošība. 7. daļa. Metodes un pasākumi. Ievadīšanas datums 2013-08-01. GOST R 53647.6-2012. Darbības nepārtrauktības vadība. Prasības personas informācijas pārvaldības sistēmai datu aizsardzības nodrošināšanai

Vārds:

Datu aizsardzība. Informācijas drošības nodrošināšana organizācijā.

Derīgs

Ievadīšanas datums:

Atcelšanas datums:

Aizvietots ar:

Teksts GOST R 53114-2008 Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijā. Pamattermini un definīcijas

TEHNISKĀS REGULĒŠANAS UN METROLOĢIJAS FEDERĀLĀ AĢENTŪRA

VALSTS

STANDARTS

KRIEVU

FEDERĀCIJA

Datu aizsardzība

INFORMĀCIJAS DROŠĪBAS NODROŠINĀŠANA ORGANIZĀCIJĀ

Pamattermini un definīcijas

Oficiālā publikācija

Oteidartenform

GOST R 53114-2008

Priekšvārds

Standartizācijas mērķi un principi Krievijas Federācijā ir noteikti ar 2002. gada 27. decembra Federālo likumu Nr. 184-FZ “Par tehniskajiem noteikumiem”, un Krievijas Federācijas nacionālo standartu piemērošanas noteikumi ir GOST R 1.0-2004 “Standartizācija”. Krievijas Federācijā. Pamatnoteikumi »

Standarta informācija

1 IZSTRĀDĀJA Federālā valsts iestāde “Federālā tehniskās un eksporta kontroles dienesta tehniskās informācijas drošības problēmu valsts pētniecības testēšanas institūts” (FGU “GNIIII PTZI FSTEC of Russia”), sabiedrība ar ierobežotu atbildību “Pētniecības un ražošanas uzņēmums “Kristall” (OOO NPF "Crystal")

2 IEVADS Federālās tehnisko noteikumu un metroloģijas aģentūras Tehnisko regulējumu un standartizācijas departaments

3 APSTIPRINĀTS UN STĀŠĀS SPĒKĀ ar Federālās Tehnisko noteikumu un metroloģijas aģentūras rīkojumu, kas datēts ar 2008. gada 18. decembri Nr. 532-st

4 8BRAUKTS PIRMO REIZI

Informācija par izmaiņām šajā standartā tiek publicēta katru gadu publicētajā informācijas rādītājā “Nacionālie standarti” un izmaiņu un grozījumu teksts tiek publicēts ikmēneša publicētajā informācijas rādītājā “Nacionālie standarti”. Šī standarta pārskatīšanas (aizstāšanās) vai atcelšanas gadījumā attiecīgs paziņojums tiks publicēts ikmēneša publicētajā informācijas rādītājā “Nacionālie standarti”. Attiecīgā informācija, paziņojumi un teksti tiek ievietoti arī publiskajā informācijas sistēmā - Federālās tehnisko noteikumu un metroloģijas aģentūras oficiālajā tīmekļa vietnē internetā

© Sgandartinform.2009

Šo standartu nevar pilnībā vai daļēji reproducēt, pavairot vai izplatīt kā oficiālu publikāciju bez Federālās tehnisko noteikumu un metroloģijas aģentūras atļaujas.

GOST R 53114-2008

1 izmantošanas joma................................................ ......1

3 Termini un definīcijas.................................................. ..... ...2

3.1 Vispārīgi jēdzieni................................................ ...... .....2

3.2 Noteikumi, kas saistīti ar informācijas aizsardzības objektu................................................ ...4

3.3. Noteikumi, kas saistīti ar informācijas drošības apdraudējumiem...................................7

3.4. Ar organizācijas informācijas drošības pārvaldību saistītie noteikumi......8

3.5. Noteikumi, kas saistīti ar organizācijas informācijas drošības kontroli un novērtēšanu. ... 8

3.6. Noteikumi, kas saistīti ar informācijas drošības kontrolēm

organizācijas................................................. ........ ..9

Terminu alfabētiskais rādītājs.................................................. .....11

A pielikums (uzziņai) Vispārīgo tehnisko jēdzienu termini un definīcijas.................................13

B pielikums (uzziņai) Pamatjēdzienu savstarpējā saistība informācijas drošības jomā organizācijā................................... ......................15

Bibliogrāfija.................................................. .......16

GOST R 53114-2008

Ievads

Šajā standartā noteiktie termini ir sakārtoti sistemātiskā secībā, atspoguļojot jēdzienu sistēmu šajā zināšanu jomā.

Katrai koncepcijai ir viens standartizēts termins.

Kvadrātiekavu klātbūtne terminoloģijas rakstā nozīmē, ka tajā ir iekļauti divi termini, kuriem ir kopīgi terminoloģiskie elementi. Šie termini ir atsevišķi uzskaitīti alfabētiskajā rādītājā.

Termina daļu, kas ietverta iekavās, var izlaist, lietojot terminu standartizācijas dokumentos, savukārt iekavās neiekļautā termina daļa veido tā saīsināto formu. Pēc standartizētajiem terminiem ir to īsās formas, kas atdalītas ar semikolu un apzīmētas ar saīsinājumiem.

Dotās definīcijas vajadzības gadījumā var mainīt, ieviešot tajās atvasinātos raksturlielumus. atklājot tajos lietoto terminu nozīmes, norādot definētā jēdziena tvērumā iekļautos objektus.

Izmaiņas nedrīkst ietekmēt šajā standartā definēto jēdzienu darbības jomu un saturu.

Standartizētie termini ir rakstīti treknrakstā, to īsās formas ir tekstā un alfabētiskajā rādītājā, ieskaitot saīsinājumus. - gaišs, un sinonīmi - slīpraksts.

Vispārējo tehnisko jēdzienu termini un definīcijas, kas nepieciešami šī standarta galvenās daļas teksta izpratnei, ir sniegti A pielikumā.

GOST R 53114-2008

KRIEVIJAS FEDERĀCIJAS NACIONĀLAIS STANDARTS

Datu aizsardzība

INFORMĀCIJAS DROŠĪBAS NODROŠINĀŠANA 8 ORGANIZĀCIJAS

Pamattermini un definīcijas

Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijā.

Pamattermini un definīcijas

Ievadīšanas datums - 2009-10-01

1 izmantošanas joma

Šis standarts nosaka pamatjēdzienus, kas tiek lietoti, veicot standartizācijas darbu informācijas drošības jomā organizācijā.

Šajā standartā noteiktie termini ir ieteicami lietošanai normatīvajos dokumentos, juridiskajā, tehniskajā un organizatoriskajā un administratīvajā dokumentācijā, zinātniskajā, izglītības un uzziņu literatūrā.

Šis standarts tiek piemērots kopā ar GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Šajā standartā norādītie termini atbilst Krievijas Federācijas 2002. gada 27. decembra federālā likuma M"184*FZ "Tehniskie noteikumi" |3] noteikumiem. Krievijas Federācijas 2006. gada 27. jūlija federālais likums Nr. 149-FZ “Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību”. Krievijas Federācijas 2006. gada 27. jūlija federālais likums Nr.152-FZ “Par personas datiem”. Krievijas Federācijas informācijas drošības doktrīnas, ko apstiprinājis Krievijas Federācijas prezidents 2000. gada 9. septembrī Pr -1895.

2 Normatīvās atsauces

GOST R 22.0.02-94 Drošība ārkārtas situācijās. Pamatjēdzienu termini un definīcijas

GOST R ISO 9000-2001 Kvalitātes vadības sistēmas. Pamati un vārdu krājums

GOST R ISO 9001-2008 Kvalitātes vadības sistēmas. Prasības

GOST R IS0 14001-2007 Vides pārvaldības sistēmas. Prasības un lietošanas instrukcijas

GOST R ISO/IEC 13335-1-2006 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. 1.daļa. Informācijas un telekomunikāciju tehnoloģiju drošības vadības jēdziens un modeļi

GOST R ISO/IEC 27001-2006 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības vadības sistēmas. Prasības

GOST R 50922-2006 Informācijas aizsardzība. Pamattermini un definīcijas

GOST R 51275-2006 Informācijas aizsardzība. Informācijas objekts. Faktori, kas ietekmē informāciju. Vispārīgi noteikumi

GOST R 51897-2002 Riska pārvaldība. Termini un definīcijas

Oficiālā publikācija

GOST R 53114-2008

GOST R51898-2003 Drošības aspekti. Noteikumi iekļaušanai standartos GOST R 52069.0-2003 Informācijas aizsardzība. Standartu sistēma. Pamatnoteikumi GOST 34.003-90 Informācijas tehnoloģija. Standartu komplekts automatizētām sistēmām. Automatizētās sistēmas. Termini un definīcijas

GOST 19781-90 Programmatūra informācijas apstrādes sistēmām. Termini un definīcijas

Piezīme - Izmantojot šo standartu, ieteicams pārbaudīt atsauces standartu derīgumu publiskajā informācijas sistēmā - Federālās tehnisko noteikumu un metroloģijas aģentūras oficiālajā tīmekļa vietnē internetā vai saskaņā ar katru gadu publicēto informācijas indeksu “Nacionālais Standarti”, kas publicēts uz kārtējā gada 1. janvāri , un atbilstoši kārtējā gadā publicētajiem atbilstošajiem mēneša informācijas indeksiem. Ja atsauces standarts tiek aizstāts (mainīts), tad, lietojot šo standartu, jāvadās pēc aizstātā (mainītā) standarta. Ja atsauces standarts tiek atcelts bez aizstāšanas, tad noteikums, kurā sniegta atsauce uz to, attiecas uz daļu, kas šo atsauci neietekmē.

3 Termini un definīcijas

3.1. Vispārīgi jēdzieni

informācijas [datu] drošība: informācijas [datu] drošības stāvoklis, kurā tiek nodrošināta tās [to] konfidencialitāte, pieejamība un integritāte.

[GOST R 50922-2006. 2.4.5. punkts]

informācijas tehnoloģiju drošība: informācijas tehnoloģiju drošības stāvoklis. kas nodrošina tās informācijas drošību, kuras apstrādei tā tiek izmantota. un tās informācijas sistēmas informācijas drošība, kurā tā tiek ieviesta.

[R 50.1.056-2006. 2.4.5. punkts]

informācijas sfēra: Informācijas kopums, informācijas infrastruktūra, priekšmeti. veicot informācijas vākšanu, veidošanu, izplatīšanu un izmantošanu, kā arī šajā gadījumā radušos sociālo attiecību regulēšanas sistēmas.

3.1.4. informācijas infrastruktūra: Informatizācijas objektu kopums, kas nodrošina patērētājiem pieeju informācijas resursiem.

informatizācijas objekts: Informācijas resursu, rīku un informācijas apstrādes sistēmu kopums, ko izmanto saskaņā ar doto informācijas tehnoloģiju, kā arī atbalsta telpas, telpas vai iekārtas (ēkas, būves, tehniskie līdzekļi), kuros šie rīki un sistēmas ir uzstādīti, vai telpas un telpas, kas paredzētas konfidenciālu sarunu vešanai.

[GOST R 51275-2006. 3.1. punkts]

3.1.6. organizācijas aktīvi: Visi. kas ir vērtīgs organizācijai tās mērķu sasniegšanas interesēs un ir tās rīcībā.

Piezīme. Organizācijas līdzekļi var ietvert:

Informācijas aktīvi, tostarp dažāda veida informācija, kas cirkulē informācijas sistēmā (pakalpojums, vadība, analītiskā, biznesa utt.) visos dzīves cikla posmos (ģenerēšana, uzglabāšana, apstrāde, pārraide, iznīcināšana):

Resursi (finanšu, cilvēku, skaitļošanas, informācijas, telekomunikāciju un citi):

Procesi (tehnoloģijas, informācijas uc);

Ražoti produkti vai sniegtie pakalpojumi.

GOST R 53114-2008

informācijas apstrādes sistēmas resurss: Informācijas apstrādes sistēmas iekārta, ko var piešķirt datu apstrādes procesam uz noteiktu laika intervālu.

Piezīme. Galvenie resursi ir procesori, galvenās atmiņas zonas, datu kopas. perifērijas ierīces, programmas.

