Оросын мэдээллийн аюулгүй байдлын стандартууд. Мэдээллийн аюулгүй байдлын стандартууд. Мэдлэг, ур чадварт тавигдах шаардлага

Энэ хэсэгт мэдээллийн аюулгүй байдлын чиглэлээр ОХУ-ын үндэсний стандартуудын ерөнхий мэдээлэл, текстийг оруулсан болно ГОСТ Р.

Орчин үеийн ГОСТ-ийн одоогийн жагсаалтыг сүүлийн жилүүдэд боловсруулж, хөгжүүлэхээр төлөвлөж байна. ROSS RU.0001.01BI00 (ОХУ-ын FSTEC) дугаартай мэдээллийн аюулгүй байдлын шаардлагын дагуу мэдээллийн аюулгүй байдлын хэрэгслүүдийн баталгаажуулалтын систем. ОРОСЫН ХОЛБООНЫ УЛСЫН СТАНДАРТ. Өгөгдлийн хамгаалалт. ХАМГААЛАЛТАЙ ГҮЙЦЭТГЭЛИЙН АВТОМАТЖИЛСАН СИСТЕМИЙГ БҮТЭЭХ ЖУРАМ. Ерөнхий заалтууд. Москва ОРОСЫН ХОЛБООНЫ УЛСЫН СТАНДАРТ. Компьютерийн тоног төхөөрөмж. Мэдээлэлд зөвшөөрөлгүй нэвтрэхээс хамгаалах. Техникийн ерөнхий шаардлага. Оруулсан огноо 1996-01-01 ОХУ-ын үндэсний стандарт. Өгөгдлийн хамгаалалт. Үндсэн нэр томъёо, тодорхойлолт. Мэдээллийн хамгаалалт. Үндсэн нэр томъёо, тодорхойлолт. Оруулсан огноо 2008-02-01 ОХУ-ын ТӨРИЙН СТАНДАРТ. ӨГӨГДЛИЙН ХАМГААЛАЛТ. СТАНДАРТЫН СИСТЕМ. ҮНДСЭН ЗААЛТ (МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДАЛ. СТАНДАРТЫН СИСТЕМ. ҮНДСЭН ЗАРЧИМ) ОРОСЫН ХОЛБООНЫ УЛСЫН СТАНДАРТ. Өгөгдлийн хамгаалалт. КОМПЬЮТЕРИЙН ВИРУС БАЙХАД ПРОГРАММЫН ТУРШИЛТ. Загварын гарын авлага (Мэдээллийн аюулгүй байдал. Компьютерийн вирус байгаа эсэхийг шалгах программ хангамж. Загварын жишээ). Мэдээллийн технологи. Мэдээллийн технологи, автоматжуулсан системийг далд сувгийг ашиглан мэдээллийн аюулгүй байдлын аюулаас хамгаалах. 1-р хэсэг. Ерөнхий заалтууд Мэдээллийн технологи. Мэдээллийн технологи, автоматжуулсан системийг далд сувгийг ашиглан мэдээллийн аюулгүй байдлын аюулаас хамгаалах. 2-р хэсэг. Мэдээлэл, мэдээллийн технологи, автоматжуулсан системийг халдлагаас далд суваг ашиглан хамгаалах ажлыг зохион байгуулах зөвлөмж. Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Хамгаалалтын профайл болон хамгаалалтын даалгавруудыг боловсруулах заавар Автомат таних. Биометрийн таних. Биометрийн гүйцэтгэлийн туршилт, шинжилгээний тайлан. Хэсэг 3. Төрөл бүрийн биометрийн аргуудыг турших онцлог Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн технологийн аюулгүй байдлыг үнэлэх арга зүй ГОСТ Р ISO/IEC 15408-1-2008 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн технологийн аюулгүй байдлыг үнэлэх шалгуур. 1-р хэсэг. Оршил ба ерөнхий загвар (Мэдээллийн технологи. Аюулгүй байдлын техник. Мэдээллийн технологийн аюулгүй байдлын үнэлгээний шалгуур. 1-р хэсэг. Оршил ба ерөнхий загвар) ГОСТ Р ISO/IEC 15408-2-2008 - Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн технологийн аюулгүй байдлыг үнэлэх шалгуур. 2-р хэсэг. Аюулгүй байдлын функциональ шаардлага (Мэдээллийн технологи. Аюулгүй байдлын техник. Мэдээллийн технологийн аюулгүй байдлын үнэлгээний шалгуур. 2-р хэсэг. Хамгаалалтын функциональ шаардлага) ГОСТ Р ISO/IEC 15408-3-2008 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн технологийн аюулгүй байдлыг үнэлэх шалгуур. 3-р хэсэг. Аюулгүй байдлын баталгааны шаардлага (Мэдээллийн технологи. Аюулгүй байдлын техник. Мэдээллийн технологийн аюулгүй байдлын үнэлгээний шалгуур. 3-р хэсэг. Аюулгүй байдлын баталгааны шаардлага) ГОСТ R 53109-2008 Нийтийн харилцааны сүлжээний мэдээллийн аюулгүй байдлыг хангах систем. Мэдээллийн аюулгүй байдлын харилцаа холбооны байгууллагын паспорт. Нийтийн холбооны сүлжээг хангах системийн мэдээллийн аюулгүй байдал. Мэдээллийн аюулгүй байдлын харилцааны байгууллагын паспорт. Хүчин төгөлдөр болсон огноо: 2009-09-30. ГОСТ Р 53114-2008 Мэдээллийн хамгаалалт. Байгууллага дахь мэдээллийн аюулгүй байдлыг хангах. Үндсэн нэр томъёо, тодорхойлолт. Мэдээллийн хамгаалалт. Байгууллага дахь мэдээллийн аюулгүй байдлыг хангах. Үндсэн нэр томъёо, тодорхойлолт. Хүчин төгөлдөр болсон огноо: 2009-09-30. ГОСТ Р 53112-2008 Мэдээллийн хамгаалалт. Хуурамч цахилгаан соронзон цацраг, хөндлөнгийн оролцооны параметрүүдийг хэмжих цогцолборууд. Техникийн шаардлага ба туршилтын арга. Мэдээллийн хамгаалалт. Хажуугийн цахилгаан соронзон цацраг, хүлээн авах параметрүүдийг хэмжих байгууламж. Техникийн шаардлага ба туршилтын арга. Хүчин төгөлдөр болсон огноо: 2009-09-30. ГОСТ Р 53115-2008 Мэдээллийн хамгаалалт. Мэдээлэл боловсруулах техникийн хэрэгслийг зөвшөөрөлгүй нэвтрэхээс хамгаалах аюулгүй байдлын шаардлагад нийцүүлэн турших. Арга, хэрэгсэл. Мэдээллийн хамгаалалт. Техникийн мэдээлэл боловсруулах байгууламжийн зөвшөөрөлгүй хандалтаас хамгаалах шаардлагад нийцэж байгаа эсэхийг шалгах. Арга, техник. Хүчин төгөлдөр болсон огноо: 2009-09-30. ГОСТ Р 53113.2-2009 Мэдээллийн технологи. Мэдээллийн технологи, автоматжуулсан системийг далд сувгийг ашиглан мэдээллийн аюулгүй байдлын аюулаас хамгаалах. 2-р хэсэг. Мэдээлэл, мэдээллийн технологи, автоматжуулсан системийг халдлагаас далд суваг ашиглан хамгаалах ажлыг зохион байгуулах зөвлөмж. Мэдээллийн технологи. Мэдээллийн технологи, автоматжуулсан системийг далд сувгийн ашиглалтаас үүсэх аюулгүй байдлын аюулаас хамгаалах. 2-р хэсэг. Мэдээлэл, мэдээллийн технологи, автоматжуулсан системийг далд сувгийн халдлагаас хамгаалах зөвлөмж. Хүчин төгөлдөр болсон огноо: 2009-01-12. ГОСТ Р ISO/IEC TO 19791-2008 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Автоматжуулсан системийн аюулгүй байдлын үнэлгээ. Мэдээллийн технологи. Хамгаалалтын техник. Үйлдлийн системийн аюулгүй байдлын үнэлгээ. Хүчин төгөлдөр болсон огноо: 2009-09-30. ГОСТ Р 53131-2008 Мэдээллийн хамгаалалт. Мэдээлэл, харилцаа холбооны технологийн аюулгүй байдлын чиг үүрэг, механизмын гамшгаас хамгаалах үйлчилгээний талаархи зөвлөмж. Ерөнхий заалтууд. Мэдээллийн хамгаалалт. Мэдээлэл, харилцаа холбооны технологийн аюулгүй байдлын чиг үүрэг, механизмыг сэргээх үйлчилгээний удирдамж. Генерал. Хүчин төгөлдөр болсон огноо: 2009-09-30. ГОСТ Р 54581-2011 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн технологийн аюулгүй байдалд итгэх итгэлийн үндэс. 1-р хэсэг: Тойм ба үндсэн ойлголт. Мэдээллийн технологи. Хамгаалалтын техник. Мэдээллийн технологийн аюулгүй байдлын баталгааны хүрээ. 1-р хэсэг. Тойм ба хүрээ. Хүчин төгөлдөр болсон огноо: 2012.07.01. ГОСТ Р ISO/IEC 27033-1-2011 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Сүлжээний аюулгүй байдал. 1-р хэсэг: Тойм ба үзэл баримтлал. Мэдээллийн технологи. Хамгаалалтын техник. Сүлжээний аюулгүй байдал. 1-р хэсэг. Тойм ба ойлголтууд. Хүчин төгөлдөр болсон огноо: 2012.01.01. ГОСТ Р ISO/IEC 27006-2008 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд аудит хийх, баталгаажуулах байгууллагад тавигдах шаардлага. Мэдээллийн технологи. Хамгаалалтын техник. Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд аудит хийх, баталгаажуулах байгууллагуудад тавигдах шаардлага. Хүчин төгөлдөр болсон огноо: 2009-09-30. ГОСТ Р ISO/IEC 27004-2011 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн аюулгүй байдлын менежмент. Хэмжилт. Мэдээллийн технологи. Хамгаалалтын техник. Мэдээллийн аюулгүй байдлын менежмент. Хэмжилт. Хүчин төгөлдөр болсон огноо: 2012.01.01. ГОСТ Р ISO/IEC 27005-2010 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн аюулгүй байдлын эрсдлийн удирдлага. Мэдээллийн технологи. Хамгаалалтын техник. Мэдээллийн аюулгүй байдлын эрсдлийн удирдлага. Хүчин төгөлдөр болсон огноо: 2011-01-12. ГОСТ Р ISO/IEC 31010-2011 Эрсдэлийн удирдлага. Эрсдэлийн үнэлгээний аргууд (Эрсдэлийн удирдлага. Эрсдэлийн үнэлгээний аргууд). Хүчин төгөлдөр болсон огноо: 2012.12.01 ГОСТ Р ISO 31000-2010 Эрсдэлийн удирдлага. Эрсдэлийн удирдлагын зарчим, заавар. Хүчин төгөлдөр болсон огноо: 2011.08.31 ГОСТ 28147-89 Мэдээлэл боловсруулах систем. Криптографийн хамгаалалт. Криптограф хувиргах алгоритм. Хүчин төгөлдөр болсон огноо: 1990-06-30. ГОСТ Р ISO/IEC 27013-2014 “Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. ISO/IEC 27001 ба ISO/IEC 20000-1-ийг хослуулан хэрэглэх заавар - 2015 оны 9-р сарын 1-ээс хэрэгжиж эхэлнэ. ГОСТ Р ISO/IEC 27033-3-2014 “Сүлжээний аюулгүй байдал. 3-р хэсэг. Лавлагааны сүлжээний хувилбарууд. Аюул заналхийлэл, дизайны арга, менежментийн асуудлууд” - 2015 оны 11-р сарын 1-ээс эхлэн хүчин төгөлдөр болно ГОСТ Р ISO/IEC 27037-2014 “Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Дижитал нотлох баримтыг тодорхойлох, цуглуулах, сэргээх, хадгалах удирдамж - 2015 оны 11-р сарын 1-нээс хэрэгжиж эхэлнэ. ГОСТ Р ISO/IEC 27002-2012 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн аюулгүй байдлын удирдлагын хэм хэмжээ, дүрмийн багц. Мэдээллийн технологи. Хамгаалалтын техник. Мэдээллийн аюулгүй байдлын удирдлагын үйл ажиллагааны дүрэм. Хүчин төгөлдөр болсон огноо: 2014.01.01. OKS код 35.040. ГОСТ Р 56939-2016 Мэдээллийн хамгаалалт. Аюулгүй програм хангамж хөгжүүлэлт. Ерөнхий шаардлага (Мэдээллийн хамгаалалт. Аюулгүй програм хангамж хөгжүүлэлт. Ерөнхий шаардлага). Хүчин төгөлдөр болсон огноо: 2017.06.01. ГОСТ Р 51583-2014 Мэдээллийн хамгаалалт. Аюулгүй загварт автоматжуулсан системийг бий болгох журам. Ерөнхий заалтууд. Мэдээллийн хамгаалалт. Хамгаалагдсан үйлдлийн системийг бүрдүүлэх дараалал. Генерал. 2014.09.01 ГОСТ R 7.0.97-2016 Мэдээлэл, номын сан, хэвлэлийн стандартын систем. Зохион байгуулалт, захиргааны баримт бичиг. Баримт бичгийг бэлтгэхэд тавигдах шаардлага (Мэдээлэл, номын сан, хэвлэлийн стандартын систем. Зохион байгуулалт, удирдлагын баримт бичиг. Баримт бичгийг танилцуулахад тавигдах шаардлага). Хүчин төгөлдөр болох огноо: 2017.07.01. OKS код 01.140.20. ГОСТ Р 57580.1-2017 Санхүүгийн (банкны) гүйлгээний аюулгүй байдал. Санхүүгийн байгууллагын мэдээллийг хамгаалах. Зохион байгуулалт, техникийн арга хэмжээний үндсэн бүрэлдэхүүн - Санхүүгийн (банкны) үйл ажиллагааны аюулгүй байдал. Санхүүгийн байгууллагын мэдээллийн хамгаалалт. Зохион байгуулалт, техникийн арга хэмжээний үндсэн багц. ГОСТ Р ISO 22301-2014 Бизнесийн тасралтгүй байдлын удирдлагын систем. Ерөнхий шаардлага - Бизнесийн тасралтгүй байдлын удирдлагын систем. Шаардлага. ГОСТ Р ISO 22313-2015 Бизнесийн тасралтгүй байдлын менежмент. Хэрэгжүүлэх гарын авлага - Бизнесийн тасралтгүй байдлын удирдлагын систем. Хэрэгжүүлэх заавар. ГОСТ Р ISO/IEC 27031-2012 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Бизнесийн тасралтгүй байдалд мэдээлэл, харилцаа холбооны технологийн бэлэн байдлын гарын авлага - Мэдээллийн технологи. Хамгаалалтын техник. Бизнесийн тасралтгүй байдалд мэдээлэл, харилцаа холбооны технологийн бэлэн байдлын удирдамж. ГОСТ R IEC 61508-1-2012 Аюулгүй байдалтай холбоотой цахилгаан, электрон, програмчлагдсан электрон системийн үйл ажиллагааны аюулгүй байдал. 1-р хэсэг. Ерөнхий шаардлага. Цахилгаан, электрон, програмчлагдсан электрон аюулгүй байдлын системүүдийн үйл ажиллагааны аюулгүй байдал. 1-р хэсэг. Ерөнхий шаардлага. Оруулсан огноо 2013-08-01. ГОСТ R IEC 61508-2-2012 Аюулгүй байдалтай холбоотой цахилгаан, электрон, програмчлагдсан электрон системийн үйл ажиллагааны аюулгүй байдал. 2-р хэсэг. Системийн шаардлага. Цахилгаан, электрон, програмчлагдсан электрон аюулгүй байдлын системүүдийн үйл ажиллагааны аюулгүй байдал. 2-р хэсэг. Системд тавигдах шаардлага. Оруулсан огноо 2013-08-01. ГОСТ R IEC 61508-3-2012 ЦАХИЛГААН, ЦАХИМ, ХӨТӨЛБӨРГӨХ ЦАХИМ, АЮУЛГҮЙ БАЙДАЛТАЙ СИСТЕМИЙН ҮЙЛ АЖИЛЛАГААНЫ АЮУЛГҮЙ БАЙДАЛ. Програм хангамжийн шаардлага. IEC 61508-3:2010 Цахилгаан/цахим/програмчлагдах цахим аюулгүй байдалтай холбоотой системийн үйл ажиллагааны аюулгүй байдал - 3-р хэсэг: Програм хангамжийн шаардлага (IDT). ГОСТ R IEC 61508-4-2012 ЦАХИЛГААН, ЦАХИМ, ХӨТӨЛБӨРГӨХ ЦАХИМ, АЮУЛГҮЙ БАЙДАЛТАЙ СИСТЕМИЙН ҮЙЛ АЖИЛЛАГААНЫ АЮУЛГҮЙ БАЙДАЛ 4-р хэсэг Нэр томьёо ба тодорхойлолт. Цахилгаан, электрон, програмчлагдсан электрон аюулгүй байдлын системүүдийн үйл ажиллагааны аюулгүй байдал. 4-р хэсэг. Нэр томьёо, тодорхойлолт. Оруулсан огноо 2013-08-01. . ГОСТ R IEC 61508-6-2012 Аюулгүй байдалтай холбоотой цахилгаан, электрон, програмчлагдсан электрон системийн үйл ажиллагааны аюулгүй байдал. 6-р хэсэг. ГОСТ Р IEC 61508-2 ба ГОСТ Р IEC 61508-3 стандартыг ашиглах заавар. IEC 61508-6:2010. Цахилгаан/цахим/програмчлагдах электрон аюулгүй байдалтай холбоотой системийн үйл ажиллагааны аюулгүй байдал - 6-р хэсэг: IEC 61508-2 ба IEC 61508-3 (IDT) стандартыг хэрэглэх заавар. ГОСТ R IEC 61508-7-2012 Цахилгааны системийн үйл ажиллагааны аюулгүй байдал, Аюулгүй байдалтай холбоотой цахилгаан, электрон, програмчлагдсан электрон системийн үйл ажиллагааны аюулгүй байдал. 7-р хэсэг. Арга, хэрэгсэл. Цахилгаан электрон программчлагдах электрон аюулгүй байдлын системүүдийн үйл ажиллагааны аюулгүй байдал. 7-р хэсэг. Техник, арга хэмжээ. Оруулсан огноо 2013-08-01. ГОСТ Р 53647.6-2012. Бизнесийн тасралтгүй байдлын менежмент. Мэдээллийн хамгаалалтыг хангах хувийн мэдээллийн удирдлагын системд тавигдах шаардлага

Нэр:

Өгөгдлийн хамгаалалт. Байгууллага дахь мэдээллийн аюулгүй байдлыг хангах.

