Denne delen gir generell informasjon og tekster til nasjonale standarder i Den russiske føderasjonen innen informasjonssikkerhet GOST R.

Gjeldende liste over moderne GOST-er utviklet de siste årene og planlagt for utvikling. Sertifiseringssystem for informasjonssikkerhetsverktøy i henhold til informasjonssikkerhetskrav nr. ROSS RU.0001.01BI00 (FSTEC of Russia). STATSSTANDARD FOR DEN RUSSISKE FØDERASJON. Data beskyttelse. PROSEDYRE FOR OPPRETTELSE AV AUTOMATISKE SYSTEMER I SIKKER UTFØRELSE. Generelle bestemmelser. Moskva STATSSTANDARD FOR DEN RUSSISKE FØDERASJON. Datafasiliteter. Beskyttelse mot uautorisert tilgang til informasjon. Generelle tekniske krav. Introduksjonsdato 1996-01-01 Nasjonal standard for den russiske føderasjonen. Data beskyttelse. Grunnleggende begreper og definisjoner. Beskyttelse av informasjon. Grunnleggende begreper og definisjoner. Dato for introduksjon 2008-02-01 STATSSTANDARD FOR DEN RUSSISKE FØDERASJON. DATA BESKYTTELSE. SYSTEM AV STANDARDER. GRUNNLEGGENDE BESTEMMELSER (INFORMASJONSSIKKERHET. STANDARDSYSTEM. GRUNNLEGGENDE PRINSIPPER) STATSSTANDARD FOR DEN RUSSISKE FØDERASJON. Data beskyttelse. TEST PROGRAMVAREN FOR TILSTEDEVÆRELSE AV DATAVIRUS. Modellmanual (Informasjonssikkerhet. Programvaretesting for eksistensen av datavirus. Eksempelhåndboken). Informasjonsteknologi. Beskyttelse av informasjonsteknologier og automatiserte systemer mot trusler mot informasjonssikkerhet implementert ved hjelp av skjulte kanaler. Del 1. Generelle bestemmelser Informasjonsteknologi. Beskyttelse av informasjonsteknologier og automatiserte systemer mot trusler mot informasjonssikkerhet implementert ved hjelp av skjulte kanaler. Del 2. Anbefalinger for organisering av beskyttelse av informasjon, informasjonsteknologi og automatiserte systemer mot angrep ved bruk av skjulte kanaler Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Veiledning for utvikling av sikkerhetsprofiler og sikkerhetsoppgaver Automatisk identifikasjon. Biometrisk identifikasjon. Ytelsestester og testrapporter i biometri. Del 3. Funksjoner ved testing for ulike biometriske modaliteter Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Metodikk for vurdering av informasjonsteknologisikkerhet GOST R ISO/IEC 15408-1-2008 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Kriterier for vurdering av sikkerheten til informasjonsteknologi. Del 1. Introduksjon og generell modell (Informasjonsteknologi. Sikkerhetsteknikker. Evalueringskriterier for IT-sikkerhet. Del 1. Introduksjon og generell modell) GOST R ISO/IEC 15408-2-2008 - Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Kriterier for vurdering av sikkerheten til informasjonsteknologi. Del 2. Funksjonelle sikkerhetskrav (Informasjonsteknologi. Sikkerhetsteknikker. Evalueringskriterier for IT-sikkerhet. Del 2. Sikkerhetsfunksjonelle krav) GOST R ISO/IEC 15408-3-2008 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Kriterier for vurdering av sikkerheten til informasjonsteknologi. Del 3. Sikkerhetskrav (Informasjonsteknologi. Sikkerhetsteknikker. Evalueringskriterier for IT-sikkerhet. Del 3. Sikkerhetskrav) GOST R 53109-2008 System for å sikre informasjonssikkerhet for et offentlig kommunikasjonsnettverk. Informasjonssikkerhetskommunikasjonspass. Informasjonssikkerhet for det offentlige kommunikasjonsnettverket. Pass av organisasjonens kommunikasjon av informasjonssikkerhet. Ikrafttredelsesdato: 30.09.2009. GOST R 53114-2008 Informasjonsbeskyttelse. Sikre informasjonssikkerhet i organisasjonen. Grunnleggende begreper og definisjoner. Beskyttelse av informasjon. Informasjonssikkerhetstilbud i organisasjoner. Grunnleggende begreper og definisjoner. Ikrafttredelsesdato: 30.09.2009. GOST R 53112-2008 Informasjonsbeskyttelse. Komplekser for måling av parametere for falsk elektromagnetisk stråling og interferens. Tekniske krav og testmetoder. Informasjonsbeskyttelse. Fasiliteter for måling av elektromagnetisk sidestråling og pickupparametere. Tekniske krav og testmetoder. Ikrafttredelsesdato: 30.09.2009. GOST R 53115-2008 Informasjonsbeskyttelse. Testing av tekniske midler for informasjonsbehandling for overholdelse av kravene til sikkerhet mot uautorisert tilgang. Metoder og midler. Informasjonsbeskyttelse. Samsvarstesting av tekniske informasjonsbehandlingsanlegg i forhold til krav til beskyttelse av uautorisert tilgang. Metoder og teknikker. Ikrafttredelsesdato: 30.09.2009. GOST R 53113.2-2009 Informasjonsteknologi. Beskyttelse av informasjonsteknologier og automatiserte systemer mot trusler mot informasjonssikkerhet implementert ved hjelp av skjulte kanaler. Del 2. Anbefalinger for organisering av beskyttelse av informasjon, informasjonsteknologi og automatiserte systemer mot angrep ved bruk av skjulte kanaler. Informasjonsteknologi. Beskyttelse av informasjonsteknologi og automatiserte systemer mot sikkerhetstrusler ved bruk av skjulte kanaler. Del 2. Anbefalinger om beskyttelse av informasjon, informasjonsteknologi og automatiserte systemer mot skjulte kanalangrep. Ikrafttredelsesdato: 12.01.2009. GOST R ISO/IEC TIL 19791-2008 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Sikkerhetsvurdering av automatiserte systemer. Informasjonsteknologi. Sikkerhetsteknikker. Sikkerhetsvurdering av driftssystemer. Ikrafttredelsesdato: 30.09.2009. GOST R 53131-2008 Informasjonsbeskyttelse. Anbefalinger for kafor informasjons- og telekommunikasjonsteknologis sikkerhetsfunksjoner og -mekanismer. Generelle bestemmelser. Informasjonsbeskyttelse. Retningslinjer for gjenopprettingstjenester for informasjons- og kommunikasjonsteknologis sikkerhetsfunksjoner og -mekanismer. Generell. Ikrafttredelsesdato: 30.09.2009. GOST R 54581-2011 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Grunnleggende om tillit til IT-sikkerhet. Del 1: Oversikt og grunnleggende. Informasjonsteknologi. Sikkerhetsteknikker. Et rammeverk for IT-sikkerhetssikring. Del 1. Oversikt og rammer. Ikrafttredelsesdato: 07.01.2012. GOST R ISO/IEC 27033-1-2011 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Nettverksikkerhet. Del 1: Oversikt og konsepter. Informasjonsteknologi. Sikkerhetsteknikker. Nettverksikkerhet. Del 1. Oversikt og konsepter. Ikrafttredelsesdato: 01.01.2012. GOST R ISO/IEC 27006-2008 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Krav til organer som utfører revisjon og sertifisering av styringssystemer for informasjonssikkerhet. Informasjonsteknologi. Sikkerhetsteknikker. Krav til organer som leverer revisjon og sertifisering av styringssystemer for informasjonssikkerhet. Ikrafttredelsesdato: 30.09.2009. GOST R ISO/IEC 27004-2011 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Informasjonssikkerhetsstyring. Målinger. Informasjonsteknologi. Sikkerhetsteknikker. Informasjonssikkerhetsstyring. Mål. Ikrafttredelsesdato: 01.01.2012. GOST R ISO/IEC 27005-2010 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Risikostyring for informasjonssikkerhet. Informasjonsteknologi. Sikkerhetsteknikker. Risikostyring for informasjonssikkerhet. Ikrafttredelsesdato: 12.01.2011. GOST R ISO/IEC 31010-2011 Risikostyring. Risikovurderingsmetoder (Risk management. Risk assessment methods). Ikrafttredelsesdato: 12.01.2012 GOST R ISO 31000-2010 Risikostyring. Risikostyring. Prinsipper og retningslinjer. Ikrafttredelsesdato: 31.08.2011 GOST 28147-89 Informasjonsbehandlingssystemer. Kryptografisk beskyttelse. Kryptografisk konverteringsalgoritme. Ikrafttredelsesdato: 30.06.1990. GOST R ISO/IEC 27013-2014 "Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Veiledning om kombinert bruk av ISO/IEC 27001 og ISO/IEC 20000-1 – gjeldende 1. september 2015. GOST R ISO/IEC 27033-3-2014 "Nettverkssikkerhet. Del 3. Referansenettverksscenarier. Trusler, designmetoder og ledelsesspørsmål» – trer i kraft 1. november 2015 GOST R ISO/IEC 27037-2014 "Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Retningslinjer for identifisering, innsamling, gjenfinning og oppbevaring av digitalt bevis – gjeldende 1. november 2015. GOST R ISO/IEC 27002-2012 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Sett med normer og regler for informasjonssikkerhetsstyring. Informasjonsteknologi. Sikkerhetsteknikker. Retningslinjer for informasjonssikkerhetsstyring. Ikrafttredelsesdato: 01.01.2014. OKS-kode 35.040. GOST R 56939-2016 Informasjonsbeskyttelse. Sikker programvareutvikling. Generelle krav (Informasjonsbeskyttelse. Sikker programvareutvikling. Generelle krav). Ikrafttredelsesdato: 06.01.2017. GOST R 51583-2014 Informasjonsbeskyttelse. Prosedyren for å lage automatiserte systemer i et sikkert design. Generelle bestemmelser. Informasjonsbeskyttelse. Sekvens for dannelse av beskyttet operativt system. Generell. 09.01.2014 GOST R 7.0.97-2016 System med standarder for informasjon, bibliotek og publisering. Organisatorisk og administrativ dokumentasjon. Krav til utarbeidelse av dokumenter (Standardsystem om informasjon, bibliotek og publisering. Organisatorisk og administrativ dokumentasjon. Krav til presentasjon av dokumenter). Ikrafttredelsesdato: 07.01.2017. OKS-kode 01.140.20. GOST R 57580.1-2017 Sikkerhet for finansielle (bank-) transaksjoner. Beskyttelse av informasjon fra finansielle organisasjoner. Den grunnleggende sammensetningen av organisatoriske og tekniske tiltak - Sikkerhet for finansielle (bank) operasjoner. Informasjonsbeskyttelse av finansielle organisasjoner. Grunnleggende sett med organisatoriske og tekniske tiltak. GOST R ISO 22301-2014 styringssystemer for forretningskontinuitet. Generelle krav - Forretningskontinuitetsstyringssystemer. Krav. GOST R ISO 22313-2015 Ledelse av forretningskontinuitet. Implementeringsveiledning - styringssystemer for forretningskontinuitet. Veiledning for gjennomføring. GOST R ISO/IEC 27031-2012 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. A Guide to Information and Communications Technology Readiness for Business Continuity - Informasjonsteknologi. Sikkerhetsteknikker. Retningslinjer for informasjons- og kommunikasjonsteknologisk beredskap for forretningskontinuitet. GOST R IEC 61508-1-2012 Funksjonell sikkerhet for elektriske, elektroniske, programmerbare elektroniske sikkerhetsrelaterte systemer. Del 1. Generelle krav. Funksjonell sikkerhet for elektriske, elektroniske, programmerbare elektroniske sikkerhetsrelaterte systemer. Del 1. Generelle krav. Dato for introduksjon 2013-08-01. GOST R IEC 61508-2-2012 Funksjonell sikkerhet for elektriske, elektroniske, programmerbare elektroniske sikkerhetsrelaterte systemer. Del 2. Systemkrav. Funksjonell sikkerhet for elektriske, elektroniske, programmerbare elektroniske sikkerhetsrelaterte systemer. Del 2. Krav til systemer. Dato for introduksjon 2013-08-01. GOST R IEC 61508-3-2012 FUNKSJONELL SIKKERHET FOR ELEKTRISKE, ELEKTRONISKE, PROGRAMMERBARE ELEKTRONISKE, SIKKERHETSRELATEREDE SYSTEMER. Programvarekrav. IEC 61508-3:2010 Funksjonell sikkerhet for elektriske/elektroniske/programmerbare elektroniske sikkerhetsrelaterte systemer - Del 3: Programvarekrav (IDT). GOST R IEC 61508-4-2012 FUNKSJONELL SIKKERHET FOR ELEKTRISKE, ELEKTRONISKE, PROGRAMMERBARE ELEKTRONISKE, SIKKERHETSRELATEREDE SYSTEMER Del 4 Begreper og definisjoner. Funksjonell sikkerhet for elektriske, elektroniske, programmerbare elektroniske sikkerhetsrelaterte systemer. Del 4. Begreper og definisjoner. Dato for introduksjon 2013-08-01. . GOST R IEC 61508-6-2012 Funksjonell sikkerhet for elektriske, elektroniske, programmerbare elektroniske sikkerhetsrelaterte systemer. Del 6. Retningslinjer for bruk av GOST R IEC 61508-2 og GOST R IEC 61508-3. IEC 61508-6:2010. Funksjonell sikkerhet for elektriske/elektroniske/programmerbare elektroniske sikkerhetsrelaterte systemer - Del 6: Retningslinjer for anvendelse av IEC 61508-2 og IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 Funksjonell sikkerhet for elektriske systemer, Funksjonell sikkerhet for elektriske, elektroniske, programmerbare elektroniske systemer relatert til sikkerhet. Del 7. Metoder og virkemidler. Funksjonell sikkerhet for elektrisk elektronisk programmerbare elektroniske sikkerhetsrelaterte systemer. Del 7. Teknikker og tiltak. Dato for introduksjon 2013-08-01. GOST R 53647.6-2012. Ledelse av forretningskontinuitet. Krav til et styringssystem for personopplysninger for å sikre databeskyttelse

Navn:

Data beskyttelse. Sikre informasjonssikkerhet i organisasjonen.