[GOST 19781-90. 93. punkts)

3.1.8 informācijas process: izveides, vākšanas, apstrādes, uzkrāšanas, uzglabāšanas, meklēšanas process. informācijas izplatīšana un izmantošana.

informāciju tehnoloģijas; IT: Meklēšanas, vākšanas, uzglabāšanas, apstrādes, nodrošināšanas procesi, metodes. informācijas izplatīšana un šādu procesu un metožu veikšanas veidi. [Krievijas Federācijas federālais likums, datēts ar 2002. gada 27. decembri, Nr. 184-FZ. 2. panta 2. punkts]

automatizētās sistēmas tehniskais atbalsts; AES tehniskais nodrošinājums: Visu AES darbībā izmantoto tehnisko līdzekļu kopums.

[GOST R 34.003-90. 2.5. punkts]

automatizētas sistēmas programmatūra; AS programmatūra: programmu kopums datu nesējos un programmu dokumenti, kas paredzēti atkļūdošanai, darbībai un AS funkcionalitātes pārbaudei.

[GOST R 34.003-90. 2.7. punkts]

automatizētās sistēmas informatīvais atbalsts; AS informatīvais atbalsts: Dokumentu veidlapu, klasifikatoru, normatīvā regulējuma un ieviesto risinājumu kopums par AS darbības laikā izmantotās informācijas apjomu, izvietojumu un pastāvēšanas formām.

[GOST R 34.003-90. 2.8. punkts]

3.1.13. serviss; pakalpojums: izpildītāja darbības rezultāts, lai apmierinātu patērētāja vajadzības.

Piezīme - 8 organizācija, indivīds vai process var darboties kā pakalpojuma sniedzējs (patērētājs).

3.1.14. informācijas tehnoloģiju pakalpojumi: IT pakalpojumi: Informācijas funkcionālo spēju kopums un. iespējams, neinformācijas tehnoloģija, kas tiek nodrošināta galalietotājiem kā pakalpojums.

PIEZĪME IT pakalpojumu piemēri ir ziņojumapmaiņa, biznesa lietojumprogrammas, failu un drukas pakalpojumi, tīkla pakalpojumi utt.

3.1.15. kritiskās informācijas infrastruktūras sistēma; galvenās informācijas infrastruktūras sistēma: FIAC: informācijas pārvaldības vai informācijas telekomunikāciju sistēma, kas pārvalda vai sniedz informāciju kritiskam objektam vai procesam, vai tiek izmantota sabiedrības un pilsoņu oficiālai informēšanai, kuras darbības traucējumi vai pārtraukšana (destruktīvas darbības rezultātā) informācijas ietekme, kā arī kļūmes vai neveiksmes) var izraisīt ārkārtas situāciju ar būtiskām negatīvām sekām.

3.1.18. kritisks objekts: objekts vai process, kura darbības nepārtrauktības traucējumi var radīt būtiskus bojājumus.

GOST R 53114-2008

Piezīme - Fizisku vai juridisku personu īpašumam var tikt nodarīti bojājumi. valsts vai pašvaldības īpašumam, videi, kā arī nodarot kaitējumu iedzīvotāju dzīvībai vai veselībai.

personas datu informācijas sistēma: Informācijas sistēma, kas ir datubāzē ietverts personas datu kopums, kā arī informācijas tehnoloģijas un tehniskie līdzekļi, kas ļauj apstrādāt šādus personas datus, izmantojot automatizācijas rīkus vai neizmantojot šādus rīkus.

personas dati: jebkura informācija, kas attiecas uz personu, kas identificēta vai noteikta, pamatojoties uz šādu informāciju (personas datu subjekts), tostarp viņa uzvārds, vārds. patronīms, gads mēnesis, dzimšanas datums un vieta, adrese, ģimene, sociālais, mantiskais stāvoklis, izglītība, profesija, ienākumi, cita informācija.

3.1.19. automatizēta sistēma aizsargātā dizainā; AS aizsargātā versijā: automatizēta sistēma, kas ievieš informācijas tehnoloģijas, lai veiktu noteiktās funkcijas atbilstoši informācijas aizsardzības standartu un/vai normatīvo dokumentu prasībām.

3.2. Noteikumi, kas saistīti ar informācijas aizsardzības objektu

3.2.1. organizācijas informācijas drošība; Organizācijas inteliģence: organizācijas interešu aizsardzības stāvoklis, saskaroties ar draudiem informācijas sfērā.

Piezīme – Drošība tiek panākta, nodrošinot informācijas drošības īpašību kopumu – konfidencialitāti, integritāti, informācijas līdzekļu pieejamību un organizācijas infrastruktūru. Informācijas drošības īpašību prioritāti nosaka informācijas līdzekļu nozīmīgums organizācijas interesēm (mērķiem).

informācijas aizsardzības objekts: Informācija vai informācijas nesējs, vai informācijas process. kas ir jāaizsargā saskaņā ar informācijas aizsardzības mērķi.

[GOST R 50922-2006. 2.5.1. punkts]

3.2.3. aizsargāts process (informācijas tehnoloģija): process, ko informācijas tehnoloģijas izmanto, lai apstrādātu aizsargātu informāciju ar nepieciešamo tās drošības līmeni.

3.2.4. organizācijas informācijas drošības pārkāpums: organizācijas informācijas drošības pārkāpums: Personas (subjekta, objekta) nejauša vai tīša prettiesiska darbība saistībā ar organizācijas mantu, kuras sekas ir informācijas drošības pārkāpums, tas tiek apstrādāts ar tehniskiem līdzekļiem informācijas sistēmās, izraisot organizācijai negatīvas sekas (kaitējumu/kaitējumu).

ārkārtas; neparedzēta situācija; Ārkārtas situācija: situācija noteiktā teritorijā vai akvatorijā, kas izveidojusies nelaimes gadījuma, bīstamas dabas parādības, katastrofas, dabas vai citas katastrofas rezultātā, kuras rezultātā var tikt zaudētas dzīvības vai izraisīti cilvēku upuri, kaitējums cilvēku veselībai. vai vide, būtiski materiālie zaudējumi un cilvēku dzīves apstākļu traucējumi.

Piezīme. Ārkārtas situācijas izšķir pēc avota rakstura (dabisks, cilvēka radīts, bioloģiski-sociāls un militārs) un pēc mēroga (vietējais, vietējais, teritoriālais, reģionālais, federālais un pārrobežu).

(GOST R 22.0.02-94. 2.1.1. pants)

GOST R 53114-2008

3.2.6

bīstama situācija: Apstākļi, kuros cilvēki, īpašums vai vide ir apdraudēta.

(GOST R 51898-2003. 3.6. punkts)

3.2.7

informācijas drošības incidents: jebkurš negaidīts vai nevēlams notikums, kas var traucēt darbību vai informācijas drošību.

Piezīme. Informācijas drošības incidenti ir:

Pakalpojumu, aprīkojuma vai ierīču zaudēšana:

Sistēmas kļūmes vai pārslodzes:

Lietotāju kļūdas.

Fiziskās aizsardzības pasākumu pārkāpums:

Nekontrolētas izmaiņas sistēmās.

Programmatūras un aparatūras kļūmes:

Piekļuves noteikumu pārkāpšana.

(GOST R ISO/IEC 27001-2006. 3.6. pants)

3.2.8. notikums: noteikta apstākļu kopuma iestāšanās vai esamība.

Piezīmes

1 Notikuma raksturs, iespējamība un sekas var nebūt pilnībā zināmas.

2 Notikums var notikt vienu vai vairākas reizes.

3 Var noteikt ar notikumu saistīto varbūtību.

4 Notikums var sastāvēt no viena vai vairāku apstākļu neierasšanās.

5 Neprognozējamu notikumu dažreiz sauc par "incidentu".

6 Notikums, kurā nerodas zaudējumi, dažkārt tiek saukts par negadījuma (incidenta) priekšnoteikumu, bīstamu stāvokli, bīstamu apstākļu kombināciju utt.

3.2.9. risks: nenoteiktības ietekme uz mērķu sasniegšanas procesu.

Piezīmes

1 Mērķiem var būt dažādi aspekti: finanšu, veselības, drošības un vides aspekti, un tos var noteikt dažādos līmeņos: stratēģiskā līmenī, organizācijas līmenī, projekta, produkta un procesa līmenī.

3 Risks bieži tiek izteikts kā notikuma vai apstākļu maiņas seku un to iespējamības kombinācija.

3.2.10

Riska novērtējums: process, kas apvieno riska identificēšanu, riska analīzi un riska kvantitatīvo noteikšanu.

(GOST R ISO/IEC 13335-1-2006, 2.21. punkts]

3.2.11. (organizācijas) informācijas drošības riska novērtējums; informācijas drošības riska novērtējums (organizācija): Vispārējs process, kurā tiek identificēts, analizēts un noteikts organizācijas informācijas drošības riska līmeņa pieņemamība.

3.2.12. risku identificēšana: risku noteikšanas, atpazīšanas un aprakstīšanas process.

Piezīmes

1 Riska identificēšana ietver riska avotu, notikumu un to cēloņu, kā arī to iespējamo seku apzināšanu.

2. PIEZĪME Riska identificēšana var ietvert statistikas datus, teorētisko analīzi, pamatotus viedokļus un ekspertu viedokļus, kā arī ieinteresēto personu vajadzības.

GOST R 53114-2008

riska analīze: sistemātiska informācijas izmantošana, lai identificētu riska avotus un kvantitatīvi noteiktu risku.

(GOST R ISO/IEC 27001-2006. 3.11. pants)

3.2.14. Riska pieņemamības noteikšana: Riska analīzes rezultātu salīdzināšanas process ar riska kritērijiem, lai noteiktu riska līmeņa pieņemamību vai pieļaujamību.

PIEZĪME Riska līmeņa pieņemamības noteikšana palīdz pieņemt lēmumus par ārstēšanu

3.2.15. rīkoties ar organizācijas informācijas drošības risku; Organizācijas informācijas drošības riska apstrāde: pasākumu izstrādes un/vai atlases un ieviešanas process, lai pārvaldītu organizācijas informācijas drošības riskus.

Piezīmes

1 Riska ārstēšana var ietvert:

Izvairīšanās no riska, pieņemot lēmumu nesākt vai neturpināt darbības, kas rada apstākļus

Meklējot iespēju, pieņemot lēmumu uzsākt vai turpināt darbības, kas var radīt vai palielināt risku;

Riska avota novēršana:

Izmaiņas riska būtībā un apmērā:

Mainīgas sekas;

Riska dalīšana ar citu pusi vai pusēm.

Riska noturība gan apzināta lēmuma rezultātā, gan “pēc noklusējuma”.

2 Riska ārstēšanu ar negatīvām sekām dažreiz sauc par mazināšanu, novēršanu, novēršanu. samazināšana, apspiešana un riska korekcija.

3.2.16. riska pārvaldība: koordinētas darbības, lai vadītu un kontrolētu organizācijas darbības saistībā ar riskiem.

3.2.17. riska avots organizācijas informācijas drošībai; organizācijas informācijas drošības riska avots: objekts vai darbība, kas var izraisīt [radīt) risku.

Piezīmes

1 Nav riska, ja nav mijiedarbības starp objektu, personu vai organizāciju ar riska avotu.

2 Riska avots var būt taustāms vai nemateriāls.

3.2.18. (organizācijas) informācijas drošības politika; informācijas drošības politika (organizācija): formāls paziņojums par informācijas drošības noteikumiem, procedūrām, praksi vai vadlīnijām, kas nosaka organizācijas darbības.

Piezīme. Politikā ir jāietver.

Drošības politikas priekšmets, galvenie mērķi un uzdevumi:

Drošības politikas piemērošanas nosacījumi un iespējamie ierobežojumi:

Organizācijas vadības nostājas apraksts attiecībā uz drošības politikas ieviešanu un organizācijas informācijas drošības režīma organizāciju kopumā.

Tiesības un pienākumi, kā arī darbinieku atbildības pakāpe par organizācijas drošības politikas ievērošanu.

Ārkārtas procedūras drošības politikas pārkāpuma gadījumā

3.2.19. (organizācijas) informācijas drošības mērķis; IS (organizācijas) mērķis: Iepriekš noteikts rezultāts organizācijas informācijas drošības nodrošināšanai atbilstoši IS (organizācijas) politikā noteiktajām prasībām.

Piezīme - Informācijas drošības nodrošināšanas rezultāts var būt informācijas īpašnieka bojājumu novēršana iespējamas informācijas noplūdes un (vai) nesankcionētas un neapzinātas ietekmes uz informāciju.