Хүчинтэй

Танилцуулсан огноо:

Цуцлах огноо:

Орлуулсан:

Текст GOST R 53114-2008 Мэдээллийн хамгаалалт. Байгууллага дахь мэдээллийн аюулгүй байдлыг хангах. Үндсэн нэр томъёо, тодорхойлолт

ХОЛБООНЫ ТЕХНИКИЙН ЗОХИЦУУЛАЛТ, ХЭМЖИЛ ЗҮЙН ГАЗАР

ҮНДЭСНИЙ

СТАНДАРТ

ОРОС

ХОЛБОО

Өгөгдлийн хамгаалалт

БАЙГУУЛЛАГЫН МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫГ ХАНГАХ

Үндсэн нэр томъёо, тодорхойлолт

Албан ёсны хэвлэл

Отейдартенформ

ГОСТ Р 53114-2008

Удиртгал

ОХУ-д стандартчиллын зорилго, зарчмуудыг 2002 оны 12-р сарын 27-ны өдрийн 184-ФЗ "Техникийн зохицуулалтын тухай" Холбооны хуулиар тогтоосон бөгөөд ОХУ-ын үндэсний стандартыг хэрэглэх дүрмийг ГОСТ Р 1.0-2004 "Стандартчилал" гэж заасан байдаг. ОХУ-д. Үндсэн заалтууд »

Стандарт мэдээлэл

1 Холбооны улсын байгууллага "Холбооны Техникийн болон экспортын хяналтын албаны Техникийн мэдээллийн аюулгүй байдлын судалгааны улсын судалгааны хүрээлэн" (Оросын ФГУ "ГНИIII PTZI FSTEC"), "Кристалл" судалгаа, үйлдвэрлэлийн компаний Хязгаарлагдмал хариуцлагатай компаниас боловсруулсан. (OOO NPF "Кристал")

2 Техникийн зохицуулалт, хэмжил зүйн холбооны агентлагийн Техникийн зохицуулалт, стандартчиллын газраас ТАНИЛЦУУЛСАН.

3 Техникийн зохицуулалт, хэмжил зүйн холбооны агентлагийн 2008 оны 12-р сарын 18-ны өдрийн 532-р тоот тушаалаар батлагдаж, хүчин төгөлдөр болсон.

4 8АНХ УДАА ХОЛБОГДОЖ БАЙНА

Энэхүү стандартад оруулсан өөрчлөлтийн талаарх мэдээллийг жил бүр гаргадаг “Үндэсний стандарт” мэдээллийн индекс, өөрчлөлт, нэмэлт өөрчлөлтийн текстийг сар бүр гаргадаг “Үндэсний стандарт” мэдээллийн индекст нийтэлдэг. Энэхүү стандартыг өөрчлөх (солих) эсвэл хүчингүй болгох тохиолдолд холбогдох мэдэгдлийг сар бүр гаргадаг "Үндэсний стандарт" мэдээллийн индекст нийтлэнэ. Холбогдох мэдээлэл, мэдэгдэл, текстийг олон нийтийн мэдээллийн системд - Холбооны Техникийн зохицуулалт, хэмжилзүйн агентлагийн албан ёсны вэбсайтад интернетэд байрлуулсан болно.

Энэхүү стандартыг Холбооны Техникийн зохицуулалт, хэмжил зүйн агентлагийн зөвшөөрөлгүйгээр бүрэн буюу хэсэгчлэн хуулбарлах, хуулбарлах, албан ёсны хэвлэл болгон түгээх боломжгүй.

ГОСТ Р 53114-2008

1 ашиглалтын талбар................................................. ...... 1

3 Нэр томьёо, тодорхойлолт.................................................. ..... ..2

3.1 Ерөнхий ойлголт.................................................. .... ..... 2

3.2 Мэдээлэл хамгаалах объекттой холбоотой нэр томьёо................................... ...4

3.3 Мэдээллийн аюулгүй байдлын заналхийлэлтэй холбоотой нэр томьёо................................7

3.4 Байгууллагын мэдээллийн аюулгүй байдлын удирдлагатай холбоотой нэр томьёо......8

3.5 Байгууллагын мэдээллийн аюулгүй байдлын хяналт, үнэлгээтэй холбоотой нэр томьёо. ... 8

3.6 Мэдээллийн аюулгүй байдлын хяналттай холбоотой нэр томъёо

байгууллагууд................................................. ......... .........9

Нэр томьёоны цагаан толгойн үсгийн индекс............................................. .....11

Хавсралт А (ашиглах зорилгоор) Техникийн ерөнхий ойлголтын нэр томьёо, тодорхойлолт.................................13

Хавсралт Б (ашиглах зорилгоор) Байгууллага дахь мэдээллийн аюулгүй байдлын салбарын үндсэн ойлголтуудын харилцан хамаарал.................................. ...................15

Ном зүй................................................. .........16

ГОСТ Р 53114-2008

Оршил

Энэхүү стандартаар тогтоосон нэр томьёо нь энэ мэдлэгийн салбарын үзэл баримтлалын тогтолцоог тусгасан системчилсэн дарааллаар байрлуулсан болно.

Үзэл баримтлал бүрт нэг стандартчилсан нэр томъёо байдаг.

Нэр томъёоны өгүүлэлд дөрвөлжин хаалт байгаа нь нийтлэг нэр томъёоны элементтэй хоёр нэр томъёог агуулж байна гэсэн үг юм. Эдгээр нэр томъёог цагаан толгойн үсгийн жагсаалтад тусад нь жагсаасан болно.

Стандартчиллын баримт бичигт нэр томьёог ашиглахдаа хаалтанд оруулсан нэр томъёоны хэсгийг орхигдуулж болох бөгөөд хаалтанд ороогүй хэсэг нь түүний богино хэлбэрийг бүрдүүлдэг. Стандартчилсан нэр томъёоны дараа тэдгээрийн товч хэлбэрүүд нь цэг таслалаар тусгаарлагдсан, товчлолоор илэрхийлэгддэг.

Өгөгдсөн тодорхойлолтыг шаардлагатай бол тэдгээрт үүссэн шинж чанаруудыг оруулах замаар өөрчилж болно. тэдгээрт ашигласан нэр томьёоны утгыг илчлэх, тодорхойлсон үзэл баримтлалын хүрээнд багтсан объектуудыг зааж өгөх.

Өөрчлөлт нь энэ стандартад тодорхойлсон ойлголтын хамрах хүрээ, агуулгад нөлөөлөх ёсгүй.

Стандартчилсан нэр томьёо нь тод үсгээр бичигдсэн бөгөөд тэдгээрийн богино хэлбэрийг текст, цагаан толгойн үсгийн индекс, товчлолыг оруулан бичсэн болно. - гэрэл, синонимууд - налуу.

Энэхүү стандартын үндсэн хэсгийн текстийг ойлгоход шаардлагатай техникийн ерөнхий ойлголтын нэр томъёо, тодорхойлолтыг Хавсралт А-д өгсөн болно.

ГОСТ Р 53114-2008

ОРОСЫН ХОЛБООНЫ ҮНДЭСНИЙ СТАНДАРТ

Өгөгдлийн хамгаалалт

МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫГ ХАНГАХ 8 БАЙГУУЛЛАГА

Үндсэн нэр томъёо, тодорхойлолт

Мэдээллийн хамгаалалт. Мэдээллийн аюулгүй байдлын хангалт Байгууллагад.

Үндсэн нэр томъёо, тодорхойлолт

Оруулсан огноо - 2009-10-01

1 ашиглалтын талбар

Энэхүү стандарт нь тухайн байгууллагад мэдээллийн аюулгүй байдлын чиглэлээр стандартчиллын ажлыг гүйцэтгэхэд хэрэглэгддэг үндсэн нэр томъёог тогтоодог.

Энэхүү стандартад заасан нэр томъёог зохицуулалтын баримт бичиг, хууль эрх зүй, техникийн болон зохион байгуулалт, захиргааны баримт бичиг, шинжлэх ухаан, боловсролын болон лавлах ном зохиолд ашиглахыг зөвлөж байна.

Энэ стандартыг ГОСТ 34.003-тай хамт хэрэглэнэ. ГОСТ 19781. ГОСТ Р 22.0.02. ГОСТ Р 51897. ГОСТ Р 50922. ГОСТ Р 51898, ГОСТ Р 52069.0. ГОСТ Р 51275. ГОСТ Р ISO 9000. ГОСТ Р ISO 9001. ГОСТ Р IS014001. ГОСТ Р ISO/IEC 27001. ГОСТ Р ISO/IEC13335-1. . (2Ж.

Энэхүү стандартад заасан нэр томъёо нь 2002 оны 12-р сарын 27-ны өдрийн ОХУ-ын Холбооны хуулийн M"184*FZ "Техникийн зохицуулалт" |3] заалттай нийцэж байна. ОХУ-ын 2006 оны 7-р сарын 27-ны өдрийн 149-ФЗ "Мэдээлэл, мэдээллийн технологи, мэдээллийн хамгаалалтын тухай" Холбооны хууль. ОХУ-ын 2006 оны 7-р сарын 27-ны өдрийн 152-ФЗ "Хувийн мэдээллийн тухай" Холбооны хууль. ОХУ-ын Ерөнхийлөгчийн 2000 оны 9-р сарын 9-ний өдрийн Pr -1895 оны баталсан ОХУ-ын мэдээллийн аюулгүй байдлын сургаал.

2 Норматив лавлагаа

ГОСТ R 22.0.02-94 Онцгой байдлын үеийн аюулгүй байдал. Үндсэн ойлголтуудын нэр томъёо, тодорхойлолт

ГОСТ Р ISO 9000-2001 Чанарын удирдлагын систем. Үндэс ба үгсийн сан

ГОСТ Р ISO 9001-2008 Чанарын удирдлагын систем. Шаардлага

ГОСТ Р IS0 14001-2007 Байгаль орчны менежментийн систем. Хэрэглэх шаардлага, заавар

ГОСТ Р ISO/IEC 13335-1-2006 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. 1-р хэсэг. Мэдээлэл, харилцаа холбооны технологийн аюулгүй байдлын удирдлагын үзэл баримтлал, загварууд

ГОСТ Р ISO/IEC 27001-2006 Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн аюулгүй байдлын удирдлагын систем. Шаардлага

ГОСТ Р 50922-2006 Мэдээллийн хамгаалалт. Үндсэн нэр томъёо, тодорхойлолт

ГОСТ Р 51275-2006 Мэдээллийн хамгаалалт. Мэдээллийн объект. Мэдээлэлд нөлөөлөх хүчин зүйлүүд. Ерөнхий заалтууд

ГОСТ Р 51897-2002 Эрсдэлийн удирдлага. Нэр томьёо ба тодорхойлолт

Албан ёсны хэвлэл

ГОСТ Р 53114-2008

ГОСТ R51898-2003 Аюулгүй байдлын талууд. Стандартад оруулах дүрэм ГОСТ R 52069.0-2003 Мэдээллийн хамгаалалт. Стандартын систем. ГОСТ 34.003-90-ийн үндсэн заалтууд Мэдээллийн технологи. Автоматжуулсан системийн стандартын багц. Автоматжуулсан системүүд. Нэр томьёо ба тодорхойлолт

ГОСТ 19781-90 Мэдээлэл боловсруулах системийн програм хангамж. Нэр томьёо ба тодорхойлолт

Тэмдэглэл - Энэхүү стандартыг ашиглахдаа Холбооны Техникийн зохицуулалт, хэмжилзүйн агентлагийн албан ёсны вэбсайт дээр эсвэл жил бүр гаргадаг "Үндэсний мэдээллийн индекс" -ийн дагуу олон нийтийн мэдээллийн систем дэх лавлагааны стандартын хүчинтэй эсэхийг шалгахыг зөвлөж байна. Стандартууд”, энэ оны 1-р сарын 1-ний байдлаар нийтлэгдсэн бөгөөд тухайн онд хэвлэгдсэн холбогдох сар бүрийн мэдээллийн индексийн дагуу. Хэрэв жишиг стандартыг сольсон (өөрчлөгдсөн) бол энэ стандартыг ашиглахдаа сольсон (өөрчлөгдсөн) стандартыг дагаж мөрдөх ёстой. Хэрэв жишиг стандартыг солихгүйгээр цуцалсан бол энэ лавлагаанд нөлөөлөхгүй хэсэгт түүнд иш татсан заалт хамаарна.

3 Нэр томьёо, тодорхойлолт

3.1 Ерөнхий ойлголт

мэдээллийн аюулгүй байдал [өгөгдөл]: Мэдээллийн [өгөгдлийн] нууцлал, хүртээмж, бүрэн бүтэн байдлыг хангасан аюулгүй байдлын төлөв байдал.

[ГОСТ R 50922-2006. догол мөр 2.4.5]

мэдээллийн технологийн аюулгүй байдал: Мэдээллийн технологийн аюулгүй байдлын байдал. боловсруулахад ашиглаж буй мэдээллийн аюулгүй байдлыг хангадаг. хэрэгжиж буй мэдээллийн системийн мэдээллийн аюулгүй байдал.

[R 50.1.056-2006. догол мөр 2.4.5]

Мэдээллийн хүрээ: Мэдээллийн нийлбэр, мэдээллийн дэд бүтэц, субьектууд. мэдээлэл цуглуулах, бүрдүүлэх, түгээх, ашиглах, түүнчлэн энэ тохиолдолд үүссэн нийгмийн харилцааг зохицуулах тогтолцоо.

3.1.4.Мэдээллийн дэд бүтэц: Хэрэглэгчдэд мэдээллийн нөөцийг ашиглах боломжийг олгодог мэдээлэлжүүлэлтийн объектуудын иж бүрдэл.

Мэдээлэлжүүлэлтийн объект: Мэдээллийн технологийн дагуу ашигладаг мэдээллийн нөөц, багаж хэрэгсэл, мэдээлэл боловсруулах систем, түүнчлэн эдгээр хэрэгсэл, системийг суурилуулсан туслах байгууламж, байр, байгууламж (барилга, байгууламж, техникийн хэрэгсэл), эсвэл нууц хэлэлцээр явуулах зориулалттай байр, байгууламж.

[ГОСТ R 51275-2006. зүйл 3.1]

3.1.6 Байгууллагын эд хөрөнгө: Бүгд. зорилгодоо хүрэхийн тулд байгууллагын хувьд үнэ цэнэтэй зүйл, түүний мэдэлд байгаа зүйл.

Жич: Байгууллагын хөрөнгөд дараахь зүйлс багтаж болно.

Амьдралын мөчлөгийн бүх үе шатанд (үүсгэх, хадгалах, боловсруулах, дамжуулах, устгах) мэдээллийн системд (үйлчилгээ, удирдлага, аналитик, бизнес гэх мэт) эргэлдэж буй янз бүрийн төрлийн мэдээллийг багтаасан мэдээллийн хөрөнгө:

Нөөц (санхүү, хүний нөөц, тооцоолол, мэдээлэл, харилцаа холбоо болон бусад):

Процессууд (технологи, мэдээлэл гэх мэт);

Үйлдвэрлэсэн бүтээгдэхүүн, үйлчилгээ үзүүлдэг.

ГОСТ Р 53114-2008

Мэдээлэл боловсруулах системийн нөөц: Тодорхой хугацааны интервалаар өгөгдөл боловсруулах процесст хуваарилж болох мэдээлэл боловсруулах системийн байгууламж.

Тэмдэглэл - Үндсэн нөөц нь процессор, санах ойн үндсэн хэсэг, өгөгдлийн багц юм. захын төхөөрөмжүүд, програмууд.

[ГОСТ 19781-90. догол мөр 93)

3.1.8.Мэдээллийн үйл явц: Үүсгэх, цуглуулах, боловсруулах, хуримтлуулах, хадгалах, хайх үйл явц. мэдээлэл түгээх, ашиглах.

мэдээллийн технологи; МТ: Хайх, цуглуулах, хадгалах, боловсруулах, хангах үйл явц, арга. мэдээлэл түгээх, ийм үйл явц, аргыг хэрэгжүүлэх арга замууд. [ОХУ-ын Холбооны хууль 2002 оны 12-р сарын 27-ны өдрийн № 184-ФЗ. зүйлийн 2. догол мөр 2)]

автоматжуулсан системийн техникийн дэмжлэг; АЦС-ын техникийн дэмжлэг: АЦС-ыг ажиллуулахад ашигласан бүх техникийн хэрэгслийн нийлбэр.

[ГОСТ R 34.003-90. догол мөр 2.5]

автоматжуулсан системийн програм хангамж; AS програм хангамж: AS-ийн дибаг хийх, ажиллуулах, шалгахад зориулагдсан хадгалах зөөвөрлөгч, програмын баримт бичиг дээрх програмуудын багц.

[ГОСТ R 34.003-90. зүйл 2.7]

автоматжуулсан системийн мэдээллийн дэмжлэг; AS-ийн мэдээллийн дэмжлэг: Ашиглалтын явцад AS-д ашигласан мэдээллийн хэмжээ, байршил, хэлбэрийг тодорхойлох баримт бичгийн маягт, ангилагч, зохицуулалтын тогтолцоо, хэрэгжүүлсэн шийдлүүдийн багц.

[ГОСТ R 34.003-90. зүйл 2.8]

3.1.13 үйлчилгээ; үйлчилгээ: Хэрэглэгчийн хэрэгцээг хангахын тулд гүйцэтгэгчийн үйл ажиллагааны үр дүн.

Тайлбар - 8 Байгууллага, хувь хүн эсвэл үйл явц нь үйлчилгээний гүйцэтгэгч (хэрэглэгч) болж болно.

3.1.14.Мэдээллийн технологийн үйлчилгээ: Мэдээллийн технологийн үйлчилгээ: Мэдээллийн функциональ чадамжийн багц ба. эцсийн хэрэглэгчдэд үйлчилгээ болгон өгсөн мэдээллийн бус технологи байж магадгүй.

ТАЙЛБАР: Мэдээллийн технологийн үйлчилгээний жишээнд мессеж, бизнесийн програмууд, файл болон хэвлэх үйлчилгээ, сүлжээний үйлчилгээ гэх мэт орно.