Gyldig

Dato for introduksjon:

Kanselleringsdato:

Erstattet av:

Tekst GOST R 53114-2008 Informasjonsbeskyttelse. Sikre informasjonssikkerhet i organisasjonen. Grunnleggende begreper og definisjoner

FORBUNDSBYRÅ FOR TEKNISK REGULERING OG METROLOGI

NASJONAL

STANDARD

RUSSISK

FØDERASJON

Data beskyttelse

SIKRING AV INFORMASJONSSIKKERHET I ORGANISASJONEN

Grunnleggende begreper og definisjoner

Offisiell publikasjon

Oteidartenform

GOST R 53114-2008

Forord

Målene og prinsippene for standardisering i den russiske føderasjonen er etablert av føderal lov nr. 184-FZ av 27. desember 2002 "Om teknisk forskrift", og reglene for anvendelse av nasjonale standarder i den russiske føderasjonen er GOST R 1.0-2004 "Standardisering". i den russiske føderasjonen. Grunnleggende bestemmelser »

Standard informasjon

1 UTVIKLET av Federal State Institution "State Research Testing Institute for Problems of Technical Information Security of the Federal Service for Technical and Export Control" (FGU "GNIIII PTZI FSTEC of Russia"), Limited Liability Company "Research and Production Company "Kristall" (OOO NPF "Crystal")

2 INTRODUSERT av Institutt for teknisk regulering og standardisering av Federal Agency for Technical Regulation and Metrology

3 GODKJENT OG TRÅTT IGJEN i kraft etter ordre fra Federal Agency for Technical Regulation and Metrology datert 18. desember 2008 nr. 532-st

4 8KJØRT FOR FØRSTE GANG

Informasjon om endringer i denne standarden publiseres i den årlig publiserte informasjonsindeksen "National Standards", og teksten til endringer og endringer er publisert i den månedlige publiserte informasjonsindeksen "National Standards". I tilfelle revisjon (erstatning) eller kansellering av denne standarden, vil den tilsvarende kunngjøringen bli publisert i den månedlige publiserte informasjonsindeksen "National Standards". Relevant informasjon, varsler og tekster er også lagt ut i det offentlige informasjonssystemet - på den offisielle nettsiden til Federal Agency for Technical Regulation and Metrology på Internett

© Sgandartinform.2009

Denne standarden kan ikke helt eller delvis reproduseres, replikeres eller distribueres som en offisiell publikasjon uten tillatelse fra Federal Agency for Technical Regulation and Metrology

GOST R 53114-2008

1 bruksområde................................................ ... ....1

3 Begreper og definisjoner................................................... ..... 2

3.1 Generelle begreper................................................... .... .....2

3.2 Vilkår knyttet til objektet for informasjonsbeskyttelse......................................... ...4

3.3 Begreper knyttet til trusler mot informasjonssikkerhet................................................7

3.4 Vilkår knyttet til organisatorisk informasjonssikkerhetsstyring......8

3.5 Vilkår knyttet til kontroll og vurdering av en organisasjons informasjonssikkerhet. ... 8

3.6 Vilkår knyttet til

organisasjoner................................................ ....... .........9

Alfabetisk indeks over termer ................................................... .....11

Vedlegg A (til referanse) Begreper og definisjoner av generelle tekniske begreper.................................13

Vedlegg B (til referanse) Sammenheng mellom grunnleggende begreper innen informasjonssikkerhet i en organisasjon............................... .....................15

Bibliografi................................................. .......16

GOST R 53114-2008

Introduksjon

Begrepene etablert av denne standarden er ordnet i en systematisk rekkefølge, som gjenspeiler begrepssystemet i dette kunnskapsfeltet.

Det er ett standardisert begrep for hvert konsept.

Tilstedeværelsen av hakeparenteser i en terminologiartikkel betyr at den inkluderer to termer som har vanlige termelementer. Disse begrepene er oppført separat i den alfabetiske indeksen.

Den delen av et begrep som står i parentes kan utelates ved bruk av begrepet i standardiseringsdokumenter, mens den delen av begrepet som ikke står i parentes, utgjør dens korte form. Etter de standardiserte termene er deres korte former, atskilt med semikolon, representert med en forkortelse.

De gitte definisjonene kan endres om nødvendig ved å introdusere avledede egenskaper i dem. avsløre betydningen av begrepene som brukes i dem, og indikerer objektene som er inkludert i omfanget av det definerte konseptet.

Endringer skal ikke påvirke omfanget og innholdet av begrepene definert i denne standarden.

Standardiserte termer er skrevet med fet skrift, deres korte former er i teksten og i den alfabetiske indeksen, inkludert forkortelser. - lys, og synonymer - kursiv.

Begreper og definisjoner av generelle tekniske konsepter som er nødvendige for å forstå teksten til hoveddelen av denne standarden er gitt i vedlegg A.

GOST R 53114-2008

NASJONAL STANDARD FOR DEN RUSSISKE FØDERASJON

Data beskyttelse

SIKRE INFORMASJONSSIKKERHET 8 ORGANISASJONER

Grunnleggende begreper og definisjoner

Beskyttelse av informasjon. Informasjonssikkerhetstilbud I organisasjon.

Grunnleggende begreper og definisjoner

Dato for introduksjon - 2009-10-01

1 bruksområde

Denne standarden etablerer de grunnleggende begrepene som brukes når man utfører standardiseringsarbeid innen informasjonssikkerhet i en organisasjon.

Begrepene etablert av denne standarden anbefales for bruk i forskriftsdokumenter, juridisk, teknisk og organisatorisk og administrativ dokumentasjon, vitenskapelig, utdannings- og referanselitteratur.

Denne standarden brukes i forbindelse med GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069,0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Vilkårene gitt i denne standarden samsvarer med bestemmelsene i den russiske føderasjonens føderale lov av 27. desember 2002 M"184*FZ "Teknisk forskrift" |3]. Den russiske føderasjonens føderale lov av 27. juli 2006 nr. 149-FZ "Om informasjon, informasjonsteknologi og informasjonsbeskyttelse". Den russiske føderasjonens føderale lov av 27. juli 2006 nr. 152-FZ "Om personopplysninger". Den russiske føderasjonens doktriner om informasjonssikkerhet, godkjent av presidenten for den russiske føderasjonen 9. september 2000 Pr -1895.

2 Normative referanser

GOST R 22.0.02-94 Sikkerhet i nødssituasjoner. Begreper og definisjoner av grunnleggende begreper

GOST R ISO 9000-2001 Kvalitetsstyringssystemer. Grunnleggende og ordforråd

GOST R ISO 9001-2008 Kvalitetsstyringssystemer. Krav

GOST R IS0 14001-2007 Miljøstyringssystemer. Krav og bruksanvisning

GOST R ISO/IEC 13335-1-2006 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Del 1. Konsept og modeller for sikkerhetsstyring av informasjons- og telekommunikasjonsteknologier

GOST R ISO/IEC 27001-2006 Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Styringssystemer for informasjonssikkerhet. Krav

GOST R 50922-2006 Informasjonsbeskyttelse. Grunnleggende begreper og definisjoner

GOST R 51275-2006 Informasjonsbeskyttelse. Informasjonsobjekt. Faktorer som påvirker informasjon. Generelle bestemmelser

GOST R 51897-2002 Risikostyring. Begreper og definisjoner

Offisiell publikasjon

GOST R 53114-2008

GOST R51898-2003 Sikkerhetsaspekter. Regler for inkludering i standarder GOST R 52069.0-2003 Informasjonsbeskyttelse. System av standarder. Grunnleggende bestemmelser i GOST 34.003-90 Informasjonsteknologi. Sett med standarder for automatiserte systemer. Automatiserte systemer. Begreper og definisjoner

GOST 19781-90 Programvare for informasjonsbehandlingssystemer. Begreper og definisjoner

Merk - Når du bruker denne standarden, er det tilrådelig å sjekke gyldigheten av referansestandardene i det offentlige informasjonssystemet - på den offisielle nettsiden til Federal Agency for Technical Regulation and Metrology på Internett eller i henhold til den årlig publiserte informasjonsindeksen "National Standarder", som ble publisert per 1. januar inneværende år, og i henhold til de tilsvarende månedlige informasjonsindeksene publisert i inneværende år. Hvis referansestandarden er erstattet (endret), bør du ved bruk av denne standarden bli veiledet av den erstattede (endrede) standarden. Hvis en referansestandard kanselleres uten å erstattes, gjelder bestemmelsen der en referanse til den er gitt for den delen som ikke påvirker denne referansen.

3 Begreper og definisjoner

3.1 Generelle begreper

sikkerhet for informasjon [data]: Sikkerhetstilstanden for informasjon [data], der dens [deres] konfidensialitet, tilgjengelighet og integritet er sikret.

[GOST R 50922-2006. avsnitt 2.4.5]

informasjonsteknologisikkerhet: Informasjonsteknologiens sikkerhet. som sikrer sikkerheten til informasjonen den brukes til behandling. og informasjonssikkerhet for informasjonssystemet det er implementert i.

[R 50.1.056-2006. avsnitt 2.4.5]

informasjonssfære: Helheten av informasjon, informasjonsinfrastruktur, fag. gjennomføre innsamling, dannelse, formidling og bruk av informasjon, samt systemer for å regulere de sosiale relasjonene som oppstår i denne saken.

3.1.4 informasjonsinfrastruktur: Et sett med informasjonsobjekter som gir forbrukere tilgang til informasjonsressurser.

informatiseringsobjekt: Et sett med informasjonsressurser, verktøy og informasjonsbehandlingssystemer som brukes i samsvar med en gitt informasjonsteknologi, samt støttefasiliteter, lokaler eller fasiliteter (bygninger, strukturer, tekniske midler) der disse verktøyene og systemene er installert, eller lokaler og fasiliteter , beregnet for å føre konfidensielle forhandlinger.

[GOST R 51275-2006. klausul 3.1]

3.1.6 organisasjonens eiendeler: Alle. hva som er av verdi for organisasjonen for å nå sine mål og står til dens disposisjon.

Merk: En organisasjons eiendeler kan omfatte:

Informasjonsressurser, inkludert ulike typer informasjon som sirkulerer i informasjonssystemet (tjeneste, ledelse, analytisk, forretningsmessig, etc.) i alle stadier av livssyklusen (generering, lagring, behandling, overføring, destruksjon):

Ressurser (økonomiske, menneskelige, databehandling, informasjon, telekommunikasjon og andre):

Prosesser (teknologiske, informasjon, etc.);

Produserte produkter eller tjenester levert.

GOST R 53114-2008

informasjonsbehandlingssystemressurs: En informsom kan allokeres til databehandlingsprosessen i et visst tidsintervall.

Merk - Hovedressursene er prosessorer, hovedminneområder, datasett. eksterne enheter, programmer.

[GOST 19781-90. avsnitt 93)

3.1.8 informasjonsprosess: Prosessen med opprettelse, innsamling, bearbeiding, akkumulering, lagring, søk. formidling og bruk av informasjon.

informasjonsteknologi; IT: Prosesser, metoder for søk, innsamling, lagring, bearbeiding, levering. formidling av informasjon og måter å gjennomføre slike prosesser og metoder på. [Den russiske føderasjonens føderale lov datert 27. desember 2002 nr. 184-FZ. Artikkel 2. nr. 2)]

teknisk støtte for det automatiserte systemet; Teknisk støtte for NPP: Samlet sett alle tekniske midler som brukes i driften av NPP.

[GOST R 34.003-90. klausul 2.5]

automatisert systemprogramvare; AS-programvare: Et sett med programmer på lagringsmedier og programdokumenter beregnet for feilsøking, drift og testing av funksjonaliteten til AS.

[GOST R 34.003-90. avsnitt 2.7]

informasjonsstøtte for det automatiserte systemet; AS-informasjonsstøtte: Et sett med dokumentskjemaer, klassifikatorer, regelverk og implementerte løsninger på volum, plassering og eksistensformer for informasjon brukt i AS under driften.

[GOST R 34.003-90. klausul 2.8]

3.1.13 tjeneste; tjeneste: Resultatet av utøverens aktiviteter for å tilfredsstille forbrukerens behov.

Merk - 8 en organisasjon, et individ eller en prosess kan fungere som en utfører (forbruker) av en tjeneste.

