Ruské štandardy informačnej bezpečnosti. Štandardy informačnej bezpečnosti. Požiadavky na vedomosti a zručnosti

Táto časť poskytuje všeobecné informácie a texty národných noriem Ruskej federácie v oblasti informačnej bezpečnosti GOST R.

Aktuálny zoznam moderných GOST vyvinutý v posledných rokoch a plánovaný na vývoj. Certifikačný systém pre nástroje informačnej bezpečnosti podľa požiadaviek informačnej bezpečnosti č. ROSS RU.0001.01BI00 (FSTEC Ruska). ŠTÁTNY ŠTANDARD RUSKEJ FEDERÁCIE. Ochrana dát. POSTUP PRI VYTVORENÍ AUTOMATIZOVANÝCH SYSTÉMOV V ZABEZPEČENOM VYKONÁVANÍ. Všeobecné ustanovenia. Moskva ŠTÁTNY ŠTANDARD RUSKEJ FEDERÁCIE. Počítačové vybavenie. Ochrana pred neoprávneným prístupom k informáciám. Všeobecné technické požiadavky. Dátum zavedenia 1996-01-01 Národný štandard Ruskej federácie. Ochrana dát. Základné pojmy a definície. Ochrana informácií. Základné pojmy a definície. Dátum zavedenia 2008-02-01 ŠTÁTNY ŠTANDARD RUSKEJ FEDERÁCIE. OCHRANA DÁT. SYSTÉM ŠTANDARDOV. ZÁKLADNÉ USTANOVENIA (BEZPEČNOSŤ INFORMÁCIÍ. SYSTÉM ŠTANDARDOV. ZÁKLADNÉ PRINCÍPY) ŠTÁTNY ŠTANDARD RUSKEJ FEDERÁCIE. Ochrana dát. TESTOVANIE SOFTVÉRU NA PRÍTOMNOSŤ POČÍTAČOVÝCH VÍRUSOV. Vzorová príručka (Informačná bezpečnosť. Testovanie softvéru na prítomnosť počítačových vírusov. Vzorová príručka). Informačné technológie. Ochrana informačných technológií a automatizovaných systémov pred hrozbami informačnej bezpečnosti implementovanými pomocou skrytých kanálov. Časť 1. Všeobecné ustanovenia Informačné technológie. Ochrana informačných technológií a automatizovaných systémov pred hrozbami informačnej bezpečnosti implementovanými pomocou skrytých kanálov. Časť 2. Odporúčania na organizáciu ochrany informácií, informačných technológií a automatizovaných systémov pred útokmi pomocou skrytých kanálov Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Návod na vývoj profilov ochrany a bezpečnostných úloh Automatická identifikácia. Biometrická identifikácia. Výkonnostné testy a testovacie správy v biometrii. Časť 3. Vlastnosti testovania pre rôzne biometrické modality Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Metodika hodnotenia bezpečnosti informačných technológií GOST R ISO/IEC 15408-1-2008 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Kritériá hodnotenia bezpečnosti informačných technológií. Časť 1. Úvod a všeobecný model (Informačné technológie. Bezpečnostné techniky. Hodnotiace kritériá pre bezpečnosť IT. Časť 1. Úvod a všeobecný model) GOST R ISO/IEC 15408-2-2008 - Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Kritériá hodnotenia bezpečnosti informačných technológií. Časť 2. Funkčné bezpečnostné požiadavky (Informačné technológie. Bezpečnostné techniky. Hodnotiace kritériá pre bezpečnosť IT. Časť 2. Bezpečnostné funkčné požiadavky) GOST R ISO/IEC 15408-3-2008 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Kritériá hodnotenia bezpečnosti informačných technológií. Časť 3. Požiadavky na zabezpečenie bezpečnosti (Informačné technológie. Bezpečnostné techniky. Hodnotiace kritériá pre bezpečnosť IT. Časť 3. Požiadavky na zabezpečenie bezpečnosti) GOST R 53109-2008 Systém na zaistenie informačnej bezpečnosti verejnej komunikačnej siete. Informačná bezpečnosť komunikačný pas organizácie. Informačná bezpečnosť systému poskytovania verejnej komunikačnej siete. Pas organizácie komunikácie informačnej bezpečnosti. Dátum účinnosti: 30.09.2009. GOST R 53114-2008 Ochrana informácií. Zabezpečenie informačnej bezpečnosti v organizácii. Základné pojmy a definície. Ochrana informácií. Zabezpečenie informačnej bezpečnosti v organizáciách. Základné pojmy a definície. Dátum účinnosti: 30.09.2009. GOST R 53112-2008 Ochrana informácií. Komplexy na meranie parametrov rušivého elektromagnetického žiarenia a rušenia. Technické požiadavky a skúšobné metódy. Ochrana informácií. Zariadenia na meranie bočného elektromagnetického žiarenia a snímacích parametrov. Technické požiadavky a skúšobné metódy. Dátum účinnosti: 30.09.2009. GOST R 53115-2008 Ochrana informácií. Testovanie technických prostriedkov spracovania informácií z hľadiska súladu s požiadavkami bezpečnosti pred neoprávneným prístupom. Metódy a prostriedky. Ochrana informácií. Testovanie zhody zariadení na spracovanie technických informácií s požiadavkami na ochranu proti neoprávnenému prístupu. Metódy a techniky. Dátum účinnosti: 30.09.2009. GOST R 53113.2-2009 Informačné technológie. Ochrana informačných technológií a automatizovaných systémov pred hrozbami informačnej bezpečnosti implementovanými pomocou skrytých kanálov. Časť 2. Odporúčania na organizáciu ochrany informácií, informačných technológií a automatizovaných systémov pred útokmi pomocou skrytých kanálov. Informačné technológie. Ochrana informačných technológií a automatizovaných systémov pred bezpečnostnými hrozbami, ktoré predstavuje používanie skrytých kanálov. Časť 2. Odporúčania na ochranu informácií, informačných technológií a automatizovaných systémov pred útokmi skrytých kanálov. Dátum účinnosti: 12.01.2009. GOST R ISO/IEC TO 19791-2008 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Hodnotenie bezpečnosti automatizovaných systémov. Informačné technológie. Bezpečnostné techniky. Hodnotenie bezpečnosti operačných systémov. Dátum účinnosti: 30.09.2009. GOST R 53131-2008 Ochrana informácií. Odporúčania pre služby obnovy po havárii pre bezpečnostné funkcie a mechanizmy informačných a telekomunikačných technológií. Všeobecné ustanovenia. Ochrana informácií. Pokyny pre služby obnovy bezpečnostných funkcií a mechanizmov informačných a komunikačných technológií. generál. Dátum účinnosti: 30.09.2009. GOST R 54581-2011 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Základy dôvery v IT bezpečnosť. Časť 1: Prehľad a základy. Informačné technológie. Bezpečnostné techniky. Rámec pre zaistenie bezpečnosti IT. Časť 1. Prehľad a rámec. Dátum účinnosti: 07.01.2012. GOST R ISO/IEC 27033-1-2011 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Zabezpečenie siete. Časť 1: Prehľad a koncepty. Informačné technológie. Bezpečnostné techniky. Zabezpečenie siete. Časť 1. Prehľad a pojmy. Dátum účinnosti: 01.01.2012. GOST R ISO/IEC 27006-2008 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Požiadavky na orgány vykonávajúce audit a certifikáciu systémov manažérstva informačnej bezpečnosti. Informačné technológie. Bezpečnostné techniky. Požiadavky na orgány zabezpečujúce audit a certifikáciu systémov manažérstva informačnej bezpečnosti. Dátum účinnosti: 30.09.2009. GOST R ISO/IEC 27004-2011 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Manažment informačnej bezpečnosti. Merania. Informačné technológie. Bezpečnostné techniky. Manažment informačnej bezpečnosti. Meranie. Dátum účinnosti: 01.01.2012. GOST R ISO/IEC 27005-2010 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Riadenie rizika informačnej bezpečnosti. Informačné technológie. Bezpečnostné techniky. Riadenie rizika informačnej bezpečnosti. Dátum účinnosti: 12.01.2011. GOST R ISO/IEC 31010-2011 Riadenie rizík. Metódy hodnotenia rizika (Risk management. Risk assessment methods). Dátum účinnosti: 01.12.2012 GOST R ISO 31000-2010 Riadenie rizík. Princípy a usmernenia. Dátum účinnosti: 31.08.2011 GOST 28147-89 Systémy spracovania informácií. Kryptografická ochrana. Kryptografický konverzný algoritmus. Dátum účinnosti: 30.06.1990. GOST R ISO/IEC 27013-2014 „Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Usmernenie pre kombinované používanie noriem ISO/IEC 27001 a ISO/IEC 20000-1 – účinné od 1. septembra 2015. GOST R ISO/IEC 27033-3-2014 „Bezpečnosť siete. Časť 3. Referenčné sieťové scenáre. Hrozby, metódy navrhovania a problémy riadenia“ – účinnosť od 1. novembra 2015 GOST R ISO/IEC 27037-2014 „Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Smernice pre identifikáciu, zhromažďovanie, získavanie a uchovávanie digitálnych dôkazov – účinné od 1. novembra 2015. GOST R ISO/IEC 27002-2012 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Súbor noriem a pravidiel pre riadenie informačnej bezpečnosti. Informačné technológie. Bezpečnostné techniky. Kódex postupov pre riadenie informačnej bezpečnosti. Dátum účinnosti: 01.01.2014. OKS kód 35.040. GOST R 56939-2016 Ochrana informácií. Bezpečný vývoj softvéru. Všeobecné požiadavky (Ochrana informácií. Zabezpečený vývoj softvéru. Všeobecné požiadavky). Dátum účinnosti: 06.01.2017. GOST R 51583-2014 Ochrana informácií. Postup pri vytváraní automatizovaných systémov v bezpečnom dizajne. Všeobecné ustanovenia. Ochrana informácií. Postupnosť vytvárania chráneného operačného systému. generál. 01.09.2014 GOST R 7.0.97-2016 Systém noriem pre informácie, knižnicu a publikovanie. Organizačná a administratívna dokumentácia. Požiadavky na prípravu dokumentov (Systém noriem pre informácie, knihovníctvo a publikovanie. Organizačná a administratívna dokumentácia. Požiadavky na prezentáciu dokumentov). Dátum účinnosti: 01.07.2017. OKS kód 01.140.20. GOST R 57580.1-2017 Bezpečnosť finančných (bankových) transakcií. Ochrana informácií finančných organizácií. Základná skladba organizačných a technických opatrení - Bezpečnosť finančných (bankových) operácií. Ochrana informácií finančných organizácií. Základný súbor organizačných a technických opatrení. GOST R ISO 22301-2014 Systémy riadenia kontinuity podnikania. Všeobecné požiadavky - Systémy riadenia kontinuity podnikania. Požiadavky. GOST R ISO 22313-2015 Riadenie kontinuity podnikania. Implementačná príručka – Systémy riadenia kontinuity podnikania. Návod na implementáciu. GOST R ISO/IEC 27031-2012 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Sprievodca pripravenosťou informačných a komunikačných technológií pre kontinuitu podnikania – informačné technológie. Bezpečnostné techniky. Smernice pre pripravenosť informačných a komunikačných technológií na kontinuitu podnikania. GOST R IEC 61508-1-2012 Funkčná bezpečnosť elektrických, elektronických, programovateľných elektronických systémov súvisiacich s bezpečnosťou. Časť 1. Všeobecné požiadavky. Funkčná bezpečnosť elektrických, elektronických, programovateľných elektronických bezpečnostných systémov. Časť 1. Všeobecné požiadavky. Dátum zavedenia 2013-08-01. GOST R IEC 61508-2-2012 Funkčná bezpečnosť elektrických, elektronických, programovateľných elektronických systémov súvisiacich s bezpečnosťou. Časť 2. Systémové požiadavky. Funkčná bezpečnosť elektrických, elektronických, programovateľných elektronických bezpečnostných systémov. Časť 2. Požiadavky na systémy. Dátum zavedenia 2013-08-01. GOST R IEC 61508-3-2012 FUNKČNÁ BEZPEČNOSŤ ELEKTRICKÝCH, ELEKTRONICKÝCH, PROGRAMOVATEĽNÝCH ELEKTRONICKÝCH SYSTÉMOV TÝKAJÚCICH SA BEZPEČNOSTI. Požiadavky na softvér. IEC 61508-3:2010 Funkčná bezpečnosť elektrických/elektronických/programovateľných elektronických systémov súvisiacich s bezpečnosťou – Časť 3: Požiadavky na softvér (IDT). GOST R IEC 61508-4-2012 FUNKČNÁ BEZPEČNOSŤ ELEKTRICKÝCH, ELEKTRONICKÝCH, PROGRAMOVATEĽNÝCH ELEKTRONICKÝCH SYSTÉMOV TÝKAJÚCICH SA BEZPEČNOSTI Časť 4 Termíny a definície. Funkčná bezpečnosť elektrických, elektronických, programovateľných elektronických bezpečnostných systémov. Časť 4. Pojmy a definície. Dátum zavedenia 2013-08-01. . GOST R IEC 61508-6-2012 Funkčná bezpečnosť elektrických, elektronických, programovateľných elektronických systémov súvisiacich s bezpečnosťou. Časť 6. Pokyny na používanie GOST R IEC 61508-2 a GOST R IEC 61508-3. IEC 61508-6:2010. Funkčná bezpečnosť elektrických/elektronických/programovateľných elektronických systémov súvisiacich s bezpečnosťou - Časť 6: Pokyny na aplikáciu IEC 61508-2 a IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 Funkčná bezpečnosť elektrických systémov, Funkčná bezpečnosť elektrických, elektronických, programovateľných elektronických systémov súvisiacich s bezpečnosťou. Časť 7. Metódy a prostriedky. Funkčná bezpečnosť elektrických elektronických programovateľných elektronických bezpečnostných systémov. Časť 7. Techniky a opatrenia. Dátum zavedenia 2013-08-01. GOST R 53647.6-2012. Riadenie kontinuity podnikania. Požiadavky na systém správy osobných informácií na zabezpečenie ochrany údajov