3.1.15. чухал мэдээллийн дэд бүтцийн систем; Мэдээллийн дэд бүтцийн гол систем: FIAC: чухал объект, үйл явцыг удирдаж, мэдээллээр хангадаг, эсвэл үйл ажиллагаа нь тасалдсан, тасалдсан (сүйтгэх үйл ажиллагааны үр дүнд) нийгэм, иргэдэд албан ёсоор мэдээлэх зорилгоор ашигладаг мэдээллийн удирдлага, мэдээллийн харилцаа холбооны систем. мэдээллийн нөлөөлөл, түүнчлэн бүтэлгүйтэл, бүтэлгүйтэл) нь ихээхэн сөрөг үр дагавар бүхий онцгой байдлын байдалд хүргэж болзошгүй.

3.1.18 Чухал объект: Ашиглалтын тасралтгүй ажиллагааг тасалдуулах нь ихээхэн хохирол учруулж болзошгүй объект, процесс.

ГОСТ Р 53114-2008

Жич - Хувь хүн, хуулийн этгээдийн эд хөрөнгөд хохирол учирч болно. төрийн болон хотын өмч, байгаль орчин, түүнчлэн иргэдийн амь нас, эрүүл мэндэд хохирол учруулсан.

Хувийн мэдээллийн мэдээллийн систем: Мэдээллийн санд агуулагдах хувийн мэдээллийн багц, түүнчлэн эдгээр хувийн мэдээллийг автоматжуулалтын хэрэгслийг ашиглан эсвэл ийм хэрэгслийг ашиглахгүйгээр боловсруулах боломжийг олгодог мэдээллийн технологи, техникийн хэрэгсэл юм.

хувийн мэдээлэл: Ийм мэдээлэлд үндэслэн тодорхойлсон эсвэл тодорхойлсон хувь хүнтэй холбоотой аливаа мэдээлэл (хувийн мэдээллийн сэдэв), түүний овог, нэр. овог нэр, жил сар, төрсөн өдөр, газар, хаяг, гэр бүл, нийгэм, эд хөрөнгийн байдал, боловсрол, мэргэжил, орлого, бусад мэдээлэл.

3.1.19. Хамгаалагдсан загварт автоматжуулсан систем; Хамгаалагдсан загвар дахь AS: Мэдээллийг хамгаалах стандарт ба/эсвэл зохицуулалтын баримт бичгийн шаардлагын дагуу тогтоосон чиг үүргийг гүйцэтгэх мэдээллийн технологийг хэрэгжүүлдэг автоматжуулсан систем.

3.2 Мэдээлэл хамгаалах объекттой холбоотой нэр томьёо

3.2.1.байгууллагын мэдээллийн аюулгүй байдал; Байгууллагын IW: Мэдээллийн хүрээний аюул заналхийллийн үед байгууллагын ашиг сонирхлыг хамгаалах байдал.

Тайлбар - Аюулгүй байдал нь мэдээллийн аюулгүй байдлын багц шинж чанарууд - нууцлал, бүрэн бүтэн байдал, мэдээллийн хөрөнгийн хүртээмж, байгууллагын дэд бүтцийг хангах замаар хангадаг. Мэдээллийн аюулгүй байдлын шинж чанаруудын тэргүүлэх чиглэл нь тухайн байгууллагын ашиг сонирхол (зорилго) дахь мэдээллийн хөрөнгийн ач холбогдлоор тодорхойлогддог.

Мэдээллийн хамгаалалтын объект: Мэдээлэл буюу мэдээлэл тээвэрлэгч, мэдээллийн процесс. мэдээллийг хамгаалах зорилгын дагуу хамгаалах ёстой.

[ГОСТ R 50922-2006. зүйл 2.5.1]

3.2.3. Хамгаалагдсан процесс (мэдээллийн технологи): Хамгаалагдсан мэдээллийг шаардлагатай аюулгүй байдлын түвшинд боловсруулахад мэдээллийн технологи ашигладаг процесс.

3.2.4.байгууллагын мэдээллийн аюулгүй байдлыг зөрчсөн: байгууллагын мэдээллийн аюулгүй байдлыг зөрчих: Байгууллагын эд хөрөнгөтэй холбоотой хувь хүн (субьект, объект) санамсаргүй буюу санаатай хууль бус үйлдэл, үүний үр дагавар нь мэдээллийн аюулгүй байдлыг зөрчсөн. Мэдээллийн системд техникийн хэрэгслээр боловсруулагдаж, байгууллагад сөрөг үр дагавар (хохирол/хор хөнөөл) үүсгэдэг.

яаралтай тусламж; урьдчилан таамаглаагүй нөхцөл байдал; Онц байдал: Хүний амь нас, эрүүл мэндэд хохирол учруулж болзошгүй осол, байгалийн аюултай үзэгдэл, гамшиг, байгалийн болон бусад гамшгийн улмаас тодорхой нутаг дэвсгэр, усны бүсэд үүссэн нөхцөл байдал. эсвэл хүрээлэн буй орчин, ихээхэн хэмжээний материаллаг хохирол, хүмүүсийн амьдрах нөхцөлийг алдагдуулах.

Тайлбар - Онцгой байдлын нөхцөл байдал нь эх үүсвэрийн шинж чанар (байгалийн, гар аргаар хийсэн, биологи-нийгмийн болон цэргийн) болон цар хүрээгээр (орон нутгийн, орон нутгийн, нутаг дэвсгэрийн, бүс нутгийн, холбооны болон хил дамнасан) ялгагдана.

(ГОСТ Р 22.0.02-94. 2.1.1-р зүйл)

ГОСТ Р 53114-2008

3.2.6

аюултай нөхцөл байдал: Хүмүүс, эд хөрөнгө, хүрээлэн буй орчин эрсдэлд орсон нөхцөл байдал.

(ГОСТ Р 51898-2003. 3.6-р зүйл)

3.2.7

мэдээллийн аюулгүй байдлын осол: Үйл ажиллагаа, мэдээллийн аюулгүй байдлыг тасалдуулж болзошгүй гэнэтийн эсвэл хүсээгүй аливаа үйл явдал.

Тайлбар - Мэдээллийн аюулгүй байдлын зөрчлүүд нь:

Үйлчилгээ, тоног төхөөрөмж, төхөөрөмжөө алдах:

Системийн алдаа эсвэл хэт ачаалал:

Хэрэглэгчийн алдаа.

Бие махбодийн хамгаалалтын арга хэмжээг зөрчсөн:

Системд хяналтгүй өөрчлөлтүүд.

Програм хангамжийн гэмтэл ба техник хангамжийн алдаа:

Хандалтын дүрмийг зөрчсөн.

(ГОСТ Р ISO/IEC 27001 -2006. 3.6-р зүйл)

3.2.8 үйл явдал: Тодорхой нөхцөл байдал үүссэн буюу байгаа байдал.

Тэмдэглэл

1 Үйл явдлын мөн чанар, магадлал, үр дагаврыг бүрэн мэдэхгүй байж болно.

2 Үйл явдал нэг буюу хэд хэдэн удаа тохиолдож болно.

3 Үйл явдалтай холбоотой магадлалыг тооцоолж болно.

4 Үйл явдал нь нэг буюу хэд хэдэн нөхцөл байдал үүсэхгүй байхаас бүрдэж болно.

5 Урьдчилан таамаглах боломжгүй үйл явдлыг заримдаа "үйл явдал" гэж нэрлэдэг.

6 Алдагдал гарахгүй үйл явдлыг зарим тохиолдолд осол (тохиолдол), аюултай нөхцөл байдал, нөхцөл байдлын аюултай хослол гэх мэтийн урьдчилсан нөхцөл гэж нэрлэдэг.

3.2.9 Эрсдэл: Зорилгодоо хүрэх үйл явцад тодорхойгүй байдлын нөлөөлөл.

Тэмдэглэл

1 Зорилгууд нь санхүүгийн, эрүүл мэнд, аюулгүй байдал, байгаль орчны гэсэн өөр өөр талуудтай байж болох ба стратегийн түвшинд, байгууллагын түвшинд, төсөл, бүтээгдэхүүн, үйл явцын түвшинд өөр өөр түвшинд тавигдаж болно.

3 Эрсдэл нь ихэвчлэн үйл явдлын үр дагавар эсвэл нөхцөл байдлын өөрчлөлт, тэдгээрийн магадлалын хослолоор илэрхийлэгддэг.

3.2.10

Эрсдэлийн үнэлгээ: Эрсдэлийг тодорхойлох, эрсдэлд дүн шинжилгээ хийх, эрсдэлийн хэмжээг тодорхойлох үйл явц юм.

(ГОСТ R ISO/IEC 13335-1 -2006, 2.21-р зүйл)

3.2.11. мэдээллийн аюулгүй байдлын эрсдлийн үнэлгээ (байгууллагын); мэдээллийн аюулгүй байдлын эрсдлийн үнэлгээ (байгууллага): Байгууллагын мэдээллийн аюулгүй байдлын эрсдлийн түвшинг тодорхойлох, дүн шинжилгээ хийх, хүлээн зөвшөөрөхүйц байдлыг тодорхойлох ерөнхий үйл явц.

3.2.12 Эрсдэлийг тодорхойлох: Эрсдэлийг илрүүлэх, таних, тайлбарлах үйл явц.

Тэмдэглэл

1 Эрсдэлийг тодорхойлох нь эрсдэлийн эх үүсвэр, үйл явдал, тэдгээрийн шалтгаан, тэдгээрийн болзошгүй үр дагаврыг тодорхойлох явдал юм.

ТАЙЛБАР 2 Эрсдэлийг тодорхойлоход статистик мэдээлэл, онолын дүн шинжилгээ, мэдээлэлтэй үзэл бодол, шинжээчийн дүгнэлт, оролцогч талуудын хэрэгцээ зэргийг багтааж болно.

ГОСТ Р 53114-2008

Эрсдэлийн шинжилгээ: Эрсдэлийн эх үүсвэрийг тодорхойлох, эрсдлийн хэмжээг тогтоох зорилгоор мэдээллийг системтэй ашиглах.

(ГОСТ Р ISO/IEC 27001-2006. 3.11-р зүйл)

3.2.14 Эрсдэлийг хүлээн зөвшөөрөх чадварыг тодорхойлох: Эрсдлийн шинжилгээний үр дүнг эрсдэлийн шалгуур үзүүлэлттэй харьцуулан эрсдэлийн түвшинг хүлээн зөвшөөрөх буюу хүлцэх чадварыг тодорхойлох үйл явц.

ТАЙЛБАР: Эрсдлийн түвшинг хүлээн зөвшөөрөх боломжтой эсэхийг тодорхойлох нь эмчилгээний шийдвэр гаргахад тусалдаг

3.2.15.байгууллагын мэдээллийн аюулгүй байдлын эрсдэлийг зохицуулах; Байгууллагын мэдээллийн аюулгүй байдлын эрсдэлийн эмчилгээ: Байгууллагын мэдээллийн аюулгүй байдлын эрсдлийг удирдах арга хэмжээг боловсруулах ба/эсвэл сонгох, хэрэгжүүлэх үйл явц.

Тэмдэглэл

1 Эрсдлийн эмчилгээнд дараахь зүйлс орно.

Нөхцөл байдлыг бий болгож буй үйл ажиллагааг эхлүүлэх, үргэлжлүүлэхгүй байх шийдвэр гаргаж эрсдэлээс зайлсхийх

Эрсдэл үүсгэж болзошгүй үйл ажиллагааг эхлүүлэх, үргэлжлүүлэх шийдвэр гаргах замаар боломжийг эрэлхийлэх;

Эрсдлийн эх үүсвэрийг арилгах:

Эрсдэлийн шинж чанар, хэмжээ өөрчлөгдөх:

Үр дагаврыг өөрчлөх;

Эрсдэлийг өөр тал эсвэл талуудтай хуваалцах.

Ухамсартай шийдвэрийн үр дүнд болон "анхдагчаар" эрсдэлийн тогтвортой байдал.

2 Сөрөг үр дагавартай эрсдлийн эмчилгээг заримдаа бууруулах, арилгах, урьдчилан сэргийлэх гэж нэрлэдэг. бууруулах, таслан зогсоох, эрсдэлийг засах.

3.2.16.Эрсдэлийн удирдлага: Эрсдэлтэй холбогдуулан байгууллагын үйл ажиллагааг чиглүүлэх, хянах зохицуулалттай арга хэмжээ.

3.2.17.байгууллагын мэдээллийн аюулгүй байдлын эрсдэлийн эх үүсвэр; Байгууллагын мэдээллийн аюулгүй байдлын эрсдлийн эх үүсвэр: Эрсдэл үүсгэж болох объект буюу үйлдэл.

Тэмдэглэл

1 Эрсдэлийн эх үүсвэртэй объект, хүн, байгууллага хоорондын харилцан үйлчлэл байхгүй бол эрсдэл байхгүй.

2 Эрсдэлийн эх үүсвэр нь биет болон биет бус байж болно.

3.2.18.мэдээллийн аюулгүй байдлын бодлого (байгууллагын); Мэдээллийн аюулгүй байдлын бодлого (байгууллага): Байгууллагын үйл ажиллагааг удирдан чиглүүлэх мэдээллийн аюулгүй байдлын дүрэм, журам, үйл ажиллагаа, удирдамжийн албан ёсны мэдэгдэл.

Тэмдэглэл - Бодлого заавал агуулсан байх ёстой.

Аюулгүй байдлын бодлогын сэдэв, үндсэн зорилго, зорилтууд:

Аюулгүй байдлын бодлогыг хэрэгжүүлэх нөхцөл ба боломжит хязгаарлалтууд:

Аюулгүй байдлын бодлогыг хэрэгжүүлэх, байгууллагын мэдээллийн аюулгүй байдлын дэглэмийг бүхэлд нь зохион байгуулах талаархи байгууллагын удирдлагын байр суурийг тайлбарлах.

Эрх, үүрэг, түүнчлэн байгууллагын аюулгүй байдлын бодлогыг дагаж мөрдөх ажилтнуудын хариуцлагын зэрэг.

Аюулгүй байдлын бодлогыг зөрчсөн тохиолдолд яаралтай арга хэмжээ авах

3.2.19. мэдээллийн аюулгүй байдлын зорилго (байгууллагын); IS (байгууллагын) зорилго: IS (байгууллага) бодлогод тогтоосон шаардлагын дагуу байгууллагын мэдээллийн аюулгүй байдлыг хангахын тулд урьдчилан тодорхойлсон үр дүн.

Тайлбар - Мэдээллийн аюулгүй байдлыг хангах үр дүн нь мэдээлэл алдагдсан болон (эсвэл) мэдээлэлд зөвшөөрөлгүй, санамсаргүй нөлөөллийн улмаас мэдээлэл эзэмшигчид учирч болзошгүй хохирлоос урьдчилан сэргийлэх явдал юм.

3.2.20.байгууллага дахь мэдээллийн аюулгүй байдлын талаарх баримт бичгийн тогтолцоо; Байгууллага дахь мэдээллийн аюулгүй байдлын баримт бичгийн систем: зорилтот чиг баримжаагаар нэгтгэсэн дараалсан багц баримт бичиг. гарал үүсэл, зорилго, төрөл, үйл ажиллагааны цар хүрээ, тэдгээрийн загварт тавигдах нэгдсэн шаардлага, мэдээллийн аюулгүй байдлыг хангах байгууллагын үйл ажиллагааг зохицуулах үндсэн дээр харилцан уялдаатай.

ГОСТ Р 53114-2008

3.3 Мэдээллийн аюулгүй байдлын заналхийлэлтэй холбоотой нэр томъёо

3.3.1.байгууллагын мэдээллийн аюулгүй байдалд заналхийлсэн; Байгууллагад учирч буй мэдээллийн аюулгүй байдлын заналхийлэл: Байгууллагын мэдээллийн аюулгүй байдлыг зөрчих аюулыг бий болгож, тухайн байгууллагад сөрөг үр дагавар (хохирол, хор хөнөөл) үүсгэж болзошгүй хүчин зүйл, нөхцөл байдлын цогц юм.

Тэмдэглэл

1 Мэдээллийн аюулгүй байдлын заналхийллийг хэрэгжүүлэх (илэрхийлэх) хэлбэр нь мэдээллийн аюулгүй байдлын нэг буюу хэд хэдэн харилцан хамааралтай үйл явдал, мэдээллийн аюулгүй байдлын зөрчлийн дэгдэлт юм. байгууллагын хамгаалагдсан объектын мэдээллийн аюулгүй байдлын шинж чанарыг зөрчихөд хүргэдэг.

2 Аюул заналхийллийн объект, аюулын эх үүсвэр, заналхийллийн илрэлээр тодорхойлогддог.

аюул занал (мэдээллийн аюулгүй байдал): Мэдээллийн аюулгүй байдлыг зөрчиж болзошгүй буюу бодит аюулыг бий болгож буй нөхцөл байдал, хүчин зүйлсийн багц.

[ГОСТ R 50922-2006. зүйл 2.6.1]

3.3.3 аюул занал (мэдээллийн аюулгүй байдлын) загвар: Мэдээллийн аюулгүй байдлын заналхийллийн шинж чанар, шинж чанарыг физик, математик, дүрсэлсэн дүрслэл.

Тайлбар - тусгай зохицуулалтын баримт бичиг нь мэдээллийн аюулгүй байдлын заналхийллийн шинж чанар, шинж чанарыг дүрсэлсэн дүрслэлийн төрөл байж болно.

эмзэг байдал (мэдээллийн системийн); зөрчил: Мэдээллийн системийн шинж чанар нь түүнд боловсруулсан мэдээллийн аюулгүй байдалд заналхийлэх боломжийг олгодог.

Тэмдэглэл

1 Мэдээллийн системд боловсруулсан аюулгүй байдлын аюулыг хэрэгжүүлэх нөхцөл нь мэдээллийн системийн дутагдал эсвэл сул тал байж болно.

2 Хэрэв эмзэг байдал нь аюул заналхийлэлтэй таарч байвал эрсдэл бий болно.

[ГОСТ R 50922-2006. догол мөр 2.6.4]

3.3.5.байгууллагын мэдээллийн аюулгүй байдлыг зөрчсөн этгээд; байгууллагын мэдээллийн аюулгүй байдлыг зөрчигч: Санамсаргүй буюу санаатайгаар үйлдсэн, түүний үр дагавар нь байгууллагын мэдээллийн аюулгүй байдлыг зөрчсөн хувь хүн, логик этгээдийг хэлнэ.

3.3.6. Зөвшөөрөлгүй хандалт: Мэдээлэлд хандах, мэдээллийн автоматжуулсан системийн нөөцөд нэвтрэх эрх (эсвэл) тогтоосон дүрмийг зөрчих замаар хийгдсэн.

Тэмдэглэл

1 Зөвшөөрөлгүй хандалт нь санаатай эсвэл санамсаргүй байж болно.