3.2.20. dokumentu sistēma par informācijas drošību organizācijā; informācijas drošības dokumentu sistēma organizācijā: sakārtots dokumentu kopums, ko vieno mērķorientācija. savstarpēji saistīti, pamatojoties uz izcelsmi, mērķi, veidu, darbības jomu, vienotām prasībām to veidošanai un regulē organizācijas darbību, lai nodrošinātu informācijas drošību.

GOST R 53114-2008

3.3 Noteikumi, kas saistīti ar informācijas drošības apdraudējumiem

3.3.1. draudi organizācijas informācijas drošībai; Informācijas drošības apdraudējums organizācijai: faktoru un apstākļu kopums, kas rada organizācijas informācijas drošības pārkāpuma draudus, izraisot vai spējot radīt negatīvas sekas (kaitējumu/kaitējumu) organizācijai.

Piezīmes

1 Informācijas drošības apdraudējuma īstenošanas (izpausmes) forma ir viena vai vairāku savstarpēji saistītu informācijas drošības notikumu un informācijas drošības incidentu uzliesmojums. kas noved pie organizācijas aizsargātā objekta(-u) informācijas drošības īpašību pārkāpumiem.

2 Apdraudējumu raksturo apdraudējuma objekta, draudu avota un apdraudējuma izpausmes klātbūtne.

draudi (informācijas drošība): apstākļu un faktoru kopums, kas rada potenciālus vai faktiskus informācijas drošības pārkāpuma draudus.

[GOST R 50922-2006. 2.6.1. punkts]

3.3.3. draudu (informācijas drošības) modelis: Fizisks, matemātisks, aprakstošs informācijas drošības apdraudējuma īpašību vai raksturlielumu attēlojums.

Piezīme - īpašs normatīvais dokuments var būt informācijas drošības apdraudējuma īpašību vai raksturlielumu aprakstošs attēlojums.

ievainojamība (informācijas sistēmas); pārkāpums: Informācijas sistēmas īpašums, kas ļauj īstenot apdraudējumus tajā apstrādātās informācijas drošībai.

Piezīmes

1 Informācijas sistēmā apstrādātā drošības apdraudējuma ieviešanas nosacījums var būt informācijas sistēmas nepilnība vai vājums.

2 Ja ievainojamība atbilst draudiem, pastāv risks.

[GOST R 50922-2006. 2.6.4. punkts]

3.3.5. organizācijas informācijas drošības pārkāpējs; organizācijas informācijas drošības pārkāpējs: fiziska vai loģiska vienība, kas nejauši vai tīši izdarījusi darbību, kuras sekas ir organizācijas informācijas drošības pārkāpums.

3.3.6. nesankcionēta piekļuve: Piekļuve informācijai vai automatizētas informācijas sistēmas resursiem, kas veikta, pārkāpjot noteiktos piekļuves tiesību (vai) noteikumus.

Piezīmes

1 Neatļauta piekļuve var būt tīša vai netīša.

2 Informācijas un informācijas sistēmas resursu piekļuves tiesības un noteikumi tiek noteikti informācijas apstrādes procesiem, automatizētas informācijas sistēmas uzturēšanai un programmu izmaiņām. tehniskos un informācijas resursus, kā arī informācijas iegūšanu par tiem.

3.3.7. tīkla uzbrukums: darbības, izmantojot programmatūru un (vai) aparatūru un tīkla protokolu, kuru mērķis ir īstenot draudus nesankcionētai piekļuvei informācijai, ietekmēt to vai automatizētas informācijas sistēmas resursus.

Lietojumprogramma — tīkla protokols ir semantisko un sintaktisko noteikumu kopums, kas nosaka vienā datorā esošo tīkla pārvaldības programmu mijiedarbību. ar tāda paša nosaukuma programmām, kas atrodas citā datorā.

3.3.8. piekļuves bloķēšana (informācijai): personu informācijas pārtraukšana vai apgrūtināta piekļuve tai. tiesības to darīt (likumīgie lietotāji).

3.3.9. Pakalpojuma atteikuma uzbrukums: tīkla uzbrukums, kas izraisa informācijas procesu bloķēšanu automatizētā sistēmā.

3.3.10. informācijas noplūde: aizsargātas informācijas nekontrolēta izplatīšana tās izpaušanas rezultātā, nesankcionēta piekļuve informācijai un aizsargātas informācijas saņemšana no ārvalstu izlūkdienestiem.

3.3.11. informācijas izpaušana: aizsargātas informācijas nesankcionēta izpaušana personām. nav pilnvarota piekļūt šai informācijai.

GOST R 53114-2008

(informācijas pārtveršana): nelikumīga informācijas saņemšana, izmantojot tehniskos līdzekļus, kas nosaka, saņem un apstrādā informatīvos signālus.

(R 50.1.053-2005, 3.2.5. punkts]

informatīvais signāls: signāls, kura parametrus var izmantot aizsargātās informācijas noteikšanai.

[R 50.1.05S-2005. 3.2.6. punkts]

3.3.14. deklarētās iespējas: Datoru aparatūras un programmatūras funkcionālās iespējas, kas nav aprakstītas vai neatbilst dokumentācijā aprakstītajām. kas var izraisīt informācijas drošības īpašību samazināšanos vai pārkāpumu.

3.3.15. viltus elektromagnētiskais starojums un traucējumi: elektromagnētiskais starojums no tehniskās informācijas apstrādes iekārtām, kas rodas kā blakusparādība un ko izraisa elektriskie signāli, kas darbojas to elektriskajās un magnētiskajās ķēdēs, kā arī šo signālu elektromagnētiskie traucējumi uz vadošām līnijām, konstrukcijām un strāvu. ķēdēm.

3.4 Noteikumi, kas saistīti ar organizācijas informācijas drošības pārvaldību

3.4.1. organizācijas informācijas drošības vadība; informācijas drošības organizācijas vadība; Koordinētas darbības, lai vadītu un vadītu organizāciju tās informācijas drošības nodrošināšanā atbilstoši mainīgajiem organizācijas iekšējās un ārējās vides apstākļiem.

3.4.2. organizācijas informācijas drošības risku vadība; organizācijas informācijas drošības riska pārvaldība: koordinētas darbības, lai vadītu un pārvaldītu organizāciju saistībā ar informācijas drošības risku, lai to samazinātu.

PIEZĪME Riska pārvaldības pamatprocesi ir konteksta noteikšana, riska novērtēšana, riska ārstēšana un pieņemšana, riska uzraudzība un pārskatīšana.

informācijas drošības vadības sistēma; ISMS: daļa no vispārējās vadības sistēmas. pamatojoties uz bioenerģijas riska novērtēšanas metožu izmantošanu izstrādei, ieviešanai un darbībai. informācijas drošības uzraudzība, analīze, atbalsts un uzlabošana.

PIEZĪME Vadības sistēma ietver organizatorisko struktūru, politiku, plānošanas aktivitātes, pienākumus, praksi, procedūras, procesus un resursus.

[GOST R ISO/IEC 27001-2006. 3.7. punkts]

3.4.4 informācijas drošības loma organizācijā; informācijas drošības loma organizācijā: konkrētu funkciju un uzdevumu kopums organizācijas informācijas drošības nodrošināšanai, kas nodrošina pieņemamu mijiedarbību starp subjektu un objektu organizācijā.

Piezīmes

1 Subjekti ietver personas no organizācijas vadītājiem, tās darbiniekiem vai procesiem, kas uzsākti viņu vārdā, lai veiktu darbības ar objektiem.

2 Objekti var būt aparatūra, programmatūra, programmatūra un aparatūra vai informācijas resurss, ar kuru tiek veiktas darbības.

3.4.5. Organizācijas informācijas drošības dienests: Organizācijas informācijas drošības vadības sistēmas organizatoriskā un tehniskā struktūra, kas īsteno noteikta uzdevuma risinājumu, kas vērsts uz organizācijas informācijas drošības apdraudējumu novēršanu.

3.5. Noteikumi, kas saistīti ar organizācijas informācijas drošības uzraudzību un novērtēšanu

3.5.1. kontrole pār organizācijas informācijas drošības nodrošināšanu; organizācijas informācijas drošības nodrošinājuma kontrole: Informācijas drošības nodrošinājuma atbilstības pārbaude organizācijā.

GOST R 53114-2008

3.5.2. uzraudzīt organizācijas informācijas drošību; organizācijas informācijas drošības uzraudzība: Pastāvīga informācijas drošības procesa uzraudzība organizācijā, lai konstatētu tā atbilstību informācijas drošības prasībām.

3.5.3. organizācijas informācijas drošības audits; informācijas drošības organizācijas audits: Sistemātisks, neatkarīgs un dokumentēts process, kurā tiek iegūti pierādījumi par organizācijas darbību informācijas drošības nodrošināšanai un informācijas drošības kritēriju izpildes pakāpes noteikšana organizācijā, kā arī iespēja veidot profesionālu auditu. spriedums par organizācijas informācijas drošības stāvokli.

3.5.4. pierādījumi (pierādījumi) par organizācijas informācijas drošības auditu; Organizācijas informācijas drošības audita dati: ieraksti, faktu paziņojumi vai cita informācija, kas attiecas uz organizācijas informācijas drošības audita kritērijiem un ko var pārbaudīt.

PIEZĪME Informācijas drošības pierādījumi var būt kvalitatīvi vai kvantitatīvi.

3.5.5. izvērtēt organizācijas informācijas drošības atbilstību noteiktajām prasībām; organizācijas informācijas drošības atbilstības noteiktajām prasībām novērtējums: Darbības, kas saistītas ar tiešu vai netiešu noteikto informācijas drošības prasību ievērošanas vai neatbilstības noteikšanu organizācijā.

3.5.6. organizācijas informācijas drošības audita kritērijs; Informācijas drošības organizācijas audita kritērijs: Ar organizācijas darbību informācijas drošības jomā saistīto aktuālo normatīvo dokumentu* principu, noteikumu, prasību un rādītāju kopums.

Pielietojums – informācijas drošības audita kritēriji tiek izmantoti informācijas drošības audita pierādījumu salīdzināšanai ar tiem.

3.5.7. automatizētas sistēmas sertifikācija drošā projektā: Aizsargātas informācijas apstrādes automatizētās sistēmas noteikto funkciju izpildes visaptverošas pārbaudes process, lai nodrošinātu atbilstību standartu un/vai normatīvo dokumentu prasībām informācijas jomā. aizsardzība un dokumentu sagatavošana par tās atbilstību aizsargātās informācijas apstrādes funkcijas veikšanai konkrētajā objekta informatizācijā.

3.5.8. organizācijas informācijas drošības nodrošināšanas kritērijs; organizācijas informācijas drošības kritērijs: Rādītājs, uz kura pamata tiek novērtēta organizācijas informācijas drošības mērķa(-u) sasniegšanas pakāpe.

3.5.9. informācijas drošības efektivitāte; informācijas drošības efektivitāte: Attiecība starp sasniegto rezultātu un resursiem, kas izmantoti, lai nodrošinātu noteiktu informācijas drošības līmeni.

3.6. Noteikumi, kas saistīti ar organizācijas informācijas drošības kontrolēm

3.6.1 organizācijas informācijas drošības nodrošināšana; organizācijas informācijas drošības nodrošināšana: Darbības, kuru mērķis ir novērst (neitralizēt, apkarot) iekšējos un ārējos draudus organizācijas informācijas drošībai vai samazināt kaitējumu, ko var radīt šādu apdraudējumu iespējamā īstenošana.

3.6.2. drošības līdzeklis; drošības kontrole: izveidota prakse, procedūra vai mehānisms riska pārvaldībai.

3.6.3 informācijas drošības nodrošināšanas pasākumi; informācijas drošības pasākumi: darbību kopums, kas vērsts uz informācijas drošības nodrošināšanas metožu un līdzekļu izstrādi un/vai praktisku pielietojumu.

3.6.4 organizatoriskie pasākumi informācijas drošības nodrošināšanai; organizatoriskie pasākumi informācijas drošības nodrošināšanai: Informācijas drošības nodrošināšanas pasākumi, paredzot pagaidu, teritoriālo, telpisko, tiesisko, metodisko un citu ierobežojumu noteikšanu informatizācijas objekta lietošanas nosacījumiem un darbības režīmiem.