Názov:

Ochrana dát. Zabezpečenie informačnej bezpečnosti v organizácii.

Platné

Dátum uvedenia:

Dátum zrušenia:

Nahradené:

Text GOST R 53114-2008 Ochrana informácií. Zabezpečenie informačnej bezpečnosti v organizácii. Základné pojmy a definície

FEDERÁLNA AGENTÚRA PRE TECHNICKÚ REGULÁCIU A METROLÓGIU

NÁRODNÝ

ŠTANDARDNÝ

RUSKY

FEDERATION

Ochrana dát

ZABEZPEČENIE INFORMAČNEJ BEZPEČNOSTI V ORGANIZÁCII

Základné pojmy a definície

Oficiálna publikácia

Oteidartenform

GOST R 53114-2008

Predslov

Ciele a princípy normalizácie v Ruskej federácii stanovuje federálny zákon č. 184-FZ z 27. decembra 2002 „O technickom predpise“ a pravidlá uplatňovania národných noriem Ruskej federácie sú GOST R 1.0-2004 „Štandardizácia“. v Ruskej federácii. Základné ustanovenia »

Štandardné informácie

1 VYVINUTÉ Federálnou štátnou inštitúciou „Štátny výskumný skúšobný ústav pre problémy bezpečnosti technických informácií Federálnej služby pre technickú a exportnú kontrolu“ (FGU „GNIIII PTZI FSTEC Ruska“), Spoločnosť s ručením obmedzeným „Výskumná a výrobná spoločnosť „Kristall“ (OOO NPF "Crystal")

2 PREDSTAVENÉ Ministerstvom technickej regulácie a normalizácie Federálnej agentúry pre technickú reguláciu a metrológiu

3 SCHVÁLENÉ A NADOBUDNUTÉ ÚČINNOSTI nariadením Federálnej agentúry pre technickú reguláciu a metrológiu zo dňa 18. decembra 2008 č. 532-st.

4 8PRVÝKRÁT V JAZDE

Informácie o zmenách tohto štandardu sú zverejnené v každoročne zverejňovanom informačnom indexe „Národné štandardy“ a text zmien a doplnkov je zverejnený v mesačne zverejňovanom informačnom indexe „Národné štandardy“. V prípade revízie (nahradenia) alebo zrušenia tohto štandardu bude príslušné oznámenie uverejnené v mesačne zverejňovanom informačnom indexe „Národné štandardy“. Relevantné informácie, upozornenia a texty sú zverejnené aj vo verejnom informačnom systéme - na oficiálnej stránke Federálnej agentúry pre technickú reguláciu a metrológiu na internete

Túto normu nemožno úplne alebo čiastočne reprodukovať, replikovať alebo distribuovať ako oficiálnu publikáciu bez povolenia Federálnej agentúry pre technickú reguláciu a metrológiu.

GOST R 53114-2008

1 oblasť použitia ................................................ ... ....1

3 Pojmy a definície ................................................................ .......2

3.1 Všeobecné pojmy ................................................................ ...... 2

3.2 Pojmy súvisiace s predmetom ochrany informácií................................................ ...4

3.3 Pojmy súvisiace s hrozbami informačnej bezpečnosti......................................7

3.4 Pojmy súvisiace s riadením informačnej bezpečnosti organizácie......8

3.5 Pojmy súvisiace s kontrolou a hodnotením informačnej bezpečnosti organizácie. ... 8

3.6 Pojmy súvisiace s kontrolami bezpečnosti informácií

organizácie................................................. ...........9

Abecedný zoznam pojmov ................................................ .....11

Dodatok A (pre referenciu) Termíny a definície všeobecných technických pojmov................................13

Príloha B (pre referenciu) Vzájomný vzťah základných pojmov v oblasti informačnej bezpečnosti v organizácii................................................ ......................15

Bibliografia................................................. ........16

GOST R 53114-2008

Úvod

Pojmy stanovené v tomto štandarde sú usporiadané v systematickom poradí, ktoré odráža systém pojmov v tejto oblasti vedomostí.

Pre každý pojem existuje jeden štandardizovaný termín.

Prítomnosť hranatých zátvoriek v terminologickom článku znamená, že obsahuje dva pojmy, ktoré majú spoločné terminologické prvky. Tieto pojmy sú uvedené samostatne v abecednom zozname.

Časť termínu uzavretú v zátvorkách možno pri používaní termínu v normalizačných dokumentoch vynechať, pričom časť termínu neuvedená v zátvorkách tvorí jeho skrátenú formu. Za štandardizovanými pojmami sú ich krátke formy oddelené bodkočiarkami, reprezentované skratkami.

Uvedené definície je možné v prípade potreby zmeniť tak, že sa do nich zavedú odvodené charakteristiky. odhaľujúce významy pojmov, ktoré sa v nich používajú, označujúce objekty zahrnuté v rozsahu vymedzeného pojmu.

Zmeny nesmú ovplyvniť rozsah a obsah pojmov definovaných v tejto norme.

Štandardizované pojmy sú písané tučným písmom, ich skrátené formy sú v texte a v abecednom zozname vrátane skratiek. - svetlo a synonymá - kurzíva.

Termíny a definície všeobecných technických pojmov potrebných na pochopenie textu hlavnej časti tejto normy sú uvedené v dodatku A.