2 Мэдээлэл боловсруулах үйл явц, автоматжуулсан мэдээллийн системийн засвар үйлчилгээ, программын өөрчлөлт зэрэгт мэдээлэл, мэдээллийн системийн нөөцөд хандах эрх, дүрмийг тогтоосон. техникийн болон мэдээллийн нөөц, түүнчлэн тэдгээрийн талаархи мэдээллийг олж авах.

3.3.7 Сүлжээний халдлага: Мэдээлэлд зөвшөөрөлгүй нэвтрэх, түүнд болон автоматжуулсан мэдээллийн системийн нөөцөд нөлөөлөх аюул заналхийллийг хэрэгжүүлэхэд чиглэсэн программ хангамж, (эсвэл) техник хангамж, сүлжээний протокол ашиглан үйлдлүүд.

Хэрэглээ - Сүлжээний протокол нь нэг компьютер дээр байрлах сүлжээний удирдлагын программуудын харилцан үйлчлэлийг тодорхойлдог утгын болон синтаксийн дүрмийн багц юм. өөр компьютер дээр байрлах ижил нэртэй програмуудтай.

3.3.8 (мэдээлэл авах) хандалтыг хаах: Хүмүүсийн мэдээлэлд нэвтрэх эрхийг дуусгавар болгох буюу хүндрэлтэй байх. хийх эрхтэй (хууль ёсны хэрэглэгчид).

3.3.9 Үйлчилгээний халдлагыг үгүйсгэх: Автоматжуулсан систем дэх мэдээллийн процессыг хаахад хүргэдэг сүлжээний халдлага.

3.3.10.Мэдээлэл алдагдуулах: Гадны тагнуулын алба задруулсан, мэдээлэлд зөвшөөрөлгүй нэвтэрч, хамгаалагдсан мэдээллийг хүлээн авснаас үүдэн хамгаалагдсан мэдээллийг хяналтгүй тараах.

3.3.11.мэдээлэл задруулах:Хамгаалагдсан мэдээллийг хүмүүст зөвшөөрөлгүй дамжуулах. энэ мэдээлэлд хандах эрхгүй.

ГОСТ Р 53114-2008

саатуулах (мэдээлэл): Мэдээллийн дохиог илрүүлэх, хүлээн авах, боловсруулах техникийн хэрэгслийг ашиглан хууль бусаар мэдээлэл хүлээн авах.

(R 50.1.053-2005, 3.2.5-р зүйл]

мэдээллийн дохио: Хамгаалагдсан мэдээллийг тодорхойлоход параметрүүдийг ашиглаж болох дохио.

[R 50.1.05S-2005. догол мөр 3.2.6]

3.3.14 Зарлагдсан чадавхи: Баримт бичигт тодорхойлогдоогүй буюу түүнтэй тохирохгүй компьютерийн техник хангамж, програм хангамжийн функциональ чадавхи. мэдээллийн аюулгүй байдлын шинж чанарыг бууруулах, зөрчихөд хүргэж болзошгүй.

3.3.15 Хуурамч цахилгаан соронзон цацраг ба хөндлөнгийн оролцоо: Техникийн мэдээлэл боловсруулах төхөөрөмжөөс үүсэх гаж нөлөө, тэдгээрийн цахилгаан болон соронзон хэлхээнд үйлчилж буй цахилгаан дохионы нөлөөгөөр үүссэн цахилгаан соронзон цацраг, түүнчлэн эдгээр дохионы дамжуулагч шугам, байгууламж, эрчим хүч дээрх цахилгаан соронзон хөндлөнгийн оролцоо. хэлхээнүүд.

3.4 Байгууллагын мэдээллийн аюулгүй байдлын удирдлагатай холбоотой нэр томьёо

3.4.1.байгууллагын мэдээллийн аюулгүй байдлын удирдлага; мэдээллийн аюулгүй байдлын байгууллагын удирдлага; Байгууллагын дотоод, гадаад орчны өөрчлөгдөж буй нөхцөл байдалд нийцүүлэн мэдээллийн аюулгүй байдлыг хангах чиглэлээр байгууллагын удирдлага, удирдлагын зохицуулалттай үйл ажиллагаа.

3.4.2.байгууллагын мэдээллийн аюулгүй байдлын эрсдлийн удирдлага; байгууллагын мэдээллийн аюулгүй байдлын эрсдлийн удирдлага: Мэдээллийн аюулгүй байдлын эрсдэлийг багасгахын тулд тухайн байгууллагыг чиглүүлэх, удирдахад чиглэсэн уялдаа холбоотой үйл ажиллагаа.

ТАЙЛБАР: Эрсдэлийн удирдлагын үндсэн үйл явц нь нөхцөл байдлыг тогтоох, эрсдэлийг үнэлэх, эрсдэлийг эмчлэх, хүлээн авах, эрсдэлийг хянах, хянах явдал юм.

мэдээллийн аюулгүй байдлын удирдлагын систем; ISMS: Удирдлагын ерөнхий системийн нэг хэсэг. боловсруулах, хэрэгжүүлэх, ажиллуулахад биоэнергийн эрсдлийн үнэлгээний аргуудыг ашиглахад үндэслэсэн. мэдээллийн аюулгүй байдлыг хянах, дүн шинжилгээ хийх, дэмжих, сайжруулах.

ТАЙЛБАР: Удирдлагын систем нь байгууллагын бүтэц, бодлого, төлөвлөлтийн үйл ажиллагаа, хариуцлага, үйл ажиллагаа, журам, үйл явц, нөөцийг агуулдаг.

[ГОСТ R ISO/IEC 27001 -2006. зүйл 3.7]

3.4.4.байгууллага дахь мэдээллийн аюулгүй байдлын үүрэг; Байгууллага дахь мэдээллийн аюулгүй байдлын үүрэг: Байгууллага дахь субьект ба объектын хооронд хүлээн зөвшөөрөгдсөн харилцан үйлчлэлийг бий болгох байгууллагын мэдээллийн аюулгүй байдлыг хангах тусгай чиг үүрэг, даалгаврын багц.

Тэмдэглэл

1 Субъектууд нь байгууллагын менежерүүд, түүний ажилтнууд эсвэл тэдгээрийн нэрийн өмнөөс объектууд дээр үйл ажиллагаа явуулах үйл явцууд орно.

2 Объектууд нь техник хангамж, программ хангамж, программ хангамж, техник хангамж эсвэл үйлдлийг гүйцэтгэх мэдээллийн нөөц байж болно.

3.4.5.Байгууллагын мэдээллийн аюулгүй байдлын алба: Байгууллагын мэдээллийн аюулгүй байдалд заналхийлж буй заналхийллийг арилгахад чиглэсэн тодорхой зорилтын шийдлийг хэрэгжүүлдэг байгууллагын мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны зохион байгуулалт, техникийн бүтэц.

3.5 Байгууллагын мэдээллийн аюулгүй байдлыг хянах, үнэлэхтэй холбогдсон нэр томьёо

3.5.1.байгууллагын мэдээллийн аюулгүй байдлыг хангахад тавих хяналт; байгууллагын мэдээллийн аюулгүй байдлын хангалтад тавих хяналт: Байгууллага дахь мэдээллийн аюулгүй байдлын хангалтад нийцэж байгаа эсэхийг шалгах.

ГОСТ Р 53114-2008

3.5.2.байгууллагын мэдээллийн аюулгүй байдалд хяналт тавих; байгууллагын мэдээллийн аюулгүй байдлын хяналт: Мэдээллийн аюулгүй байдлын шаардлагад нийцэж байгаа эсэхийг тогтоох зорилгоор тухайн байгууллагын мэдээллийн аюулгүй байдлын үйл явцыг тогтмол хянах.

3.5.3.байгууллагын мэдээллийн аюулгүй байдлын аудит; Мэдээллийн аюулгүй байдлын байгууллагын аудит: Мэдээллийн аюулгүй байдлыг хангах чиглэлээр байгууллагын үйл ажиллагааны нотлох баримтыг олж авах, тухайн байгууллагад мэдээллийн аюулгүй байдлын шалгуур үзүүлэлтийн хэрэгжилтийн түвшинг тогтоох, түүнчлэн мэргэжлийн аудит бий болгох боломжийг олгох системтэй, хараат бус, баримтжуулсан үйл явц. байгууллагын мэдээллийн аюулгүй байдлын байдлын талаархи дүгнэлт.

3.5.4.байгууллагын мэдээллийн аюулгүй байдлын аудитын нотлох баримт (нотлох баримт); Байгууллагын мэдээллийн аюулгүй байдлын аудитын өгөгдөл: Байгууллагын мэдээллийн аюулгүй байдлын аудитын шалгуурт нийцсэн, баталгаажуулах боломжтой бүртгэл, баримтын мэдэгдэл эсвэл бусад мэдээлэл.

ТАЙЛБАР: Мэдээллийн аюулгүй байдлын нотолгоо нь чанарын болон тоон байж болно.

3.5.5.байгууллагын мэдээллийн аюулгүй байдал тогтоосон шаардлагад нийцэж байгаа эсэхийг үнэлэх; Байгууллагын мэдээллийн аюулгүй байдлын тогтоосон шаардлагад нийцэж байгаа эсэхийг үнэлэх: Байгууллага дахь мэдээллийн аюулгүй байдлын тогтоосон шаардлагыг дагаж мөрдөх, эсхүл үл нийцэх байдлыг шууд болон шууд бусаар тодорхойлох үйл ажиллагаа.

3.5.6.байгууллагын мэдээллийн аюулгүй байдалд аудит хийх шалгуур; мэдээллийн аюулгүй байдлын байгууллагын аудитын шалгуур: Мэдээллийн аюулгүй байдлын чиглэлээр байгууллагын үйл ажиллагаатай холбоотой одоогийн зохицуулалтын баримт бичгийн* зарчим, заалт, шаардлага, үзүүлэлтүүдийн багц.

Хэрэглээ - Мэдээллийн аюулгүй байдлын аудитын шалгуурыг мэдээллийн аюулгүй байдлын аудитын нотлох баримттай харьцуулах зорилгоор ашигладаг.

3.5.7. Аюулгүй загварт автоматжуулсан системийг баталгаажуулах: Хамгаалагдсан мэдээллийг боловсруулах автоматжуулсан системийн тогтоосон чиг үүргийн гүйцэтгэлийг мэдээллийн салбарын стандарт ба/эсвэл зохицуулалтын баримт бичгийн шаардлагад нийцэж байгаа эсэхийг иж бүрэн шалгах үйл явц. хамгаалалт, тодорхой байгууламжийн мэдээлэлжүүлэлтийн үед хамгаалагдсан мэдээллийг боловсруулах функцтэй нийцэж байгаа баримт бичгийг бэлтгэх.

3.5.8.байгууллагын мэдээллийн аюулгүй байдлыг хангах шалгуур; байгууллагын мэдээллийн аюулгүй байдлын шалгуур: Байгууллагын мэдээллийн аюулгүй байдлын зорилт(ууд)-ын хэрэгжилтийн зэрэглэлийг үндэслэн үнэлдэг үзүүлэлт.

3.5.9.мэдээллийн аюулгүй байдлын үр нөлөө; Мэдээллийн аюулгүй байдлын үр нөлөө: Хүрсэн үр дүн ба мэдээллийн аюулгүй байдлын өгөгдсөн түвшинг хангахад ашигласан нөөцийн хоорондын хамаарал.

3.6 Байгууллагын мэдээллийн аюулгүй байдлын хяналттай холбоотой нэр томъёо

3.6.1.байгууллагын мэдээллийн аюулгүй байдлыг хангах; Байгууллагын мэдээллийн аюулгүй байдлыг хангах: Байгууллагын мэдээллийн аюулгүй байдалд учирч болох дотоод болон гадаад аюул заналхийллийг арилгах (саармагжуулах, эсэргүүцэх) эсвэл эдгээр аюул заналхийллийг хэрэгжүүлэхээс үүсэх хохирлыг багасгахад чиглэсэн үйл ажиллагаа.

3.6.2. аюулгүй байдлын арга хэмжээ; аюулгүй байдлын хяналт: Эрсдэлийг зохицуулах тогтсон практик, журам, механизм.

3.6.3.мэдээллийн аюулгүй байдлыг хангах арга хэмжээ; Мэдээллийн аюулгүй байдлын арга хэмжээ: Мэдээллийн аюулгүй байдлыг хангах арга, хэрэгслийг боловсруулах, / эсвэл практикт хэрэглэхэд чиглэсэн үйл ажиллагааны багц.

3.6.4.мэдээллийн аюулгүй байдлыг хангах зохион байгуулалтын арга хэмжээ; Мэдээллийн аюулгүй байдлыг хангах зохион байгуулалтын арга хэмжээ: Мэдээлэлжүүлэлтийн объектыг ашиглах нөхцөл, үйл ажиллагааны горимд түр, нутаг дэвсгэр, орон зайн, хууль эрх зүй, арга зүйн болон бусад хязгаарлалтыг тогтоох мэдээллийн аюулгүй байдлыг хангах арга хэмжээ.

3.6.5.мэдээллийн аюулгүй байдлыг хангах техникийн хэрэгсэл; мэдээллийн аюулгүй байдлын техникийн хэрэгсэл: Байгууллагын мэдээллийн аюулгүй байдлыг криптографийн бус аргаар хангахад ашигладаг төхөөрөмж.

Тайлбар - Ийм тоног төхөөрөмжийг хамгаалагдсан объектод суулгасан техник хангамж, програм хангамжаар төлөөлж болох ба/эсвэл бие даан ажилладаг (хамгаалагдсан объектоос хамааралгүй).

ГОСТ Р 53114-2008

3.5.6 Халдлага илрүүлэх хэрэгсэл, халдлагыг илрүүлэх хэрэгсэл: Компьютерийн систем, сүлжээнд гарч буй үйл явдлыг хянах үйл явцыг автоматжуулах, мэдээллийн аюулгүй байдлын зөрчлийн шинж тэмдгийг хайх зорилгоор эдгээр үйл явдалд бие даасан дүн шинжилгээ хийх программ хангамж, программ хангамж-техникийн хэрэгсэл.

3.6.7 Зөвшөөрөлгүй хандалтаас хамгаалах хэрэгсэл: Зөвшөөрөлгүй хандалтаас урьдчилан сэргийлэх, эсвэл ихээхэн саад учруулах зорилготой програм хангамж, техник хангамж, программ хангамж, техник хангамж.

ГОСТ Р 53114-2008

Нэр томъёоны цагаан толгойн индекс

байгууллагын хөрөнгө 3.1.6

эрсдэлийн шинжилгээ 3.2.13

Хамгаалагдсан 3.1.19 хувилбарын чанга яригч

Үйлчилгээнээс татгалзах халдлага 3.3.9

сүлжээний халдлага 3.3.7

хамгаалагдсан хувилбарт автоматжуулсан системийг баталгаажуулах 3.5.7

байгууллагын мэдээллийн аюулгүй байдлын аудит 3.5.3

аюулгүй байдал (өгөгдөл) 3.1.1

мэдээллийн аюулгүй байдал 3.1.1

мэдээллийн технологийн аюулгүй байдал 3.1.2

байгууллагын мэдээллийн аюулгүй байдал 3.2.1

хандалтыг хаах (мэдээлэл авах) 3.3.8

зөрчил 3.3.4

зарлаагүй чадвар 3.3.14

хувийн мэдээлэл 3.1.18

зөвшөөрөлгүй нэвтрэх 3.3.6

Байгууллагын мэдээллийн аюулгүй байдал 3.2.1

эрсдэлийг тодорхойлох 3.2.12

мэдээллийн дэд бүтэц 3.1.4

мэдээллийн аюулгүй байдлын зөрчил 3.2.7

байгууллагын мэдээллийн аюулгүй байдлын эрсдлийн эх үүсвэр 3.2.17

байгууллагын мэдээллийн аюулгүй байдлын эрсдэлийн эх үүсвэр 3.2.17

байгууллагын мэдээллийн аюулгүй байдалд тавих хяналт 3.5.1

байгууллагын мэдээллийн аюулгүй байдлыг хангах шалгуур 3.5.8

байгууллагын мэдээллийн технологийн аудитын шалгуур 3.5.6

байгууллагын мэдээллийн аюулгүй байдлын аудитын шалгуур 3.5.6

байгууллагын мэдээллийн аюулгүй байдлыг хангах шалгуур 3.5.8

байгууллагын мэдээллийн аюулгүй байдлын удирдлага 3.4.1

байгууллагын мэдээллийн аюулгүй байдлын эрсдлийн удирдлага 3.4.2

аюулгүй байдлын арга хэмжээ 3.6.2

мэдээллийн аюулгүй байдлын арга хэмжээ 3.6.3

байгууллагын мэдээллийн аюулгүй байдлын арга хэмжээ 3.6.4

мэдээллийн аюулгүй байдлын арга хэмжээ 3.6.3

байгууллагын мэдээллийн аюулгүй байдлын арга хэмжээ 3.4.6

аюул заналын загвар (мэдээллийн аюулгүй байдал) 3.3.3

байгууллагын мэдээллийн аюулгүй байдлын хяналт 3.5.2

байгууллагын мэдээллийн аюулгүй байдалд хяналт тавих 3.5.2

байгууллагын мэдээллийн аюулгүй байдлыг зөрчсөн 3.2.4

байгууллагын мэдээллийн аюулгүй байдлыг зөрчигч 3.3.5

автоматжуулсан мэдээллийн системийн дэмжлэг 3.1.12

автоматжуулсан системийн программ хангамж 3.1.11

автоматжуулсан системийн техникийн дэмжлэг 3.1.10

AS мэдээллийн дэмжлэг 3.1.12

Хувьсах гүйдлийн програм хангамж 3.1.11

Хувьсах гүйдлийн техникийн дэмжлэг 3.1.10

байгууллагын мэдээллийн аюулгүй байдлыг хангах 3.6.1

байгууллагын мэдээллийн аюулгүй байдлын эрсдэлийн эмчилгээ 3.2.15

ГОСТ Р 53114-2008

байгууллагын мэдээллийн аюулгүй байдлын эрсдэлийг удирдах 3.2.1S

мэдээлэл хамгаалах объект 3.2.2

мэдээлэлжүүлэлтийн объект 3.1.5

чухал объект 3.1.16

эрсдэлийн зөвшөөрөгдөх түвшинг тодорхойлох 3.2.14

эрсдэлийн үнэлгээ 3.2.10

эрсдэлийн үнэлгээ I6 (байгууллага) 3.2.11

мэдээллийн аюулгүй байдлын эрсдлийн үнэлгээ (байгууллага) 3.2.11

Байгууллагын МТ-ийн тогтоосон шаардлагад нийцэж байгаа эсэхийг үнэлэх 3.5.5

байгууллагын мэдээллийн аюулгүй байдал тогтоосон шаардлагад нийцэж байгаа эсэхэд хийсэн үнэлгээ 3.5.5