3.6.5. informācijas drošības nodrošināšanas tehniskie līdzekļi; informācijas drošības tehniskie līdzekļi: Iekārtas, ko izmanto organizācijas informācijas drošības nodrošināšanai, izmantojot nekriptogrāfijas metodes.

Piezīme - Šādas iekārtas var attēlot ar aparatūru un programmatūru, kas iebūvēta aizsargātajā objektā un/vai darbojas autonomi (neatkarīgi no aizsargātā objekta).

GOST R 53114-2008

3.5.6. ielaušanās atklāšanas rīks, uzbrukumu noteikšanas rīks: programmatūra vai programmatūras-aparatūras rīks, kas automatizē datorsistēmā vai tīklā notiekošo notikumu uzraudzības procesu, kā arī neatkarīgi analizē šos notikumus, meklējot informācijas drošības incidenta pazīmes.

3.6.7. aizsardzības līdzekļi pret nesankcionētu piekļuvi: programmatūra, aparatūra vai programmatūra un aparatūra, kas izstrādāta, lai novērstu vai būtiski kavētu nesankcionētu piekļuvi.

GOST R 53114-2008

Terminu alfabētiskais rādītājs

organizācijas līdzekļi 3.1.6

riska analīze 3.2.13

Skaļruņi aizsargātā versijā 3.1.19

pakalpojumu liegšanas uzbrukums 3.3.9

tīkla uzbrukums 3.3.7

automatizētas sistēmas sertifikācija aizsargātā versijā 3.5.7

organizācijas informācijas drošības audits 3.5.3

organizācijas informācijas drošības audits 3.5.3

nodrošinājums (dati] 3.1.1

informācijas drošība 3.1.1

informācijas tehnoloģiju drošība 3.1.2

organizācijas informācijas drošība 3.2.1

piekļuves (informācijai) bloķēšana 3.3.8

pārkāpums 3.3.4

nedeklarētās spējas 3.3.14

personas dati 3.1.18

nesankcionēta piekļuve 3.3.6

Organizācijas informācijas drošība 3.2.1

riska identificēšana 3.2.12

informācijas infrastruktūra 3.1.4

informācijas drošības incidents 3.2.7

organizācijas informācijas drošības riska avots 3.2.17

organizācijas informācijas drošības riska avots 3.2.17

organizācijas informācijas drošības kontrole 3.5.1

organizācijas informācijas drošības kontrole 3.5.1

organizācijas informācijas drošības nodrošināšanas kritēriji 3.5.8

organizācijas IS audita kritērijs 3.5.6

organizācijas informācijas drošības audita kritērijs 3.5.6

organizācijas informācijas drošības nodrošināšanas kritērijs 3.5.8

organizācijas informācijas drošības vadība 3.4.1

organizācijas informācijas drošības vadība 3.4.1

organizācijas informācijas drošības risku vadība 3.4.2

organizācijas informācijas drošības risku vadība 3.4.2

drošības līdzeklis 3.6.2

drošības līdzeklis 3.6.2

informācijas drošības pasākumi 3.6.3

organizatoriskie informācijas drošības pasākumi 3.6.4

informācijas drošības pasākumi 3.6.3

organizatoriskie informācijas drošības pasākumi 3.4.6

draudu modelis (informācijas drošība) 3.3.3

organizācijas informācijas drošības uzraudzība 3.5.2

organizācijas informācijas drošības uzraudzība 3.5.2

organizācijas informācijas drošības pārkāpums 3.2.4

organizācijas informācijas drošības pārkāpums 3.2.4

organizācijas informācijas drošības pārkāpējs 3.3.5

organizācijas informācijas drošības pārkāpējs 3.3.5

automatizētās informācijas sistēmas atbalsts 3.1.12

automatizētās sistēmas programmatūra 3.1.11

automatizētās sistēmas tehniskais nodrošinājums 3.1.10

AS informācijas atbalsts 3.1.12

Maiņstrāvas programmatūra 3.1.11

Maiņstrāvas tehniskais atbalsts 3.1.10

organizācijas informācijas drošības nodrošināšana 3.6.1

organizācijas informācijas drošības nodrošināšana 3.6.1

organizācijas informācijas drošības risku ārstēšana 3.2.15

GOST R 53114-2008

organizācijas informācijas drošības riska pārvaldīšana 3.2.1S

informācijas aizsardzības objekts 3.2.2

informatizācijas objekts 3.1.5

kritiskais objekts 3.1.16

pieļaujamā riska līmeņa noteikšana 3.2.14

riska novērtējums 3.2.10

riska novērtējums I6 (organizācijas) 3.2.11

informācijas drošības riska novērtējums (organizācija) 3.2.11

izvērtējot organizācijas IS atbilstību noteiktajām prasībām 3.5.5

organizācijas informācijas drošības atbilstības noteiktajām prasībām novērtējums 3.5.5

pārtveršana (informācija) 3.3.12

IS politika (organizācija) 3.2.18

informācijas drošības politika (organizācija) 3.2.18

process (informācijas tehnoloģija) aizsargāts 3.2.3

informācijas process 3.1.8

informācijas izpaušana 3.3.11

informācijas apstrādes sistēmas resurss 3.1.7

informācijas drošības loma organizācijā 3.4.4

informācijas drošības loma 8 organizācijā 3.4.4

organizācijas IS audita sertifikāti (pierādījumi) 3.5.4

organizācijas informācijas drošības audita pierādījumi (pierādījumi) 3.5.4

serviss 3.1.13

informatīvais signāls 3.3.13

droša automatizēta sistēma 3.1.19

informācijas drošības dokumentu sistēma organizācijā 3.2.20

dokumentu sistēma par informācijas drošību organizācijā 3.2.20

galvenās informācijas infrastruktūras sistēma 3.1.15

kritiskās informācijas infrastruktūras sistēma 3.1.15

informācijas drošības pārvaldības sistēma 3.4.3

personas datu informācijas sistēma 3.1.17

neparedzēta situācija 3.2.5

bīstama situācija 3.2.6

ārkārtas situācija 3.2.5

organizācijas informācijas drošības dienests 3.4.6

pasākums 3.2.8

aizsardzība pret nesankcionētu piekļuvi 3.6.7

tehniskais informācijas drošības līdzeklis 3.6.5

tehniskais informācijas drošības līdzeklis 3.6.5

Uzbrukuma noteikšanas rīks 3.6.6

Ielaušanās noteikšanas rīks 3.6.6

informācijas sfēra 3.1.3

informācijas tehnoloģijas 3.1.9

draudi (informācijas drošība) 3.3.2

apdraudējums organizācijas informācijas drošībai 3.3.1

apdraudējums organizācijas informācijas drošībai 3.3.1

riska vadība 3.2.16

serviss 3.1.13

informācijas tehnoloģiju pakalpojumi 3.1.14

IT pakalpojumi 3.1.14

informācijas noplūde 3.3.10

ievainojamība (informācijas sistēma) 3.3.4

IS mērķis (organizācija) 3.2.19

informācijas drošības mērķis (organizācija) 3.2.19

elektromagnētiskais starojums un sānu traucējumi 3.3.15

IS efektivitāte 3.5.9

informācijas drošības efektivitāte 3.5.9

GOST R 53114-2008

A pielikums (uzziņai)

Vispārējo tehnisko jēdzienu termini un definīcijas

organizācija: darbinieku un nepieciešamo resursu grupa ar pienākumu, pilnvaru un attiecību sadalījumu.

(GOST R ISO 9000-2001, 3.3.1. punkts]

Piezīmes

1 Organizācijas ir: uzņēmums, korporācija, firma, uzņēmums, iestāde, labdarības organizācija, mazumtirdzniecības uzņēmums, asociācija. kā arī to apakšnodaļas vai to kombinācijas.

2 Izplatīšana parasti tiek pasūtīta.

3 Organizācija var būt publiska vai privāta.

A.2. uzņēmējdarbība: saimnieciska darbība, kas rada peļņu; jebkura veida darbība, kas rada ienākumus un ir bagātināšanas avots.

A.Z biznesa process: Organizācijas saimnieciskajā darbībā izmantotie procesi.

informācija: Informācija (ziņojumi, dati) neatkarīgi no to pasniegšanas veida.

aktīvi: visi. kas ir vērtīgs organizācijai. (GOST R ISO/IEC13335-1-2006, 2.2. punkts(

A.6 resursi: (organizācijas) aktīvi, kas tiek izmantoti vai patērēti procesa izpildes laikā. Piezīmes

1 Resursi var ietvert tādus dažādus priekšmetus kā personāls, aprīkojums, pamatlīdzekļi, instrumenti un komunālie pakalpojumi, piemēram, enerģija, ūdens, degviela un sakaru tīklu infrastruktūra.

2 Resursi var būt atkārtoti lietojami, atjaunojami vai patērējami.

A.7 bīstamība: objekta īpašība, kas raksturo tā spēju nodarīt bojājumus vai kaitējumu citiem objektiem. A.8 ārkārtas notikums: notikums, kas izraisa ārkārtas situāciju.

A.9 kaitējums: fizisks kaitējums vai kaitējums cilvēku veselībai vai kaitējums īpašumam vai videi.

A. 10 draudi: apstākļu un faktoru kopums, kas var izraisīt integritātes un pieejamības pārkāpumu. privātumu.

A.11 ievainojamība: objekta iekšējās īpašības, kas rada uzņēmību pret riska avota ietekmi, kas var izraisīt zināmas sekas.

A. 12 uzbrukums: Mēģinājums pārvarēt informācijas sistēmas drošības sistēmu.

Piezīmes – Uzbrukuma “veiksmes” pakāpe ir atkarīga no aizsardzības sistēmas ievainojamības un efektivitātes.

A.13 vadība: koordinētas darbības organizācijas virzīšanai un vadībai

A.14 Uzņēmējdarbības (nepārtrauktības) vadība: koordinētas vadības un kontroles darbības

organizācijas biznesa procesi.

A. 15 loma: iepriekš noteikts noteikumu un procedūru kopums organizācijas darbībām, kas nodrošina pieņemamu mijiedarbību starp subjektu un darbības objektu.

Informācijas īpašnieks: Persona, kas patstāvīgi radījusi informāciju vai saņēmusi, pamatojoties uz likumu vai līgumu, tiesības atļaut vai ierobežot piekļuvi informācijai, kas noteikta pēc jebkādiem kritērijiem.

GOST R 53114-2008

infrastruktūra: ēku, iekārtu un atbalsta pakalpojumu kopums, kas nepieciešams organizācijas funkcionēšanai.

[GOST R ISO 9000-2001. 3.3.3. punkts]

A.18. audits: sistemātisks, neatkarīgs un dokumentēts audita pierādījumu iegūšanas un objektīvas novērtēšanas process, lai noteiktu, cik lielā mērā ir izpildīti saskaņotie revīzijas kritēriji.

Piezīmes

1 Iekšējos auditus, ko sauc par pirmās puses auditiem, iekšējiem nolūkiem veic pati organizācija vai tās vārdā cita organizācija. Iekšējā audita rezultāti var kalpot par pamatu atbilstības deklarācijai. Daudzos gadījumos, īpaši mazajos uzņēmumos, audits ir jāveic speciālistiem (personām, kuras nav atbildīgas par revidējamo darbību).

2. PIEZĪME Ārējie auditi ietver auditus, ko sauc par otrās puses auditiem un trešās puses auditiem. Otrās puses auditus veic, piemēram, uzņēmuma darbībā ieinteresētās puses.

patērētājiem vai citiem viņu vārdā. Trešo pušu auditus veic ārējas neatkarīgas organizācijas. Šīs organizācijas veic sertifikāciju vai reģistrāciju, lai nodrošinātu atbilstību prasībām, piemēram, GOST R ISO 9001 un GOST R ISO 14001 prasībām.

3 Vienlaicīgi veiktu kvalitātes vadības sistēmu un vides vadības sistēmu auditu sauc par “visaptverošo auditu”.

4 Ja revidējamās organizācijas auditu vienlaikus veic vairākas organizācijas, tad šādu auditu sauc par “kopīgo auditu”.

A.19 monitorings: Objekta sistemātiska vai nepārtraukta uzraudzība, nodrošinot tā parametru kontroli un/vai mērīšanu, kā arī analīzes veikšana, lai prognozētu parametru mainīgumu un pieņemtu lēmumus par korektīvo un preventīvo darbību nepieciešamību un sastāvu.

atbilstības deklarācija: Produkta atbilstības tehnisko noteikumu prasībām apliecinājuma veidlapa.