GOST R 53114-2008

NÁRODNÝ ŠTANDARD RUSKEJ FEDERÁCIE

Ochrana dát

ZABEZPEČENIE INFORMAČNEJ BEZPEČNOSTI 8 ORGANIZÁCIÍ

Základné pojmy a definície

Ochrana informácií. Zabezpečenie informačnej bezpečnosti v organizácii.

Základné pojmy a definície

Dátum uvedenia - 10.10.2009

1 oblasť použitia

Táto norma stanovuje základné pojmy používané pri vykonávaní štandardizačných prác v oblasti informačnej bezpečnosti v organizácii.

Pojmy stanovené touto normou sa odporúčajú na použitie v regulačných dokumentoch, právnej, technickej a organizačnej a administratívnej dokumentácii, vo vedeckej, vzdelávacej a referenčnej literatúre.

Táto norma sa používa v spojení s GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Podmienky uvedené v tejto norme sú v súlade s ustanoveniami federálneho zákona Ruskej federácie z 27. decembra 2002 M"184*FZ "Technický predpis" |3]. Federálny zákon Ruskej federácie z 27. júla 2006 č. 149-FZ „O informáciách, informačných technológiách a ochrane informácií“. Federálny zákon Ruskej federácie z 27. júla 2006 č. 152-FZ „O osobných údajoch“. Doktríny informačnej bezpečnosti Ruskej federácie, schválené prezidentom Ruskej federácie dňa 9. septembra 2000 Pr -1895.

2 Normatívne odkazy

GOST R 22.0.02-94 Bezpečnosť v núdzových situáciách. Pojmy a definície základných pojmov

GOST R ISO 9000-2001 Systémy manažérstva kvality. Základy a slovná zásoba

GOST R ISO 9001-2008 Systémy manažérstva kvality. Požiadavky

GOST R IS0 14001-2007 Systémy environmentálneho manažérstva. Požiadavky a návod na použitie

GOST R ISO/IEC 13335-1-2006 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Časť 1. Koncepcia a modely riadenia bezpečnosti informačných a telekomunikačných technológií

GOST R ISO/IEC 27001-2006 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Systémy riadenia informačnej bezpečnosti. Požiadavky

GOST R 50922-2006 Ochrana informácií. Základné pojmy a definície

GOST R 51275-2006 Ochrana informácií. Informačný objekt. Faktory ovplyvňujúce informácie. Všeobecné ustanovenia

GOST R 51897-2002 Riadenie rizík. Pojmy a definície

Oficiálna publikácia

GOST R 53114-2008

GOST R51898-2003 Bezpečnostné aspekty. Pravidlá pre zahrnutie do noriem GOST R 52069.0-2003 Ochrana informácií. Systém noriem. Základné ustanovenia GOST 34.003-90 Informačné technológie. Súbor noriem pre automatizované systémy. Automatizované systémy. Pojmy a definície

GOST 19781-90 Softvér pre systémy spracovania informácií. Pojmy a definície

Poznámka - Pri používaní tejto normy je vhodné skontrolovať platnosť referenčných noriem vo verejnom informačnom systéme - na oficiálnej stránke Federálnej agentúry pre technickú reguláciu a metrológiu na internete alebo podľa každoročne vydávaného informačného indexu „Národný Standards“, ktorý bol zverejnený k 1. januáru bežného roka a podľa príslušných mesačných informačných indexov zverejnených v aktuálnom roku. Ak je referenčný štandard nahradený (zmenený), potom by ste sa pri používaní tohto štandardu mali riadiť nahradeným (zmeneným) štandardom. Ak je referenčná norma zrušená bez náhrady, potom sa ustanovenie, v ktorom je na ňu uvedený odkaz, vzťahuje na časť, ktorá nemá vplyv na tento odkaz.

3 Pojmy a definície

3.1 Všeobecné pojmy

bezpečnosť informácií [údaje]: Stav bezpečnosti informácií [údajov], v ktorom je zabezpečená ich [ich] dôvernosť, dostupnosť a integrita.

[GOST R 50922-2006. odsek 2.4.5]

bezpečnosť informačných technológií: Stav bezpečnosti informačných technológií. ktorá zaisťuje bezpečnosť informácií, pre ktoré sa používa na spracovanie. a informačnú bezpečnosť informačného systému, v ktorom je implementovaný.

[R 50.1.056-2006. odsek 2.4.5]

informačná sféra: Súhrn informácií, informačná infraštruktúra, subjekty. vykonávanie zhromažďovania, tvorby, šírenia a využívania informácií, ako aj systémov na reguláciu sociálnych vzťahov, ktoré v tomto prípade vznikajú.

3.1.4 informačná infraštruktúra: Súbor objektov informatizácie, ktorý poskytuje spotrebiteľom prístup k informačným zdrojom.

objekt informatizácie: Súbor informačných zdrojov, nástrojov a systémov spracovania informácií používaných v súlade s danou informačnou technológiou, ako aj podporné zariadenia, priestory alebo zariadenia (budovy, stavby, technické prostriedky), v ktorých sú tieto nástroje a systémy inštalované, príp. priestory a zariadenia určené na vedenie dôverných rokovaní.

[GOST R 51275-2006. odsek 3.1]

3.1.6 aktíva organizácie: Všetky. čo má pre organizáciu hodnotu v záujme dosiahnutia jej cieľov a čo má k dispozícii.

Poznámka: Majetok organizácie môže zahŕňať:

Informačné aktíva, vrátane rôznych typov informácií obiehajúcich v informačnom systéme (servisné, riadiace, analytické, obchodné atď.) vo všetkých fázach životného cyklu (generovanie, uchovávanie, spracovanie, prenos, ničenie):

Zdroje (finančné, ľudské, výpočtové, informačné, telekomunikačné a iné):

Procesy (technologické, informačné atď.);

Vyrobené produkty alebo poskytované služby.

GOST R 53114-2008

Systémový zdroj spracovania informácií: Zariadenie systému spracovania informácií, ktoré možno prideliť procesu spracovania údajov na určitý časový interval.

Poznámka - Hlavnými zdrojmi sú procesory, oblasti hlavnej pamäte, súbory údajov. periférne zariadenia, programy.

[GOST 19781-90. odsek 93)

3.1.8 informačný proces: Proces vytvárania, zhromažďovania, spracovania, akumulácie, uchovávania, vyhľadávania. šírenie a využívanie informácií.

informačné technológie; IT: Procesy, metódy vyhľadávania, zhromažďovania, skladovania, spracovania, poskytovania. šírenie informácií a spôsoby vykonávania takýchto procesov a metód. [Federálny zákon Ruskej federácie z 27. decembra 2002 č. 184-FZ. článok 2 odsek 2)]

technická podpora automatizovaného systému; Technická podpora JE: Súhrn všetkých technických prostriedkov používaných pri prevádzke JE.

[GOST R 34.003-90. odsek 2.5]

automatizovaný systémový softvér; AS softvér: Súbor programov na pamäťových médiách a programových dokumentov určených na ladenie, obsluhu a testovanie funkčnosti AS.

[GOST R 34.003-90. odsek 2.7]

informačná podpora automatizovaného systému; informačná podpora AS: Súbor formulárov dokumentov, klasifikátorov, regulačného rámca a implementovaných riešení o objeme, umiestnení a formách existencie informácií používaných v AS počas jeho prevádzky.

[GOST R 34.003-90. odsek 2.8]

3.1.13 služba; služba: Výsledok činnosti výkonného umelca na uspokojenie potrieb spotrebiteľa.

Poznámka - 8 organizácia, jednotlivec alebo proces môže vystupovať ako vykonávateľ (spotrebiteľ) služby.

3.1.14 služby informačných technológií: IT služby: Súbor funkčných schopností informácií a. prípadne neinformačnú technológiu poskytovanú koncovým používateľom ako službu.

POZNÁMKA Príklady IT služieb zahŕňajú posielanie správ, obchodné aplikácie, súborové a tlačové služby, sieťové služby atď.

3.1.15 systém kritickej informačnej infraštruktúry; systém kľúčovej informačnej infraštruktúry: FIAC: Informačný riadiaci alebo informačný telekomunikačný systém, ktorý riadi alebo poskytuje informácie kritickému objektu alebo procesu, alebo slúži na oficiálne informovanie spoločnosti a občanov, ktorých narušenie alebo prerušenie fungovania (v dôsledku deštruktívnej informačné vplyvy, ako aj poruchy či zlyhania) môžu viesť k mimoriadnej udalosti s výraznými negatívnymi následkami.

3.1.18 kritický objekt: Objekt alebo proces, ktorého narušenie kontinuity prevádzky by mohlo spôsobiť značné škody.

GOST R 53114-2008

Poznámka - Môže dôjsť k poškodeniu majetku fyzických alebo právnických osôb. majetok štátu alebo obce, životné prostredie, ako aj spôsobovanie ujmy na živote alebo zdraví občanov.

informačný systém osobných údajov: Informačný systém, ktorý je súborom osobných údajov obsiahnutých v databáze, ako aj informačných technológií a technických prostriedkov, ktoré umožňujú spracúvanie takýchto osobných údajov pomocou nástrojov automatizácie alebo bez použitia takýchto nástrojov.

osobné údaje: Akékoľvek informácie týkajúce sa fyzickej osoby identifikovanej alebo určenej na základe takýchto informácií (predmet osobných údajov), vrátane jej priezviska, mena. patronymia, roč mesiac, dátum a miesto narodenia, adresa, rodina, sociálne, majetkové pomery, vzdelanie, povolanie, príjem, iné údaje.

3.1.19 automatizovaný systém v chránenom dizajne; AS v chránenej verzii: Automatizovaný systém, ktorý implementuje informačné technológie na vykonávanie zavedených funkcií v súlade s požiadavkami noriem a/alebo regulačných dokumentov o ochrane informácií.