3.1.14 informasjonsteknologitjenester: IT-tjenester: Settet med funksjonelle muligheter for informasjon og. muligens ikke-informasjonsteknologi levert til sluttbrukere som en tjeneste.

MERK Eksempler på IT-tjenester inkluderer meldingstjenester, forretningsapplikasjoner, fil- og utskriftstjenester, nettverkstjenester osv.

3.1.15 kritisk informasjonsinfrastruktursystem; nøkkelinformasjonsinfrastruktursystem: FIAC: Informasjonsstyring eller infosom administrerer eller gir informasjon til et kritisk objekt eller en prosess, eller brukes til offisielt å informere samfunnet og innbyggerne, hvis forstyrrelse eller avbrudd i funksjonen (som følge av ødeleggende informasjonspåvirkninger, samt feil eller feil) kan føre til en nødsituasjon med betydelige negative konsekvenser.

3.1.18 kritisk objekt: Et objekt eller en prosess, hvis driftskontinuitet kan forstyrres, kan forårsake betydelig skade.

GOST R 53114-2008

Merk - Skade kan forårsakes av eiendommen til enkeltpersoner eller juridiske personer. statlige eller kommunale eiendommer, miljøet, samt å forårsake skade på innbyggernes liv eller helse.

personopplysningssystem: Et informasjonssystem som er et sett med personopplysninger som finnes i en database, samt informasjonsteknologier og tekniske midler som tillater behandling av slike personopplysninger ved bruk av automatiseringsverktøy eller uten bruk av slike verktøy.

personopplysninger: All informasjon knyttet til en person identifisert eller bestemt på grunnlag av slik informasjon (gjenstand for personopplysninger), inkludert hans etternavn, fornavn. patronym, årstall måned, fødselsdato og -sted, adresse, familie, sosial, eiendomsstatus, utdanning, yrke, inntekt, annen informasjon.

3.1.19 automatisert system i beskyttet design; AS i beskyttet design: Et automatisert system som implementerer informasjonsteknologi for å utføre etablerte funksjoner i henhold til kravene i standarder og/eller forskriftsdokumenter om informasjonsbeskyttelse.

3.2 Vilkår knyttet til objektet for informasjonsbeskyttelse

3.2.1 informasjonssikkerhet for organisasjonen; Organisatorisk etterretning: Status for beskyttelse av organisasjonens interesser i møte med trusler i informasjonssfæren.

Merk - Sikkerhet oppnås ved å sikre et sett med - konfidensialitet, integritet, tilgjengelighet av informasjonsressurser og organisasjonens infrastruktur. Prioriteten til bestemmes av betydningen av informasjonsmidler for organisasjonens interesser (mål).

objekt for informasjonsbeskyttelse: Informasjon eller informasjonsbærer, eller informasjonsprosess. som må beskyttes i samsvar med formålet med å beskytte informasjon.

[GOST R 50922-2006. klausul 2.5.1]

3.2.3 beskyttet prosess (informasjonsteknologi): En prosess som brukes av informasjonsteknologi for å behandle beskyttet informasjon med det nødvendige sikkerhetsnivået.

3.2.4 brudd på organisasjonens informasjonssikkerhet: brudd på organisasjonens informasjonssikkerhet: Utilsiktet eller forsettlig ulovlig handling fra en enkeltperson (subjekt, objekt) i forhold til organisasjonens eiendeler, hvis konsekvens er brudd på informasjonssikkerheten når det behandles med tekniske midler i informasjonssystemer, og forårsaker negative konsekvenser (skade/skade) for organisasjonen.

nødsituasjon; uforutsett situasjon; Nødsituasjon: En situasjon i et bestemt territorium eller vannområde som har utviklet seg som følge av en ulykke, et farlig naturfenomen, en katastrofe, en naturkatastrofe eller annen katastrofe som kan resultere i tap av liv eller medføre menneskelige skader, skade på menneskers helse eller miljøet, betydelige materielle tap og forstyrrelse av levekårene til mennesker.

Merk - Nødsituasjoner er kjennetegnet ved kildens natur (naturlig, menneskeskapt, biologisk-sosial og militær) og etter skala (lokal, lokal, territoriell, regional, føderal og grenseoverskridende).

(GOST R 22.0.02-94. Artikkel 2.1.1)

GOST R 53114-2008

3.2.6

farlig situasjon: Omstendigheter der mennesker, eiendom eller miljø er i fare.

(GOST R 51898-2003. avsnitt 3.6)

3.2.7

informasjonssikkerhetshendelse: Enhver uventet eller uønsket hendelse som kan forstyrre driften eller informasjonssikkerheten.

Merk – Informasjonssikkerhetshendelser er:

Tap av tjenester, utstyr eller enheter:

Systemfeil eller overbelastning:

Brukerfeil.

Brudd på fysiske beskyttelsestiltak:

Ukontrollerte endringer i systemer.

Programvarefeil og maskinvarefeil:

Brudd på tilgangsregler.

(GOST R ISO/IEC 27001 -2006. Artikkel 3.6)

3.2.8 hendelse: Forekomst eller tilstedeværelse av et bestemt sett av omstendigheter.

Notater

1 Arten, sannsynligheten og konsekvensene av hendelsen er kanskje ikke fullt ut kjent.

2 En hendelse kan inntreffe en eller flere ganger.

3 Sannsynligheten knyttet til en hendelse kan estimeres.

4 En hendelse kan bestå av at ett eller flere forhold ikke oppstår.

5 En uforutsigbar hendelse kalles noen ganger en "hendelse".

6 En hendelse der det ikke oppstår tap kalles noen ganger en forutsetning for en hendelse (hendelse), en farlig tilstand, en farlig kombinasjon av omstendigheter osv.

3.2.9 risiko: Virkningen av usikkerhet på prosessen med å nå mål.

Notater

1 Mål kan ha ulike aspekter: økonomiske, helse-, sikkerhets- og miljøaspekter, og kan settes på ulike nivåer: på strategisk nivå, på organisasjonsnivå, på prosjekt-, produkt- og prosessnivå.

3 Risiko uttrykkes ofte i form av en kombinasjon av konsekvensene av en hendelse eller endring i omstendigheter og deres sannsynlighet.

3.2.10

Risikovurdering: En prosess som kombinerer risikoidentifikasjon, risikoanalyse og risikokvantifisering.

(GOST R ISO/IEC 13335-1 -2006, avsnitt 2.21]

3.2.11 risikovurdering av informasjonssikkerhet (av organisasjonen); infor(organisasjon): Den overordnede prosessen med å identifisere, analysere og bestemme akseptabiliteten av en organisasjons informasjonssikkerhetsrisikonivå.

3.2.12 risikoidentifikasjon: Prosessen med å oppdage, gjenkjenne og beskrive risikoer.

Notater

1 Risikoidentifikasjon omfatter identifisering av risikokilder, hendelser og deres årsaker, samt deres mulige konsekvenser.

NOTE 2 Risikoidentifikasjon kan omfatte statistiske data, teoretiske analyser, informerte synspunkter og ekspertuttalelser og interessenters behov.

GOST R 53114-2008

risikoanalyse: Systematisk bruk av informasjon for å identifisere risikokilder og kvantifisere risiko.

(GOST R ISO/IEC 27001-2006. Artikkel 3.11)

3.2.14 Bestemmelse av risikoakseptabilitet: Prosessen med å sammenligne resultatene av en risikoanalyse med risikokriterier for å bestemme akseptabiliteten eller toleransen til risikonivået.

MERK Å bestemme akseptabiliteten av risikonivået hjelper til med å ta behandlingsbeslutninger

3.2.15 håndtere organisasjonens informasjonssikkerhetsrisiko; Organisatoriskndling: Prosessen med å utvikle og/eller velge og implementere tiltak for å håndtere en organisasjons informasjonssikkerhetsrisiko.

Notater

1 Risikobehandling kan omfatte:

Unngå risiko ved å bestemme seg for ikke å sette i gang eller fortsette aktiviteter som skaper betingelser

Å søke en mulighet ved å bestemme seg for å starte eller fortsette aktiviteter som kan skape eller øke risiko;

Eliminere kilden til risiko:

Endringer i risikoens art og omfang:

Endrende konsekvenser;

Å dele risiko med en annen part eller parter.

Vedvarende risiko både som følge av en bevisst beslutning og "som standard".

2 Risikobehandlinger med negative konsekvenser kalles noen ganger reduksjon, eliminering, forebygging. reduksjon, undertrykkelse og risikokorreksjon.

3.2.16 risikostyring: Koordinerte handlinger for å styre og kontrollere organisasjonens aktiviteter i forhold til risiko.

3.2.17 kilde til risiko for organisasjonens informasjonssikkerhet; kilde tiletsrisiko: Et objekt eller en handling som kan forårsake [skape) en risiko.

Notater

1 Det er ingen risiko hvis det ikke er noen interaksjon mellom en gjenstand, person eller organisasjon med kilden til risiko.

2 Kilden til risiko kan være materiell eller immateriell.

3.2.18 informasjonssikkerhetspolicy (til organisasjonen); informasjonssikkerhetspolicy (organisasjon): En formell erklæring om informasjonssikkerhetsregler, prosedyrer, praksiser eller retningslinjer som styrer en organisasjons aktiviteter.

Merk - Retningslinjer må inneholde.

Emne, hovedmål og mål for sikkerhetspolitikken:

Vilkår for bruk av sikkerhetspolicyen og mulige restriksjoner:

Beskrivelse av posisjonen til organisasjonens ledelse når det gjelder implementering av sikkerhetspolitikken og organiseringen av organisasjonens informasjonssikkerhetsregime som helhet.

Rettigheter og plikter, samt graden av ansvar for ansatte for overholdelse av organisasjonens sikkerhetspolicy.

Nødprosedyrer i tilfelle brudd på sikkerhetspolitikken

3.2.19 informasjonssikkerhetsmål (for organisasjonen); IS (organisasjons) mål: Et forhåndsbestemt resultat av å sikre informasjonssikkerheten til en organisasjon i samsvar med de fastsatte kravene i IS (organisasjons) policyen.

Merk - Resultatet av å sikre informasjonssikkerhet kan være forebygging av skade på informasjonseieren på grunn av mulig informasjonslekkasje og (eller) uautorisert og utilsiktet innvirkning på informasjon.

3.2.20 system med dokumenter om informasjonssikkerhet i organisasjonen; system med i en organisasjon: et ordnet sett med dokumenter forent av en målorientering. sammenkoblet på grunnlag av opprinnelse, formål, type, aktivitetsomfang, enhetlige krav til utforming og regulering av organisasjonens aktiviteter for å sikre informasjonssikkerhet.

GOST R 53114-2008

3.3 Vilkår knyttet til trusler mot informasjonssikkerhet

3.3.1 trussel mot organisasjonens informasjonssikkerhet; informasjonssikkerhetstrussel mot en organisasjon: Et sett med faktorer og forhold som skaper fare for brudd på en organisasjons informasjonssikkerhet, forårsaker eller kan forårsake negative konsekvenser (skade/skade) for organisasjonen.

Notater

1 Formen for implementering (manifestasjon) av en informasjonssikkerhetstrussel er utbruddet av en eller flere sammenhengende informasjonssikkerhetshendelser og informasjonssikkerhetshendelser. fører til brudd på itil organisasjonens beskyttede objekt(er).

2 En trussel kjennetegnes ved tilstedeværelsen av et trusselobjekt, en trusselkilde og en manifestasjon av trusselen.

trussel (informasjonssikkerhet): Et sett med forhold og faktorer som skaper en potensiell eller faktisk fare for brudd på informasjonssikkerheten.

[GOST R 50922-2006. klausul 2.6.1]

3.3.3 trusselmodell (informasjonssikkerhet): Fysisk, matematisk, beskrivende representasjon av egenskapene eller kjennetegnene til trusler mot informasjonssikkerhet.

Merk - et spesielt forskriftsdokument kan være en type beskrivende representasjon av egenskapene eller egenskapene til trusler mot informasjonssikkerhet.

sårbarhet (av informasjonssystem); brudd: En egenskap ved et informasjonssystem som gjør det mulig å implementere trusler mot sikkerheten til informasjonen som behandles i det.

Notater

1 Vilkåret for implementering av en sikkerhetstrussel som behandles i informasjonssystemet kan være en mangel eller svakhet i informasjonssystemet.

2 Hvis sårbarheten samsvarer med trusselen, er det en risiko.

[GOST R 50922-2006. avsnitt 2.6.4]

3.3.5 brudd på organisasjonens informasjonssikkerhet; organisasjonens informasjonssikkerhetskrenker: En enkeltperson eller logisk enhet som ved et uhell eller med vilje har begått en handling, hvis konsekvens er et brudd på organisasjonens informasjonssikkerhet.

3.3.6 uautorisert tilgang: Tilgang til informasjon eller til ressurser i et automatisert informasjonssystem, utført i strid med etablerte tilgangsrettigheter (eller) regler.

Notater

1 Uautorisert tilgang kan være tilsiktet eller utilsiktet.

2 Rettigheter og regler for tilgang til informasjon og informasjonssystemressurser er etablert for, vedlikehold av et automatisert informasjonssystem og programvareendringer. tekniske ressurser og informasjonsressurser, samt innhenting av informasjon om dem.