саатуулах (мэдээлэл) 3.3.12

IS бодлого (байгууллага) 3.2.18

мэдээллийн аюулгүй байдлын бодлого (байгууллага) 3.2.18

процесс (мэдээллийн технологи) хамгаалагдсан 3.2.3

мэдээллийн үйл явц 3.1.8

мэдээлэл задруулах 3.3.11

мэдээлэл боловсруулах системийн нөөц 3.1.7

байгууллагын мэдээллийн аюулгүй байдлын үүрэг 3.4.4

байгууллагын мэдээллийн аюулгүй байдлын үүрэг 8 3.4.4

байгууллагын мэдээллийн технологийн аудитын гэрчилгээ (нотлох баримт) 3.5.4

байгууллагын мэдээллийн аюулгүй байдлын аудитын нотлох баримт (нотлох баримт) 3.5.4

үйлчилгээ 3.1.13

мэдээллийн дохио 3.3.13

аюулгүй автоматжуулсан систем 3.1.19

Байгууллага дахь мэдээллийн аюулгүй байдлын баримт бичгийн тогтолцоо 3.2.20

мэдээллийн үндсэн дэд бүтцийн систем 3.1.15

чухал мэдээллийн дэд бүтцийн систем 3.1.15

мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо 3.4.3

хувийн мэдээллийн мэдээллийн систем 3.1.17

урьдчилан тооцоолоогүй нөхцөл байдал 3.2.5

аюултай нөхцөл байдал 3.2.6

онцгой байдлын 3.2.5

байгууллагын мэдээллийн аюулгүй байдлын үйлчилгээ 3.4.6

үйл явдал 3.2.8

зөвшөөрөлгүй нэвтрэхээс хамгаалах 3.6.7

техникийн мэдээллийн аюулгүй байдлын хэрэгсэл 3.6.5

Халдлага илрүүлэх хэрэгсэл 3.6.6

мэдээллийн хүрээ 3.1.3

мэдээллийн технологи 3.1.9

аюул занал (мэдээллийн аюулгүй байдал) 3.3.2

байгууллагын мэдээллийн аюулгүй байдалд заналхийлэх 3.3.1

эрсдэлийн удирдлага 3.2.16

үйлчилгээ 3.1.13

мэдээллийн технологийн үйлчилгээ 3.1.14

Мэдээллийн технологийн үйлчилгээ 3.1.14

мэдээлэл алдагдсан 3.3.10

эмзэг байдал (мэдээллийн систем) 3.3.4

IS зорилго (байгууллага) 3.2.19

мэдээллийн аюулгүй байдлын зорилго (байгууллага) 3.2.19

цахилгаан соронзон цацраг ба хажуугийн хөндлөнгийн оролцоо 3.3.15

IS үр ашиг 3.5.9

мэдээллийн аюулгүй байдлын үр нөлөө 3.5.9

ГОСТ Р 53114-2008

Хавсралт А (лавлагаа)

Техникийн ерөнхий ойлголтын нэр томъёо, тодорхойлолт

байгууллага: үүрэг хариуцлага, эрх мэдэл, харилцааны хуваарилалт бүхий ажилчид, шаардлагатай нөөцүүд.

(ГОСТ R ISO 9000-2001, 3.3.1-р зүйл)

Тэмдэглэл

1 Байгууллагад: компани, корпорац, пүүс, аж ахуйн нэгж, байгууллага, буяны байгууллага, жижиглэнгийн аж ахуйн нэгж, холбоо орно. түүнчлэн тэдгээрийн дэд хэсэг буюу тэдгээрийн хослол.

2 Хуваарилалт нь ихэвчлэн захиалгаар хийгддэг.

3 Байгууллага нь төрийн болон хувийн байж болно.

А.2 бизнес: Ашиг авчирдаг эдийн засгийн үйл ажиллагаа; орлого бүрдүүлдэг, баяжих эх үүсвэр болдог аливаа төрлийн үйл ажиллагаа.

A.Z бизнесийн үйл явц: Байгууллагын эдийн засгийн үйл ажиллагаанд хэрэглэгддэг процессууд.

мэдээлэл: Мэдээлэл (мессеж, өгөгдөл) нь тэдгээрийн танилцуулгын хэлбэрээс үл хамааран.

хөрөнгө: Бүгд. байгууллагад үнэ цэнэтэй зүйл юу вэ. (ГОСТ R ISO/IEC13335-1-2006, 2.2-р зүйл(

A.6 нөөц: Үйл явцыг гүйцэтгэх явцад ашигласан буюу зарцуулсан хөрөнгө (байгууллагын). Тэмдэглэл

1 Нөөцөд боловсон хүчин, тоног төхөөрөмж, үндсэн хөрөнгө, багаж хэрэгсэл, эрчим хүч, ус, түлш, харилцаа холбооны сүлжээний дэд бүтэц зэрэг олон төрлийн зүйл багтаж болно.

2 Нөөц нь дахин ашиглагдах, нөхөн сэргээгдэх эсвэл хэрэглэх боломжтой.

А.7 аюул: Тухайн объектын бусад объектыг гэмтээх, гэмтээх чадварыг тодорхойлдог шинж чанар. A.8 Онцгой байдлын тохиолдол: Онцгой байдлын нөхцөл байдалд хүргэсэн үйл явдал.

A.9 Хохирол: Хүний эрүүл мэндэд учирсан биет гэмтэл, эсхүл эд хөрөнгө, байгаль орчинд учирсан хохирол.

A. 10 аюул: Бүрэн бүтэн байдал, хүртээмжийг зөрчихөд хүргэж болох нөхцөл, хүчин зүйлсийн багц. нууцлал.

A.11 эмзэг байдал: Аливаа үр дагаварт хүргэж болзошгүй эрсдэлийн эх үүсвэрийн нөлөөнд мэдрэмтгий байдлыг бий болгодог объектын дотоод шинж чанарууд.

A. 12 халдлага: Мэдээллийн системийн хамгаалалтын системийг даван туулах оролдлого.

Тэмдэглэл - Довтолгооны "амжилтын" зэрэг нь хамгаалалтын системийн эмзэг байдал, үр дүнтэй байдлаас хамаарна.

А.13 удирдлага: Байгууллагын чиглэл, удирдлагын үйл ажиллагааг уялдуулан явуулна

A.14 Бизнесийн (тасралтгүй байдлын) удирдлага: Удирдлагын зохицуулалт, хяналтын үйл ажиллагаа

байгууллагын бизнесийн үйл явц.

A. 15 үүрэг: Үйл ажиллагааны субьект ба объектын хооронд хүлээн зөвшөөрөгдөхүйц харилцан үйлчлэлийг бий болгох байгууллагын үйл ажиллагааны урьдчилан тодорхойлсон дүрэм, журмын багц.

Мэдээллийн эзэн: Мэдээллийг бие даан бүтээсэн, эсхүл хууль, гэрээний үндсэн дээр аливаа шалгуураар тодорхойлсон мэдээлэлд нэвтрэх эрхийг зөвшөөрөх, хязгаарлах эрхийг хүлээн авсан этгээд.

ГОСТ Р 53114-2008

дэд бүтэц: Байгууллагын үйл ажиллагаанд шаардлагатай барилга байгууламж, тоног төхөөрөмж, туслах үйлчилгээний нийлбэр.

[ГОСТ R ISO 9000-2001. догол мөр 3.3.3]

А.18 Аудит: Аудитын нотлох баримтыг олж авах, түүнийг бодитойгоор үнэлэх системтэй, хараат бус, баримтжуулсан үйл явц, тохиролцсон аудитын шалгуурыг хэр хангасан эсэхийг тодорхойлох.

Тэмдэглэл

1 Анхдагч талын аудит гэж нэрлэгддэг дотоод аудитыг дотоод зорилгоор байгууллага өөрөө эсвэл түүний өмнөөс өөр байгууллага гүйцэтгэдэг. Дотоод аудитын үр дүн нь тохирлын мэдүүлгийн үндэслэл болж болно. Ихэнх тохиолдолд, ялангуяа жижиг бизнесүүдэд аудитыг мэргэжилтнүүд (шалгагдаж буй үйл ажиллагааг хариуцдаггүй хүмүүс) хийх ёстой.

ТАЙЛБАР 2. Гадаад аудитад хоёрдогч талын аудит болон гуравдагч талын аудит гэж нэрлэгддэг аудитууд орно. Хоёрдахь талын аудитыг жишээлбэл, аж ахуйн нэгжийн үйл ажиллагааг сонирхож буй талууд гүйцэтгэдэг.

хэрэглэгчид эсвэл тэдний өмнөөс бусад. Гуравдагч талын аудитыг хөндлөнгийн хараат бус байгууллагууд хийдэг. Эдгээр байгууллагууд нь шаардлагад нийцэж байгаа эсэхийг баталгаажуулах, бүртгүүлэх ажлыг гүйцэтгэдэг, жишээлбэл, ГОСТ R ISO 9001 ба ГОСТ R ISO 14001 стандартын шаардлагад нийцсэн.

3 Чанарын удирдлагын тогтолцоо болон байгаль орчны удирдлагын тогтолцооны нэгэн зэрэг хийгдсэн аудитыг “иж бүрэн аудит” гэнэ.

4 Аудит хийлгэж буй байгууллагад шалгалтыг хэд хэдэн байгууллага зэрэг хийж байгаа бол ийм аудитыг “хамтарсан аудит” гэнэ.

А.19 мониторинг: Объектыг системтэй буюу тасралтгүй хянах, түүний параметрийн хяналт ба/эсвэл хэмжилтийг хангах, түүнчлэн параметрийн хэлбэлзлийг урьдчилан таамаглах, залруулах, урьдчилан сэргийлэх арга хэмжээний хэрэгцээ, бүрэлдэхүүний талаар шийдвэр гаргах шинжилгээ хийх.

тохирлын мэдүүлэг: Бүтээгдэхүүний техникийн зохицуулалтын шаардлагад нийцэж байгаа эсэхийг баталгаажуулах хэлбэр.

А.21 технологи: Объектив үйл ажиллагааны харилцан уялдаатай арга, арга, техникүүдийн систем. A.22

баримт бичиг: Биет хэрэглүүрт бичигдсэн мэдээлэл, түүнийг тодорхойлох боломжтой дэлгэрэнгүй мэдээлэл.

[ГОСТ Р 52069.0-2003. догол мөр 3.18]

А.23 Мэдээллийн боловсруулалт: Мэдээлэл дээр хийгдсэн цуглуулах, хуримтлуулах, оруулах, гаргах, хүлээн авах, дамжуулах, бүртгэх, хадгалах, бүртгэх, устгах, хувиргах, харуулах үйл ажиллагааны багц.

ГОСТ Р 53114-2008

Хавсралт Б (лавлагаа)

Байгууллага дахь мэдээллийн аюулгүй байдлын талаархи үндсэн ойлголтуудын хамаарал

Үндсэн ойлголтуудын хоорондын хамаарлыг Зураг Б.1-д үзүүлэв.

Зураг Б.1 - үндсэн ойлголтуудын хоорондын хамаарал

ГОСТ Р 53114-2008

Ном зүй

(1] R 50.1.053-2005

(2]PS0.1.056-2005

Мэдээллийн технологи. Техникийн мэдээллийн аюулгүй байдлын салбарын үндсэн нэр томьёо, тодорхойлолтууд Техникийн мэдээллийн аюулгүй байдал. Үндсэн нэр томъёо, тодорхойлолт

Техникийн зохицуулалтын тухай

Мэдээлэл, мэдээллийн технологи, мэдээллийн хамгаалалтын тухай

Хувийн мэдээллийн тухай

ОХУ-ын мэдээллийн аюулгүй байдлын сургаал

UDC 351.864.1:004:006.354 OKS 35.020 LLP

Түлхүүр үгс: мэдээлэл, мэдээллийн аюулгүй байдал, байгууллагын мэдээллийн аюулгүй байдал, мэдээллийн аюулгүй байдалд заналхийлж буй аюул, мэдээллийн аюулгүй байдлын шалгуур

Редактор В.Н. Cops soya Техникийн редактор В.Н. Прусакова Залруулагч В.Е. Несторово Компьютерийн програм хангамж I.A. НапейкиноО

2009.11.06-ны өдөр ажилд зуучилна. 2009.01.12 гарын үсэг зурсан тамга. Формат 60"84 Офсет цаас. Arial үсгийн хэлбэр. Офсет хэвлэх. Усп. зуух л. 2.32. Уч.-ред. л. 1.90. Эргэлт 373 »kz. Зак. 626

FSUE "СТАНДАРТИНФОРМ*. 123995 Москва. Анар пор.. 4. info@goslmlo gi

Компьютер дээр FSUE "STANDARTINFORM" дээр бичсэн.

FSUE "STANDARTINFORM*-ийн салбар дээр хэвлэгдсэн - төрөл. "Москвагийн принтер". 105062 Москва. Лялин эгнээ.. 6.