3.2 Pojmy súvisiace s predmetom ochrany informácií

3.2.1 informačná bezpečnosť organizácie; Organizačné spravodajstvo: Stav ochrany záujmov organizácie zoči-voči hrozbám v informačnej sfére.

Poznámka – Bezpečnosť sa dosahuje zabezpečením súboru vlastností informačnej bezpečnosti – dôvernosť, integrita, dostupnosť informačných aktív a infraštruktúra organizácie. Priorita vlastností informačnej bezpečnosti je určená významom informačných aktív pre záujmy (ciele) organizácie.

predmet ochrany informácií: Informácia alebo nosič informácií, prípadne informačný proces. ktoré musia byť chránené v súlade s účelom ochrany informácií.

[GOST R 50922-2006. odsek 2.5.1]

3.2.3 chránený proces (informačné technológie): Proces využívaný informačnými technológiami na spracovanie chránených informácií s požadovanou úrovňou ich bezpečnosti.

3.2.4 porušenie informačnej bezpečnosti organizácie: porušenie informačnej bezpečnosti organizácie: Náhodné alebo úmyselné protiprávne konanie jednotlivca (subjektu, objektu) vo vzťahu k majetku organizácie, ktorého dôsledkom je porušenie bezpečnosti informácií, keď je spracovávaný technickými prostriedkami v informačných systémoch, čo má za následok negatívne dôsledky (škody/škody) pre organizáciu.

núdzová situácia; nepredvídaná situácia; Mimoriadna situácia: situácia na určitom území alebo vodnej ploche, ktorá sa vyvinula v dôsledku havárie, nebezpečného prírodného javu, katastrofy, prírodnej alebo inej katastrofy, ktorá môže mať za následok straty na životoch alebo ľudské obete, poškodenie ľudského zdravia. alebo životné prostredie, značné materiálne straty a narušenie životných podmienok ľudí.

Poznámka - Núdzové situácie sa rozlišujú podľa povahy zdroja (prírodné, človekom spôsobené, biologicko-sociálne a vojenské) a podľa rozsahu (miestne, miestne, územné, regionálne, federálne a cezhraničné).

(GOST R 22.0.02-94. Článok 2.1.1)

GOST R 53114-2008

3.2.6

nebezpečná situácia: Okolnosti, za ktorých sú ohrození ľudia, majetok alebo životné prostredie.

(GOST R 51898-2003, odsek 3.6)

3.2.7

incident bezpečnosti informácií: Akákoľvek neočakávaná alebo nechcená udalosť, ktorá môže narušiť prevádzku alebo bezpečnosť informácií.

Poznámka – Incidenty informačnej bezpečnosti sú:

Strata služieb, vybavenia alebo zariadení:

Poruchy alebo preťaženie systému:

Používateľské chyby.

Porušenie opatrení fyzickej ochrany:

Nekontrolované zmeny v systémoch.

Poruchy softvéru a hardvéru:

Porušenie pravidiel prístupu.

(GOST R ISO/IEC 27001 -2006. Článok 3.6)

3.2.8 udalosť: Výskyt alebo prítomnosť určitého súboru okolností.

Poznámky

1 Povaha, pravdepodobnosť a následky udalosti nemusia byť úplne známe.

2 Udalosť sa môže vyskytnúť raz alebo viackrát.

3 Možno odhadnúť pravdepodobnosť spojenú s udalosťou.

4 Udalosť môže spočívať v tom, že nenastane jedna alebo viacero okolností.

5 Nepredvídateľná udalosť sa niekedy nazýva „incident“.

6 Udalosť, pri ktorej nedochádza k žiadnym stratám, sa niekedy nazýva predpokladom incidentu (incidentu), nebezpečným stavom, nebezpečnou kombináciou okolností atď.

3.2.9 riziko: Vplyv neistôt na proces dosahovania cieľov.

Poznámky

1 Ciele môžu mať rôzne aspekty: finančné, zdravotné, bezpečnostné a environmentálne aspekty a môžu byť stanovené na rôznych úrovniach: na strategickej úrovni, na úrovni organizácie, na úrovni projektu, produktu a procesu.

3 Riziko sa často vyjadruje ako kombinácia dôsledkov udalosti alebo zmeny okolností a ich pravdepodobnosti.

3.2.10

Hodnotenie rizika: Proces, ktorý kombinuje identifikáciu rizika, analýzu rizika a kvantifikáciu rizika.

(GOST R ISO/IEC 13335-1 -2006, odsek 2.21 ]

3.2.11 hodnotenie rizika informačnej bezpečnosti (organizácie); hodnotenie rizika informačnej bezpečnosti (organizácia): Celkový proces identifikácie, analýzy a určovania prijateľnosti úrovne rizika informačnej bezpečnosti organizácie.

3.2.12 identifikácia rizika: Proces zisťovania, rozpoznávania a popisovania rizík.

Poznámky

1 Identifikácia rizík zahŕňa identifikáciu zdrojov rizík, udalostí a ich príčin, ako aj ich možných následkov.

POZNÁMKA 2. – Identifikácia rizika môže zahŕňať štatistické údaje, teoretickú analýzu, informované názory a názory odborníkov a potreby zainteresovaných strán.

GOST R 53114-2008

analýza rizika: Systematické využívanie informácií na identifikáciu zdrojov rizika a kvantifikáciu rizika.

(GOST R ISO/IEC 27001-2006. Článok 3.11)

3.2.14 Stanovenie akceptovateľnosti rizika: Proces porovnávania výsledkov analýzy rizika s kritériami rizika na určenie akceptovateľnosti alebo tolerovateľnosti úrovne rizika.

POZNÁMKA Stanovenie prijateľnosti úrovne rizika pomáha pri rozhodovaní o liečbe

3.2.15 zvládanie rizika informačnej bezpečnosti organizácie; Zaobchádzanie s bezpečnostnými rizikami organizácie: Proces vývoja a/alebo výberu a implementácie opatrení na riadenie rizík informačnej bezpečnosti organizácie.

Poznámky

1 Liečba rizika môže zahŕňať:

Vyhýbanie sa riziku rozhodnutím nezačať alebo nepokračovať v činnostiach, ktoré vytvárajú podmienky

Hľadanie príležitosti rozhodnutím začať alebo pokračovať v aktivitách, ktoré môžu vytvárať alebo zvyšovať riziko;

Odstránenie zdroja rizika:

Zmeny v povahe a veľkosti rizika:

Meniace sa dôsledky;

Zdieľanie rizika s inou stranou alebo stranami.

Pretrvávanie rizika ako výsledok vedomého rozhodnutia, tak aj „štandardne“.

2 Liečba rizika s negatívnymi dôsledkami sa niekedy nazýva zmiernenie, eliminácia, prevencia. zníženie, potlačenie a korekcia rizika.

3.2.16 manažment rizík: Koordinované činnosti na riadenie a kontrolu činností organizácie vo vzťahu k rizikám.

3.2.17 zdroj rizika pre informačnú bezpečnosť organizácie; zdroj bezpečnostného rizika organizácie: Objekt alebo činnosť, ktorá môže spôsobiť [vytvoriť] riziko.

Poznámky

1 Riziko neexistuje, ak neexistuje interakcia medzi objektom, osobou alebo organizáciou so zdrojom rizika.

2 Zdroj rizika môže byť hmotný alebo nehmotný.

3.2.18 politika informačnej bezpečnosti (organizácie); politika informačnej bezpečnosti (organizácia): Formálne vyhlásenie o pravidlách, postupoch, praktikách alebo usmerneniach informačnej bezpečnosti, ktorými sa riadia aktivity organizácie.

Poznámka – Zásady musia obsahovať.

Predmet, hlavné ciele a zámery bezpečnostnej politiky:

Podmienky uplatňovania bezpečnostnej politiky a možné obmedzenia:

Opis postavenia vedenia organizácie k implementácii bezpečnostnej politiky a organizácii režimu informačnej bezpečnosti organizácie ako celku.

Práva a povinnosti, ako aj miera zodpovednosti zamestnancov za dodržiavanie bezpečnostnej politiky organizácie.

Núdzové postupy v prípade porušenia bezpečnostnej politiky

3.2.19 cieľ informačnej bezpečnosti (organizácie); Cieľ IS (organizácie): Vopred stanovený výsledok zabezpečenia informačnej bezpečnosti organizácie v súlade so stanovenými požiadavkami v politike IS (organizácie).

Poznámka - Výsledkom zaistenia informačnej bezpečnosti môže byť zabránenie poškodeniu vlastníka informácií v dôsledku možného úniku informácií a (alebo) neoprávneného a neúmyselného zásahu do informácií.

3.2.20 systém dokumentov o informačnej bezpečnosti v organizácii; systém dokumentov informačnej bezpečnosti v organizácii: usporiadaný súbor dokumentov zjednotený cieľovou orientáciou. vzájomne prepojené na základe pôvodu, účelu, druhu, rozsahu činnosti, jednotných požiadaviek na ich dizajn a regulácie činností organizácie na zaistenie informačnej bezpečnosti.

GOST R 53114-2008

3.3 Pojmy súvisiace s hrozbami informačnej bezpečnosti

3.3.1 ohrozenie informačnej bezpečnosti organizácie; hrozba informačnej bezpečnosti pre organizáciu: súbor faktorov a podmienok, ktoré vytvárajú nebezpečenstvo narušenia informačnej bezpečnosti organizácie, spôsobujúce alebo môžu spôsobiť pre organizáciu negatívne dôsledky (škodu/škodu).