3.3.7 nettverksangrep: Handlinger som bruker programvare og (eller) maskinvare og bruker en nettverksprotokoll, rettet mot å implementere trusler om uautorisert tilgang til informasjon, påvirke den eller ressursene til et automatisert informasjonssystem.

Applikasjon - Nettverksprotokoll er et sett med semantiske og syntaktiske regler som bestemmer samspillet mellom nesom ligger på samme datamaskin. med programmer med samme navn plassert på en annen datamaskin.

3.3.8 blokkering av tilgang (til informasjon): Oppsigelse eller vanskeligheter med tilgang til informasjon om personer. berettiget til dette (legitime brukere).

3.3.9 tjenestenektangrep: Nettverksangrep som fører til blokkering av informasjonsprosesser i et automatisert system.

3.3.10 informasjonslekkasje: Ukontrollert spredning av beskyttet informasjon som følge av utlevering av den, uautorisert tilgang til informasjon og mottak av beskyttet informasjon av utenlandske etterretningstjenester.

3.3.11 utlevering av informasjon: Uautorisert formidling av beskyttet informasjon til personer. ikke autorisert til å få tilgang til denne informasjonen.

GOST R 53114-2008

avlytting (av informasjon): Ulovlig mottak av informasjon ved bruk av et teknisk middel som oppdager, mottar og behandler informative signaler.

(R 50.1.053-2005, avsnitt 3.2.5]

informativt signal: Et signal hvis parametere kan brukes til å bestemme den beskyttede informasjonen.

[R 50.1.05S-2005. klausul 3.2.6]

3.3.14 erklærte kapasiteter: Funksjonelle muligheter til maskinvare og programvare som ikke er beskrevet eller ikke samsvarer med de som er beskrevet i dokumentasjonen. som kan føre til en reduksjon eller brudd på sikkerhetsegenskapene til informasjon.

3.3.15 falsk elektromagnetisk stråling og interferens: Elektromagnetisk stråling fra teknisk informasjonsbehandlingsutstyr, som oppstår som en bieffekt og forårsaket av elektriske signaler som virker i deres elektriske og magnetiske kretser, samt elektromagnetisk interferens av disse signalene på ledende linjer, strukturer og kraft kretser.

3.4 Vilkår knyttet til organisatorisk informasjonssikkerhetsstyring

3.4.1 informasjonssikkerhetsstyring av organisasjonen; ledelse avon; Koordinerte handlinger for ledelse og ledelse av organisasjonen når det gjelder å sikre informasjonssikkerheten i samsvar med de endrede forholdene i organisasjonens interne og eksterne miljø.

3.4.2 risikostyring av informasjonssikkerhet i organisasjonen; organisasjonensing: Koordinerte handlinger for å veilede og styre en organisasjon i forhold til informasjonssikkerhetsrisiko for å minimere den.

MERK Kjerneprosessene for risikostyring er å sette konteksten, vurdere risikoen, behandle og akseptere risikoen, overvåke og vurdere risikoen.

informasjonssikkerhet styringssystem; ISMS: En del av det overordnede styringssystemet. basert på bruk av risikovurderingsmetoder for bioenergi for utvikling, implementering og drift. overvåking, analyse, støtte og forbedring av informasjonssikkerhet.

MERK Et styringssystem inkluderer organisasjonsstruktur, policyer, planleggingsaktiviteter, ansvar, praksis, prosedyrer, prosesser og ressurser.

[GOST R ISO/IEC 27001 -2006. klausul 3.7]

3.4.4 informasjonssikkerhetens rolle i organisasjonen; rolle informasjonssikkerhet i en organisasjon: Et sett med spesifikke funksjoner og oppgaver for å sikre informasjonssikkerheten til en organisasjon som etablerer akseptabel interaksjon mellom et subjekt og et objekt i en organisasjon.

Notater

1 Emner inkluderer personer blant lederne av organisasjonen, dens personell eller prosesser som er igangsatt på deres vegne for å utføre handlinger på objekter

2 Objekter kan være maskinvare, programvare, programvare og maskinvare, eller en informasjonsressurs som handlinger utføres på.

3.4.5 informasjonssikkerhetstjeneste til en organisasjon: Den organisatoriske og tekniske strukturen til informtil en organisasjon som implementerer løsningen av en spesifikk oppgave rettet mot å motvirke trusler mot organisasjonens informasjonssikkerhet.

3.5 Vilkår knyttet til overvåking og vurdering av en organisasjons informasjonssikkerhet

3.5.1 kontroll over å sikre informasjonssikkerheten til organisasjonen; kontroll av organisasjonens informasjonssikkerhetstilbud: Kontroll av etterlevelse av informasjonssikkerhetstilbud i organisasjonen.

GOST R 53114-2008

3.5.2 overvåke organisasjonens informasjonssikkerhet; organisasjonens informasjonssikkerhetsovervåking: Konstant overvåking av informasjonssikkerhetsprosessen i organisasjonen for å etablere dens overholdelse av krav til informasjonssikkerhet.

3.5.3 revisjon av organisasjonens informasjonssikkerhet; revisjon av enon: En systematisk, uavhengig og dokumentert prosess for å innhente bevis for organisasjonens aktiviteter for å sikre informasjonssikkerhet og etablere graden av oppfyllelse av informasjonssikkerhetskriterier i organisasjonen, samt gi mulighet for å danne en profesjonell revisjon. vurdering av tilstanden til organisasjonens informasjonssikkerhet.

3.5.4 bevis (bevis) for en organisasjons informasjonssikkerhetsrevisjon; Revisjonsdata foret: Opptegnelser, faktaopplysninger eller annen informasjon som er relevant for organisasjonens revisjonskriterier for informasjonssikkerhet og kan verifiseres.

MERK Informasjonssikkerhetsbevis kan være kvalitativt eller kvantitativt.

3.5.5 vurdering av overholdelse av organisasjonens informasjonssikkerhet med etablerte krav; vurdering av samsvar av en organisasjons informasjonssikkerhet med etablerte krav: Aktiviteter involvert i direkte eller indirekte å fastslå samsvar eller manglende overholdelse av etablerte informasjonssikkerhetskrav i en organisasjon.

3.5.6 kriterium for revisjon av en organisasjons informasjonssikkerhet; revisjonskriterium for enon: Et sett med prinsipper, bestemmelser, krav og indikatorer for gjeldende regulatoriske dokumenter* knyttet til organisasjonens aktiviteter innen informasjonssikkerhet.

Søknad – Revisjonskriterier for informasjonssikkerhet brukes til å sammenligne revisjonsbevis for informasjonssikkerhet med dem.

3.5.7 sertifisering av et automatisert system i en sikker design: Prosessen med omfattende verifisering av ytelsen til de spesifiserte funksjonene til et automatisert system for behandling av beskyttet informasjon for samsvar med kravene i standarder og/eller forskriftsdokumenter innen informasjonsfeltet beskyttelse og utarbeidelse av dokumenter om dens samsvar med utførelsen av funksjonen til å behandle beskyttet informasjon på en bestemt anleggsinformasjon.

3.5.8 kriterium for å sikre informasjonssikkerheten til organisasjonen; organisasjonens informasjonssikkerhetskriterium: En indikator ut fra hvilken grad av oppnåelse av organisasjonens informasjonssikkerhetsmål vurderes.

3.5.9 effektiviteten av informasjonssikkerhet; effektivitet av informasjonssikkerhet: Forholdet mellom oppnådd resultat og ressursene som brukes for å sikre et gitt nivå av informasjonssikkerhet.

3.6 Vilkår knyttet til en organisasjons

3.6.1 sikre informasjonssikkerheten til organisasjonen; å tilby en organisasjons informasjonssikkerhet: Aktiviteter som tar sikte på å eliminere (nøytralisere, motvirke) interne og eksterne trusler mot en organisasjons informasjonssikkerhet eller minimere skade fra mulig implementering av slike trusler.

3.6.2 sikkerhetstiltak; sikkerhetskontroll: En etablert praksis, prosedyre eller mekanisme for håndtering av risiko.

3.6.3 tiltak for å sikre informasjonssikkerhet; informasjonssikkerhetstiltak: Et sett med handlinger rettet mot utvikling og/eller praktisk anvendelse av metoder og midler for å sikre informasjonssikkerhet.

3.6.4 organisatoriske tiltak for å sikre informasjonssikkerhet; Organisatoriske tiltak for å sikre informasjonssikkerhet: Tiltak for å sikre informasjonssikkerhet, som sørger for etablering av midlertidige, territorielle, romlige, juridiske, metodiske og andre begrensninger på vilkårene for bruk og driftsmåter for et informasjonsobjekt.

3.6.5 tekniske midler for å sikre informasjonssikkerhet; informasjonssikkerhet tekniske midler: Utstyr som brukes for å sikre informasjonssikkerheten til en organisasjon ved bruk av ikke-kryptografiske metoder.

Merk - Slikt utstyr kan representeres av maskinvare og programvare innebygd i det beskyttede objektet og/eller opererer autonomt (uavhengig av det beskyttede objektet).

GOST R 53114-2008

3.5.6 inntrengningsdeteksjonsverktøy, angrepsdeteksjonsverktøy: Et programvare- eller programvare-maskinvareverktøy som automatiserer prosessen med å overvåke hendelser som skjer i et datasystem eller nettverk, og som også uavhengig analyserer disse hendelsene i jakten på tegn på en informasjonssikkerhetshendelse.

3.6.7 beskyttelsesmidler mot uautorisert tilgang: Programvare, maskinvare eller programvare og maskinvare designet for å forhindre eller vesentlig hindre uautorisert tilgang.

GOST R 53114-2008

Alfabetisk indeks over termer

organisasjonens eiendeler 3.1.6

risikoanalyse 3.2.13

Høyttalere i beskyttet versjon 3.1.19

tjenestenektangrep 3.3.9

nettverksangrep 3.3.7

sertifisering av et automatisert system i en beskyttet versjon 3.5.7

organisasjonens informasjonssikkerhetsrevisjon 3.5.3

organisasjonens informasjonssikkerhetsrevisjon 3.5.3

sikkerhet (data] 3.1.1

informasjonssikkerhet 3.1.1

informasjonsteknologisikkerhet 3.1.2

organisasjonens informasjonssikkerhet 3.2.1

blokkering av tilgang (til informasjon) 3.3.8

brudd 3.3.4

uerklærte kapasiteter 3.3.14

personopplysninger 3.1.18

uautorisert tilgang 3.3.6

Organisatorisk informasjonssikkerhet 3.2.1

risikoidentifikasjon 3.2.12

informasjonsinfrastruktur 3.1.4

informasjonssikkerhetshendelse 3.2.7

kilde til organisatorisk informasjonssikkerhetsrisiko 3.2.17

kilde til risiko for organisasjonens informasjonssikkerhet 3.2.17

kontroll av organisasjonens informasjonssikkerhet 3.5.1

kontroll over informasjonssikkerheten til organisasjonen 3.5.1

kriterier for å sikre organisasjonens informasjonssikkerhet 3.5.8

organisatorisk IS-revisjonskriterium 3.5.6

kriterium for revisjon av informasjonssikkerhet for organisasjonen 3.5.6

kriterium for å sikre informasjonssikkerheten til organisasjonen 3.5.8

organisasjonens informasjonssikkerhetsstyring 3.4.1

organisasjonens informasjonssikkerhetsstyring 3.4.1

organisasjonens inf3.4.2

organisasjonens inf3.4.2

sikkerhetstiltak 3.6.2

sikkerhetstiltak 3.6.2

informasjonssikkerhetstiltak 3.6.3

organisatoriske informasjonssikkerhetstiltak 3.6.4

informasjonssikkerhetstiltak 3.6.3

organisatoriske informasjonssikkerhetstiltak 3.4.6

trusselmodell (informasjonssikkerhet) 3.3.3

organisasjonens informasjonssikkerhetsovervåking 3.5.2

overvåking av organisasjonens informasjonssikkerhet 3.5.2

brudd på organisasjonens informasjonssikkerhet 3.2.4

brudd på organisasjonens informasjonssikkerhet 3.2.4

organisasjonens informasjonssikkerhetsbrudd 3.3.5

brudd på en organisasjons informasjonssikkerhet 3.3.5

automatisert informasjonssystemstøtte 3.1.12

automatisert systemprogramvare 3.1.11

teknisk støtte for det automatiserte systemet 3.1.10

AS-informasjonsstøtte 3.1.12

AC-programvare 3.1.11

AC teknisk støtte 3.1.10

sikre organisasjonens informasjonssikkerhet 3.6.1

sikre informasjonssikkerheten til organisasjonen 3.6.1

organisasjonens inform3.2.15

GOST R 53114-2008

håndtering av organisasjonens informasjonssikkerhetsrisiko 3.2.1S

informasjonsbeskyttelsesobjekt 3.2.2

informasjonsobjekt 3.1.5

kritisk objekt 3.1.16

fastsettelse av akseptabelt risikonivå 3.2.14

risikovurdering 3.2.10

risikovurdering I6 (organisasjoner) 3.2.11

infor(organisasjon) 3.2.11

vurdere organisasjonens IS-samsvar med etablerte krav 3.5.5

vurdering av samsvar av organisasjonens informasjonssikkerhet med etablerte krav 3.5.5