ГОСТ 22731-77 Мэдээлэл дамжуулах систем, хагас дуплекс мэдээлэл солилцох үндсэн горим дахь өгөгдлийн холболтын хяналтын журам.
ГОСТ 26525-85 Мэдээлэл боловсруулах систем. Хэрэглээний хэмжүүр
ГОСТ 27771-88 Өгөгдлийн терминалын төхөөрөмж ба өгөгдлийн сувгийг зогсоох төхөөрөмжийн хоорондох интерфейс дэх процедурын шинж чанарууд. Ерөнхий шаардлага ба стандартууд
ГОСТ 28082-89 Мэдээлэл боловсруулах систем. Цуваа өгөгдөл дамжуулахад гарсан алдааг илрүүлэх аргууд
ГОСТ 28270-89 Мэдээлэл боловсруулах систем. Мэдээллийн солилцооны мэдээллийн файлын тодорхойлолт
ГОСТ Р 43.2.11-2014 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Операторын хэл. Мессежийн формат дахь текст мэдээллийг бүтэцтэй танилцуулах
ГОСТ Р 43.2.8-2014 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Операторын хэл. Техникийн үйл ажиллагаанд зориулсан мессежийн формат
ГОСТ Р 43.4.1-2011 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. "Хүн-мэдээллийн" систем
ГОСТ Р 53633.10-2015 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Өргөтгөсөн харилцаа холбооны байгууллагын үйл ажиллагааны хүрээ (eTOM). Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Байгууллагын удирдлага. Байгууллагын эрсдэлийн удирдлага
ГОСТ Р 53633.11-2015 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Өргөтгөсөн харилцаа холбооны байгууллагын үйл ажиллагааны диаграмм (eTOM) задаргаа ба үйл явцын тодорхойлолт. eTOM 2-р түвшний процессууд. Байгууллагын удирдлага. Байгууллагын гүйцэтгэлийн менежмент
ГОСТ Р 53633.4-2015 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Өргөтгөсөн харилцаа холбооны байгууллагын үйл ажиллагааны газрын зураг (eTOM). Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Үндсэн үйл ажиллагаа. Үйлчилгээний удирдлага, үйл ажиллагаа
ГОСТ Р 53633.7-2015 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Өргөтгөсөн харилцаа холбооны байгууллагын үйл ажиллагааны газрын зураг (eTOM). Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Стратеги, дэд бүтэц, бүтээгдэхүүн. Хөгжил ба нөөцийн менежмент
ГОСТ Р 53633.9-2015 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Өргөтгөсөн харилцаа холбооны байгууллагын үйл ажиллагааны хүрээ (eTOM). Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Байгууллагын удирдлага. Байгууллагын стратеги, хөгжлийн төлөвлөлт
ГОСТ Р 55767-2013 Мэдээллийн технологи. Европын МХХТ-ийн чадамжийн хүрээ 2.0. 1-р хэсэг. Аж үйлдвэрийн бүх салбарын МХХТ-ийн мэргэжилтнүүдэд зориулсан Европын нийтлэг чадамжийн хүрээ
ГОСТ Р 55768-2013 Мэдээллийн технологи. Нээлттэй сүлжээний системийн загвар. Үндсэн заалтууд
ГОСТ Р 56093-2014 Мэдээллийн хамгаалалт. Аюулгүй дизайн дахь автоматжуулсан системүүд. Цахилгаан соронзон нөлөөллийг зориудаар илрүүлэх хэрэгсэл. Ерөнхий шаардлага
ГОСТ Р 56115-2014 Мэдээллийн хамгаалалт. Аюулгүй дизайн дахь автоматжуулсан системүүд. Санаатайгаар цахилгаан соронзон нөлөөллөөс хамгаалах хэрэгсэл. Ерөнхий шаардлага
ГОСТ Р 56545-2015 Мэдээллийн хамгаалалт. Мэдээллийн системийн эмзэг байдал. Эмзэг байдлыг тайлбарлах дүрэм
ГОСТ Р 56546-2015 Мэдээллийн хамгаалалт. Мэдээллийн системийн эмзэг байдал. Мэдээллийн системийн эмзэг байдлын ангилал
ГОСТ IEC 60950-21-2013 Мэдээллийн технологийн тоног төхөөрөмж. Аюулгүй байдлын шаардлага. 21-р хэсэг. Алсын цахилгаан хангамж
ГОСТ IEC 60950-22-2013 Мэдээллийн технологийн тоног төхөөрөмж. Аюулгүй байдлын шаардлага. 22-р хэсэг. Гадаа суурилуулах зориулалттай тоног төхөөрөмж
ГОСТ Р 51583-2014 Мэдээллийн хамгаалалт. Аюулгүй загварт автоматжуулсан системийг бий болгох журам. Ерөнхий заалтууд
ГОСТ Р 55766-2013 Мэдээллийн технологи. Европын МХХТ-ийн чадамжийн хүрээ 2.0. 3-р хэсэг. Цахим CF-ийг бий болгох - арга зүйн үндэслэл, шинжээчийн туршлагыг хослуулах
ГОСТ Р 55248-2012 Цахилгааны аюулгүй байдал. Мэдээлэл, харилцаа холбооны технологийн сүлжээнд холбогдсон тоног төхөөрөмжийн интерфейсийн ангилал
ГОСТ Р 43.0.11-2014 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Техникийн үйл ажиллагааны мэдээллийн сан
ГОСТ Р 56174-2014 Мэдээллийн технологи. Нээлттэй сүлжээний орчны үйлчилгээний архитектур. Нэр томьёо ба тодорхойлолт
ГОСТ IEC 61606-4-2014 Аудио болон аудиовизуал төхөөрөмж. Дижитал аудио төхөөрөмжийн бүрэлдэхүүн хэсгүүд. Дууны шинж чанарыг хэмжих үндсэн аргууд. 4-р хэсэг. Хувийн компьютер
ГОСТ Р 43.2.5-2011 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Операторын хэл. Дүрэм
ГОСТ Р 53633.5-2012 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Өргөтгөсөн харилцаа холбооны байгууллагын үйл ажиллагааны хүрээ (eTOM). Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Стратеги, дэд бүтэц, бүтээгдэхүүн. Маркетинг ба бүтээгдэхүүн санал болгох менежмент
ГОСТ Р 53633.6-2012 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Өргөтгөсөн харилцаа холбооны байгууллагын үйл ажиллагааны газрын зураг (eTOM). Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Стратеги, дэд бүтэц, бүтээгдэхүүн. Үйлчилгээний хөгжил, менежмент
ГОСТ Р 53633.8-2012 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Өргөтгөсөн харилцаа холбооны байгууллагын үйл ажиллагааны хүрээ (eTOM). Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Стратеги, дэд бүтэц, бүтээгдэхүүн. Нийлүүлэлтийн сүлжээг хөгжүүлэх, удирдах
ГОСТ Р 43.0.7-2011 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Эрлийз оюун ухаанд суурилсан хүн-мэдээллийн харилцан үйлчлэл. Ерөнхий заалтууд
ГОСТ Р 43.2.6-2011 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Операторын хэл. Морфологи
ГОСТ Р 53633.14-2016 Мэдээллийн технологи. Харилцаа холбооны удирдлагын сүлжээ нь харилцаа холбооны байгууллагын үйл ажиллагааны өргөтгөсөн хүрээ (eTOM) юм. Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Байгууллагын удирдлага. Оролцогч талууд ба гадаад харилцааны удирдлага
ГОСТ Р 56938-2016 Мэдээллийн хамгаалалт. Виртуалчлалын технологийг ашиглах үед мэдээллийн хамгаалалт. Ерөнхий заалтууд
ГОСТ Р 56939-2016 Мэдээллийн хамгаалалт. Аюулгүй програм хангамж хөгжүүлэлт. Ерөнхий шаардлага
ГОСТ R ISO/IEC 17963-2016 Удирдлагын вэб үйлчилгээний тодорхойлолт (WS-менежмент)
ГОСТ Р 43.0.6-2011 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Угаасаа оюун ухаантай хүн-мэдээллийн харилцан үйлчлэл. Ерөнхий заалтууд
ГОСТ R 54817-2011 Лааны дөлөөр санамсаргүйгээр үүссэн аудио, видео, мэдээллийн технологи, харилцаа холбооны хэрэгслийг асаах.
ГОСТ Р IEC 60950-23-2011 Мэдээллийн технологийн тоног төхөөрөмж. Аюулгүй байдлын шаардлага. Хэсэг 23. Их хэмжээний өгөгдөл хадгалах төхөөрөмж
ГОСТ Р IEC 62018-2011 Мэдээллийн технологийн тоног төхөөрөмжийн эрчим хүчний хэрэглээ. Хэмжилтийн аргууд
ГОСТ R 53538-2009 Өргөн зурвасын хандалтын хэлхээнд зориулсан зэс дамжуулагчтай олон хос кабель. Техникийн ерөнхий шаардлага
ГОСТ Р 53633.0-2009 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Харилцаа холбооны байгууллагын үйл ажиллагааны өргөтгөсөн схем (eTOM). Бизнесийн үйл явцын ерөнхий бүтэц
ГОСТ Р 53633.1-2009 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Харилцаа холбооны байгууллагын үйл ажиллагааны өргөтгөсөн схем (eTOM). Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Үндсэн үйл ажиллагаа. Нийлүүлэгч болон түншүүдтэй харилцах харилцааг зохицуулах
ГОСТ Р 53633.2-2009 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Харилцаа холбооны байгууллагын үйл ажиллагааны өргөтгөсөн схем (eTOM). Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Үндсэн үйл ажиллагаа. Нөөцийн менежмент ба үйл ажиллагаа
ГОСТ Р 53633.3-2009 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Харилцаа холбооны байгууллагын үйл ажиллагааны өргөтгөсөн схем (eTOM). Үйл явцын задрал ба тодорхойлолт. eTOM 2-р түвшний процессууд. Үндсэн үйл ажиллагаа. Үйлчлүүлэгчийн харилцааны менежмент
ГОСТ Р ISO/IEC 20000-2-2010 Мэдээллийн технологи. Үйлчилгээний менежмент. 2-р хэсэг: Үйл ажиллагааны дүрэм
ГОСТ Р 43.0.3-2009 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Техникийн үйл ажиллагаанд үдийн технологи. Ерөнхий заалтууд
ГОСТ Р 43.0.4-2009 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Техникийн үйл ажиллагааны мэдээлэл. Ерөнхий заалтууд
ГОСТ Р 43.0.5-2009 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Техникийн үйл ажиллагаанд мэдээлэл солилцох үйл явц. Ерөнхий заалтууд
ГОСТ Р 43.2.1-2007 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Операторын хэл. Ерөнхий заалтууд
ГОСТ Р 43.2.2-2009 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Операторын хэл. Ашиглалтын ерөнхий заалтууд
ГОСТ Р 43.2.3-2009 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Операторын хэл. Шилдэг бүрэлдэхүүн хэсгүүдийн төрөл ба шинж чанарууд
ГОСТ Р 43.2.4-2009 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Операторын хэл. Тэмдгийн бүрэлдэхүүн хэсгүүдийн синтаксик
ГОСТ Р 52919-2008 Мэдээллийн технологи. Бие махбодийн хамгаалалтын арга, хэрэгсэл. Гал тэсвэрлэх чадварын ангилал ба турших арга. Мэдээллийн өрөө, контейнер
ГОСТ Р 53114-2008 Мэдээллийн хамгаалалт. Байгууллага дахь мэдээллийн аюулгүй байдлыг хангах. Үндсэн нэр томъёо, тодорхойлолт
ГОСТ Р 53245-2008 Мэдээллийн технологи. Кабелийн бүтэцтэй систем. Системийн үндсэн бүрэлдэхүүн хэсгүүдийг суурилуулах. Туршилтын аргууд
ГОСТ Р 53246-2008 Мэдээллийн технологи. Кабелийн бүтэцтэй систем. Системийн үндсэн бүрэлдэхүүн хэсгүүдийн дизайн. Ерөнхий шаардлага
ГОСТ R IEC 60990-2010 Мэдрэгчийн гүйдэл ба хамгаалалтын дамжуулагчийн гүйдлийг хэмжих арга
ГОСТ 33707-2016 Мэдээллийн технологи. Толь бичиг
ГОСТ Р 57392-2017 Мэдээллийн технологи. Үйлчилгээний менежмент. 10-р хэсэг. Үндсэн ойлголт, нэр томъёо
ГОСТ Р 43.0.13-2017 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Мэргэжилтнүүдийн сургалтыг чиглүүлэх
ГОСТ Р 43.0.8-2017 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Хиймэл оюун ухаантай хүн-мэдээллийн харилцан үйлчлэл. Ерөнхий заалтууд
ГОСТ Р 43.0.9-2017 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Мэдээллийн нөөц
ГОСТ Р 43.2.7-2017 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Операторын хэл. Синтакс
ГОСТ Р ISO/IEC 38500-2017 Мэдээллийн технологи. Байгууллага дахь стратегийн мэдээллийн технологийн менежмент
ГОСТ Р 43.0.10-2017 Тоног төхөөрөмж, операторын үйл ажиллагааны мэдээллийн дэмжлэг. Техникийн мэдээллийг бий болгоход мэдээллийн объект, объектод чиглэсэн дизайн
ГОСТ Р 53633.21-2017 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Харилцаа холбооны байгууллагын үйл ажиллагааны өргөтгөсөн схем (eTOM). Үйл явцын задрал ба тодорхойлолт. Үндсэн үйл ажиллагаа. Үйлчилгээний удирдлага, үйл ажиллагаа. eTOM 3-р түвшний процессууд. Процесс 1.1.2.1 - SM&O процессуудын дэмжлэг ба хүртээмж
ГОСТ Р 57875-2017 Харилцаа холбоо. Харилцаа холбооны төвүүдийн холболтын схем ба газардуулга
ГОСТ Р 53633.22-2017 Мэдээллийн технологи. Харилцаа холбооны хяналтын сүлжээ. Харилцаа холбооны байгууллагын үйл ажиллагааны өргөтгөсөн схем (eTOM). Үйл явцын задрал ба тодорхойлолт. Үндсэн үйл ажиллагаа. Үйлчилгээний удирдлага, үйл ажиллагаа. eTOM 3-р түвшний процессууд. Процесс 1.1.2.2 - Үйлчилгээг тохируулах, идэвхжүүлэх

Олон улсын стандарт

BS 7799-1:2005 - Британийн стандарт BS 7799 эхний хэсэг. BS 7799 1-р хэсэг - Мэдээллийн аюулгүй байдлын удирдлагын дадлагын дүрэм нь бүтээхэд шаардлагатай 127 хяналтыг тайлбарладаг. мэдээллийн аюулгүй байдлын удирдлагын системЭнэ чиглэлээр дэлхийн туршлага (шилдэг туршлага) дээр үндэслэн тодорхойлсон байгууллагын (ISMS). Энэхүү баримт бичиг нь ISMS үүсгэх практик гарын авлага болно
BS 7799-2:2005 - Британийн стандарт BS 7799 нь стандартын хоёр дахь хэсэг юм. BS 7799 2-р хэсэг - Мэдээллийн аюулгүй байдлын менежмент - мэдээллийн аюулгүй байдлын удирдлагын системд зориулсан тодорхойлолт нь ISMS-ийн тодорхойлолтыг тодорхойлдог. Стандартын хоёр дахь хэсгийг байгууллагын ISMS-ийн албан ёсны баталгаажуулалтын журмын явцад шалгуур болгон ашигладаг.
BS 7799-3:2006 - Британийн стандарт BS 7799 стандартын гурав дахь хэсэг. Мэдээллийн аюулгүй байдлын эрсдлийн удирдлагын шинэ стандарт
ISO/IEC 17799:2005 - "Мэдээллийн технологи - Хамгаалалтын технологи - Мэдээллийн аюулгүй байдлын удирдлагын практик". BS 7799-1:2005 стандартад үндэслэсэн олон улсын стандарт.
ISO/IEC 27000 - Тайлбар толь ба тодорхойлолт.
ISO/IEC 27001:2005 - "Мэдээллийн технологи - Хамгаалалтын техник - Мэдээллийн аюулгүй байдлын удирдлагын систем - Шаардлага". BS 7799-2:2005 стандартад үндэслэсэн олон улсын стандарт.
ISO/IEC 27002 - Одоо: ISO/IEC 17799:2005. "Мэдээллийн технологи - Хамгаалалтын технологи - Мэдээллийн аюулгүй байдлын удирдлагын практик дүрэм". Гарсан огноо: 2007 он.
ISO/IEC 27005 - Одоо: BS 7799-3:2006 - Мэдээллийн аюулгүй байдлын эрсдлийн удирдлагын заавар.
Германы мэдээллийн аюулгүй байдлын агентлаг. Мэдээллийн технологийн суурь хамгаалалтын гарын авлага - Стандарт аюулгүй байдлын хамгаалалтууд.

ОХУ-ын улсын (үндэсний) стандартууд

ГОСТ R 50922-2006 - Мэдээллийн хамгаалалт. Үндсэн нэр томъёо, тодорхойлолт.
R 50.1.053-2005 - Мэдээллийн технологи. Техникийн мэдээллийн аюулгүй байдлын салбарын үндсэн нэр томъёо, тодорхойлолтууд.
ГОСТ R 51188-98 - Мэдээллийн хамгаалалт. Компьютерийн вирусыг шалгах програм хангамж. Загварын гарын авлага.
ГОСТ R 51275-2006 - Мэдээллийн хамгаалалт. Мэдээллийн объект. Мэдээлэлд нөлөөлөх хүчин зүйлүүд. Ерөнхий заалтууд.
ГОСТ Р ISO/IEC 15408-1-2008 - Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн технологийн аюулгүй байдлыг үнэлэх шалгуур. 1-р хэсэг. Танилцуулга ба ерөнхий загвар.
ГОСТ Р ISO/IEC 15408-2-2008 - Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн технологийн аюулгүй байдлыг үнэлэх шалгуур. 2-р хэсэг. Үйл ажиллагааны аюулгүй байдлын шаардлага.
ГОСТ Р ISO/IEC 15408-3-2008 - Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн технологийн аюулгүй байдлыг үнэлэх шалгуур. 3-р хэсэг. Аюулгүй байдлын баталгааны шаардлага.
ГОСТ Р ISO/IEC 15408 - "Мэдээллийн технологийн аюулгүй байдлыг үнэлэх ерөнхий шалгуурууд" - мэдээллийн бүтээгдэхүүн, системийн аюулгүй байдлыг үнэлэх арга хэрэгсэл, аргыг тодорхойлсон стандарт; Энэ нь аюулгүй байдлын бие даасан үнэлгээний үр дүнг харьцуулж болох шаардлагуудын жагсаалтыг агуулдаг бөгөөд энэ нь хэрэглэгчдэд бүтээгдэхүүний аюулгүй байдлын талаар шийдвэр гаргах боломжийг олгодог. "Ерөнхий шалгуур"-ын хэрэглээний хамрах хүрээ нь мэдээллийг зөвшөөрөлгүй нэвтрэх, өөрчлөх, алдагдахаас хамгаалах, техник хангамж, программ хангамжаар хэрэгжүүлсэн хамгаалах бусад аргууд юм.
ГОСТ Р ISO/IEC 17799 - “Мэдээллийн технологи. Мэдээллийн аюулгүй байдлын удирдлагын практик дүрэм.” ISO/IEC 17799:2005 нэмэлтээр олон улсын стандартыг шууд хэрэглэх.
ГОСТ Р ISO/IEC 27001 - “Мэдээллийн технологи. Аюулгүй байдлын аргууд. Мэдээллийн аюулгүй байдлын удирдлагын систем. Шаардлага". Олон улсын стандартын шууд хэрэглээ нь ISO/IEC 27001:2005 юм.
ГОСТ Р 51898-2002: Аюулгүй байдлын талууд. Стандартад оруулах дүрэм.

Удирдах бичиг баримтууд

RD SVT. NSD-ээс хамгаалах. NSD-ээс мэдээлэл хүртэлх аюулгүй байдлын үзүүлэлтүүд - мэдээллийн системийн аюулгүй байдлын үзүүлэлтүүдийн тодорхойлолт, аюулгүй байдлын ангилалд тавигдах шаардлагуудыг багтаасан болно.

бас үзнэ үү

Зарлагдаагүй чадварууд

Гадаад холбоосууд

Мэдээллийн аюулгүй байдлын удирдлагын олон улсын стандарт

Викимедиа сан. 2010 он.

Мэдээллийн аюулгүй байдлыг хангахын ач холбогдлыг хэт үнэлэхэд хэцүү байдаг, учир нь өгөгдөл хадгалах, дамжуулах хэрэгцээ нь аливаа бизнес эрхлэхийн салшгүй хэсэг юм.

Мэдээллийн аюулгүй байдлын янз бүрийн аргууд нь түүнийг хадгалах хэлбэрээс хамаардаг боловч стандартчилал нь үзүүлж буй үйлчилгээг үнэлэх чанарын чухал хүчин зүйл учраас энэ чиглэлийг системчлэх, оновчтой болгохын тулд мэдээллийн аюулгүй байдлын стандартыг бий болгох шаардлагатай байна.

Мэдээллийн аюулгүй байдлын аливаа зохицуулалт нь хяналт, шалгалтыг шаарддаг бөгөөд үүнийг олон улсын болон улсын стандартыг харгалзахгүйгээр зөвхөн ганцаарчилсан үнэлгээгээр хийх боломжгүй юм.

Мэдээллийн аюулгүй байдлын стандартыг бүрдүүлэх нь түүний чиг үүрэг, хил хязгаарыг тодорхой тодорхойлсоны дараа үүсдэг. Мэдээллийн аюулгүй байдал нь мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдлыг хангах явдал юм.

Мэдээллийн аюулгүй байдлын төлөв байдлыг тодорхойлохын тулд чанарын үнэлгээг ашиглах нь хамгийн тохиромжтой, учир нь аюулгүй байдлын түвшин эсвэл эмзэг байдлын түвшинг хувиар илэрхийлэх боломжтой боловч энэ нь бүрэн, бодитой дүр зургийг өгдөггүй.

Мэдээллийн системийн аюулгүй байдлыг үнэлэх, шалгахын тулд та зохицуулалтын дэмжлэгийг агуулсан хэд хэдэн заавар, зөвлөмжийг ашиглаж болно.

Төрийн болон олон улсын мэдээллийн аюулгүй байдлын стандарт

Аюулгүй байдлын төлөв байдалд хяналт-шинжилгээ, үнэлгээ хийх нь тэдгээрийн улсын стандарт (ГОСТ, ISO) болон олон улсын стандарт (Iso, мэдээллийн технологийн аюулгүй байдлын нийтлэг шалгуур) -тай нийцэж байгаа эсэхийг шалгах замаар хийгддэг.

Олон улсын стандартчиллын байгууллагаас (ISO) боловсруулсан олон улсын стандартууд нь мэдээллийн аюулгүй байдлын систем, тоног төхөөрөмжийг хэрэгжүүлэх арга туршлага, зөвлөмжийн багц юм.

ISO 27000 нь 15-аас дээш заалттай, дараалсан дугаарлагдсан үнэлгээний стандартуудын нэг юм.

ISO 27000 стандартын үнэлгээний шалгуурын дагуу мэдээллийн аюулгүй байдал нь түүний бүрэн бүтэн байдал, нууцлал, хүртээмжтэй байхаас гадна үнэн зөв, найдвартай байдал, алдааг тэсвэрлэх чадвар, танигдах чадвар юм. Уламжлал ёсоор энэ цуврал стандартыг 4 хэсэгт хувааж болно.

нэр томъёоны тойм, танилцуулга, аюулгүй байдлын салбарт ашигласан нэр томъёоны тайлбар;
мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд тавигдах шаардлага, системийг удирдах арга, хэрэгслийн нарийвчилсан тайлбар. Энэ бүлгийн гол стандарт нь;
аудитын зөвлөмж, аюулгүй байдлын хяналтын удирдамж;
мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог нэвтрүүлэх, хөгжүүлэх, сайжруулах туршлагыг санал болгодог стандартууд.

Төрийн мэдээллийн аюулгүй байдлын стандартууд нь 30 гаруй заалт (ГОСТ) -аас бүрдсэн хэд хэдэн журам, баримт бичгийг агуулдаг.