Poznámky

1 Forma implementácie (prejavu) hrozby informačnej bezpečnosti je prepuknutie jednej alebo viacerých vzájomne súvisiacich udalostí informačnej bezpečnosti a incidentov informačnej bezpečnosti. čo vedie k narušeniu vlastností informačnej bezpečnosti chráneného objektu (objektov) organizácie.

2 Hrozbu charakterizuje prítomnosť predmetu ohrozenia, zdroj ohrozenia a prejav ohrozenia.

hrozba (bezpečnosť informácií): Súbor podmienok a faktorov, ktoré vytvárajú potenciálne alebo skutočné nebezpečenstvo narušenia bezpečnosti informácií.

[GOST R 50922-2006. odsek 2.6.1]

3.3.3 model hrozby (bezpečnosti informácií): Fyzické, matematické, popisné znázornenie vlastností alebo charakteristík hrozieb informačnej bezpečnosti.

Poznámka – špeciálnym regulačným dokumentom môže byť typ popisnej reprezentácie vlastností alebo charakteristík hrozieb informačnej bezpečnosti.

zraniteľnosť (informačného systému); porušenie: Vlastnosť informačného systému, ktorá umožňuje realizovať ohrozenia bezpečnosti informácií v ňom spracúvaných.

Poznámky

1 Podmienkou implementácie bezpečnostnej hrozby spracovanej v informačnom systéme môže byť nedostatok alebo slabina v informačnom systéme.

2 Ak sa zraniteľnosť zhoduje s hrozbou, potom existuje riziko.

[GOST R 50922-2006. odsek 2.6.4]

3.3.5 porušovateľ informačnej bezpečnosti organizácie; narušiteľ informačnej bezpečnosti organizácie: Jednotlivec alebo logický subjekt, ktorý sa náhodne alebo úmyselne dopustil konania, ktorého dôsledkom je narušenie informačnej bezpečnosti organizácie.

3.3.6 neoprávnený prístup: Prístup k informáciám alebo k zdrojom automatizovaného informačného systému, realizovaný v rozpore so stanovenými prístupovými právami (alebo) pravidlami.

Poznámky

1 Neoprávnený prístup môže byť úmyselný alebo neúmyselný.

2 Pre procesy spracovania informácií, údržbu automatizovaného informačného systému a zmeny programu sú ustanovené práva a pravidlá prístupu k informáciám a zdrojom informačného systému. technické a informačné zdroje, ako aj získavanie informácií o nich.

3.3.7 sieťový útok: Akcie využívajúce softvér a (alebo) hardvér a využívajúce sieťový protokol, zamerané na implementáciu hrozieb neoprávneného prístupu k informáciám, ovplyvňovania týchto informácií alebo zdrojov automatizovaného informačného systému.

Aplikácia – sieťový protokol je súbor sémantických a syntaktických pravidiel, ktoré určujú interakciu programov na správu siete umiestnených na tom istom počítači. s programami s rovnakým názvom umiestneným na inom počítači.

3.3.8 blokovanie prístupu (k informáciám): Ukončenie alebo sťaženie prístupu osôb k informáciám. oprávnení na to (oprávnení používatelia).

3.3.9 Útok odmietnutia služby: Sieťový útok vedúci k zablokovaniu informačných procesov v automatizovanom systéme.

3.3.10 únik informácií: Nekontrolované šírenie chránených informácií v dôsledku ich prezradenia, neoprávneného prístupu k informáciám a prijímania chránených informácií cudzími spravodajskými službami.

3.3.11 sprístupnenie informácií: Neoprávnené oznamovanie chránených informácií osobám. nemá oprávnenie na prístup k týmto informáciám.

GOST R 53114-2008

odpočúvanie (informácií): Nezákonný príjem informácií pomocou technického prostriedku, ktorý zisťuje, prijíma a spracováva informačné signály.

(R 50.1.053-2005, odsek 3.2.5]

informatívny signál: signál, ktorého parametre možno použiť na určenie chránených informácií.

[R 50.1.05S-2005. odsek 3.2.6]

3.3.14 deklarované schopnosti: Funkčné schopnosti počítačového hardvéru a softvéru, ktoré nie sú opísané alebo nezodpovedajú tým, ktoré sú opísané v dokumentácii. čo môže viesť k zníženiu alebo narušeniu bezpečnostných vlastností informácií.

3.3.15 rušivé elektromagnetické žiarenie a rušenie: elektromagnetické žiarenie zo zariadení na spracovanie technických informácií, vznikajúce ako vedľajší účinok a spôsobené elektrickými signálmi pôsobiacimi v ich elektrických a magnetických obvodoch, ako aj elektromagnetické rušenie týchto signálov na vodivých vedeniach, konštrukciách a napájaní. obvodov.

3.4 Pojmy súvisiace s riadením informačnej bezpečnosti organizácie

3.4.1 riadenie informačnej bezpečnosti organizácie; riadenie organizácie informačnej bezpečnosti; Koordinované akcie na usmerňovanie a riadenie organizácie z hľadiska zabezpečenia jej informačnej bezpečnosti v súlade s meniacimi sa podmienkami vnútorného a vonkajšieho prostredia organizácie.

3.4.2 riadenie rizika informačnej bezpečnosti organizácie; riadenie rizika informačnej bezpečnosti organizácie: Koordinované akcie na vedenie a riadenie organizácie vo vzťahu k riziku informačnej bezpečnosti s cieľom jeho minimalizácie.

POZNÁMKA Hlavnými procesmi riadenia rizík sú nastavenie kontextu, hodnotenie rizika, ošetrenie a akceptovanie rizika, monitorovanie a preskúmanie rizika.

Systém riadenia informačnej bezpečnosti; ISMS: Časť celkového systému riadenia. založené na použití metód hodnotenia bioenergetických rizík pri vývoji, implementácii a prevádzke. monitorovanie, analýza, podpora a zlepšovanie bezpečnosti informácií.

POZNÁMKA Systém manažérstva zahŕňa organizačnú štruktúru, zásady, plánovacie činnosti, zodpovednosti, praktiky, postupy, procesy a zdroje.

[GOST R ISO/IEC 27001 -2006. odsek 3.7]

3.4.4 úloha informačnej bezpečnosti v organizácii; úloha informačnej bezpečnosti v organizácii: Súbor špecifických funkcií a úloh na zaistenie informačnej bezpečnosti organizácie, ktoré vytvárajú prijateľnú interakciu medzi subjektom a objektom v organizácii.

Poznámky

1 Subjekty zahŕňajú osoby z radov manažérov organizácie, jej zamestnancov alebo procesov iniciovaných v ich mene na vykonávanie akcií na objektoch

2 Objektmi môže byť hardvér, softvér, softvér a hardvér alebo informačný zdroj, na ktorom sa vykonávajú akcie.

3.4.5 Služba informačnej bezpečnosti organizácie: Organizačná a technická štruktúra systému riadenia informačnej bezpečnosti organizácie, ktorá implementuje riešenie špecifickej úlohy zameranej na boj proti ohrozeniam informačnej bezpečnosti organizácie.

3.5 Pojmy súvisiace s monitorovaním a hodnotením informačnej bezpečnosti organizácie

3.5.1 kontrola nad zaistením informačnej bezpečnosti organizácie; kontrola zabezpečenia informačnej bezpečnosti organizácie: Kontrola súladu zabezpečenia informačnej bezpečnosti v organizácii.

GOST R 53114-2008

3.5.2 monitorovanie informačnej bezpečnosti organizácie; Monitorovanie informačnej bezpečnosti organizácie: Neustále monitorovanie procesu informačnej bezpečnosti v organizácii s cieľom zistiť, či je v súlade s požiadavkami informačnej bezpečnosti.

3.5.3 audit informačnej bezpečnosti organizácie; audit organizácie informačnej bezpečnosti: Systematický, nezávislý a zdokumentovaný proces získavania dôkazov o činnosti organizácie na zaistenie informačnej bezpečnosti a stanovenie stupňa plnenia kritérií informačnej bezpečnosti v organizácii, ako aj umožnenie vytvorenia profesionálneho auditu úsudok o stave informačnej bezpečnosti organizácie.

3.5.4 dôkaz (dôkaz) o audite informačnej bezpečnosti organizácie; Údaje auditu bezpečnosti informácií organizácie: Záznamy, vyhlásenia o skutočnostiach alebo iné informácie, ktoré sú relevantné pre kritériá auditu bezpečnosti informácií organizácie a možno ich overiť.

POZNÁMKA Dôkaz o bezpečnosti informácií môže byť kvalitatívny alebo kvantitatívny.

3.5.5 posúdenie súladu informačnej bezpečnosti organizácie so stanovenými požiadavkami; hodnotenie súladu informačnej bezpečnosti organizácie so stanovenými požiadavkami: Činnosti zapojené do priameho alebo nepriameho určovania súladu alebo nesúladu so stanovenými požiadavkami informačnej bezpečnosti v organizácii.

3.5.6 kritérium pre audit informačnej bezpečnosti organizácie; Kritérium auditu organizácie informačnej bezpečnosti: Súbor princípov, ustanovení, požiadaviek a ukazovateľov platných regulačných dokumentov* týkajúcich sa aktivít organizácie v oblasti informačnej bezpečnosti.

Aplikácia – Kritériá auditu bezpečnosti informácií sa používajú na porovnanie dôkazov auditu bezpečnosti informácií s nimi.

3.5.7 certifikácia automatizovaného systému v bezpečnom prevedení: Proces komplexného overovania výkonu stanovených funkcií automatizovaného systému na spracovanie chránených informácií na súlad s požiadavkami noriem a/alebo regulačných dokumentov v oblasti informácií ochrany a prípravy dokladov o jej súlade s výkonom funkcie spracovania chránených informácií na konkrétnom zariadení informatizácia.