avlytting (informasjon) 3.3.12

IS-politikk (organisasjon) 3.2.18

informasjonssikkerhetspolitikk (organisasjon) 3.2.18

prosess (informasjonsteknologi) beskyttet 3.2.3

informasjonsprosess 3.1.8

utlevering av informasjon 3.3.11

info3.1.7

rolle informasjonssikkerhet i organisasjonen 3.4.4

rolle informasjonssikkerhet 8 i organisasjonen 3.4.4

sertifikater (bevis) for en organisasjons IS-revisjon 3.5.4

bevis (bevis) for en organisasjons informasjonssikkerhetsrevisjon 3.5.4

tjeneste 3.1.13

informativt signal 3.3.13

sikkert automatisert system 3.1.19

informasjonssikkerhet dokumentsystem i organisasjonen 3.2.20

system med dokumenter om informasjonssikkerhet i organisasjonen 3.2.20

nøkke3.1.15

kritisk informasjonsinfrastruktursystem 3.1.15

styringssystem for informasjonssikkerhet 3.4.3

personopplysningssystem 3.1.17

uforutsett situasjon 3.2.5

farlig situasjon 3.2.6

nødsituasjon 3.2.5

organisasjonens informasjonssikkerhetstjeneste 3.4.6

hendelse 3.2.8

beskyttelse mot uautorisert tilgang 3.6.7

teknisk informasjonssikkerhetsverktøy 3.6.5

teknisk informasjonssikkerhetsverktøy 3.6.5

Angrepsdeteksjonsverktøy 3.6.6

Inntrengningsdeteksjonsverktøy 3.6.6

informasjonssfære 3.1.3

informasjonsteknologi 3.1.9

trussel (informasjonssikkerhet) 3.3.2

trussel mot organisasjonens informasjonssikkerhet 3.3.1

trussel mot organisasjonens informasjonssikkerhet 3.3.1

risikostyring 3.2.16

tjeneste 3.1.13

informasjonsteknologitjenester 3.1.14

IT-tjenester 3.1.14

informasjonslekkasje 3.3.10

sårbarhet (informasjonssystem) 3.3.4

IS-mål (organisasjon) 3.2.19

informasjonssikkerhetsmål (organisasjon) 3.2.19

elektromagnetisk stråling og sideinterferens 3.3.15

IS effektivitet 3.5.9

effektiviteten av informasjonssikkerhet 3.5.9

GOST R 53114-2008

Vedlegg A (referanse)

Begreper og definisjoner av generelle tekniske begreper

organisasjon: En gruppe arbeidere og nødvendige ressurser med fordeling av ansvar, fullmakter og relasjoner.

(GOST R ISO 9000-2001, avsnitt 3.3.1]

Notater

1 Organisasjoner inkluderer: selskap, aksjeselskap, firma, bedrift, institusjon, veldedig organisasjon, detaljforetak, forening. samt deres underavdelinger eller en kombinasjon av dem.

2 Utdelingen er vanligvis bestilt.

3 En organisasjon kan være offentlig eller privat.

A.2 virksomhet: Økonomisk aktivitet som gir fortjeneste; enhver type aktivitet som genererer inntekt og er en kilde til berikelse.

A.Z forretningsprosess: Prosesser som brukes i de økonomiske aktivitetene til en organisasjon.

informasjon: Informasjon (meldinger, data) uavhengig av presentasjonsformen.

eiendeler: Alle. hva som er av verdi for organisasjonen. (GOST R ISO/IEC13335-1-2006, avsnitt 2.2(

A.6 ressurser: Eiendeler (til en organisasjon) som brukes eller forbrukes under utførelsen av en prosess. Notater

1 Ressurser kan omfatte så forskjellige elementer som personell, utstyr, anleggsmidler, verktøy og verktøy som energi, vann, drivstoff ogktur.

2 Ressurser kan være gjenbrukbare, fornybare eller forbrukbare.

A.7 fare: En egenskap ved en gjenstand som kjennetegner dens evne til å forårsake skade eller skade på andre gjenstander. A.8 nødhendelse: En hendelse som fører til en nødsituasjon.

A.9 skade: Fysisk skade eller skade på menneskers helse eller skade på eiendom eller miljø.

A. 10 trussel: Et sett med forhold og faktorer som kan forårsake brudd på integritet og tilgjengelighet. personvern.

A.11 sårbarhet: Interne egenskaper til et objekt som skaper mottakelighet for effektene av en risikokilde som kan føre til en eller annen konsekvens.

A. 12 angrep: Et forsøk på å overvinne sikkerhetssystemet til et informasjonssystem.

Merknader - Graden av "suksess" av et angrep avhenger av sårbarheten og effektiviteten til forsvarssystemet.

A.13 ledelse: Koordinerte aktiviteter for ledelse og ledelse av organisasjonen

A.14 virksomhetsledelse (kontinuitets)ledelse: Samordnet styrings- og kontrollaktiviteter

organisasjonens forretningsprosesser.

A. 15 rolle: Et forhåndsbestemt sett med regler og prosedyrer for aktivitetene til en organisasjon som etablerer akseptabel interaksjon mellom subjektet og aktivitetsobjektet.

eier av informasjon: En person som selvstendig har opprettet informasjon eller mottatt, på grunnlag av lov eller avtale, rett til å tillate eller begrense tilgang til informasjon bestemt av et hvilket som helst kriterium.

GOST R 53114-2008

Infrastruktur: Den helheten av bygninger, utstyr og støttetjenester som er nødvendige for at en organisasjon skal fungere.

[GOST R ISO 9000-2001. klausul 3.3.3]

A.18 revisjon: En systematisk, uavhengig og dokumentert prosess for å innhente revisjonsbevis og evaluere det objektivt for å fastslå i hvilken grad avtalte revisjonskriterier er oppfylt.

Notater

1 Internrevisjoner, kalt førstepartsrevisjoner, utføres for interne formål av organisasjonen selv eller på dennes vegne av en annen organisasjon. Resultatene fra internrevisjonen kan tjene som grunnlag for en samsvarserklæring. I mange tilfeller, spesielt i små bedrifter, må tilsynet utføres av spesialister (personer som ikke er ansvarlige for aktiviteten som revideres).

NOTE 2 Eksterne revisjoner inkluderer revisjoner kalt andrepartsrevisjoner og tredjepartsrevisjoner. Andrepartsrevisjoner utføres for eksempel av parter som er interessert i virksomheten til virksomheten.

forbrukere eller andre på deres vegne. Tredjepartsrevisjoner utføres av eksterne uavhengige organisasjoner. Disse organisasjonene utfører sertifisering eller registrering for overholdelse av kravene, for eksempel kravene i GOST R ISO 9001 og GOST R ISO 14001.

3 En revisjon av kvalitets- og miljøstyringssystemer som utføres samtidig, kalles en «omfattende revisjon».

4 Dersom revisjonen av den reviderte organisasjonen utføres samtidig av flere organisasjoner, kalles en slik revisjon «felles revisjon».

A.19 overvåking: Systematisk eller kontinuerlig overvåking av et objekt, sikre kontroll og/eller måling av dets parametere, samt utføre analyser for å forutsi variabiliteten av parametere og ta beslutninger om behovet og sammensetningen av korrigerende og forebyggende handlinger.

Samsvarserklæring: En form for bekreftelse av produktets samsvar med kravene i tekniske forskrifter.

A.21 teknologi: Et system av sammenkoblede metoder, metoder, teknikker for objektiv aktivitet. A.22

dokument: Informasjon registrert på et håndgripelig medium med detaljer som gjør at den kan identifiseres.

[GOST R 52069.0-2003. avsnitt 3.18]

A.23 informasjonsbehandling: Et sett med operasjoner med innsamling, akkumulering, inndata, utdata, mottak, overføring, opptak, lagring, registrering, ødeleggelse, transformasjon, visning, utført på informasjon.

GOST R 53114-2008

Vedlegg B (til referanse)

Forholdet mellom grunnleggende begreper innen informasjonssikkerhet i en organisasjon

Sammenhengen mellom de grunnleggende begrepene er vist i figur B.1.

Figur B.1 - forhold mellom grunnleggende begreper

GOST R 53114-2008

Bibliografi

(1] R 50.1.053-2005

(2]PS0.1.056-2005

Informasjonsteknologi. Grunnleggende begreper og definisjoner innen teknisk informasjonssikkerhet Teknisk informasjonssikkerhet. Grunnleggende begreper og definisjoner

Om teknisk forskrift

Om informasjon, informasjonsteknologi og informasjonsbeskyttelse

Om personopplysninger

Den russiske føderasjonens informasjonssikkerhetsdoktrine

UDC 351.864.1:004:006.354 OKS 35.020 LLP

Stikkord: informasjon, informasjonssikkerhet, informasjonssikkerhet i en organisasjon, trusler mot informasjonssikkerhet, informasjonssikkerhetskriterier

Redaktør V.N. Cops soya Teknisk redaktør V.N. Prusakova-korrektor V.E. Nestorovo Dataprogramvare I.A. NapeikinoO

Levert for rekruttering 11.06.2009. Signert stempel 12.01.2009. Format 60"84 offsetpapir. Arial skrifttype. Offsettrykk. Usp. stekeovn l. 2,32. Uch.-ed. l. 1,90. Opplag 373 »kz. Zach. 626

FSUE "STANDARTINFORM*. 123995 Moskva. Granateple por.. 4. info@goslmlo gi

Skrives inn i FSUE "STANDARTINFORM" på en PC.

Trykt på filialen til FSUE "STANDARTINFORM* - type. "Moskva-skriver". 105062 Moskva. Lyalin bane.. 6.