A.21 tehnoloģija: Savstarpēji saistītu metožu, metožu, objektīvas darbības paņēmienu sistēma. A.22

dokuments: informācija, kas ierakstīta materiālā nesējā ar detaļām, kas ļauj to identificēt.

[GOST R 52069.0-2003. 3.18. punkts]

A.23 informācijas apstrāde: informācijas apkopošanas, uzkrāšanas, ievades, izvades, uztveršanas, pārraidīšanas, ierakstīšanas, glabāšanas, reģistrēšanas, iznīcināšanas, pārveidošanas, parādīšanas darbību kopums.

GOST R 53114-2008

B pielikums (uzziņai)

Pamatjēdzienu attiecības informācijas drošības jomā organizācijā

Attiecības starp pamatjēdzieniem parādītas B.1. attēlā.

B.1. attēls - pamatjēdzienu saistība

GOST R 53114-2008

Bibliogrāfija

(1] R 50.1.053-2005

(2]PS0.1.056-2005

Informāciju tehnoloģijas. Pamattermini un definīcijas tehniskās informācijas drošības jomā Tehniskās informācijas drošība. Pamattermini un definīcijas

Par tehniskajiem noteikumiem

Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību

Par personas datiem

Krievijas Federācijas informācijas drošības doktrīna

UDC 351.864.1:004:006.354 OKS 35.020 LLP

Atslēgas vārdi: informācija, informācijas drošība, informācijas drošība organizācijā, draudi informācijas drošībai, informācijas drošības kritēriji

Redaktors V.N. Cops soya Tehniskais redaktors V.N. Prusakova korektors V.E. Nestorovo datoru programmatūra I.A. NapeikinoO

Piegādāts darbā 06.11.2009. Parakstīts zīmogs 12/01/2009. Formāts 60"84 Ofseta papīrs. Arial burtveidols. Ofseta druka. Usp. krāsns l. 2.32. Uch.-red. l. 1.90. Tirāža 373 »kz. Zaks. 626

FSUE "STANDARTINFORMA*. 123995 Maskava. Granātābolu por.. 4. info@goslmlo gi

Ievadīts FSUE "STANDARTINFORM" datorā.

Iespiests FSUE filiālē "STANDARTINFORM* - tips. "Maskavas printeris". 105062 Maskava. Lyalin josla.. 6.

• GOST 22731-77 Datu pārraides sistēmas, datu pārraides kontroles procedūras galvenajā režīmā pusdupleksai informācijas apmaiņai
• GOST 26525-85 Datu apstrādes sistēmas. Lietojuma rādītāji
• GOST 27771-88 Procedūras raksturlielumi saskarnē starp datu gala iekārtu un datu kanālu beigu iekārtu. Vispārīgās prasības un standarti
• GOST 28082-89 Informācijas apstrādes sistēmas. Sērijas datu pārraides kļūdu noteikšanas metodes
• GOST 28270-89 Informācijas apstrādes sistēmas. Datu apraksta faila specifikācija informācijas apmaiņai
• GOST R 43.2.11-2014 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Teksta informācijas strukturēta prezentācija ziņojumu formātos
• GOST R 43.2.8-2014 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Ziņojumu formāti tehniskajām darbībām
• GOST R 43.4.1-2011 Informācijas atbalsts aprīkojumam un operatora darbībām. “Cilvēka informācijas” sistēma
• GOST R 53633.10-2015 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Extended Communications Organization Operating Framework (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Organizācijas vadība. Organizatorisko risku vadība
• GOST R 53633.11-2015 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas darbības diagramma (eTOM) Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Organizācijas vadība. Organizācijas darbības vadība
• GOST R 53633.4-2015 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Extended Communications Organization Operating Framework (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Primārā darbība. Pakalpojumu vadība un darbība
• GOST R 53633.7-2015 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Extended Communications Organization Operating Framework (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Stratēģija, infrastruktūra un produkts. Attīstība un resursu pārvaldība
• GOST R 53633.9-2015 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Extended Communications Organization Operating Framework (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Organizācijas vadība. Organizācijas plānošanas stratēģija un attīstība
• GOST R 55767-2013 Informācijas tehnoloģijas. Eiropas IKT kompetenču ietvarstruktūra 2.0. 1.daļa. Kopējais Eiropas kompetenču ietvars IKT profesionāļiem visās rūpniecības nozarēs
• GOST R 55768-2013 Informācijas tehnoloģijas. Atvērtās režģa sistēmas modelis. Pamatnoteikumi
• GOST R 56093-2014 Informācijas aizsardzība. Automatizētas sistēmas drošā dizainā. Līdzekļi tīšas spēka elektromagnētiskās ietekmes noteikšanai. Vispārīgās prasības
• GOST R 56115-2014 Informācijas aizsardzība. Automatizētas sistēmas drošā dizainā. Aizsardzības līdzekļi pret apzinātu spēka elektromagnētisko ietekmi. Vispārīgās prasības
• GOST R 56545-2015 Informācijas aizsardzība. Informācijas sistēmu ievainojamības. Noteikumi ievainojamību aprakstīšanai
• GOST R 56546-2015 Informācijas aizsardzība. Informācijas sistēmu ievainojamības. Informācijas sistēmu ievainojamību klasifikācija
• GOST IEC 60950-21-2013 Informācijas tehnoloģiju aprīkojums. Drošības prasības. 21. daļa. Tālvadības barošanas avots
• GOST IEC 60950-22-2013 Informācijas tehnoloģiju aprīkojums. Drošības prasības. 22. daļa. Iekārtas, kas paredzētas uzstādīšanai ārpus telpām
• GOST R 51583-2014 Informācijas aizsardzība. Procedūra automatizētu sistēmu izveidei drošā dizainā. Vispārīgi noteikumi
• GOST R 55766-2013 Informācijas tehnoloģijas. Eiropas IKT kompetenču ietvarstruktūra 2.0. 3. daļa. e-CF izveide - metodisko pamatu un ekspertu pieredzes apvienošana
• GOST R 55248-2012 Elektriskā drošība. Informācijas un komunikācijas tehnoloģiju tīkliem pievienoto iekārtu saskarņu klasifikācija
• GOST R 43.0.11-2014 Informācijas atbalsts aprīkojumam un operatora darbībām. Tehnisko darbību datu bāzes
• GOST R 56174-2014 Informācijas tehnoloģijas. Atvērtās Grid vides pakalpojumu arhitektūra. Termini un definīcijas
• GOST IEC 61606-4-2014 Audio un audiovizuālais aprīkojums. Digitālās audio iekārtas sastāvdaļas. Pamatmetodes skaņas raksturlielumu mērīšanai. 4.daļa. Personālais dators
• GOST R 43.2.5-2011 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Gramatika
• GOST R 53633.5-2012 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Extended Communications Organization Operating Framework (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Stratēģija, infrastruktūra un produkts. Mārketinga un produktu piedāvājuma vadība
• GOST R 53633.6-2012 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Extended Communications Organization Operating Framework (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Stratēģija, infrastruktūra un produkts. Pakalpojumu izstrāde un vadība
• GOST R 53633.8-2012 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Extended Communications Organization Operating Framework (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Stratēģija, infrastruktūra un produkts. Piegādes ķēdes attīstība un vadība
• GOST R 43.0.7-2011 Informācijas atbalsts aprīkojumam un operatora darbībām. Hibrīda-intelektualizēta cilvēka un informācijas mijiedarbība. Vispārīgi noteikumi
• GOST R 43.2.6-2011 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Morfoloģija
• GOST R 53633.14-2016 Informācijas tehnoloģijas. Telekomunikāciju pārvaldības tīkls ir paplašināts sakaru organizācijas darbības ietvars (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Organizācijas vadība. Ieinteresēto pušu un ārējo attiecību vadība
• GOST R 56938-2016 Informācijas aizsardzība. Informācijas aizsardzība, izmantojot virtualizācijas tehnoloģijas. Vispārīgi noteikumi
• GOST R 56939-2016 Informācijas aizsardzība. Droša programmatūras izstrāde. Vispārīgās prasības
• GOST R ISO/IEC 17963-2016 Pārvaldības tīmekļa pakalpojumu specifikācija (WS-management)
• GOST R 43.0.6-2011 Informācijas atbalsts aprīkojumam un operatora darbībām. Dabiski intelektualizēta cilvēka un informācijas mijiedarbība. Vispārīgi noteikumi
• GOST R 54817-2011 Audio, video, informācijas tehnoloģiju un sakaru iekārtu aizdegšanās nejauši, ko izraisa sveces liesma
• GOST R IEC 60950-23-2011 Informācijas tehnoloģiju aprīkojums. Drošības prasības. 23. daļa. Aprīkojums liela apjoma datu glabāšanai
• GOST R IEC 62018-2011 Informācijas tehnoloģiju iekārtu enerģijas patēriņš. Mērīšanas metodes
• GOST R 53538-2009 Vairāku pāru kabeļi ar vara vadītājiem platjoslas piekļuves shēmām. Vispārīgās tehniskās prasības
• GOST R 53633.0-2009 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Biznesa procesu vispārējā struktūra
• GOST R 53633.1-2009 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Primārā darbība. Attiecību vadīšana ar piegādātājiem un partneriem
• GOST R 53633.2-2009 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Primārā darbība. Resursu pārvaldība un darbība
• GOST R 53633.3-2009 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Primārā darbība. Klientu attiecību vadība
• GOST R ISO/IEC 20000-2-2010 Informācijas tehnoloģija. Pakalpojumu vadība. 2. daļa: Prakses kodekss
• GOST R 43.0.3-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Pusdienas tehnoloģija tehniskajās darbībās. Vispārīgi noteikumi
• GOST R 43.0.4-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Informācija tehniskajās darbībās. Vispārīgi noteikumi
• GOST R 43.0.5-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Informācijas apmaiņas procesi tehniskajās darbībās. Vispārīgi noteikumi
• GOST R 43.2.1-2007 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Vispārīgi noteikumi
• GOST R 43.2.2-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Vispārīgi lietošanas noteikumi
• GOST R 43.2.3-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Ikonisko komponentu veidi un īpašības
• GOST R 43.2.4-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Zīmju komponentu sintaktika
• GOST R 52919-2008 Informācijas tehnoloģijas. Fiziskās aizsardzības metodes un līdzekļi. Ugunsizturības klasifikācija un pārbaudes metodes. Datu telpas un konteineri
• GOST R 53114-2008 Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijā. Pamattermini un definīcijas
• GOST R 53245-2008 Informācijas tehnoloģijas. Strukturētas kabeļu sistēmas. Sistēmas galveno komponentu uzstādīšana. Pārbaudes metodes
• GOST R 53246-2008 Informācijas tehnoloģijas. Strukturētas kabeļu sistēmas. Sistēmas galveno komponentu projektēšana. Vispārīgās prasības
• GOST R IEC 60990-2010 Pieskāriena strāvas un aizsargvada strāvas mērīšanas metodes
• GOST 33707-2016 Informācijas tehnoloģijas. Vārdnīca
• GOST R 57392-2017 Informācijas tehnoloģijas. Pakalpojumu vadība. 10. daļa. Pamatjēdzieni un terminoloģija
• GOST R 43.0.13-2017 Informācijas atbalsts aprīkojumam un operatora darbībām. Speciālistu virzīta apmācība
• GOST R 43.0.8-2017 Informācijas atbalsts aprīkojumam un operatora darbībām. Mākslīgi intelektualizēta cilvēka un informācijas mijiedarbība. Vispārīgi noteikumi
• GOST R 43.0.9-2017 Informācijas atbalsts aprīkojumam un operatora darbībām. Informatīvie resursi
• GOST R 43.2.7-2017 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Sintakse
• GOST R ISO/IEC 38500-2017 Informācijas tehnoloģija. IT stratēģiskā vadība organizācijā
• GOST R 43.0.10-2017 Informācijas atbalsts aprīkojumam un operatora darbībām. Informācijas objekti, objektorientēta projektēšana tehniskās informācijas izveidē
• GOST R 53633.21-2017 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Dekompozīcija un procesu apraksti. Primārā darbība. Pakalpojumu vadība un darbība. eTOM 3. līmeņa procesi. Process 1.1.2.1 — SM&O procesu atbalsts un pieejamība
• GOST R 57875-2017 Telekomunikācijas. Savienojumu shēmas un zemējums telekomunikāciju centros
• GOST R 53633.22-2017 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Dekompozīcija un procesu apraksti. Primārā darbība. Pakalpojumu vadība un darbība. eTOM 3. līmeņa procesi. Process 1.1.2.2 — pakalpojumu konfigurēšana un aktivizēšana