3.5.8 kritérium pre zaistenie informačnej bezpečnosti organizácie; kritérium informačnej bezpečnosti organizácie: Ukazovateľ, na základe ktorého sa hodnotí stupeň dosiahnutia cieľa (cieľov) informačnej bezpečnosti organizácie.

3.5.9 efektívnosť informačnej bezpečnosti; efektívnosť informačnej bezpečnosti: Vzťah medzi dosiahnutým výsledkom a použitými zdrojmi na zabezpečenie danej úrovne informačnej bezpečnosti.

3.6 Pojmy súvisiace s kontrolami bezpečnosti informácií organizácie

3.6.1 zabezpečenie informačnej bezpečnosti organizácie; zabezpečenie informačnej bezpečnosti organizácie: Činnosti zamerané na elimináciu (neutralizáciu, boj proti) interným a externým hrozbám informačnej bezpečnosti organizácie alebo minimalizáciu škôd z možnej implementácie takýchto hrozieb.

3.6.2 bezpečnostné opatrenie; bezpečnostná kontrola: Zavedená prax, postup alebo mechanizmus na zvládanie rizika.

3.6.3 opatrenia na zaistenie informačnej bezpečnosti; Opatrenia informačnej bezpečnosti: Súbor činností zameraných na vývoj a/alebo praktickú aplikáciu metód a prostriedkov na zaistenie informačnej bezpečnosti.

3.6.4 organizačné opatrenia na zabezpečenie informačnej bezpečnosti; organizačné opatrenia na zaistenie informačnej bezpečnosti: Opatrenia na zaistenie informačnej bezpečnosti, ktorým sa ustanovujú dočasné, územné, priestorové, právne, metodické a iné obmedzenia podmienok používania a prevádzkových režimov objektu informatizácie.

3.6.5 technické prostriedky na zabezpečenie informačnej bezpečnosti; technické prostriedky informačnej bezpečnosti: Zariadenia používané na zabezpečenie informačnej bezpečnosti organizácie pomocou nekryptografických metód.

Poznámka - Takéto zariadenie môže predstavovať hardvér a softvér zabudovaný do chráneného objektu a/alebo fungujúci autonómne (nezávisle od chráneného objektu).

GOST R 53114-2008

3.5.6 nástroj na detekciu narušenia bezpečnosti, nástroj na detekciu útokov: Softvérový alebo softvérovo-hardvérový nástroj, ktorý automatizuje proces monitorovania udalostí vyskytujúcich sa v počítačovom systéme alebo sieti a tiež nezávisle analyzuje tieto udalosti pri hľadaní známok incidentu informačnej bezpečnosti.

3.6.7 Prostriedky ochrany pred neoprávneným prístupom: Softvér, hardvér alebo softvér a hardvér určený na zabránenie alebo výrazné zabránenie neoprávnenému prístupu.

GOST R 53114-2008

Abecedný zoznam pojmov

majetok organizácie 3.1.6

analýza rizík 3.2.13

Reproduktory v chránenej verzii 3.1.19

útok odmietnutia služby 3.3.9

sieťový útok 3.3.7

certifikácia automatizovaného systému v chránenej verzii 3.5.7

audit informačnej bezpečnosti organizácie 3.5.3

bezpečnosť (údaje) 3.1.1

informačná bezpečnosť 3.1.1

bezpečnosť informačných technológií 3.1.2

informačná bezpečnosť organizácie 3.2.1

blokovanie prístupu (k informáciám) 3.3.8

porušenie 3.3.4

nedeklarované schopnosti 3.3.14

osobné údaje 3.1.18

neoprávnený prístup 3.3.6

Organizačná informačná bezpečnosť 3.2.1

identifikácia rizika 3.2.12

informačná infraštruktúra 3.1.4

incident informačnej bezpečnosti 3.2.7

zdroj rizika informačnej bezpečnosti organizácie 3.2.17

zdroj rizika pre informačnú bezpečnosť organizácie 3.2.17

kontrola informačnej bezpečnosti organizácie 3.5.1

kritériá na zabezpečenie informačnej bezpečnosti organizácie 3.5.8

Kritérium auditu organizačného IS 3.5.6

Kritérium auditu informačnej bezpečnosti organizácie 3.5.6

kritérium pre zaistenie informačnej bezpečnosti organizácie 3.5.8

riadenie informačnej bezpečnosti organizácie 3.4.1

riadenie rizika informačnej bezpečnosti organizácie 3.4.2

bezpečnostné opatrenie 3.6.2

opatrenia informačnej bezpečnosti 3.6.3

organizačné opatrenia informačnej bezpečnosti 3.6.4

opatrenia informačnej bezpečnosti 3.6.3

organizačné opatrenia informačnej bezpečnosti 3.4.6

model hrozby (bezpečnosť informácií) 3.3.3

monitorovanie informačnej bezpečnosti organizácie 3.5.2

narušenie informačnej bezpečnosti organizácie 3.2.4

narušiteľ informačnej bezpečnosti organizácie 3.3.5

podpora automatizovaného informačného systému 3.1.12

softvér automatizovaného systému 3.1.11

technická podpora automatizovaného systému 3.1.10

Informačná podpora AS 3.1.12

AC softvér 3.1.11

Technická podpora AC 3.1.10

zabezpečenie informačnej bezpečnosti organizácie 3.6.1

zaobchádzanie s rizikom informačnej bezpečnosti organizácie 3.2.15

GOST R 53114-2008

riadenie rizika informačnej bezpečnosti organizácie 3.2.1S

predmet ochrany informácií 3.2.2

objekt informatizácie 3.1.5

kritický objekt 3.1.16

stanovenie prijateľnej úrovne rizika 3.2.14

hodnotenie rizika 3.2.10

hodnotenie rizika I6 (organizácie) 3.2.11

hodnotenie rizika informačnej bezpečnosti (organizácia) 3.2.11

posúdenie súladu IS organizácie so stanovenými požiadavkami 3.5.5

posúdenie súladu informačnej bezpečnosti organizácie so stanovenými požiadavkami 3.5.5

odpočúvanie (informácie) 3.3.12

Politika IS (organizácia) 3.2.18

politika informačnej bezpečnosti (organizácia) 3.2.18

chránený proces (informačné technológie) 3.2.3

informačný proces 3.1.8

zverejňovanie informácií 3.3.11

zdroj systému spracovania informácií 3.1.7

úloha informačnej bezpečnosti v organizácii 3.4.4

úloha informačnej bezpečnosti 8 v organizácii 3.4.4

certifikáty (doklady) o audite IS organizácie 3.5.4

dôkaz (dôkaz) o audite informačnej bezpečnosti organizácie 3.5.4

služba 3.1.13

informatívny signál 3.3.13

bezpečný automatizovaný systém 3.1.19

dokumentový systém informačnej bezpečnosti v organizácii 3.2.20

systém dokumentov o informačnej bezpečnosti v organizácii 3.2.20

systém kľúčovej informačnej infraštruktúry 3.1.15

systém kritickej informačnej infraštruktúry 3.1.15

systém riadenia informačnej bezpečnosti 3.4.3

informačný systém osobných údajov 3.1.17

nepredvídaná situácia 3.2.5

nebezpečná situácia 3.2.6

núdzová situácia 3.2.5

služba informačnej bezpečnosti organizácie 3.4.6

podujatie 3.2.8

ochrana pred neoprávneným prístupom 3.6.7

nástroj technickej bezpečnosti informácií 3.6.5

Nástroj na detekciu útoku 3.6.6

Nástroj na detekciu narušenia 3.6.6

informačná sféra 3.1.3

informačné technológie 3.1.9

hrozba (bezpečnosť informácií) 3.3.2

ohrozenie informačnej bezpečnosti organizácie 3.3.1

riadenie rizík 3.2.16

služba 3.1.13

služby informačných technológií 3.1.14

IT služby 3.1.14

únik informácií 3.3.10

zraniteľnosť (informačný systém) 3.3.4

Cieľ IS (organizácia) 3.2.19

cieľ informačnej bezpečnosti (organizácia) 3.2.19

elektromagnetické žiarenie a bočné rušenie 3.3.15

Efektívnosť IS 3.5.9

efektívnosť informačnej bezpečnosti 3.5.9

GOST R 53114-2008

Príloha A (pre referenciu)

Termíny a definície všeobecných technických pojmov

organizácia: Skupina pracovníkov a potrebných zdrojov s rozdelením povinností, právomocí a vzťahov.

(GOST R ISO 9000-2001, odsek 3.3.1]

Poznámky

1 Organizácie zahŕňajú: spoločnosť, korporáciu, firmu, podnik, inštitúciu, charitatívnu organizáciu, maloobchodný podnik, združenie. ako aj ich pododdelenia alebo ich kombinácie.

2 Distribúcia je zvyčajne objednaná.

3 Organizácia môže byť verejná alebo súkromná.

A.2 podnikanie: Ekonomická činnosť, ktorá vytvára zisk; akýkoľvek druh činnosti, ktorá vytvára príjem a je zdrojom obohatenia.

Podnikový proces A.Z: Procesy používané v ekonomických činnostiach organizácie.

informácie: Informácie (správy, údaje) bez ohľadu na formu ich prezentácie.

aktíva: Všetky. čo má pre organizáciu hodnotu. (GOST R ISO/IEC13335-1-2006, odsek 2.2(

A.6 zdroje: Aktíva (organizácie), ktoré sa používajú alebo spotrebúvajú počas vykonávania procesu. Poznámky

1 Zdroje môžu zahŕňať také rôznorodé položky, ako je personál, vybavenie, fixné aktíva, nástroje a služby, ako je energia, voda, palivo a infraštruktúra komunikačných sietí.