• GOST 22731-77 Dataoverføringssystemer, datalinkkontrollprosedyrer i hovedmodus for halvdupleks informasjonsutveksling
• GOST 26525-85 Databehandlingssystemer. Bruksberegninger
• GOST 27771-88 Prosedyreegenskaper ved grensesnittet mellom dataterminalutstyr og datakanaltermineringsutstyr. Generelle krav og standarder
• GOST 28082-89 Informasjonsbehandlingssystemer. Metoder for å oppdage feil ved seriell dataoverføring
• GOST 28270-89 Informasjonsbehandlingssystemer. Databeskrivelse Filspesifikasjon for informasjonsutveksling
• GOST R 43.2.11-2014 Informasjonsstøtte for utstyr og operatøraktiviteter. Operatørspråk. Strukturert presentasjon av tekstinformasjon i meldingsformater
• GOST R 43.2.8-2014 Informasjonsstøtte for utstyr og operatøraktiviteter. Operatørspråk. Meldingsformater for tekniske aktiviteter
• GOST R 43.4.1-2011 Informasjonsstøtte for utstyr og operatøraktiviteter. "Menneskeinformasjon" system
• GOST R 53633.10-2015 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Extended Communications Organization Operational Framework (eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Organisasjonsledelse. Organisatorisk risikostyring
• GOST R 53633.11-2015 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Utvidet kommunikasjo(eTOM) Dekomponering og prosessbeskrivelser. eTOM nivå 2-prosesser. Organisasjonsledelse. Organisatorisk ytelsesledelse
• GOST R 53633.4-2015 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Extended Communications Organization Operational Framework (eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Primæraktivitet. Tjenesteledelse og drift
• GOST R 53633.7-2015 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Extended Communications Organization Operational Framework (eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Strategi, infrastruktur og produkt. Utvikling og ressursforvaltning
• GOST R 53633.9-2015 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Extended Communications Organization Operational Framework (eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Organisasjonsledelse. Planleggingsstrategi og utvikling av organisasjonen
• GOST R 55767-2013 Informasjonsteknologi. Europeisk IKT-kompetanseramme 2.0. Del 1. Felles europeisk kompetanserammeverk for IKT-fagfolk for alle industrisektorer
• GOST R 55768-2013 Informasjonsteknologi. Modell av et åpent nettsystem. Grunnleggende bestemmelser
• GOST R 56093-2014 Informasjonsbeskyttelse. Automatiserte systemer i et sikkert design. Midler for å oppdage elektromagnetiske påvirkninger med tilsiktet kraft. Generelle Krav
• GOST R 56115-2014 Informasjonsbeskyttelse. Automatiserte systemer i et sikkert design. Midler for beskyttelse mot elektromagnetiske påvirkninger med tilsiktet kraft. Generelle Krav
• GOST R 56545-2015 Informasjonsbeskyttelse. Sårbarheter i informasjonssystemer. Regler for beskrivelse av sårbarheter
• GOST R 56546-2015 Informasjonsbeskyttelse. Sårbarheter i informasjonssystemer. Klassifisering av sårbarheter i informasjonssystem
• GOST IEC 60950-21-2013 Informasjonsteknologiutstyr. Sikkerhetskrav. Del 21. Ekstern strømforsyning
• GOST IEC 60950-22-2013 Informasjonsteknologiutstyr. Sikkerhetskrav. Del 22. Utstyr beregnet for installasjon utendørs
• GOST R 51583-2014 Informasjonsbeskyttelse. Prosedyren for å lage automatiserte systemer i et sikkert design. Generelle bestemmelser
• GOST R 55766-2013 Informasjonsteknologi. Europeisk IKT-kompetanseramme 2.0. Del 3. Oppretting av e-CF - som kombinerer metodisk grunnlag og eksperterfaring
• GOST R 55248-2012 Elektrisk sikkerhet. Klassifisering av grensesnitt for utstyr knyttet til informasjons- og kommunikasjonsteknologiske nettverk
• GOST R 43.0.11-2014 Informasjonsstøtte for utstyr og operatøraktiviteter. Databaser i teknisk virksomhet
• GOST R 56174-2014 Informasjonsteknologi. Arkitektur av tjenester i et åpent nettmiljø. Begreper og definisjoner
• GOST IEC 61606-4-2014 Lyd- og audiovisuelt utstyr. Komponenter av digitalt lydutstyr. Grunnleggende metoder for å måle lydegenskaper. Del 4. Personlig datamaskin
• GOST R 43.2.5-2011 Informasjonsstøtte for utstyr og operatøraktiviteter. Operatørspråk. Grammatikk
• GOST R 53633.5-2012 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Extended Communications Organization Operational Framework (eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Strategi, infrastruktur og produkt. Markedsføring og produkttilbudsstyring
• GOST R 53633.6-2012 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Extended Communications Organization Operational Framework (eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Strategi, infrastruktur og produkt. Tjenesteutvikling og ledelse
• GOST R 53633.8-2012 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Extended Communications Organization Operational Framework (eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Strategi, infrastruktur og produkt. Supply chain utvikling og ledelse
• GOST R 43.0.7-2011 Informasjonsstøtte for utstyr og operatøraktiviteter. Hybrid-intellektualisert menneske-informasjon interaksjon. Generelle bestemmelser
• GOST R 43.2.6-2011 Informasjonsstøtte for utstyr og operatøraktiviteter. Operatørspråk. Morfologi
• GOST R 53633.14-2016 Informasjonsteknologi. Telekommuer et utvidet driftsrammeverk for kommunikasjonsorganisasjoner (eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Organisasjonsledelse. Ledelse av interessenter og eksterne relasjoner
• GOST R 56938-2016 Informasjonsbeskyttelse. Informasjonsbeskyttelse ved bruk av virtualiseringsteknologier. Generelle bestemmelser
• GOST R 56939-2016 Informasjonsbeskyttelse. Sikker programvareutvikling. Generelle Krav
• GOST R ISO/IEC 17963-2016 Spesifikasjon av webtjenester for ledelse (WS-management)
• GOST R 43.0.6-2011 Informasjonsstøtte for utstyr og operatøraktiviteter. Naturlig intellektualisert interaksjon mellom menneske og informasjon. Generelle bestemmelser
• GOST R 54817-2011 Tenning av lyd-, video-, informasjonsteknologi- og kommunikasjonsutstyr forårsaket ved et uhell av en stearinlysflamme
• GOST R IEC 60950-23-2011 Informasjonsteknologiutstyr. Sikkerhetskrav. Del 23. Utstyr for lagring av store datamengder
• GOST R IEC 62018-2011 Energiforbruk av informasjonsteknologiutstyr. Målemetoder
• GOST R 53538-2009 Multi-pair kabler med kobberledere for bredbåndsaksesskretser. Generelle tekniske krav
• GOST R 53633.0-2009 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Utvidet ordning for kommun(eTOM). Generell struktur av forretningsprosesser
• GOST R 53633.1-2009 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Utvidet ordning for kommun(eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Primæraktivitet. Håndtere relasjoner med leverandører og samarbeidspartnere
• GOST R 53633.2-2009 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Utvidet ordning for kommun(eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Primæraktivitet. Ressursforvaltning og drift
• GOST R 53633.3-2009 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Utvidet ordning for kommun(eTOM). Dekomponering og beskrivelser av prosesser. eTOM nivå 2-prosesser. Primæraktivitet. Kundeansvarlig
• GOST R ISO/IEC 20000-2-2010 Informasjonsteknologi. Tjenesteledelse. Del 2: Retningslinjer
• GOST R 43.0.3-2009 Informasjonsstøtte for utstyr og operatøraktiviteter. Middagsteknologi i tekniske aktiviteter. Generelle bestemmelser
• GOST R 43.0.4-2009 Informasjonsstøtte for utstyr og operatøraktiviteter. Informasjon i tekniske aktiviteter. Generelle bestemmelser
• GOST R 43.0.5-2009 Informasjonsstøtte for utstyr og operatøraktiviteter. Informasjonsutvekslingsprosesser i tekniske aktiviteter. Generelle bestemmelser
• GOST R 43.2.1-2007 Informasjonsstøtte for utstyr og operatøraktiviteter. Operatørspråk. Generelle bestemmelser
• GOST R 43.2.2-2009 Informasjonsstøtte for utstyr og operatøraktiviteter. Operatørspråk. Generelle bestemmelser for bruk
• GOST R 43.2.3-2009 Informasjonsstøtte for utstyr og operatøraktiviteter. Operatørspråk. Typer og egenskaper til ikoniske komponenter
• GOST R 43.2.4-2009 Informasjonsstøtte for utstyr og operatøraktiviteter. Operatørspråk. Syntaktikk av tegnkomponenter
• GOST R 52919-2008 Informasjonsteknologi. Metoder og midler for fysisk beskyttelse. Klassifisering og testmetoder for brannmotstand. Datarom og containere
• GOST R 53114-2008 Informasjonsbeskyttelse. Sikre informasjonssikkerhet i organisasjonen. Grunnleggende begreper og definisjoner
• GOST R 53245-2008 Informasjonsteknologi. Strukturerte kabelsystemer. Installasjon av hovedkomponentene i systemet. Testmetoder
• GOST R 53246-2008 Informasjonsteknologi. Strukturerte kabelsystemer. Design av hovedkomponentene i systemet. Generelle Krav
• GOST R IEC 60990-2010 Metoder for måling av berøringsstrøm og beskyttelseslederstrøm
• GOST 33707-2016 Informasjonsteknologi. Ordbok
• GOST R 57392-2017 Informasjonsteknologi. Tjenesteledelse. Del 10. Grunnleggende begreper og terminologi
• GOST R 43.0.13-2017 Informasjonsstøtte for utstyr og operatøraktiviteter. Rettet opplæring av spesialister
• GOST R 43.0.8-2017 Informasjonsstøtte for utstyr og operatøraktiviteter. Kunstig intellektualisert interaksjon mellom menneske og informasjon. Generelle bestemmelser
• GOST R 43.0.9-2017 Informasjonsstøtte for utstyr og operatøraktiviteter. Informasjonsressurser
• GOST R 43.2.7-2017 Informasjonsstøtte for utstyr og operatøraktiviteter. Operatørspråk. Syntaks
• GOST R ISO/IEC 38500-2017 Informasjonsteknologi. Strategisk IT-ledelse i en organisasjon
• GOST R 43.0.10-2017 Informasjonsstøtte for utstyr og operatøraktiviteter. Informasjonsobjekter, objektorientert design i utforming av teknisk informasjon
• GOST R 53633.21-2017 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Utvidet ordning for kommun(eTOM). Dekomponering og beskrivelser av prosesser. Primæraktivitet. Ledelse og drift av tjenester. eTOM nivå 3-prosesser. Prosess 1.1.2.1 - Støtte og tilgjengelighet av SM&O-prosesser
• GOST R 57875-2017 Telekommunikasjon. Koblingsskjemaer og jording i telesentraler
• GOST R 53633.22-2017 Informasjonsteknologi. Telekommunikasjonskontrollnettverk. Utvidet ordning for kommun(eTOM). Dekomponering og beskrivelser av prosesser. Primæraktivitet. Ledelse og drift av tjenester. eTOM nivå 3-prosesser. Prosess 1.1.2.2 - Konfigurering og aktivering av tjenester

Internasjonale standarder

• BS 7799-1:2005 - British Standard BS 7799 første del. BS 7799 del 1 - Code of Practice for Information Security Management beskriver de 127 kontrollene som kreves for å bygge styringssystemer for informasjonssikkerhet(ISMS) av organisasjonen, bestemt på grunnlag av de beste eksemplene på global erfaring (beste praksis) på dette området. Dette dokumentet fungerer som en praktisk veiledning for å lage en ISMS
• BS 7799-2:2005 - British Standard BS 7799 er den andre delen av standarden. BS 7799 Del 2 - Informasjonssikkerhetsstyring - spesifikasjon for styringssystemer for informasjonssikkerhet spesifiserer ISMS-spesifikasjonen. Den andre delen av standarden brukes som kriterier under den offisielle sertifiseringsprosedyren for organisasjonens ISMS.
• BS 7799-3:2006 - British Standard BS 7799 tredje del av standarden. En ny standard innening
• ISO/IEC 17799:2005 - "Informasjonsteknologi - Sikkerhetsteknologier - Praksis for administrasjon av informasjonssikkerhet." Internasjonal standard basert på BS 7799-1:2005.
• ISO/IEC 27000 - Ordforråd og definisjoner.
• ISO/IEC 27001:2005 - "Informasjonsteknologi - Sikkerhetsteknikker - Styringssystemer for informasjonssikkerhet - Krav." Internasjonal standard basert på BS 7799-2:2005.
• ISO/IEC 27002 - Nå: ISO/IEC 17799:2005. "Informasjonsteknologier - Sikkerhetsteknologier - Praktiske regler for styring av informasjonssikkerhet." Utgivelsesdato: 2007.
• ISO/IEC 27005 - Nå: BS 7799-3:2006 - Veiledning om risikostyring av informasjonssikkerhet.
• Tysk informasjonssikkerhetsbyrå. IT Baseline Protection Manual - Standard sikkerhetstiltak.

Statlige (nasjonale) standarder for den russiske føderasjonen

• GOST R 50922-2006 - Informasjonsbeskyttelse. Grunnleggende begreper og definisjoner.
• R 50.1.053-2005 - Informasjonsteknologi. Grunnleggende begreper og definisjoner innen teknisk informasjonssikkerhet.
• GOST R 51188-98 - Informasjonsbeskyttelse. Testing av programvare for datavirus. Modell manual.
• GOST R 51275-2006 - Informasjonsbeskyttelse. Informasjonsobjekt. Faktorer som påvirker informasjon. Generelle bestemmelser.
• GOST R ISO/IEC 15408-1-2008 - Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Kriterier for vurdering av sikkerheten til informasjonsteknologi. Del 1. Introduksjon og generell modell.
• GOST R ISO/IEC 15408-2-2008 - Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Kriterier for vurdering av sikkerheten til informasjonsteknologi. Del 2. Krav til funksjonssikkerhet.
• GOST R ISO/IEC 15408-3-2008 - Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Kriterier for vurdering av sikkerheten til informasjonsteknologi. Del 3. Krav til sikkerhet.
• GOST R ISO/IEC 15408 - "Generelle kriterier for vurdering av sikkerheten til informasjonsteknologi" - en standard som definerer verktøy og metoder for å vurdere sikkerheten til informasjonsprodukter og -systemer; den inneholder en liste over krav som resultatene av uavhengige sikkerhetsvurderinger kan sammenlignes mot - slik at forbrukeren kan ta beslutninger om sikkerheten til produktene. Omfanget av anvendelsen av de "Generelle kriteriene" er beskyttelse av informasjon mot uautorisert tilgang, modifikasjon eller lekkasje, og andre beskyttelsesmetoder implementert av maskinvare og programvare.
• GOST R ISO/IEC 17799 - "Informasjonsteknologi. Praktiske regler for informasjonssikkerhetsstyring." Direkte anvendelse av den internasjonale standarden med tillegg av ISO/IEC 17799:2005.
• GOST R ISO/IEC 27001 - "Informasjonsteknologi. Sikkerhetsmetoder. Styringssystem for informasjonssikkerhet. Krav". Den direkte anvendelsen av den internasjonale standarden er ISO/IEC 27001:2005.
• GOST R 51898-2002: Sikkerhetsaspekter. Regler for inkludering i standarder.

Veiledende dokumenter

• RD SVT. Beskyttelse mot NSD. Sikkerhetsindikatorer fra NSD til informasjon - inneholder beskrivelse av sikkerhetsindikatorer for informasjonssystemer og krav til sikkerhetsklasser.

se også

• Uerklærte evner

Eksterne linker

• Internasjonale standarder for styring av informasjonssikkerhet

Wikimedia Foundation. 2010.

Viktigheten av å sikre informasjonssikkerhet er vanskelig å overvurdere, siden behovet for å lagre og overføre data er en integrert del av å drive enhver virksomhet.

Ulike metoder for informasjonssikkerhet avhenger av i hvilken form den lagres, men for å systematisere og effektivisere dette området er det nødvendig å etablere, siden standardisering er en viktig kvalitetsbestemmelse i vurderingen av tjenestene som ytes.

Enhver levering av informasjonssikkerhet krever kontroll og verifikasjon, som ikke bare kan utføres ved individuell vurdering, uten å ta hensyn til internasjonale og statlige standarder.

Dannelsen av skjer etter en klar definisjon av dens funksjoner og grenser. Informasjonssikkerhet er å sikre konfidensialitet, integritet og tilgjengelighet til data.

For å fastslå tilstanden for informasjonssikkerhet er en kvalitativ vurdering mest anvendelig, siden det er mulig å uttrykke graden av sikkerhet eller sårbarhet i prosent, men dette gir ikke et fullstendig og objektivt bilde.

For å vurdere og revidere sikkerheten til informasjonssystemene kan du bruke en rekke instruksjoner og anbefalinger, som innebærer regulatorisk støtte.