Starptautiskie standarti

• BS 7799-1:2005 — Lielbritānijas standarta BS 7799 pirmā daļa. BS 7799 1. daļa — Informācijas drošības pārvaldības prakses kodekss apraksta 127 vadīklas, kas nepieciešamas, lai izveidotu informācijas drošības pārvaldības sistēmas organizācijas (ISMS), kas noteikta, pamatojoties uz labākajiem globālās pieredzes (labākās prakses) piemēriem šajā jomā. Šis dokuments kalpo kā praktisks ceļvedis ISMS izveidē
• BS 7799-2:2005 — Lielbritānijas standarts BS 7799 ir standarta otrā daļa. BS 7799 2. daļa — Informācijas drošības pārvaldība — informācijas drošības pārvaldības sistēmu specifikācija nosaka ISMS specifikāciju. Standarta otrā daļa tiek izmantota kā kritēriji organizācijas ISMS oficiālajā sertifikācijas procedūrā.
• BS 7799-3:2006 — Lielbritānijas standarta BS 7799 trešā standarta daļa. Jauns standarts informācijas drošības risku pārvaldībā
• ISO/IEC 17799:2005 — Informācijas tehnoloģija — Drošības tehnoloģijas — Informācijas drošības pārvaldības prakse. Starptautiskais standarts, kura pamatā ir BS 7799-1:2005.
• ISO/IEC 27000 — Vārdnīca un definīcijas.
• ISO/IEC 27001:2005 — "Informācijas tehnoloģija — Drošības tehnikas — Informācijas drošības pārvaldības sistēmas — Prasības." Starptautiskais standarts, kura pamatā ir BS 7799-2:2005.
• ISO/IEC 27002 — tagad: ISO/IEC 17799:2005. "Informācijas tehnoloģijas - Drošības tehnoloģijas - Praktiski noteikumi informācijas drošības pārvaldībai." Izdošanas datums: 2007.
• ISO/IEC 27005 — tagad: BS 7799-3:2006 — Vadlīnijas par informācijas drošības riska pārvaldību.
• Vācijas informācijas drošības aģentūra. IT bāzes aizsardzības rokasgrāmata — standarta drošības pasākumi.

Krievijas Federācijas valsts (nacionālie) standarti

• GOST R 50922-2006 - Informācijas aizsardzība. Pamattermini un definīcijas.
• R 50.1.053-2005 - Informācijas tehnoloģijas. Pamattermini un definīcijas tehniskās informācijas drošības jomā.
• GOST R 51188-98 - Informācijas aizsardzība. Datorvīrusu testēšanas programmatūra. Modeļa rokasgrāmata.
• GOST R 51275-2006 - Informācijas aizsardzība. Informācijas objekts. Faktori, kas ietekmē informāciju. Vispārīgi noteikumi.
• GOST R ISO/IEC 15408-1-2008 - Informācijas tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas kritēriji. 1. daļa. Ievads un vispārīgais modelis.
• GOST R ISO/IEC 15408-2-2008 - Informācijas tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas kritēriji. 2. daļa. Funkcionālās drošības prasības.
• GOST R ISO/IEC 15408-3-2008 - Informācijas tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas kritēriji. 3. daļa. Drošības nodrošināšanas prasības.
• GOST R ISO/IEC 15408 - “Vispārīgie informācijas tehnoloģiju drošības novērtēšanas kritēriji” - standarts, kas nosaka rīkus un metodes informācijas produktu un sistēmu drošības novērtēšanai; tajā ir saraksts ar prasībām, ar kurām var salīdzināt neatkarīgu drošības novērtējumu rezultātus, ļaujot patērētājam pieņemt lēmumus par produktu drošumu. “Vispārīgo kritēriju” piemērošanas joma ir informācijas aizsardzība pret nesankcionētu piekļuvi, pārveidošanu vai noplūdi un citas aizsardzības metodes, ko īsteno aparatūra un programmatūra.
• GOST R ISO/IEC 17799 - “Informācijas tehnoloģijas. Praktiski noteikumi informācijas drošības pārvaldībai. Tieša starptautiskā standarta pielietošana ar tā papildinājumu - ISO/IEC 17799:2005.
• GOST R ISO/IEC 27001 - “Informācijas tehnoloģijas. Drošības metodes. Informācijas drošības vadības sistēma. Prasības". Starptautiskā standarta tiešā pielietošana ir ISO/IEC 27001:2005.
• GOST R 51898-2002: Drošības aspekti. Noteikumi iekļaušanai standartos.

Vadošie dokumenti

• RD SVT. Aizsardzība pret NSD. Drošības indikatori no NSD līdz informācijai - satur informācijas sistēmu drošības indikatoru aprakstu un prasības drošības klasēm.

Skatīt arī

• Nedeklarētas iespējas

arejas saites

• Starptautiskie informācijas drošības pārvaldības standarti

Wikimedia fonds. 2010. gads.

Informācijas drošības nodrošināšanas nozīmi ir grūti pārvērtēt, jo datu glabāšanas un pārsūtīšanas nepieciešamība ir jebkura biznesa neatņemama sastāvdaļa.

Dažādas informācijas drošības metodes ir atkarīgas no formas, kādā tā tiek glabāta, tomēr, lai sistematizētu un sakārtotu šo jomu, nepieciešams noteikt informācijas drošības standartus, jo standartizācija ir svarīgs kvalitātes noteicējs sniegto pakalpojumu novērtēšanā.

Jebkurš informācijas drošības nodrošinājums prasa kontroli un pārbaudi, ko nevar veikt tikai individuāli izvērtējot, neņemot vērā starptautiskos un valsts standartus.

Informācijas drošības standartu veidošana notiek pēc tam, kad ir skaidri noteiktas tās funkcijas un robežas. Informācijas drošība ir datu konfidencialitātes, integritātes un pieejamības nodrošināšana.

Informācijas drošības stāvokļa noteikšanai vispiemērotākais ir kvalitatīvais novērtējums, jo drošības vai ievainojamības pakāpi var izteikt procentos, taču tas nesniedz pilnīgu un objektīvu priekšstatu.

Lai novērtētu un pārbaudītu informācijas sistēmu drošību, varat izmantot vairākas instrukcijas un ieteikumus, kas nozīmē regulējuma atbalstu.

Valsts un starptautiskie informācijas drošības standarti

Drošības stāvokļa uzraudzība un novērtēšana tiek veikta, pārbaudot to atbilstību valsts standartiem (GOST, ISO) un starptautiskajiem standartiem (Iso, Common criteris for IT security).

Starptautiskās standartizācijas organizācijas (ISO) izstrādātais starptautiskais standartu kopums ir informācijas drošības sistēmu un iekārtu ieviešanas prakses un ieteikumu kopums.

ISO 27000 ir viens no vispiemērotākajiem un visizplatītākajiem novērtēšanas standartiem, kas ietver vairāk nekā 15 noteikumus un ir secīgi numurēts.

Saskaņā ar ISO 27000 standartizācijas vērtēšanas kritērijiem informācijas drošība ir ne tikai tās integritāte, konfidencialitāte un pieejamība, bet arī autentiskums, uzticamība, kļūdu tolerance un identificējamība. Parasti šo standartu sēriju var iedalīt 4 sadaļās:

• pārskats un ievads terminoloģijā, drošības jomā lietoto terminu apraksts;
• obligātās prasības informācijas drošības pārvaldības sistēmai, detalizēts sistēmas pārvaldības metožu un līdzekļu apraksts. Ir šīs grupas galvenais standarts;
• audita ieteikumi, drošības kontroles norādījumi;
• standarti, kas iesaka praksi informācijas drošības pārvaldības sistēmas ieviešanai, izstrādei un uzlabošanai.

Valsts informācijas drošības standarti ietver vairākus noteikumus un dokumentus, kas sastāv no vairāk nekā 30 noteikumiem (GOST).

Dažādi standarti ir vērsti ne tikai uz vispārīgu vērtēšanas kritēriju noteikšanu, piemēram, GOST R ISO/IEC 15408, kas satur metodiskās vadlīnijas drošības novērtējumam un prasību sarakstu vadības sistēmai. Tie var būt specifiski un satur arī praktiskus norādījumus.

Pareiza noliktavas organizēšana un regulāra tās darbības uzraudzība palīdzēs novērst preču un materiālo vērtību zādzību, kas negatīvi ietekmē jebkura uzņēmuma finansiālo labklājību neatkarīgi no tā īpašuma formas.

Līdz palaišanas brīdim noliktavas automatizācijas sistēma iziet vēl divus posmus: iekšējo testēšanu un datu aizpildīšanu. Pēc šādas sagatavošanas sistēma pilnībā ieslēdzas. Vairāk par automatizāciju lasiet šeit.

Savstarpējā saistība un metožu kopums noved pie vispārīgu noteikumu izstrādes un starptautiskās un valsts standartizācijas apvienošanas. Tādējādi Krievijas Federācijas GOST satur papildinājumus un atsauces uz starptautiskajiem ISO standartiem.

Šāda mijiedarbība palīdz veidot vienotu kontroles un vērtēšanas sistēmu, kas savukārt būtiski paaugstina šo noteikumu piemērošanas efektivitāti praksē, objektīvi novērtējot darba rezultātus un kopumā uzlabojot.

Nacionālo un starptautisko standartizācijas sistēmu salīdzināšana un analīze

Eiropas standartizācijas standartu skaits informācijas drošības nodrošināšanai un kontrolei ievērojami pārsniedz Krievijas Federācijas noteiktos juridiskos standartus.

Valstu valdības standartos dominē noteikumi par informācijas aizsardzību pret iespējamu uzlaušanu, noplūdi un zaudēšanas draudiem. Ārvalstu drošības sistēmas specializējas datu piekļuves un autentifikācijas standartu izstrādē.

Atšķirības ir arī noteikumos, kas attiecas uz sistēmu kontroles un audita ieviešanu. Turklāt Eiropas standartizācijas informācijas drošības vadības sistēmas piemērošanas un ieviešanas prakse izpaužas gandrīz visās dzīves jomās, un Krievijas Federācijas standarti galvenokārt ir vērsti uz materiālās labklājības saglabāšanu.

Tomēr pastāvīgi atjauninātie valsts standarti satur nepieciešamo minimālo prasību kopumu, lai izveidotu kompetentu informācijas drošības pārvaldības sistēmu.

Informācijas drošības standarti datu pārraidei

Uzņēmējdarbība ietver datu uzglabāšanu, apmaiņu un pārsūtīšanu, izmantojot internetu. Mūsdienu pasaulē valūtas darījumi, komercdarbība un naudas līdzekļu pārskaitījumi bieži notiek tiešsaistē, un šīs darbības informācijas drošību iespējams nodrošināt, tikai pielietojot kompetentu un profesionālu pieeju.

Internetā ir daudz standartu, kas nodrošina drošu datu uzglabāšanu un pārsūtīšanu, labi zināmas pretvīrusu aizsardzības programmas, speciāli finanšu darījumu protokoli un daudzi citi.

Informācijas tehnoloģiju un sistēmu attīstības ātrums ir tik liels, ka ievērojami apsteidz protokolu un vienotu to izmantošanas standartu izveidi.

Viens no populārākajiem drošas datu pārraides protokoliem ir SSL (Secure Socket Layer), ko izstrādājuši amerikāņu speciālisti. Tas ļauj aizsargāt datus, izmantojot kriptogrāfiju.

Šī protokola priekšrocība ir verifikācijas un autentifikācijas iespēja, piemēram, tieši pirms datu apmaiņas. Taču šādu sistēmu izmantošana, pārsūtot datus, ir drīzāk konsultatīva, jo uzņēmējiem šo standartu izmantošana nav obligāta.

Lai atvērtu LLC, jums ir nepieciešama uzņēmuma harta. Procedūra, kas tiek izstrādāta saskaņā ar Krievijas Federācijas tiesību aktiem. Varat to uzrakstīt pats, kā ceļvedi ņemt standarta paraugu vai sazināties ar speciālistiem, kas to uzrakstīs.