2 Zdroje môžu byť opätovne použiteľné, obnoviteľné alebo spotrebovateľné.

A.7 nebezpečenstvo: Vlastnosť predmetu, ktorá charakterizuje jeho schopnosť spôsobiť poškodenie alebo poškodenie iných predmetov. A.8 mimoriadna udalosť: udalosť vedúca k mimoriadnej situácii.

A.9 poškodenie: Fyzické poškodenie alebo poškodenie ľudského zdravia alebo poškodenie majetku alebo životného prostredia.

A. 10 hrozba: Súbor podmienok a faktorov, ktoré môžu spôsobiť narušenie integrity a dostupnosti. súkromia.

A.11 zraniteľnosť: Vnútorné vlastnosti objektu, ktoré vytvárajú náchylnosť na účinky zdroja rizika, ktoré môže viesť k nejakému následku.

A. 12 útok: Pokus o prekonanie bezpečnostného systému informačného systému.

Poznámky - Stupeň „úspešnosti“ útoku závisí od zraniteľnosti a účinnosti obranného systému.

A.13 manažment: Koordinované činnosti pre smerovanie a riadenie organizácie

A.14 obchodné (kontinuitné) riadenie: Koordinované riadiace a kontrolné činnosti

obchodné procesy organizácie.

A. 15 rola: Vopred určený súbor pravidiel a postupov pre činnosti organizácie, ktoré vytvárajú prijateľnú interakciu medzi subjektom a objektom činnosti.

vlastník informácií: Osoba, ktorá nezávisle vytvorila informácie alebo získala na základe zákona alebo dohody právo povoliť alebo obmedziť prístup k informáciám určeným akýmikoľvek kritériami.

GOST R 53114-2008

infraštruktúra: Súhrn budov, zariadení a podporných služieb potrebných pre fungovanie organizácie.

[GOST R ISO 9000-2001. odsek 3.3.3]

A.18 audit: Systematický, nezávislý a zdokumentovaný proces získavania audítorských dôkazov a ich objektívneho hodnotenia s cieľom určiť, do akej miery boli splnené dohodnuté kritériá auditu.

Poznámky

1 Interné audity, nazývané audity prvej strany, vykonáva na interné účely samotná organizácia alebo v jej mene iná organizácia. Výsledky interného auditu môžu slúžiť ako podklad pre vyhlásenie o zhode. V mnohých prípadoch, najmä v malých podnikoch, musia audit vykonávať špecialisti (ľudia, ktorí nie sú zodpovední za kontrolovanú činnosť).

POZNÁMKA 2. – Externé audity zahŕňajú audity nazývané audity druhej strany a audity tretích strán. Audity druhej strany vykonávajú napríklad strany, ktoré sa zaujímajú o činnosti podniku.

spotrebiteľov alebo iných v ich mene. Audity tretích strán vykonávajú externé nezávislé organizácie. Tieto organizácie vykonávajú certifikáciu alebo registráciu na dodržiavanie požiadaviek, napríklad požiadaviek GOST R ISO 9001 a GOST R ISO 14001.

3 Súbežne vykonávaný audit systémov manažérstva kvality a systémov environmentálneho manažérstva sa nazýva „komplexný audit“.

4 Ak audit auditovanej organizácie vykonáva súčasne niekoľko organizácií, potom sa takýto audit nazýva „spoločný audit“.

A.19 monitorovanie: Systematické alebo nepretržité monitorovanie objektu, zabezpečenie kontroly a/alebo merania jeho parametrov, ako aj vykonávanie analýz na predpovedanie variability parametrov a prijímanie rozhodnutí o potrebe a zložení nápravných a preventívnych opatrení.

vyhlásenie o zhode: Formulár potvrdenia o zhode výrobku s požiadavkami technických predpisov.

Technológia A.21: Systém vzájomne prepojených metód, metód, techník objektívnej činnosti. A.22

dokument: Informácie zaznamenané na hmotnom nosiči s podrobnosťami, ktoré umožňujú ich identifikáciu.

[GOST R 52069.0-2003. odsek 3.18]

A.23 spracovanie informácií: Súbor operácií zhromažďovania, zhromažďovania, vstupu, výstupu, príjmu, prenosu, zaznamenávania, uchovávania, registrácie, ničenia, transformácie, zobrazovania, ktoré sa vykonávajú s informáciami.

GOST R 53114-2008

Príloha B (pre referenciu)

Vzťah základných pojmov v oblasti informačnej bezpečnosti v organizácii

Vzťah medzi základnými pojmami je znázornený na obrázku B.1.

Obrázok B.1 - vzťah medzi základnými pojmami

GOST R 53114-2008

Bibliografia

(1] R 50.1.053-2005

(2]PS0.1.056-2005

Informačné technológie. Základné pojmy a definície v oblasti technickej informačnej bezpečnosti Technická informačná bezpečnosť. Základné pojmy a definície

O technickom predpise

O informáciách, informačných technológiách a ochrane informácií

O osobných údajoch

Doktrína informačnej bezpečnosti Ruskej federácie

MDT 351.864.1:004:006.354 OKS 35.020 LLP

Kľúčové slová: informácie, informačná bezpečnosť, informačná bezpečnosť v organizácii, ohrozenie informačnej bezpečnosti, kritériá informačnej bezpečnosti

Redaktor V.N. Cops soya Technický redaktor V.N. Prusakova korektor V.E. Nestorovo Počítačový softvér I.A. NapeikinoO

Dodané na nábor dňa 11.06.2009. Podpísaná pečiatka 12.01.2009. Formát 60" 84 ofsetového papiera. Typ písma Arial. Ofsetová tlač. Usp. rúra l. 2.32. Uch.-ed. l. 1,90. Náklad 373 »kz. Zach. 626

FSUE "STANDARTINFORM*. 123995 Moskva. Granátové jablko por.. 4. info@goslmlo gi

Zadané do FSUE "STANDARTINFORM" na PC.

Vytlačené na pobočke FSUE "STANDARTINFORM* - typ. "Moskovská tlačiareň". 105062 Moskva. Lyalinský pruh.. 6.