Statlige og internasjonale standarder for informasjonssikkerhet

Overvåking og vurdering av sikkerhetstilstanden utføres ved å kontrollere deres samsvar med statlige standarder (GOST, ISO) og internasjonale standarder (Iso, Common criteris for IT-sikkerhet).

Det internasjonale settet med standarder utviklet av International Organization for Standardization (ISO) er et sett med praksis og anbefalinger for implementering av informasjonssikkerhetssystemer og utstyr.

ISO 27000 er en av de mest anvendelige og utbredte vurderingsstandardene, inkludert mer enn 15 bestemmelser, og sekvensielt nummerert.

I henhold til ISO 27000 staner informasjonssikkerhet ikke bare dens integritet, konfidensialitet og tilgjengelighet, men også autentisitet, pålitelighet, feiltoleranse og identifiserbarhet. Konvensjonelt kan denne serien av standarder deles inn i 4 seksjoner:

• oversikt og innføring i terminologi, beskrivelse av begreper som brukes innen sikkerhetsfeltet;
• obligatoriske krav til et styringssystem for informasjonssikkerhet, en detaljert beskrivelse av metoder og midler for å administrere systemet. Er hovedstandarden for denne gruppen;
• revisjonsanbefalinger, veiledning om sikkerhetskontroller;
• standarder som anbefaler praksis for implementering, utvikling og forbedring av et styringssystem for informasjonssikkerhet.

Statlige inkluderer en rekke forskrifter og dokumenter som består av mer enn 30 bestemmelser (GOST).

Ulike standarder er ikke bare rettet mot å etablere generelle vurderingskriterier, som GOST R ISO/IEC 15408, som inneholder metodiske retningslinjer for sikkerhetsvurdering og en liste over krav til styringssystemet. De kan være spesifikke og også inneholde praktisk veiledning.

Riktig organisering av lageret og dets regelmessige overvåking av driften vil bidra til å eliminere tyveri av varer og materielle eiendeler, noe som negativt påvirker den økonomiske velstanden til enhver bedrift, uavhengig av dens form for eierskap.

Ved lansering går lagerautomatiseringssystemet gjennom ytterligere to stadier: intern testing og datautfylling. Etter slik klargjøring starter systemet opp for fullt. Les mer om automatisering her.

Sammenhengen og settet med teknikker fører til utvikling av generelle bestemmelser og til sammenslåing av internasjonal og statlig standardisering. Dermed inneholder GOST-er fra den russiske føderasjonen tillegg og referanser til internasjonale ISO-standarder.

Slik interaksjon bidrar til å utvikle et enhetlig system for overvåking og evaluering, som igjen øker effektiviteten av å anvende disse bestemmelsene i praksis, objektivt vurdere arbeidsresultater og generelt forbedre effektiviteten.

Sammenligning og analyse av nasjonale og internasjonale standardiseringssystemer

Antallet europeiske standardiseringsstandarder for å sikre og kontrollere informasjonssikkerhet overgår betydelig de juridiske standardene som er etablert av den russiske føderasjonen.

I nasjonale statlige standarder er de gjeldende bestemmelsene om beskyttelse av informasjon mot mulig hacking, lekkasje og trusler om tap. Utenlandske sikkerhetssystemer spesialiserer seg på å utvikle standarder for datatilgang og autentisering.

Det er også forskjeller i bestemmelsene knyttet til implementering av kontroll og revisjon av systemer. I tillegg er praksisen med å anvende og implementere informfor europeisk standardisering manifestert i nesten alle livets områder, og standardene til Den russiske føderasjonen er hovedsakelig rettet mot å bevare materiell velvære.

Stadig oppdaterte statlige standarder inneholder imidlertid de nødvendige minimumskravene for å skape et kompetent styringssystem for informasjonssikkerhet.

Informasjonssikkerhetsstandarder for dataoverføring

Å gjøre forretninger innebærer lagring, utveksling og overføring av data via Internett. I den moderne verden foregår valutatransaksjoner, kommersielle aktiviteter og overføringer av midler ofte online, og det er mulig å sikre informasjonssikkerheten til denne aktiviteten bare ved å bruke en kompetent og profesjonell tilnærming.

Det finnes mange standarder på Internett som sikrer sikker lagring og overføring av data, kjente antivirusprogrammer, spesielle protokoller for økonomiske transaksjoner og mange andre.

Hastigheten på utviklingen av informasjonsteknologier og -systemer er så stor at den overgår protokoller og enhetlige standarder for bruken betydelig.

En av de populære sikre dataoverføringsprotokollene er SSL (Secure Socket Layer), utviklet av amerikanske spesialister. Den lar deg beskytte data ved hjelp av kryptografi.

Fordelen med denne protokollen er muligheten for verifisering og autentisering, for eksempel rett før datautveksling. Imidlertid er bruken av slike systemer ved overføring av data ganske rådgivende, siden bruken av disse standardene ikke er obligatorisk for gründere.

For å åpne en LLC trenger du et charter for bedriften. En prosedyre som utvikles i samsvar med lovgivningen i Den russiske føderasjonen. Du kan skrive den selv, ta en standardprøve som veiledning, eller du kan kontakte spesialister som skal skrive den.

En ambisiøs forretningsmann som planlegger å utvikle sin egen virksomhet som individuell entreprenør, må angi økonomisk aktivitetskode i samsvar med OKVED når du fyller ut søknaden. Detaljer her.

For å utføre sikre transaksjoner og operasjoner ble SET-overføringsprotokollen (Security Electronic Transaction) utviklet, som gjør det mulig å minimere risikoen når man utfører kommersielle operasjoner og handelsoperasjoner. Denne protokollen er en standard for Visa- og Master Card-betalingssystemer, som tillater bruk av en sikkerhetsmekanisme for betalingssystemer.

Komiteer som standardiserer Internett-ressurser er frivillige, derfor er aktivitetene de utfører ikke lovlige og obligatoriske.

Imidlertid er svindel på Internett i den moderne verden anerkjent som et av de globale problemene, derfor er det rett og slett umulig å sikre informasjonssikkerhet uten bruk av spesielle teknologier og deres standardisering.

Security Management Systems - Specification with guidance for use" (Systems - specifications with guidance for use). På grunnlag av dette ble ISO/IEC 27001:2005 "Information Technology"-standarden utviklet. Sikkerhetsteknikker. Styringssystemer for informasjonssikkerhet. Krav", for overholdelse av hvilke sertifiseringer som kan utføres.

I Russland er standardene GOST R ISO/IEC 17799-2005 "Informasjonsteknologi" gjeldende informasjonssikkerhetsstyring"(autentisk oversettelse av ISO/IEC 17799:2000) og GOST R ISO/IEC 27001-2006 "Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Styringssystemer for informasjonssikkerhet. Krav" (oversettelse av ISO/IEC 27001:2005). Til tross for enkelte interne avvik knyttet til forskjellige versjoner og oversettelsesfunksjoner, tillater tilstedeværelsen av standarder oss å bringe systemet informasjonssikkerhetsstyring i samsvar med deres krav og, om nødvendig, sertifisere.

GOST R ISO/IEC 17799:2005 "Informasjonsteknologi. Praktiske regler for informasjonssikkerhetsstyring"

La oss nå vurdere innholdet i standarden. I innledningen heter det at «informasjon, prosessene som støtter den, informasjonssystemer og nettverksinfrastruktur er viktige eiendeler for en organisasjon. Konfidensialitet, integritet og tilgjengelighet av informasjon kan i betydelig grad bidra til konkurranseevne, likviditet, lønnsomhet, etterlevelse og etterlevelse. forretningsomdømme organisasjon." Dermed kan vi si at denne standarden vurderer informasjonssikkerhetsspørsmål, inkludert fra synspunktet om økonomisk effekt.

Det er angitt tre grupper av faktorer som må tas i betraktning ved utvikling av krav innen informasjonssikkerhet. Dette:

• organisasjonens risikovurdering. Gjennom risikovurdering identifiseres trusler mot organisasjonens eiendeler, sårbarhetsvurdering relevante eiendeler og sannsynligheten for at trusler oppstår, samt en vurdering av mulige konsekvenser;
• juridiske, lovpålagte, regulatoriske og kontraktsmessige krav som må oppfylles av organisasjonen, dens handelspartnere, entreprenører og tjenesteleverandører;
• et spesifikt sett med prinsipper, mål og krav utviklet av en organisasjon angående behandling av informasjon.

Når kravene er fastsatt, starter stadiet med valg og implementering av tiltak som skal sikre risikoreduksjon til et akseptabelt nivå. Utvalg av arrangementer etter informasjonssikkerhetsstyring bør baseres på forholdet mellom kostnadene ved implementeringen, effekten av å redusere risiko og mulige tap i tilfelle et sikkerhetsbrudd. Faktorer som ikke kan uttrykkes i monetære termer, som tap av omdømme, bør også tas i betraktning. En mulig liste over aktiviteter er gitt i standarden, men det bemerkes at den kan suppleres eller dannes selvstendig basert på behovene til organisasjonen.

La oss kort liste opp delene av standarden og isom er foreslått i dem. Den første gruppen gjelder sikkerhetspolitikk. Det kreves at det er utviklet, godkjent av ledelsen i organisasjonen, publisert og gjort oppmerksom på alle ansatte. Det bør bestemme prosedyren for å arbeide med organisasjonens informasjonsressurser, plikter og ansvar til ansatte. Policyen gjennomgås med jevne mellomrom for å gjenspeile den nåværende tilstanden til systemet og identifiserte risikoer.

Den neste delen tar for seg organisatoriske spørsmål knyttet til informasjonssikkerhet. Standarden anbefaler å opprette styringsråd (med deltakelse av selskapets toppledelse) for å godkjenne sikkerhetspolitikken, utnevne ansvarlige personer, fordeling av ansvar og koordinering av gjennomføring av aktiviteter for informasjonssikkerhetsstyring I organisasjonen. Prosessen for å få tillatelse til å bruke informasjonsbehandlingsverktøy (inkludert ny programvare og maskinvare) i organisasjonen bør også beskrives slik at dette ikke fører til sikkerhetsproblemer. Det er også nødvendig å bestemme prosedyren for samhandling med andre organisasjoner om informasjonssikkerhetsspørsmål, konsultasjoner med "eksterne" spesialister og uavhengig verifisering (revisjon) av informasjonssikkerhet.

Når man gir tilgang til informasjonssystemer til spesialister fra tredjepartsorganisasjoner, må man være spesielt oppmerksom på sikkerhetsspørsmål. En vurdering av risikoen knyttet til ulike typer tilgang (fysisk eller logisk, dvs. ekstern) for slike spesialister til ulike organisatoriske ressurser må gjennomføres. Behovet for å gi tilgang må begrunnes, og kontrakter med tredjeparter og organisasjoner må inneholde krav om etterlevelse av sikkerhetspolicyen. Det foreslås å gjøre det samme ved involvering av tredjepartsorganisasjoner i informasjonsbehandling (outsourcing).

Den neste delen av standarden er viet spørsmål om klassifisering og kapitalforvaltning. For å sikre informasjonssikkerheten til en organisasjon, er det nødvendig at alle nøkkelinformasjonsmidler blir regnskapsført og tildelt ansvarlige eiere. Vi foreslår å starte med en inventar. Følgende klassifisering er gitt som et eksempel:

• informasjonsressurser (databaser og datafiler, systemdokumentasjon etc.);
• programvareressurser (applikasjonsprogramvare, systemprogramvare, utviklingsverktøy og verktøy);
• fysiske eiendeler (datautstyr, kommunikasjonsutstyr, lagringsmedier, annet teknisk utstyr, møbler, lokaler);
• tjenester (data- og kommunikasjonstjenester, grunnleggende verktøy).

Deretter foreslås det å klassifisere informasjon for å fastslå prioritet, nødvendighet og grad av beskyttelse. Samtidig kan den relevante informasjonen vurderes under hensyntagen til hvor kritisk den er for organisasjonen, for eksempel med tanke på å sikre dens integritet og tilgjengelighet. Etter dette foreslås det å utvikle og implementere en merkeprosedyre ved behandling av opplysninger. Merkingsprosedyrer bør defineres for hvert klassifiseringsnivå for å imøtekomme følgende typer informasjonsbehandling:

• kopiering;
• Oppbevaring;
• overføring via post, faks og e-post;
• taleoverføring, inkludert mobiltelefon, talepost, telefonsvarer;
• ødeleggelse.

Den neste delen tar for seg sikkerhetsspørsmål knyttet til personell. Standarden bestemmer at ansvaret for overholdelse av sikkerhetskravene fordeles på stadiet av personellvalg, inkludert i arbeidskontrakter og overvåkes gjennom hele arbeidsperioden for den ansatte. Spesielt når du ansetter en fast ansatt, anbefales det å sjekke ektheten av dokumentene som er sendt inn av søkeren, fullstendigheten og nøyaktigheten til CVen og anbefalingene som er sendt til ham. Det anbefales at ansatte signerer en konfidensialitetsavtale som sier hvilken informasjon som er konfidensiell eller sensitiv. Disiplinært ansvar for ansatte som bryter organisasjonens sikkerhetspolicyer og prosedyrer må fastsettes. Der det er nødvendig, bør dette ansvaret fortsette i en bestemt periode etter at du har sluttet.