Төрөл бүрийн стандартууд нь аюулгүй байдлын үнэлгээний арга зүйн заавар, удирдлагын тогтолцоонд тавигдах шаардлагуудын жагсаалтыг агуулсан ГОСТ R ISO/IEC 15408 зэрэг үнэлгээний ерөнхий шалгуурыг тогтооход чиглэгддэггүй. Эдгээр нь тодорхой байхаас гадна практик удирдамж агуулсан байж болно.

Агуулахын зөв зохион байгуулалт, түүний үйл ажиллагаанд тогтмол хяналт тавих нь өмчийн хэлбэрээс үл хамааран аливаа аж ахуйн нэгжийн санхүүгийн сайн сайхан байдалд сөргөөр нөлөөлж буй бараа материал, эд хөрөнгийн хулгайн гэмт хэргийг арилгахад тусална.
Агуулах үед агуулахын автоматжуулалтын систем нь дотоод туршилт, мэдээлэл бөглөх гэсэн хоёр үе шатыг дамждаг. Ийм бэлтгэлийн дараа систем бүрэн ажиллаж эхэлнэ. Автоматжуулалтын талаар эндээс уншина уу.

Техникийн харилцан хамаарал, багц нь ерөнхий заалтуудыг боловсруулж, олон улсын болон улсын стандартчиллыг нэгтгэхэд хүргэдэг. Тиймээс ОХУ-ын ГОСТ нь олон улсын ISO стандартын нэмэлт, лавлагааг агуулдаг.

Ийм харилцан үйлчлэл нь хяналт-шинжилгээ, үнэлгээний нэгдсэн системийг бий болгоход тусалдаг бөгөөд энэ нь эргээд эдгээр заалтыг практикт хэрэгжүүлэх, ажлын үр дүнг бодитойгоор үнэлэх, ерөнхийдөө сайжруулах үр ашгийг эрс нэмэгдүүлдэг.

Үндэсний болон олон улсын стандартчиллын тогтолцооны харьцуулалт, дүн шинжилгээ

Мэдээллийн аюулгүй байдлыг хангах, хянах Европын стандартчиллын стандартуудын тоо ОХУ-аас тогтоосон хууль эрх зүйн стандартаас хамаагүй давж байна.

Үндэсний төрийн стандартад мэдээллийг хакердах, задрах, алдах аюулаас хамгаалах тухай заалтууд давамгайлж байна. Гадаадын аюулгүй байдлын системүүд нь өгөгдөлд нэвтрэх, баталгаажуулах стандарт боловсруулах чиглэлээр мэргэшсэн.

Системийн хяналт, аудитыг хэрэгжүүлэхтэй холбоотой заалтуудад ч ялгаа бий. Нэмж дурдахад Европын стандартчиллын мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хэрэглэх, хэрэгжүүлэх практик нь амьдралын бараг бүх салбарт илэрдэг бөгөөд ОХУ-ын стандартууд нь материаллаг сайн сайхан байдлыг хадгалахад чиглэгддэг.

Гэсэн хэдий ч байнга шинэчлэгдэж байдаг улсын стандартууд нь мэдээллийн аюулгүй байдлын чадварлаг удирдлагын тогтолцоог бий болгоход шаардлагатай хамгийн бага шаардлагуудыг агуулдаг.

Мэдээлэл дамжуулах мэдээллийн аюулгүй байдлын стандартууд

Бизнес эрхлэх нь интернетээр дамжуулан өгөгдөл хадгалах, солилцох, дамжуулах явдал юм. Орчин үеийн ертөнцөд валютын гүйлгээ, арилжааны үйл ажиллагаа, мөнгө шилжүүлэх нь ихэвчлэн онлайнаар явагддаг бөгөөд зөвхөн чадварлаг, мэргэжлийн арга барилыг хэрэглэснээр энэ үйл ажиллагааны мэдээллийн аюулгүй байдлыг хангах боломжтой юм.

Интернетэд өгөгдөл хадгалах, дамжуулахыг баталгаажуулдаг олон стандарт, вирусын эсрэг сайн мэддэг програмууд, санхүүгийн гүйлгээний тусгай протоколууд болон бусад олон стандартууд байдаг.

Мэдээллийн технологи, системийн хөгжлийн хурд нь маш их бөгөөд энэ нь протокол, тэдгээрийг ашиглах нэгдсэн стандартыг бий болгохоос хамаагүй илүү юм.

Аюулгүй мэдээлэл дамжуулах түгээмэл протоколуудын нэг бол Америкийн мэргэжилтнүүдийн боловсруулсан SSL (Secure Socket Layer) юм. Энэ нь криптограф ашиглан өгөгдлийг хамгаалах боломжийг олгодог.

Энэ протоколын давуу тал нь жишээлбэл, өгөгдөл солилцохоос өмнө баталгаажуулах, баталгаажуулах боломж юм. Гэсэн хэдий ч, эдгээр стандартыг ашиглах нь бизнес эрхлэгчдэд заавал байх албагүй тул өгөгдөл дамжуулахдаа ийм системийг ашиглах нь нэлээд зөвлөдөг.

ХХК нээхийн тулд аж ахуйн нэгжийн дүрэм хэрэгтэй. ОХУ-ын хууль тогтоомжийн дагуу боловсруулж буй журам. Та өөрөө бичиж болно, стандарт дээжийг гарын авлага болгон авч болно, эсвэл үүнийг бичих мэргэжилтнүүдтэй холбоо барьж болно.
Хувиараа бизнес эрхлэхээр төлөвлөж буй бизнес эрхлэгч нь өргөдлийг бөглөхдөө OKVED-ийн дагуу эдийн засгийн үйл ажиллагааны кодыг зааж өгөх ёстой. Дэлгэрэнгүйг эндээс үзнэ үү.

Аюулгүй гүйлгээ, үйл ажиллагаа явуулахын тулд SET (Security Electronic Transaction) дамжуулах протоколыг боловсруулсан бөгөөд энэ нь арилжааны болон арилжааны үйл ажиллагаа явуулахад эрсдэлийг багасгах боломжийг олгодог. Энэхүү протокол нь төлбөрийн системийн аюулгүй байдлын механизмыг ашиглах боломжийг олгодог Visa болон Master Card төлбөрийн системийн стандарт юм.

Интернетийн нөөцийг стандартчилдаг хороод нь сайн дурын үндсэн дээр ажилладаг тул тэдний явуулж буй үйл ажиллагаа нь хууль ёсны бөгөөд заавал байх албагүй.

Гэсэн хэдий ч орчин үеийн ертөнцөд интернет дэх залилан нь дэлхий нийтийн тулгамдсан асуудлын нэг гэж хүлээн зөвшөөрөгдсөн тул тусгай технологи, стандартчилалгүйгээр мэдээллийн аюулгүй байдлыг хангах боломжгүй юм.

Аюулгүй байдлын удирдлагын систем - Ашиглах заавар бүхий техникийн үзүүлэлт" (Systems - ашиглах заавар бүхий техникийн үзүүлэлтүүд). Үүний үндсэн дээр ISO/IEC 27001:2005 "Мэдээллийн технологи" стандартыг боловсруулсан. Хамгаалалтын техник. Мэдээллийн аюулгүй байдлын удирдлагын систем. Шаардлагууд", үүнийг дагаж мөрдөхийн тулд баталгаажуулалт хийх боломжтой.

ОХУ-д ГОСТ R ISO/IEC 17799-2005 "Мэдээллийн технологи" стандартууд одоо мөрдөгдөж байна мэдээллийн аюулгүй байдлын менежмент"(ISO/IEC 17799:2000 стандартын жинхэнэ орчуулга) ба ГОСТ Р ISO/IEC 27001-2006 "Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн аюулгүй байдлын удирдлагын систем. Шаардлагууд" (ISO/IEC 27001:2005-ийн орчуулга). Өөр өөр хувилбарууд болон орчуулгын онцлогтой холбоотой зарим дотоод зөрүүтэй хэдий ч стандарт байгаа нь системийг авчрах боломжийг бидэнд олгодог. мэдээллийн аюулгүй байдлын менежментшаардлагад нийцүүлэн, шаардлагатай бол баталгаажуулна.

ГОСТ Р ISO/IEC 17799:2005 "Мэдээллийн технологи. Мэдээллийн аюулгүй байдлын удирдлагын практик дүрэм"

Одоо стандартын агуулгыг авч үзье. Танилцуулгад “Мэдээлэл, түүнийг дэмжих үйл явц, мэдээллийн систем, сүлжээний дэд бүтэц нь байгууллагын зайлшгүй чухал хөрөнгө бөгөөд мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмж нь өрсөлдөх чадвар, хөрвөх чадвар, ашигт ажиллагаа, хууль тогтоомжийг дагаж мөрдөхөд ихээхэн хувь нэмэр оруулдаг. бизнесийн нэр хүндИймээс энэхүү стандарт нь мэдээллийн аюулгүй байдлын асуудлыг, тэр дундаа эдийн засгийн үр нөлөөний үүднээс авч үздэг гэж хэлж болно.

Мэдээллийн аюулгүй байдлын шаардлагыг боловсруулахдаа гурван бүлэг хүчин зүйлийг харгалзан үзэх шаардлагатай. Энэ:

байгууллагын эрсдлийн үнэлгээ. Эрсдэлийн үнэлгээний тусламжтайгаар байгууллагын өмчид учирч болзошгүй аюул заналыг тодорхойлж, эмзэг байдлын үнэлгээхолбогдох хөрөнгө, аюул заналхийлэх магадлал, түүнчлэн болзошгүй үр дагаврын үнэлгээ;
байгууллага, түүний худалдааны түнш, гэрээлэгч, үйлчилгээ үзүүлэгчээс заавал биелүүлэх ёстой хууль эрх зүй, хууль тогтоомж, зохицуулалтын болон гэрээний шаардлага;
мэдээлэл боловсруулахтай холбоотой байгууллагаас боловсруулсан зарчим, зорилго, шаардлагын тодорхой багц.

Шаардлагуудыг тодорхойлсны дараа эрсдэлийг хүлээн зөвшөөрөгдөх хэмжээнд хүртэл бууруулах арга хэмжээг сонгох, хэрэгжүүлэх үе шат эхэлнэ. Үйл явдлын сонголт мэдээллийн аюулгүй байдлын менежменттэдгээрийг хэрэгжүүлэх зардлын харьцаа, аюулгүй байдлын зөрчлийн үед эрсдэл, болзошгүй алдагдлыг бууруулах үр нөлөөг харгалзан үзэх ёстой. Мөнгөн дүнгээр илэрхийлэх боломжгүй хүчин зүйл, тухайлбал нэр хүндээ алдах зэрэг хүчин зүйлсийг мөн анхаарч үзэх хэрэгтэй. Үйл ажиллагааны боломжит жагсаалтыг стандартад өгсөн боловч байгууллагын хэрэгцээ шаардлагад үндэслэн бие даан нэмж, бүрдүүлэх боломжтой гэдгийг тэмдэглэсэн.

Стандартын хэсгүүд болон тэдгээрт санал болгож буй мэдээллийг хамгаалах арга хэмжээг товч жагсаацгаая. Эхний бүлэг нь аюулгүй байдлын бодлоготой холбоотой. Үүнийг боловсруулж, байгууллагын удирдлагаар батлуулж, хэвлэн нийтэлж, нийт ажилчдын анхааралд хүргэхийг шаарддаг. Энэ нь байгууллагын мэдээллийн нөөцтэй ажиллах журам, ажилчдын үүрэг, хариуцлагыг тодорхойлох ёстой. Системийн өнөөгийн байдал, тодорхойлсон эрсдэлийг тусгахын тулд бодлогыг үе үе хянаж байдаг.

Дараагийн хэсэгт мэдээллийн аюулгүй байдалтай холбоотой зохион байгуулалтын асуудлыг авч үзнэ. Стандартад аюулгүй байдлын бодлогыг батлах, хариуцлагатай хүмүүсийг томилох, удирдах зөвлөлийг (компанийн дээд удирдлагын оролцоотойгоор) байгуулахыг зөвлөж байна. үүрэг хариуцлагын хуваарилалт-д зориулсан арга хэмжээний хэрэгжилтийг зохицуулах мэдээллийн аюулгүй байдлын менежментБайгууллагад. Байгууллагад мэдээлэл боловсруулах хэрэгслийг (шинэ програм хангамж, техник хангамжийг оруулаад) ашиглах зөвшөөрөл авах үйл явцыг аюулгүй байдлын асуудалд хүргэхгүйн тулд мөн тодорхойлсон байх ёстой. Мэдээллийн аюулгүй байдлын асуудлаар бусад байгууллагатай харилцах, "гадны" мэргэжилтнүүдтэй зөвлөлдөх, мэдээллийн аюулгүй байдлыг бие даасан шалгах (аудит) хийх журмыг тодорхойлох шаардлагатай.

Гуравдагч этгээдийн мэргэжилтнүүдэд мэдээллийн системд нэвтрэх боломжийг олгохдоо аюулгүй байдлын асуудалд онцгой анхаарал хандуулах хэрэгтэй. Байгууллагын янз бүрийн нөөцөд ийм мэргэжилтнүүдийн янз бүрийн төрлийн (физик эсвэл логик, алсын зайнаас) нэвтрэхтэй холбоотой эрсдлийн үнэлгээг хийх ёстой. Хандалтыг хангах хэрэгцээ нь үндэслэлтэй байх ёстой бөгөөд гуравдагч этгээд, байгууллагатай байгуулсан гэрээнд аюулгүй байдлын бодлогыг дагаж мөрдөх шаардлагыг тусгасан байх ёстой. Мэдээлэл боловсруулах (аутсорсинг) -д гуравдагч этгээдийн байгууллагуудыг татан оролцуулах тохиолдолд мөн адил хийхийг санал болгож байна.

Стандартын дараагийн хэсэг нь ангиллын асуудалд зориулагдсан болно үндсэн хөрөнгийн менежмент. Байгууллагын мэдээллийн аюулгүй байдлыг хангахын тулд мэдээллийн бүх гол хөрөнгийг бүртгэж, хариуцах эзэмшигчдэд хуваарилах шаардлагатай. Бид бараа материалаас эхлэхийг санал болгож байна. Дараах ангиллыг жишээ болгон үзүүлэв.

мэдээллийн хөрөнгө (өгөгдлийн сан ба өгөгдлийн файл, системийн баримт бичиггэх мэт);
програм хангамжийн хөрөнгө (програм хангамжийн програм хангамж, системийн програм хангамж, хөгжүүлэлтийн хэрэгсэл, хэрэгслүүд);
биет хөрөнгө (компьютерийн төхөөрөмж, харилцаа холбооны хэрэгсэл, хадгалах хэрэгсэл, бусад техникийн хэрэгсэл, тавилга, байр);
үйлчилгээ (тооцоолох, харилцаа холбооны үйлчилгээ, үндсэн хэрэгсэл).

Дараа нь мэдээллийн тэргүүлэх ач холбогдол, хэрэгцээ, хамгаалалтын зэрэглэлийг тодорхойлохын тулд мэдээллийг ангилахыг санал болгож байна. Үүний зэрэгцээ холбогдох мэдээллийг тухайн байгууллагын хувьд хэр чухал болохыг, тухайлбал түүний бүрэн бүтэн байдал, хүртээмжтэй байдлыг хангах үүднээс үнэлж болно. Үүний дараа мэдээллийг боловсруулахдаа шошголох журмыг боловсруулж хэрэгжүүлэхийг санал болгож байна. Дараах төрлийн мэдээллийн боловсруулалтыг хангахын тулд шошгололтын журмыг ангиллын түвшин тус бүрээр тодорхойлсон байх ёстой.

хуулбарлах;
хадгалах;
шуудан, факс, цахим шуудангаар дамжуулах;
гар утас, дуут шуудан, хариулах машин зэрэг дуут дамжуулалт;
сүйрэл.

Дараагийн хэсэгт ажилтнуудтай холбоотой аюулгүй байдлын асуудлыг авч үзнэ. Энэхүү стандарт нь аюулгүй байдлын шаардлагыг дагаж мөрдөх үүрэг хариуцлагыг боловсон хүчнийг сонгон шалгаруулах үе шатанд хуваарилж, хөдөлмөрийн гэрээнд тусгаж, ажилтны ажилласан бүх хугацаанд хянадаг болохыг тогтоожээ. Тодруулбал, байнгын ажилтныг ажилд авахдаа өргөдөл гаргагчийн ирүүлсэн баримт бичгийн үнэн зөв, анкетийн бүрэн бүтэн байдал, үнэн зөв, түүнд өгсөн зөвлөмжийг шалгахыг зөвлөж байна. Ажилтнууд ямар мэдээлэл нууц, эмзэг болохыг заасан нууцлалын гэрээнд гарын үсэг зурахыг зөвлөж байна. Байгууллагын аюулгүй байдлын бодлого, журмыг зөрчсөн ажилтанд хүлээлгэх сахилгын хариуцлагыг тогтоох ёстой. Шаардлагатай бол энэ хариуцлага нь ажлаас халагдсаны дараа тодорхой хугацаанд үргэлжлэх ёстой.

Хэрэглэгчдийг сургах хэрэгтэй аюулгүй байдлын журамБоломжит эрсдлийг багасгахын тулд мэдээлэл боловсруулах хэрэгслийг зөв ашиглах. Үүнээс гадна, тухай мэдээлэх журам мэдээллийн аюулгүй байдлын зөрчил, үүнийг ажилтнуудад танилцуулах ёстой. Програм хангамжийн алдаа гарсан тохиолдолд ижил төстэй журмыг дагаж мөрдөх шаардлагатай. Ийм тохиолдлуудыг бүртгэж, дүн шинжилгээ хийж, дахин давтагдах асуудлуудыг тодорхойлох шаардлагатай.