Topošajam uzņēmējam, kurš plāno attīstīt savu biznesu kā individuālais uzņēmējs, aizpildot pieteikumu, jānorāda saimnieciskās darbības kods saskaņā ar OKVED. Sīkāka informācija šeit.

Drošu darījumu un operāciju veikšanai tika izstrādāts SET (Security Electronic Transaction) pārraides protokols, kas ļauj minimizēt riskus, veicot komercdarbības un tirdzniecības operācijas. Šis protokols ir Visa un Master Card maksājumu sistēmu standarts, kas ļauj izmantot maksājumu sistēmas drošības mehānismu.

Komitejas, kas standartizē interneta resursus, ir brīvprātīgas, tāpēc to veiktās darbības nav likumīgas un obligātas.

Taču krāpšana internetā mūsdienu pasaulē ir atzīta par vienu no globālajām problēmām, tāpēc informācijas drošību nodrošināt bez speciālu tehnoloģiju izmantošanas un to standartizācijas vienkārši nav iespējams.

Drošības pārvaldības sistēmas – Specification with guidance for use" (Sistēmas – specifikācijas ar lietošanas norādījumiem). Uz tā pamata tika izstrādāts ISO/IEC 27001:2005 "Informācijas tehnoloģiju" standarts. Drošības tehnikas. Informācijas drošības vadības sistēmas. Prasības", par kuru ievērošanu var veikt sertifikāciju.

Krievijā pašlaik ir spēkā standarti GOST R ISO/IEC 17799-2005 “Informācijas tehnoloģija”. informācijas drošības vadība"(ISO/IEC 17799:2000 autentisks tulkojums) un GOST R ISO/IEC 27001-2006 "Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības vadības sistēmas. Prasības" (ISO/IEC 27001:2005 tulkojums). Neskatoties uz dažām iekšējām neatbilstībām, kas saistītas ar dažādām versijām un tulkošanas funkcijām, standartu klātbūtne ļauj mums ieviest sistēmu. informācijas drošības vadība atbilstoši to prasībām un, ja nepieciešams, apliecināt.

GOST R ISO/IEC 17799:2005 "Informācijas tehnoloģija. Informācijas drošības pārvaldības praktiskie noteikumi"

Tagad apskatīsim standarta saturu. Ievadā teikts, ka “informācija, to atbalsta procesi, informācijas sistēmas un tīkla infrastruktūra ir būtiski organizācijas aktīvi Konfidencialitāte, integritāte un informācijas pieejamība var būtiski veicināt konkurētspēju, likviditāti, rentabilitāti, atbilstību biznesa reputācija organizācija." Tādējādi var teikt, ka šis standarts aplūko informācijas drošības jautājumus, tostarp no ekonomiskā efekta viedokļa.

Ir norādītas trīs faktoru grupas, kas jāņem vērā, izstrādājot prasības informācijas drošības jomā. Šis:

• organizācijas riska novērtējums. Veicot riska novērtējumu, tiek identificēti draudi organizācijas aktīviem, ievainojamības novērtējums attiecīgie aktīvi un draudu rašanās iespējamība, kā arī iespējamo seku novērtējums;
• juridiskās, likumā noteiktās, reglamentējošās un līgumiskās prasības, kas jāievēro organizācijai, tās tirdzniecības partneriem, darbuzņēmējiem un pakalpojumu sniedzējiem;
• organizācijas izstrādāts konkrēts principu, mērķu un prasību kopums attiecībā uz informācijas apstrādi.

Kad prasības ir noteiktas, sākas tādu pasākumu izvēles un ieviešanas posms, kas nodrošinās riska samazināšanu līdz pieņemamam līmenim. Pasākumu atlase pēc informācijas drošības vadība jābalstās uz to īstenošanas izmaksu attiecību, risku samazināšanas ietekmi un iespējamiem zaudējumiem drošības pārkāpuma gadījumā. Jāņem vērā arī tādi faktori, kurus nevar izteikt naudas izteiksmē, piemēram, reputācijas zaudēšana. Iespējamais aktivitāšu saraksts ir dots standartā, taču tiek atzīmēts, ka to var papildināt vai veidot patstāvīgi, pamatojoties uz organizācijas vajadzībām.

Īsi uzskaitīsim standarta sadaļas un tajās piedāvātos informācijas aizsardzības pasākumus. Pirmā grupa attiecas uz drošības politiku. Tas ir jāizstrādā, jāapstiprina organizācijas vadībai, jāpublicē un jādara zināma visiem darbiniekiem. Tajā būtu jānosaka darba kārtība ar organizācijas informācijas resursiem, darbinieku pienākumi un atbildība. Politika tiek periodiski pārskatīta, lai atspoguļotu pašreizējo sistēmas stāvokli un identificētos riskus.

Nākamajā sadaļā apskatīti organizatoriskie jautājumi, kas saistīti ar informācijas drošību. Standarts iesaka izveidot vadības padomes (piedaloties uzņēmuma augstākajai vadībai), lai apstiprinātu drošības politiku, ieceltu atbildīgās personas, pienākumu sadali un pasākumu īstenošanas koordinācija informācijas drošības vadība Organizācijā. Lai tas neradītu drošības problēmas, jāapraksta arī process, kādā tiek iegūta atļauja izmantot informācijas apstrādes rīkus (tostarp jaunu programmatūru un aparatūru) organizācijā. Tāpat nepieciešams noteikt kārtību mijiedarbībai ar citām organizācijām informācijas drošības jautājumos, konsultācijām ar “ārējiem” speciālistiem, informācijas drošības neatkarīgai pārbaudei (auditam).

Nodrošinot pieeju informācijas sistēmām trešo pušu organizāciju speciālistiem, īpaša uzmanība jāpievērš drošības jautājumiem. Ir jāveic risku novērtējums, kas saistīts ar šādu speciālistu dažāda veida (fizisku vai loģisku, t.i. attālinātu) piekļuvi dažādiem organizācijas resursiem. Piekļuves nodrošināšanas nepieciešamībai jābūt pamatotai, un līgumos ar trešajām personām un organizācijām jāiekļauj prasības par drošības politikas ievērošanu. To pašu piedāvāts darīt arī trešo personu organizāciju iesaistīšanas informācijas apstrādē (ārpakalpojumu) gadījumā.

Nākamā standarta sadaļa ir veltīta klasifikācijas jautājumiem un aktīvu pārvaldību. Lai nodrošinātu organizācijas informācijas drošību, ir nepieciešams, lai visi galvenie informācijas līdzekļi tiktu uzskaitīti un piešķirti atbildīgajiem īpašniekiem. Mēs iesakām sākt ar inventarizāciju. Kā piemērs ir dota šāda klasifikācija:

• informācijas līdzekļi (datu bāzes un datu faili, sistēmas dokumentācija utt.);
• programmatūras aktīvi (lietojumprogrammatūra, sistēmas programmatūra, izstrādes rīki un utilītas);
• fiziskie līdzekļi (datortehnika, sakaru iekārtas, datu nesēji, cits tehniskais aprīkojums, mēbeles, telpas);
• pakalpojumi (skaitļošanas un sakaru pakalpojumi, pamata komunālie pakalpojumi).

Tālāk tiek piedāvāts klasificēt informāciju, lai noteiktu tās prioritāti, nepieciešamību un aizsardzības pakāpi. Tajā pašā laikā attiecīgo informāciju var novērtēt, ņemot vērā to, cik tā ir kritiska organizācijai, piemēram, no tās integritātes un pieejamības nodrošināšanas viedokļa. Pēc tam tiek ierosināts izstrādāt un ieviest marķēšanas procedūru informācijas apstrādē. Katram klasifikācijas līmenim jādefinē marķēšanas procedūras, lai pielāgotos šādiem informācijas apstrādes veidiem:

• kopēšana;
• uzglabāšana;
• pārsūtīšana pa pastu, faksu un e-pastu;
• balss pārraide, tostarp mobilie tālruņi, balss pasts, automātiskie atbildētāji;
• iznīcināšana.

Nākamajā sadaļā ir apskatīti ar personālu saistītie drošības jautājumi. Standarts nosaka, ka pienākumi par drošības prasību ievērošanu tiek sadalīti personāla atlases posmā, iekļauti darba līgumos un uzraudzīti visā darbinieka nodarbinātības laikā. Jo īpaši, pieņemot darbā pastāvīgu darbinieku, ieteicams pārbaudīt pretendenta iesniegto dokumentu autentiskumu, CV un viņam iesniegto ieteikumu pilnīgumu un pareizību. Darbiniekiem ieteicams parakstīt konfidencialitātes līgumu, norādot, kāda informācija ir konfidenciāla vai sensitīva. Jānosaka disciplinārā atbildība darbiniekiem, kuri pārkāpj organizācijas drošības politiku un procedūras. Vajadzības gadījumā šai atbildībai būtu jāturpinās noteiktu laiku pēc darba pārtraukšanas.

Lietotāji ir jāapmāca drošības procedūras un pareiza informācijas apstrādes rīku izmantošana, lai samazinātu iespējamos riskus. Turklāt kārtība, kādā informē par informācijas drošības pārkāpumi, kas jāiepazīst darbiniekiem. Līdzīga procedūra jāveic programmatūras kļūmju gadījumos. Šādi incidenti ir jāreģistrē un jāanalizē, lai identificētu atkārtotas problēmas.

Nākamā standarta sadaļa attiecas uz fiziskās un vides aizsardzības jautājumiem. Norādīts, ka “līdzekļiem kritiskas vai svarīgas pakalpojumu informācijas apstrādei ir jāatrodas noteiktas noteiktās drošības zonās drošības perimetrs ar atbilstošām aizsargbarjerām un ielaušanās kontroles ierīcēm. Šīm zonām jābūt fiziski aizsargātām no nesankcionētas piekļuves, bojājumiem un triecieniem." Papildus piekļuves kontroles organizēšanai aizsargājamām teritorijām, jānosaka tajās darbu veikšanas kārtība un, ja nepieciešams, apmeklētāju piekļuves organizēšanas kārtība. nepieciešams, lai nodrošinātu iekārtu drošību (t.sk., kas tiek izmantota ārpus organizācijas), lai samazinātu nesankcionētas piekļuves risku datiem un aizsargātu tos no zudumiem vai bojājumiem. Šajā prasību grupā ietilpst arī aizsardzības nodrošināšana pret strāvas padeves traucējumiem un kabeļtīkla aizsardzība. Jānosaka arī tāda aprīkojuma apkopes procedūra, kurā ņemtas vērā drošības prasības, un procedūras drošai iekārtu iznīcināšanai vai atkārtotai izmantošanai, piemēram, vienreizējās lietošanas datu nesējus, kas satur sensitīvu informāciju, ir ieteicams fiziski iznīcināt vai pārrakstīt drošā veidā. nevis izmantot standarta datu dzēšanas funkcijas.

Lai samazinātu nesankcionētas piekļuves vai bojājumu risku papīra dokumentiem, datu nesējiem un informācijas apstrādes līdzekļiem, papīra dokumentiem un noņemamiem datu nesējiem ir ieteicams ieviest "tīra galda" politiku, kā arī "tīra ekrāna" politiku. informācijas apstrādes iekārtas. Iekārtas, informāciju vai programmatūru drīkst izņemt no organizācijas telpām tikai ar atbilstošu atļauju.

Standarta nākamās sadaļas nosaukums ir “Datu pārsūtīšanas un operatīvo darbību vadība”. Tas prasa, lai tiktu noteikti pienākumi un procedūras, kas saistītas ar visu informācijas apstrādes iekārtu darbību. Piemēram, jākontrolē konfigurācijas izmaiņas informācijas apstrādes iekārtās un sistēmās. Nepieciešams īstenot pienākumu nodalīšanas principu attiecībā uz vadības funkcijām, noteiktu uzdevumu izpildi un jomām.

Ieteicams nodalīt programmatūras izstrādes, testēšanas un ražošanas vidi. Jādefinē un jādokumentē noteikumi programmatūras pārsūtīšanai no statusa izstrādes uz statusu, kas pieņemts lietošanai.