Brukerne må læres opp sikkerhetsprosedyrer og riktig bruk av informasjonsbehandlingsverktøy for å minimere mulige risikoer. I tillegg kommer fremgangsmåten for å informere om brudd på informasjonssikkerheten, som må gjøres kjent for personalet. En lignende prosedyre bør følges i tilfeller av programvarefeil. Slike hendelser må registreres og analyseres for å identifisere tilbakevendende problemer.

Den neste delen av standarden tar opp spørsmål om fysisk og miljøvern. Det heter at «midler for behandling av kritisk eller viktig tjenesteinformasjon skal være plassert i sikkerhetssoner utpekt av en viss sikkerhetsomkrets med passende beskyttelsesbarrierer og inntrengningskontroller. Disse områdene skal være fysisk beskyttet mot uautorisert tilgang, skade og påvirkning.» I tillegg til å organisere adgangskontroll til verneområder, skal det fastsettes prosedyre for å utføre arbeid i disse og eventuelt prosedyrer for organisering av besøksadgang. nødvendig for å sikre sikkerheten til utstyr (inkludert , som brukes utenfor organisasjonen) for å redusere risikoen for uautorisert tilgang til data og beskytte dem mot tap eller skade. Denne gruppen av krav inkluderer også beskyttelse mot strømbrudd og kabelnettverksbeskyttelse. Det må også defineres en prosedyre for vedlikehold av utstyr som tar hensyn til sikkerhetskrav, og prosedyrer for sikker avhending eller gjenbruk av utstyr anbefales for eksempel at engangslagringsmedier som inneholder sensitiv informasjon destrueres eller overskrives på en sikker måte. i stedet for å bruke standard funksjoner for sletting av data.

For å minimere risikoen for uautorisert tilgang til eller skade på papirdokumenter, lagringsmedier og informasjonsbehandlingsmedier, anbefales det å implementere en "clean desk"-policy for papirdokumenter og flyttbare lagringsmedier, samt en "ren skjerm"-policy for informasjonsbehandlingsutstyr. Utstyr, informasjon eller programvare kan bare fjernes fra organisasjonens lokaler med passende tillatelse.

Tittelen på neste del av standarden er "Styring av dataoverføring og operasjonelle aktiviteter." Det krever at ansvar og prosedyrer knyttet til driften av alle informasjonsbehandlingsanlegg er etablert. For eksempel må konfigurasjonsendringer i informasjonsbehandlingsanlegg og systemer kontrolleres. Det kreves å implementere prinsippet om ansvarsdeling i forhold til ledelsesfunksjoner, utførelse av visse oppgaver og områder.

Det anbefales å skille utviklings-, test- og produksjonsmiljøene for programvare. Reglene for overføring av programvare fra status under utvikling til status akseptert for drift skal defineres og dokumenteres.

Ytterligere risikoer oppstår ved bruk av tredjepartsleverandører til å administrereer. Slike risikoer må identifiseres på forhånd og passende tiltak iverksettes informasjonssikkerhetsstyring avtalt med entreprenøren og inkludert i kontrakten.

For å gi nødvendig prosesserings- og lagringskapasitet, er det nødvendig å analysere nåværende ytelseskrav, samt forutsi fremtidige. Disse prognosene bør ta hensyn til nye funksjons- og systemkrav, samt nåværende og fremtidige planer for utvikling av informasjonsteknologi i organisasjonen. Krav og kriterier for å ta i bruk nye systemer skal være klart definert, avtalt, dokumentert og testet.

Det må iverksettes tiltak for å forhindre og oppdage introduksjon av skadelig programvare som datavirus, nettverksormer, trojanske hester og logiske bomber. Det bemerkes at beskyttelse mot skadelig programvare bør være basert på en forståelse av sikkerhetskrav, passende systemtilgangskontroller og riktig endringshåndtering.

Prosedyren for å utføre hjelpeoperasjoner, som inkluderer sikkerhetskopiering av programvare og data, må bestemmes 1 Som et eksempel ser lab #10 på organisering av sikkerhetskopier i Windows Server 2008. logging av hendelser og feil og, om nødvendig, overvåking av maskinvarestatus. Redundansordninger for hvert enkelt system bør testes regelmessig for å sikre at de oppfyller kravene i forretningskontinuitetsplaner.

For å sikre sikkerheten til informasjon på nettverk og beskytte støttende infrastruktur, er det nødvendig med innføring av midler sikkerhetskontroll og beskytte tilkoblede tjenester mot uautorisert tilgang.

Spesiell oppmerksomhet rettes mot sikkerheten til ulike typer lagringsmedier: dokumenter, datamaskinlagringsmedier (kassetter, disker, kassetter), inn-/utdata og systemdokumentasjon fra skade. Det anbefales å etablere en prosedyre for bruk av flyttbare datamaskinlagringsmedier (prosedyre for innholdskontroll, lagring, destruksjon osv.). Som nevnt ovenfor, bør lagringsmedier kastes på en sikker og forsvarlig måte etter bruk.

For å sikre beskyttelse av informasjon mot uautorisert utlevering eller misbruk, er det nødvendig å etablere prosedyrer for behandling og lagring av informasjon. Disse prosedyrene bør utformes med hensyn til kategorisering informasjon, og handle i forhold til dokumenter, datasystemer, nettverk, bærbare datamaskiner, mobilkommunikasjon, post, talepost, talekommunikasjon generelt, multimedieenheter, faksbruk og andre viktige objekter, som skjemaer, sjekker og regninger. Systemdokumentasjon kan inneholde visse viktige opplysninger, og må derfor også beskyttes.

Prosessen med å utveksle informasjon og programvare mellom organisasjoner må kontrolleres og være i samsvar med gjeldende lovverk. Spesielt må sikkerheten til informasjonsbærere under overføring sikres, bestemmes brukspolitikk e-post og elektroniske kontorsystemer. Det bør utvises forsiktighet for å beskytte integriteten til informasjon publisert elektronisk, for eksempel informasjon på et nettsted. En passende formalisert godkjenningsprosess er også nødvendig før slik informasjon gjøres offentlig tilgjengelig.

Den neste delen av standarden er viet tilgangskontrollspørsmål.

Det kreves at tilgangskontrollreglene og rettighetene til hver bruker eller gruppe av brukere er klart definert av sikkerhetspolicyen. Brukere og tjenesteleverandører må gjøres oppmerksomme på behovet for å overholde disse kravene.

Ved hjelp av passordautentisering, er det nødvendig å utøve kontroll over brukerpassord. Spesielt må brukere signere et dokument som godtar å opprettholde fullstendig konfidensialitet for passord. Det kreves for å sikre sikkerheten i prosessen med å skaffe et passord for brukeren og, hvis dette brukes, for brukerne å administrere passordene sine (tvungen passordendring etter første pålogging osv.).

Tilgang til både interne og eksterne nettverkstjenester må kontrolleres. Brukere skal kun gis direkte tilgang til de tjenestene de er autorisert for. Spesiell oppmerksomhet må rettes mot autentisering av eksterne brukere. Basert på risikovurderingen er det viktig å bestemme det nødvendige beskyttelsesnivået for å velge riktig autentiseringsmetode. Sikkerheten ved bruk av nettverkstjenester må også overvåkes.

Mange nettverks- og dataenheter har innebygde funksjoner for fjerndiagnostikk og -administrasjon. Sikkerhetstiltak skal også gjelde for disse anleggene.

Når nettverk deles av flere organisasjoner, må krav til tilgangskontroll defineres for å ta hensyn til dette. Det kan også være nødvendig å innføre ytterligere tiltak for informasjonssikkerhetsstyring for å begrense brukernes mulighet til å koble seg til.

På operativsystemnivå bør informasjonssikkerhetstiltak brukes for å begrense tilgangen til dataressurser 2 Et eksempel på organisering av tilgangskontroll til filer og mapper i Windows Server 2008 vil bli diskutert i laboratoriearbeid nr. 9.. Det referer til identifikasjon og autentisering terminaler og brukere. Det anbefales at alle brukere har unike identifikatorer, som ikke skal inneholde noen indikasjon på brukerens rettighetsnivå. I systemer passordbehandling effektive interaktive evner må tilbys for å støtte deres nødvendige kvalitet 3 Et eksempel på passordkvalitetsstyring i Windows-operativsystemer er omtalt i laboratoriearbeid nr. 3.. Bruken av systemverktøy bør begrenses og kontrolleres nøye.

Det er tilrådelig å gi en alarm i tilfelle brukeren kan bli et mål for vold 4 Et eksempel på dette vil være "tvangs" påloggingspassord. Hvis brukeren skriver inn et slikt passord, viser systemet brukerens normale påloggingsprosess og simulerer deretter en feil med å hindre angripere i å få tilgang til dataene.(hvis en slik hendelse vurderes som sannsynlig). Ansvar og prosedyrer for å reagere på en slik alarm må defineres.

Terminaler som betjener høyrisikosystemer, når de er plassert på lett tilgjengelige steder, bør slås av etter en viss periode med inaktivitet for å hindre tilgang fra uvedkommende. Det kan også innføres en begrensning på hvor lenge terminaler har lov til å koble seg til datatjenester.

Informasjonssikkerhetstiltak må også brukes på applikasjonsnivå. Spesielt kan dette være en tilgangsbegrensning for visse kategorier brukere. Systemer som behandler viktig informasjon må være utstyrt med et dedikert (isolert) datamiljø.

Overvåking av systemet er nødvendig for å avdekke avvik fra krav til tilgangskontrollpolicy og gi bevis ved en hendelse med informasjonssikkerhet. Overvåkingsresultater bør gjennomgås regelmessig. Revisjonsloggen kan brukes til å undersøke hendelser, så riktig innstilling (synkronisering) av dataklokken er ganske viktig.

Ved bruk av bærbare enheter, for eksempel bærbare datamaskiner, er det nødvendig å iverksette spesielle tiltak for å motvirke kompromittering av proprietær informasjon. Det bør vedtas formaliserte retningslinjer som adresserer risikoene forbundet med arbeid med bærbare enheter, spesielt i usikrede miljøer.

Den neste delen av standarden heter "Utvikling og vedlikehold av systemer." Allerede på scenen utvikling av informasjonssystemer det er nødvendig å sikre at det tas hensyn til sikkerhetskrav. Og under driften av systemet er det nødvendig å forhindre tap, modifikasjon eller misbruk av brukerdata. For dette formålet anbefales det at applikasjonssystemer gir bekreftelse på riktigheten av datainngang og -utgang, kontroll av databehandling i system, autentisering meldinger, logging av brukerhandlinger.

For å sikre konfidensialitet, integritet og dataautentisering Kryptografiske sikkerhetstiltak kan brukes.

Å sikre programvareintegritet spiller en viktig rolle i prosessen med informasjonssikkerhet. For å minimere skade på informasjonssystemer, bør implementeringen av endringer kontrolleres strengt. Fra tid til annen er det behov for å gjøre endringer i operativsystemene. I disse tilfellene må applikasjonssystemene analyseres og testes for å sikre at det ikke er noen negativ innvirkning på deres funksjonalitet og sikkerhet. Så langt det er mulig anbefales det å bruke ferdige programvarepakker uten endringer.

Et relatert problem er å motvirke trojanske hester og bruken av skjulte lekkasjekanaler. Et mottiltak er å bruke programvare hentet fra pålitelige leverandører og monitor systemintegritet.

I tilfeller der en tredjepartsorganisasjon er involvert i programvareutvikling, er det nødvendig å sørge for tiltak for å kontrollere kvaliteten og riktigheten av utført arbeid.

Den neste delen av standarden er viet til styring av forretningskontinuitet. I det innledende stadiet er det ment å identifisere hendelser som kan forårsake avbrudd i forretningsprosesser (utstyrssvikt, brann, etc.). I dette tilfellet er det nødvendig å vurdere konsekvensene, og deretter utvikle gjenopprettingsplaner. Tilstrekkelighet av planene må bekreftes ved testing, og de må selv periodisk revideres for å ta hensyn til endringer som skjer i systemet.

Den siste delen av standarden tar for seg samsvarsproblemer. Først av alt gjelder dette systemets samsvar og prosedyren for driften av lovkravene. Dette inkluderer spørsmål om overholdelse av opphavsrett (inkludert programvare), beskyttelse av personlig informasjon (ansatte, kunder) og forebygging av misbruk av informasjonsbehandlingsverktøy. Ved hjelp av kryptografiske midler informasjonsbeskyttelse, må de overholde gjeldende lovverk. Prosedyren for innhenting av bevis ved rettstvister knyttet til hendelser innen informasjonssystemsikkerhet bør også gjennomarbeides grundig.

Informasjonssystemene selv må overholde sikkerhetspolitikken organisasjon og standarder som brukes. Sikkerheten til informasjonssystemene må jevnlig analyseres og vurderes. Samtidig er det nødvendig å observere sikkerhetstiltak når du gjennomfører en sikkerhetsrevisjon slik at dette ikke fører til uønskede konsekvenser (for eksempel svikt på en kritisk server på grunn av en revisjon).

For å oppsummere kan det bemerkes at standarden tar for seg et bredt spekter av problemstillinger knyttet til å sikre sikkerheten til informasjonssystemene. Det gis praktiske anbefalinger på en rekke områder.