Стандартын дараагийн бүлэгт бие махбодийн болон байгаль орчныг хамгаалах асуудлыг тусгасан болно. “Үйлчилгээний чухал буюу чухал мэдээллийг боловсруулах хэрэгсэл нь тодорхой байгууллагын тогтоосон хамгаалалтын бүсэд байх ёстой” гэж заасан байдаг. аюулгүй байдлын периметрзохих хамгаалалтын хаалт, халдлагыг хянах төхөөрөмжтэй. Эдгээр газрууд нь зөвшөөрөлгүй нэвтрэх, гэмтэх, нөлөөллөөс бие махбодийн хувьд хамгаалагдсан байх ёстой." Тусгай хамгаалалттай газар нутагт нэвтрэх хяналтыг зохион байгуулахаас гадна тэдгээрт ажил гүйцэтгэх журам, шаардлагатай бол зочдод нэвтрэх ажлыг зохион байгуулах журмыг тодорхойлох шаардлагатай. Мөн түүнчлэн Мэдээлэлд зөвшөөрөлгүй нэвтрэх эрсдлийг бууруулж, түүнийг алдах, гэмтээхээс хамгаалахын тулд тоног төхөөрөмжийн аюулгүй байдлыг хангах (байгууллагаас гадуур ашиглах гэх мэт) шаардлагатай байдаг. Аюулгүй байдлын шаардлагыг харгалзан тоног төхөөрөмжийн засвар үйлчилгээ хийх журам, мөн төхөөрөмжийг аюулгүй устгах эсвэл дахин ашиглах журмыг тодорхойлсон байх ёстой. стандарт өгөгдөл устгах функцийг ашиглахын оронд.

Цаасан баримт бичиг, хадгалах хэрэгсэл, мэдээлэл боловсруулах хэрэгсэлд зөвшөөрөлгүй нэвтрэх, гэмтэх эрсдэлийг багасгахын тулд цаасан баримт бичиг, зөөврийн хадгалах хэрэгсэлд "цэвэр ширээ" бодлого, мөн "цэвэр дэлгэц" бодлогыг хэрэгжүүлэхийг зөвлөж байна. мэдээлэл боловсруулах тоног төхөөрөмж. Байгууллагын байрнаас тоног төхөөрөмж, мэдээлэл, программ хангамжийг зөвхөн зохих зөвшөөрөлтэйгээр гаргаж болно.

Стандартын дараагийн бүлгийн гарчиг нь "Өгөгдөл дамжуулах, үйл ажиллагааны үйл ажиллагааны удирдлага" юм. Энэ нь мэдээлэл боловсруулах бүх хэрэгслийн үйл ажиллагаатай холбоотой үүрэг хариуцлага, журмыг тогтоохыг шаарддаг. Жишээлбэл, мэдээлэл боловсруулах төхөөрөмж, систем дэх тохиргооны өөрчлөлтийг хянах ёстой. Удирдлагын чиг үүрэг, тодорхой үүрэг, чиглэлийн гүйцэтгэлтэй холбоотойгоор хариуцлагыг хуваарилах зарчмыг хэрэгжүүлэх шаардлагатай байна.

Програм хангамжийн хөгжүүлэлт, туршилт, үйлдвэрлэлийн орчинг тусгаарлахыг зөвлөж байна. Програм хангамжийг боловсруулж байгаа байдлаас ашиглалтад хүлээн авсан статус руу шилжүүлэх дүрмийг тодорхойлж, баримтжуулсан байх ёстой.

Мэдээлэл боловсруулах хэрэгслийг удирдахад гуравдагч талын гүйцэтгэгчийг ашиглах үед нэмэлт эрсдэлүүд үүсдэг. Ийм эрсдэлийг урьдчилан тодорхойлж, зохих арга хэмжээг авах ёстой мэдээллийн аюулгүй байдлын менежментгүйцэтгэгчтэй тохиролцож гэрээнд тусгасан.

Шаардлагатай боловсруулалт, хадгалах хүчин чадлыг хангахын тулд одоогийн гүйцэтгэлийн шаардлагыг шинжлэх, цаашдын үйл ажиллагааг урьдчилан таамаглах шаардлагатай. Эдгээр урьдчилсан таамаглал нь шинэ функциональ болон системийн шаардлага, түүнчлэн байгууллагын мэдээллийн технологийг хөгжүүлэх одоогийн болон ирээдүйн төлөвлөгөөг харгалзан үзэх ёстой. Шинэ системийг нэвтрүүлэхэд тавигдах шаардлага, шалгуурыг тодорхой тодорхойлж, харилцан тохиролцож, баримтжуулж, туршсан байх ёстой.

Компьютерийн вирус, сүлжээний өт, трояны морь гэх мэт хортой программ хангамжийг нэвтрүүлэхээс урьдчилан сэргийлэх, илрүүлэх арга хэмжээ авах шаардлагатай. логик бөмбөг. Хортой програмаас хамгаалах нь аюулгүй байдлын шаардлагууд, системд нэвтрэх зохих хяналт, өөрчлөлтийн зөв менежментийн талаарх ойлголтод үндэслэсэн байх ёстой гэж тэмдэглэжээ.

Програм хангамж, өгөгдлийн нөөцлөлтийг багтаасан туслах ажиллагааг гүйцэтгэх журмыг тодорхойлсон байх ёстой 1 Жишээлбэл, лабораторийн №10 нь Windows Server 2008 дээр нөөцлөлтийг зохион байгуулах талаар авч үздэг.үйл явдал, алдааг бүртгэх, шаардлагатай бол техник хангамжийн байдлыг хянах. Тусдаа систем бүрийн орон тооны цомхотголын зохицуулалт нь бизнесийн тасралтгүй байдлын төлөвлөгөөний шаардлагад нийцэж байгаа эсэхийг тогтмол шалгаж байх ёстой.

Сүлжээнд байгаа мэдээллийн аюулгүй байдлыг хангах, хамгаалах дэд бүтцийг дэмжих, хөрөнгө оруулах шаардлагатай байна аюулгүй байдлын хяналтболон холбогдсон үйлчилгээг зөвшөөрөлгүй хандалтаас хамгаалах.

Төрөл бүрийн хадгалах хэрэгслийн аюулгүй байдалд онцгой анхаарал хандуулдаг: баримт бичиг, компьютерийн хадгалах хэрэгсэл (соронзон хальс, диск, кассет), оролт/гаралтын өгөгдөл, системийн баримт бичгийг гэмтлээс хамгаалах. Компьютерийн зөөврийн хадгалах хэрэгслийг ашиглах журмыг (агуулгын хяналт, хадгалах, устгах журам гэх мэт) тогтоохыг зөвлөж байна. Дээр дурьдсанчлан, хадгалах хэрэгслийг ашигласны дараа аюулгүй, найдвартай устгана.

Мэдээллийг зөвшөөрөлгүй задруулах, буруугаар ашиглахаас хамгаалахын тулд мэдээллийг боловсруулах, хадгалах журмыг тогтоох шаардлагатай. Эдгээр журмыг харгалзан боловсруулсан байх ёстой ангилалмэдээлэл, баримт бичиг, тооцоолох систем, сүлжээ, зөөврийн компьютер, хөдөлгөөнт холбоо, шуудан, дуут шуудан, ерөнхийдөө дуут холбоо, мультимедиа төхөөрөмж, факсын хэрэглээ болон бусад чухал объектууд, тухайлбал маягт, чек, тооцоо зэрэгтэй холбоотой үйлдэл хийх. Системийн баримт бичигтодорхой чухал мэдээллийг агуулж болох тул бас хамгаалагдсан байх ёстой.

Байгууллага хоорондын мэдээлэл, программ хангамж солилцох үйл явцыг хянаж, одоогийн хууль тогтоомжид нийцүүлэх ёстой. Ялангуяа дамжуулах явцад мэдээлэл тээвэрлэгчдийн аюулгүй байдлыг хангах, тодорхойлох шаардлагатай хэрэглээний бодлогоимэйл болон цахим оффисын систем. Вэб сайт дээрх мэдээлэл зэрэг цахим хэлбэрээр нийтлэгдсэн мэдээллийн бүрэн бүтэн байдлыг хамгаалахад анхаарах хэрэгтэй. Ийм мэдээллийг олон нийтэд нээлттэй болгохын өмнө зохих албан ёсны зөвшөөрлийн үйл явц мөн шаардлагатай.

Стандартын дараагийн хэсэг нь хандалтын хяналтын асуудалд зориулагдсан болно.

Хэрэглэгч эсвэл бүлэг хэрэглэгч бүрийн хандалтын хяналтын дүрэм, эрхийг аюулгүй байдлын бодлогоор тодорхой тодорхойлсон байх шаардлагатай. Хэрэглэгчид болон үйлчилгээ үзүүлэгч нарт эдгээр шаардлагыг дагаж мөрдөх шаардлагатай гэдгийг ойлгуулах ёстой.

Ашиглаж байна нууц үгийн баталгаажуулалт, хэрэглэгчийн нууц үгэнд хяналт тавих шаардлагатай байна. Ялангуяа хэрэглэгчид нууц үгийнхээ нууцлалыг бүрэн хадгалахыг зөвшөөрсөн баримт бичигт гарын үсэг зурах ёстой. Хэрэглэгчийн нууц үг олж авах үйл явцын аюулгүй байдлыг хангах, хэрэв үүнийг ашиглаж байгаа бол хэрэглэгчид нууц үгээ удирдах (анхны нэвтэрсний дараа нууц үгийг албадан солих гэх мэт) шаардлагатай.

Дотоод болон гадаад сүлжээний үйлчилгээнд хандах хандалтыг хянах ёстой. Хэрэглэгчид зөвхөн зөвшөөрөл авсан үйлчилгээндээ шууд хандах эрхтэй байх ёстой. Алсын хэрэглэгчдийг баталгаажуулахад онцгой анхаарал хандуулах хэрэгтэй. Эрсдэлийн үнэлгээнд үндэслэн баталгаажуулалтын зохих аргыг сонгохын тулд шаардлагатай хамгаалалтын түвшинг тодорхойлох нь чухал юм. Мөн сүлжээний үйлчилгээг ашиглах аюулгүй байдалд хяналт тавих ёстой.

Сүлжээний болон тооцоолох олон төхөөрөмжүүд нь алсаас оношлох, удирдах чадвартай байдаг. Эдгээр байгууламжид аюулгүй байдлын арга хэмжээг мөн хэрэгжүүлэх ёстой.

Сүлжээг олон байгууллага хуваалцаж байгаа үед үүнийг харгалзан үзэхийн тулд хандалтын хяналтын бодлогын шаардлагыг тодорхойлсон байх ёстой. Мөн нэмэлт арга хэмжээ авах шаардлагатай байж магадгүй юм мэдээллийн аюулгүй байдлын менежментхэрэглэгчдийн холбогдох боломжийг хязгаарлах.

Үйлдлийн системийн түвшинд мэдээллийн аюулгүй байдлын арга хэмжээг ашиглан компьютерийн нөөцөд хандах хандалтыг хязгаарлах шаардлагатай 2 Windows Server 2008 үйлдлийн систем дэх файл, хавтсанд хандах хандалтын хяналтыг зохион байгуулах жишээг лабораторийн 9-р ажилд авч үзэх болно.. Үүнд хамаарна таних, баталгаажуулахтерминал ба хэрэглэгчид. Бүх хэрэглэгчид өвөрмөц танигчтай байхыг зөвлөж байна, энэ нь хэрэглэгчийн давуу эрхийн түвшний ямар ч заалт агуулаагүй байх ёстой. Системд нууц үгийн удирдлагаТэдний шаардлагатай чанарыг хангахын тулд үр дүнтэй интерактив чадавхийг хангасан байх ёстой 3 Windows үйлдлийн систем дэх нууц үгийн чанарын удирдлагын жишээг 3-р лабораторийн ажилд авч үзсэн болно.. Системийн хэрэгслүүдийн хэрэглээг хязгаарлаж, сайтар хянаж байх ёстой.

Хэрэглэгч хүчирхийллийн бай болж болзошгүй тохиолдолд дохиолол өгөхийг зөвлөж байна 4 Үүний жишээ бол "дарамт" нэвтрэх нууц үг байж болно. Хэрэв хэрэглэгч ийм нууц үг оруулбал систем нь хэрэглэгчийн ердийн нэвтрэх үйл явцыг харуулж, улмаар халдагчид өгөгдөлд нэвтрэхээс сэргийлж чадаагүйг дуурайдаг.(хэрэв ийм үйл явдлыг магадлалтай гэж үнэлвэл). Ийм дохиололд хариу үйлдэл үзүүлэх үүрэг, журмыг тодорхойлсон байх ёстой.

Эрсдэл ихтэй системд үйлчилдэг терминалууд нь нэвтрэхэд хялбар газарт байрладаг бол зөвшөөрөлгүй хүмүүс нэвтрэхээс урьдчилан сэргийлэхийн тулд тодорхой хугацааны дараа идэвхгүй байх ёстой. Терминалууд компьютерийн үйлчилгээнд холбогдох боломжтой хугацааны хязгаарлалтыг мөн нэвтрүүлж болно.

Мэдээллийн аюулгүй байдлын арга хэмжээг мөн хэрэглээний түвшинд хэрэгжүүлэх шаардлагатай. Ялангуяа энэ нь хандалтын хязгаарлалт байж болох юм тодорхой ангилалхэрэглэгчид. Чухал мэдээллийг боловсруулдаг системүүд нь тусгай зориулалтын (тусгаарлагдсан) тооцоолох орчинтой байх ёстой.

Системд хяналт тавих нь хандалтын хяналтын бодлогын шаардлагаас гажсан байдлыг илрүүлэх, мэдээллийн аюулгүй байдлын зөрчлийн үед нотлох баримт бүрдүүлэх шаардлагатай. Хяналтын үр дүнг тогтмол хянаж байх ёстой. Аудитын бүртгэлийг ослыг судлахад ашиглаж болох тул компьютерийн цагийг зөв тохируулах (синхрончлох) нь маш чухал юм.

Зөөврийн компьютер гэх мэт зөөврийн төхөөрөмжүүдийг ашиглахдаа өмчлөлийн мэдээлэл алдагдахаас урьдчилан сэргийлэх тусгай арга хэмжээ авах шаардлагатай. Зөөврийн төхөөрөмжтэй, ялангуяа хамгаалалтгүй орчинд ажиллахтай холбоотой эрсдэлийг арилгах албан ёсны бодлогыг хэрэгжүүлэх шаардлагатай.

Стандартын дараагийн хэсгийг "Системийг хөгжүүлэх, засвар үйлчилгээ" гэж нэрлэдэг. Аль хэдийн тайзан дээр байна мэдээллийн системийг хөгжүүлэхаюулгүй байдлын шаардлагыг харгалзан үзэх шаардлагатай. Мөн системийг ажиллуулах явцад хэрэглэгчийн өгөгдлийг алдах, өөрчлөх, буруугаар ашиглахаас урьдчилан сэргийлэх шаардлагатай. Үүний тулд хэрэглээний системүүд нь өгөгдөл оруулах, гаралтын зөв эсэхийг баталгаажуулах, мэдээлэл боловсруулахад хяналт тавихыг зөвлөж байна. систем, баталгаажуулалтмессеж, хэрэглэгчийн үйлдлийг бүртгэх.

Нууцлал, бүрэн бүтэн байдлыг хангах, өгөгдлийн баталгаажуулалтКриптографийн аюулгүй байдлын арга хэмжээг ашиглаж болно.

Програм хангамжийн бүрэн бүтэн байдлыг хангах нь мэдээллийн аюулгүй байдлын үйл явцад чухал үүрэг гүйцэтгэдэг. Мэдээллийн системд учирч болох хохирлыг багасгахын тулд өөрчлөлтийн хэрэгжилтийг хатуу хянах хэрэгтэй. Үе үе үйлдлийн системд өөрчлөлт оруулах шаардлага гардаг. Эдгээр тохиолдолд тэдгээрийн ажиллагаа, аюулгүй байдалд сөрөг нөлөө үзүүлэхгүйн тулд хэрэглээний системд дүн шинжилгээ хийх, турших шаардлагатай. Боломжтой бол бэлэн програм хангамжийн багцыг өөрчлөхгүйгээр ашиглахыг зөвлөж байна.

Үүнтэй холбоотой асуудал бол трояны морьтой тэмцэх, нууц гоожих сувгийг ашиглах явдал юм. Үүний эсрэг арга хэмжээ бол итгэмжлэгдсэн үйлдвэрлэгчдээс авсан програм хангамжийг ашиглах, хяналт тавих явдал юм системийн бүрэн бүтэн байдал.

Програм хангамж боловсруулахад гуравдагч этгээдийн байгууллага оролцож байгаа тохиолдолд гүйцэтгэсэн ажлын чанар, зөв байдлыг хянах арга хэмжээ авах шаардлагатай.

Стандартын дараагийн хэсэг нь бизнесийн тасралтгүй байдлын менежментэд зориулагдсан болно. Эхний шатанд бизнесийн үйл явцыг тасалдуулж болзошгүй үйл явдлыг (тоног төхөөрөмжийн эвдрэл, гал түймэр гэх мэт) тодорхойлох шаардлагатай. Энэ тохиолдолд үр дагаврыг үнэлж, дараа нь нөхөн сэргээх төлөвлөгөө боловсруулах шаардлагатай. Төлөвлөгөөний хүрэлцээг туршилтаар баталгаажуулах ёстой бөгөөд системд гарч буй өөрчлөлтийг харгалзан тэдгээрийг үе үе хянаж байх ёстой.

Стандартын эцсийн хэсэг нь дагаж мөрдөх асуудлуудыг авч үздэг. Юуны өмнө энэ нь систем, түүнийг ажиллуулах журам нь хууль ёсны шаардлагад нийцэж байгаатай холбоотой юм. Үүнд зохиогчийн эрхийг (програм хангамжийг оруулаад), хувийн мэдээллийг хамгаалах (ажилчид, үйлчлүүлэгчид), мэдээлэл боловсруулах хэрэгслийг буруугаар ашиглахаас урьдчилан сэргийлэх зэрэг асуудлууд орно. Ашиглаж байна криптографийн хэрэгсэлмэдээллийн хамгаалалт, тэдгээр нь одоогийн хууль тогтоомжийг дагаж мөрдөх ёстой. Мэдээллийн системийн аюулгүй байдлын чиглэлээр гарсан зөрчилтэй холбоотой маргааны үед нотлох баримт цуглуулах журмыг мөн сайтар боловсруулах хэрэгтэй.

Мэдээллийн системүүд өөрсдөө байх ёстой аюулгүй байдлын бодлогыг дагаж мөрдөхзохион байгуулалт, ашигласан стандарт. Мэдээллийн системийн аюулгүй байдлыг тогтмол шинжилж, үнэлж байх ёстой. Үүний зэрэгцээ, аюулгүй байдлын аудит хийхдээ аюулгүй байдлын арга хэмжээг дагаж мөрдөх шаардлагатай бөгөөд энэ нь хүсээгүй үр дагаварт хүргэхгүй (жишээлбэл, аудитын улмаас чухал серверийн доголдол).

Дүгнэж хэлэхэд, стандарт нь мэдээллийн системийн аюулгүй байдлыг хангахтай холбоотой өргөн хүрээний асуудлыг тусгасан болохыг тэмдэглэж болно. Хэд хэдэн чиглэлээр практик зөвлөмжийг өгсөн.