Papildu riski rodas, ja informācijas apstrādes iekārtu pārvaldīšanai izmanto trešo pušu darbuzņēmējus. Šādi riski ir jāidentificē iepriekš un jāveic atbilstoši pasākumi informācijas drošības vadība saskaņots ar darbuzņēmēju un iekļauts līgumā.

Lai nodrošinātu nepieciešamo apstrādes un uzglabāšanas jaudu, ir nepieciešams analizēt pašreizējās veiktspējas prasības, kā arī prognozēt nākotnes prasības. Šajās prognozēs jāņem vērā jaunās funkcionālās un sistēmas prasības, kā arī pašreizējie un nākotnes plāni informācijas tehnoloģiju attīstībai organizācijā. Jaunu sistēmu ieviešanas prasībām un kritērijiem jābūt skaidri definētiem, saskaņotiem, dokumentētiem un pārbaudītiem.

Jāveic pasākumi, lai novērstu un atklātu ļaunprātīgas programmatūras, piemēram, datorvīrusu, tīkla tārpu, Trojas zirgu un loģiskās bumbas. Tiek atzīmēts, ka aizsardzībai pret ļaunprātīgu programmatūru jābalstās uz izpratni par drošības prasībām, atbilstošu sistēmu piekļuves kontroli un pareizu izmaiņu pārvaldību.

Jānosaka kārtība, kādā tiek veiktas palīgoperācijas, kas ietver programmatūras un datu dublēšanu 1 Piemēram, laboratorija Nr. 10 aplūko dublējumu organizēšanu sistēmā Windows Server 2008. notikumu un kļūdu reģistrēšana un, ja nepieciešams, aparatūras statusa uzraudzība. Atlaišanas pasākumi katrai atsevišķai sistēmai ir regulāri jāpārbauda, ​​lai nodrošinātu, ka tie atbilst darbības nepārtrauktības plānu prasībām.

Lai nodrošinātu informācijas drošību tīklos un aizsargātu atbalsta infrastruktūra, nepieciešama līdzekļu ieviešana drošības kontrole un savienoto pakalpojumu aizsardzība pret nesankcionētu piekļuvi.

Īpaša uzmanība tiek pievērsta dažāda veida datu nesēju: dokumentu, datoru datu nesēju (lentes, diski, kasetes), ievades/izvades datu un sistēmas dokumentācijas drošībai no bojājumiem. Ieteicams noteikt noņemamo datora datu nesēju izmantošanas kārtību (satura kontroles, uzglabāšanas, iznīcināšanas u.c. kārtība). Kā minēts iepriekš, datu nesēji pēc lietošanas ir jāiznīcina droši.

Lai nodrošinātu informācijas aizsardzību pret neatļautu izpaušanu vai ļaunprātīgu izmantošanu, nepieciešams noteikt informācijas apstrādes un uzglabāšanas kārtību. Šīs procedūras jāizstrādā, ņemot vērā kategorizēšana informāciju un rīkoties saistībā ar dokumentiem, skaitļošanas sistēmām, tīkliem, klēpjdatoriem, mobilajiem sakariem, pastu, balss pastu, balss sakariem kopumā, multivides ierīcēm, faksa lietošanu un citiem svarīgiem objektiem, piemēram, veidlapām, čekiem un rēķiniem. Sistēmas dokumentācija var saturēt noteiktu svarīgu informāciju, un tāpēc arī tā ir jāaizsargā.

Informācijas un programmatūras apmaiņas process starp organizācijām ir jākontrolē un jāatbilst spēkā esošajiem tiesību aktiem. Jo īpaši ir jānodrošina, jānosaka informācijas nesēju drošība pārraides laikā lietošanas politika e-pasta un elektroniskās biroja sistēmas. Jārūpējas, lai aizsargātu elektroniski publicētās informācijas, piemēram, tīmekļa vietnē esošās informācijas, integritāti. Pirms šādas informācijas publiskošanas ir nepieciešams arī atbilstošs oficiāls atļauju piešķiršanas process.

Nākamā standarta sadaļa ir veltīta piekļuves kontroles jautājumiem.

Ir nepieciešams, lai drošības politikā būtu skaidri noteikti katra lietotāja vai lietotāju grupas piekļuves kontroles noteikumi un tiesības. Lietotāji un pakalpojumu sniedzēji ir jāinformē par nepieciešamību ievērot šīs prasības.

Izmantojot paroles autentifikācija, ir nepieciešams kontrolēt lietotāju paroles. Jo īpaši lietotājiem ir jāparaksta dokuments, kas pieprasa pilnīgu paroļu konfidencialitāti. Tas ir nepieciešams, lai nodrošinātu lietotāja paroles iegūšanas procesa drošību un, ja tā tiek izmantota, lai lietotāji varētu pārvaldīt savas paroles (piespiedu paroles maiņa pēc pirmās pieslēgšanās u.c.).

Ir jākontrolē piekļuve gan iekšējiem, gan ārējiem tīkla pakalpojumiem. Lietotājiem būtu jānodrošina tieša piekļuve tikai tiem pakalpojumiem, kuriem tie ir pilnvaroti. Īpaša uzmanība jāpievērš attālo lietotāju autentifikācijai. Pamatojoties uz riska novērtējumu, ir svarīgi noteikt nepieciešamo aizsardzības līmeni, lai izvēlētos atbilstošu autentifikācijas metodi. Jāuzrauga arī tīkla pakalpojumu lietošanas drošība.

Daudzām tīkla un skaitļošanas ierīcēm ir iebūvētas attālās diagnostikas un pārvaldības iespējas. Drošības pasākumi ir jāpiemēro arī šiem objektiem.

Ja tīklus koplieto vairākas organizācijas, ir jādefinē piekļuves kontroles politikas prasības, lai to ņemtu vērā. Var būt nepieciešams arī ieviest papildu pasākumus, lai informācijas drošības vadība lai ierobežotu lietotāju iespējas izveidot savienojumu.

Operētājsistēmas līmenī ir jāizmanto informācijas drošības pasākumi, lai ierobežotu piekļuvi datora resursiem 2 Piekļuves kontroles organizēšanai failiem un mapēm sistēmā Windows Server 2008 piemērs tiks apskatīts laboratorijas darbā Nr.9.. Tas attiecas uz identifikācija un autentifikācija termināļiem un lietotājiem. Ieteicams, lai visiem lietotājiem būtu unikāli identifikatori, kuros nedrīkst būt nekādas norādes par lietotāja privilēģiju līmeni. Sistēmās paroļu pārvaldība ir jānodrošina efektīvas interaktīvās iespējas, lai atbalstītu to nepieciešamo kvalitāti 3 Paroles kvalitātes pārvaldības piemērs Windows operētājsistēmās ir aplūkots laboratorijas darbā Nr.3.. Sistēmas utilītu izmantošana ir jāierobežo un rūpīgi jākontrolē.

Ir ieteicams nodrošināt trauksmi, ja lietotājs var kļūt par vardarbības mērķi 4 Piemērs tam varētu būt “piespiedu” pieteikšanās paroles. Ja lietotājs ievada šādu paroli, sistēma parāda parasto lietotāja pieteikšanās procesu un pēc tam simulē neveiksmi, lai novērstu uzbrucēju piekļuvi datiem.(ja šāds notikums tiek novērtēts kā iespējams). Jādefinē pienākumi un procedūras, kā reaģēt uz šādu trauksmi.

Termināļi, kas apkalpo augsta riska sistēmas, ja tie atrodas viegli pieejamās vietās, pēc noteikta dīkstāves perioda ir jāizslēdz, lai nepieļautu nepiederošu personu piekļuvi. Var tikt ieviests arī ierobežojums laika posmam, kurā termināļiem ir atļauts pieslēgties datorpakalpojumiem.

Informācijas drošības pasākumi ir jāpiemēro arī lietojumprogrammu līmenī. Jo īpaši tas var būt piekļuves ierobežojums noteiktas kategorijas lietotājiem. Sistēmām, kas apstrādā svarīgu informāciju, jābūt nodrošinātām ar īpašu (izolētu) skaitļošanas vidi.

Sistēmas uzraudzība ir nepieciešama, lai atklātu novirzes no piekļuves kontroles politikas prasībām un sniegtu pierādījumus informācijas drošības incidenta gadījumā. Monitoringa rezultāti regulāri jāpārskata. Audita žurnālu var izmantot incidentu izmeklēšanai, tāpēc pareiza datora pulksteņa iestatīšana (sinhronizācija) ir diezgan svarīga.

Izmantojot pārnēsājamas ierīces, piemēram, klēpjdatorus, ir jāveic īpaši pasākumi, lai novērstu patentētas informācijas apdraudējumu. Ir jāpieņem formalizēta politika, kas novērš riskus, kas saistīti ar darbu ar pārnēsājamām ierīcēm, jo ​​īpaši nenodrošinātā vidē.

Nākamā standarta sadaļa saucas “Sistēmu izstrāde un uzturēšana”. Jau pie skatuves informācijas sistēmu izstrāde ir jānodrošina, ka tiek ņemtas vērā drošības prasības. Un sistēmas darbības laikā ir nepieciešams novērst lietotāja datu nozaudēšanu, pārveidošanu vai ļaunprātīgu izmantošanu. Šim nolūkam lietojumprogrammu sistēmām ieteicams nodrošināt datu ievades un izvades pareizības apstiprinājumu, datu apstrādes kontroli sistēma, autentifikācija ziņojumi, lietotāja darbību reģistrēšana.

Lai nodrošinātu konfidencialitāti, integritāti un datu autentifikācija Var izmantot kriptogrāfijas drošības pasākumus.

Programmatūras integritātes nodrošināšanai ir svarīga loma informācijas drošības procesā. Lai samazinātu informācijas sistēmu bojājumus, izmaiņu ieviešana ir stingri jākontrolē. Laiku pa laikam ir nepieciešams veikt izmaiņas operētājsistēmās. Šādos gadījumos lietojumprogrammu sistēmas ir jāanalizē un jāpārbauda, ​​lai nodrošinātu, ka nav negatīvas ietekmes uz to funkcionalitāti un drošību. Iespēju robežās ieteicams izmantot gatavas programmatūras pakotnes bez modifikācijas.

Saistīta problēma ir Trojas zirgu apkarošana un slēptu noplūdes kanālu izmantošana. Viens pretpasākums ir izmantot programmatūru, kas iegūta no uzticamiem piegādātājiem, un uzraudzīt sistēmas integritāte.

Gadījumos, kad programmatūras izstrādē ir iesaistīta trešās puses organizācija, ir jāparedz pasākumi veiktā darba kvalitātes un pareizības kontrolei.

Nākamā standarta sadaļa ir veltīta darbības nepārtrauktības pārvaldībai. Sākotnējā posmā ir jāidentificē notikumi, kas var izraisīt biznesa procesu pārtraukumus (iekārtu atteice, ugunsgrēks utt.). Šajā gadījumā ir jānovērtē sekas, un pēc tam jāizstrādā atveseļošanas plāni. Plānu atbilstība ir jāapstiprina ar testēšanu, un tie paši periodiski jāpārskata, lai ņemtu vērā sistēmā notiekošās izmaiņas.

Standarta pēdējā sadaļa attiecas uz atbilstības jautājumiem. Pirmkārt, tas attiecas uz sistēmas un tās darbības kārtības atbilstību tiesību aktu prasībām. Tas ietver jautājumus par atbilstību autortiesībām (tostarp programmatūrai), personiskās informācijas (darbinieku, klientu) aizsardzību un informācijas apstrādes rīku ļaunprātīgas izmantošanas novēršanu. Izmantojot kriptogrāfijas līdzekļi informācijas aizsardzību, tiem ir jāatbilst spēkā esošajiem tiesību aktiem. Tāpat rūpīgi jāizstrādā pierādījumu vākšanas kārtība tiesvedības gadījumā saistībā ar incidentiem informācijas sistēmu drošības jomā.

Pašām informācijas sistēmām ir jābūt ievērot drošības politiku organizācija un izmantotie standarti. Informācijas sistēmu drošība ir regulāri jāanalizē un jānovērtē. Vienlaikus, veicot drošības auditu, ir jāievēro drošības pasākumi, lai tas neradītu nevēlamas sekas (piemēram, kritiskā servera atteice audita dēļ).

Apkopojot, var atzīmēt, ka standarts risina plašu ar informācijas sistēmu drošības nodrošināšanu saistītu jautājumu loku. Ir sniegti praktiski ieteikumi vairākās jomās.