GOST 22731-77 Systémy prenosu dát, postupy riadenia dátového spojenia v hlavnom režime pre poloduplexnú výmenu informácií
GOST 26525-85 Systémy spracovania údajov. Metriky používania
GOST 27771-88 Procedurálne charakteristiky na rozhraní medzi dátovým koncovým zariadením a koncovým zariadením dátového kanála. Všeobecné požiadavky a normy
GOST 28082-89 Systémy spracovania informácií. Metódy zisťovania chýb pri sériovom prenose dát
GOST 28270-89 Systémy spracovania informácií. Popis údajov Špecifikácia súboru pre výmenu informácií
GOST R 43.2.11-2014 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Štruktúrovaná prezentácia textových informácií vo formátoch správ
GOST R 43.2.8-2014 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Formáty správ pre technické činnosti
GOST R 43.4.1-2011 Informačná podpora pre zariadenia a činnosti operátora. "Človek-informačný" systém
GOST R 53633.10-2015 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírený operačný rámec organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Riadenie organizácie. Riadenie organizačných rizík
GOST R 53633.11-2015 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírený diagram činnosti organizácie komunikácie (eTOM) Dekompozícia a popisy procesov. Procesy eTOM úrovne 2. Riadenie organizácie. Riadenie výkonnosti organizácie
GOST R 53633.4-2015 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírený operačný rámec organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Primárna činnosť. Riadenie a prevádzka služieb
GOST R 53633.7-2015 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírený operačný rámec organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Stratégia, infraštruktúra a produkt. Rozvoj a riadenie zdrojov
GOST R 53633.9-2015 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírený operačný rámec organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Riadenie organizácie. Stratégia plánovania a rozvoja organizácie
GOST R 55767-2013 Informačné technológie. Európsky rámec kompetencií IKT 2.0. Časť 1. Spoločný európsky rámec kompetencií pre odborníkov v oblasti IKT pre všetky priemyselné sektory
GOST R 55768-2013 Informačné technológie. Model otvoreného Grid systému. Základné ustanovenia
GOST R 56093-2014 Ochrana informácií. Automatizované systémy v bezpečnom dizajne. Prostriedky na zisťovanie zámerných silových elektromagnetických vplyvov. Všeobecné požiadavky
GOST R 56115-2014 Ochrana informácií. Automatizované systémy v bezpečnom dizajne. Prostriedky ochrany proti úmyselným silovým elektromagnetickým vplyvom. Všeobecné požiadavky
GOST R 56545-2015 Ochrana informácií. Zraniteľnosť informačných systémov. Pravidlá pre popis zraniteľností
GOST R 56546-2015 Ochrana informácií. Zraniteľnosť informačných systémov. Klasifikácia zraniteľností informačného systému
GOST IEC 60950-21-2013 Zariadenia informačných technológií. Bezpečnostné požiadavky. Časť 21. Diaľkové napájanie
GOST IEC 60950-22-2013 Zariadenia informačných technológií. Bezpečnostné požiadavky. Časť 22. Zariadenie určené na inštaláciu vonku
GOST R 51583-2014 Ochrana informácií. Postup pri vytváraní automatizovaných systémov v bezpečnom dizajne. Všeobecné ustanovenia
GOST R 55766-2013 Informačné technológie. Európsky rámec kompetencií IKT 2.0. Časť 3. Tvorba e-CF - spojenie metodických základov a odborných skúseností
GOST R 55248-2012 Elektrická bezpečnosť. Klasifikácia rozhraní pre zariadenia pripojené k sieťam informačných a komunikačných technológií
GOST R 43.0.11-2014 Informačná podpora pre zariadenia a činnosti operátora. Databázy v technických činnostiach
GOST R 56174-2014 Informačné technológie. Architektúra služieb otvoreného gridového prostredia. Pojmy a definície
GOST IEC 61606-4-2014 Audio a audiovizuálne zariadenia. Komponenty digitálnych audio zariadení. Základné metódy merania zvukových charakteristík. Časť 4. Osobný počítač
GOST R 43.2.5-2011 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Gramatika
GOST R 53633.5-2012 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírený operačný rámec organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Stratégia, infraštruktúra a produkt. Marketing a riadenie ponuky produktov
GOST R 53633.6-2012 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírený operačný rámec organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Stratégia, infraštruktúra a produkt. Rozvoj a riadenie služieb
GOST R 53633.8-2012 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírený operačný rámec organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Stratégia, infraštruktúra a produkt. Rozvoj a riadenie dodávateľského reťazca
GOST R 43.0.7-2011 Informačná podpora pre zariadenia a činnosti operátora. Hybridno-intelektualizovaná interakcia medzi človekom a informáciami. Všeobecné ustanovenia
GOST R 43.2.6-2011 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Morfológia
GOST R 53633.14-2016 Informačné technológie. Sieť riadenia telekomunikácií je rozšírený rámec prevádzky komunikačnej organizácie (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Riadenie organizácie. Riadenie zainteresovaných strán a vonkajších vzťahov
GOST R 56938-2016 Ochrana informácií. Ochrana informácií pri používaní virtualizačných technológií. Všeobecné ustanovenia
GOST R 56939-2016 Ochrana informácií. Bezpečný vývoj softvéru. Všeobecné požiadavky
GOST R ISO/IEC 17963-2016 Špecifikácia webových služieb pre správu (WS-management)
GOST R 43.0.6-2011 Informačná podpora pre zariadenia a činnosti operátora. Prirodzene intelektualizovaná interakcia medzi človekom a informáciami. Všeobecné ustanovenia
GOST R 54817-2011 Náhodné zapálenie zvukových, obrazových, informačných a komunikačných zariadení spôsobených plameňom sviečky
GOST R IEC 60950-23-2011 Zariadenia informačných technológií. Bezpečnostné požiadavky. Časť 23. Zariadenia na ukladanie veľkých objemov dát
GOST R IEC 62018-2011 Spotreba energie zariadení informačných technológií. Metódy merania
GOST R 53538-2009 Viacpárové káble s medenými vodičmi pre širokopásmové prístupové obvody. Všeobecné technické požiadavky
GOST R 53633.0-2009 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Všeobecná štruktúra podnikových procesov
GOST R 53633.1-2009 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Primárna činnosť. Riadenie vzťahov s dodávateľmi a partnermi
GOST R 53633.2-2009 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Primárna činnosť. Riadenie zdrojov a prevádzka
GOST R 53633.3-2009 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Primárna činnosť. Riadenie vzťahov so zákazníkmi
GOST R ISO/IEC 20000-2-2010 Informačné technológie. Manažment služieb. Časť 2: Kódex postupov
GOST R 43.0.3-2009 Informačná podpora pre zariadenia a činnosti operátora. Poludňajšia technika v technických činnostiach. Všeobecné ustanovenia
GOST R 43.0.4-2009 Informačná podpora pre zariadenia a činnosti operátora. Informácie v technických činnostiach. Všeobecné ustanovenia
GOST R 43.0.5-2009 Informačná podpora pre zariadenia a činnosti operátora. Procesy výmeny informácií v technických činnostiach. Všeobecné ustanovenia
GOST R 43.2.1-2007 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Všeobecné ustanovenia
GOST R 43.2.2-2009 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Všeobecné ustanovenia pre použitie
GOST R 43.2.3-2009 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Typy a vlastnosti ikonických komponentov
GOST R 43.2.4-2009 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Syntaktika znakových komponentov
GOST R 52919-2008 Informačné technológie. Metódy a prostriedky fyzickej ochrany. Klasifikácia a skúšobné metódy požiarnej odolnosti. Dátové miestnosti a kontajnery
GOST R 53114-2008 Ochrana informácií. Zabezpečenie informačnej bezpečnosti v organizácii. Základné pojmy a definície
GOST R 53245-2008 Informačné technológie. Štruktúrované káblové systémy. Inštalácia hlavných komponentov systému. Testovacie metódy
GOST R 53246-2008 Informačné technológie. Štruktúrované káblové systémy. Návrh hlavných komponentov systému. Všeobecné požiadavky
GOST R IEC 60990-2010 Metódy merania dotykového prúdu a prúdu ochranného vodiča
GOST 33707-2016 Informačné technológie. Slovník
GOST R 57392-2017 Informačné technológie. Manažment služieb. Časť 10. Základné pojmy a terminológia
GOST R 43.0.13-2017 Informačná podpora pre zariadenia a činnosti operátora. Riadené školenie špecialistov
GOST R 43.0.8-2017 Informačná podpora pre zariadenia a činnosti operátora. Umelo intelektualizovaná interakcia človek-informácia. Všeobecné ustanovenia
GOST R 43.0.9-2017 Informačná podpora pre zariadenia a činnosti operátora. Informačné zdroje
GOST R 43.2.7-2017 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Syntax
GOST R ISO/IEC 38500-2017 Informačné technológie. Strategické riadenie IT v organizácii
GOST R 43.0.10-2017 Informačná podpora pre zariadenia a činnosti operátora. Informačné objekty, objektovo orientovaný dizajn pri tvorbe technických informácií
GOST R 53633.21-2017 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Primárna činnosť. Riadenie a prevádzkovanie služieb. Procesy eTOM úrovne 3. Proces 1.1.2.1 - Podpora a dostupnosť procesov SM&O
GOST R 57875-2017 Telekomunikácie. Schémy zapojenia a uzemnenia v telekomunikačných centrách
GOST R 53633.22-2017 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Primárna činnosť. Riadenie a prevádzkovanie služieb. Procesy eTOM úrovne 3. Proces 1.1.2.2 - Konfigurácia a aktivácia služieb

Medzinárodné normy

BS 7799-1:2005 - Britský štandard BS 7799 prvá časť. BS 7799 Časť 1 - Kódex postupov pre riadenie informačnej bezpečnosti popisuje 127 ovládacích prvkov potrebných na vytvorenie systémy riadenia informačnej bezpečnosti(ISMS) organizácie, stanovené na základe najlepších príkladov globálnych skúseností (best practices) v tejto oblasti. Tento dokument slúži ako praktický návod na vytvorenie ISMS
BS 7799-2:2005 - Britská norma BS 7799 je druhá časť normy. BS 7799 Časť 2 - Manažment informačnej bezpečnosti - špecifikácia pre systémy riadenia informačnej bezpečnosti špecifikuje špecifikáciu ISMS. Druhá časť normy sa používa ako kritérium pri oficiálnom certifikačnom konaní pre ISMS organizácie.
BS 7799-3:2006 - Britská norma BS 7799 tretia časť normy. Nový štandard v riadení rizík informačnej bezpečnosti
ISO/IEC 17799:2005 - "Informačné technológie - Bezpečnostné technológie - Postupy riadenia informačnej bezpečnosti." Medzinárodná norma založená na BS 7799-1:2005.
ISO/IEC 27000 – Slovník a definície.
ISO/IEC 27001:2005 - "Informačné technológie - Bezpečnostné techniky - Systémy riadenia informačnej bezpečnosti - Požiadavky." Medzinárodná norma založená na BS 7799-2:2005.
ISO/IEC 27002 – teraz: ISO/IEC 17799:2005. "Informačné technológie - Bezpečnostné technológie - Praktické pravidlá pre riadenie informačnej bezpečnosti." Dátum vydania: 2007.
ISO/IEC 27005 – teraz: BS 7799-3:2006 – Usmernenie k riadeniu rizika informačnej bezpečnosti.
Nemecký úrad pre informačnú bezpečnosť. IT Baseline Protection Manual - Štandardné bezpečnostné záruky.

Štátne (národné) normy Ruskej federácie

GOST R 50922-2006 - Ochrana informácií. Základné pojmy a definície.
R 50.1.053-2005 - Informačné technológie. Základné pojmy a definície v oblasti technickej informačnej bezpečnosti.
GOST R 51188-98 - Ochrana informácií. Testovací softvér na počítačové vírusy. Návod na model.
GOST R 51275-2006 - Ochrana informácií. Informačný objekt. Faktory ovplyvňujúce informácie. Všeobecné ustanovenia.
GOST R ISO/IEC 15408-1-2008 - Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Kritériá hodnotenia bezpečnosti informačných technológií. Časť 1. Úvod a všeobecný model.
GOST R ISO/IEC 15408-2-2008 - Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Kritériá hodnotenia bezpečnosti informačných technológií. Časť 2. Požiadavky na funkčnú bezpečnosť.
GOST R ISO/IEC 15408-3-2008 - Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Kritériá hodnotenia bezpečnosti informačných technológií. Časť 3. Požiadavky na zabezpečenie bezpečnosti.
GOST R ISO/IEC 15408 – „Všeobecné kritériá hodnotenia bezpečnosti informačných technológií“ – norma, ktorá definuje nástroje a metódy na hodnotenie bezpečnosti informačných produktov a systémov; obsahuje zoznam požiadaviek, s ktorými možno porovnávať výsledky nezávislých hodnotení bezpečnosti – čo spotrebiteľovi umožňuje rozhodovať sa o bezpečnosti výrobkov. Rozsahom uplatňovania „Všeobecných kritérií“ je ochrana informácií pred neoprávneným prístupom, modifikáciou alebo únikom a iné spôsoby ochrany realizované hardvérom a softvérom.
GOST R ISO/IEC 17799 - „Informačné technológie. Praktické pravidlá pre riadenie informačnej bezpečnosti.“ Priama aplikácia medzinárodnej normy s jej dodatkom - ISO/IEC 17799:2005.
GOST R ISO/IEC 27001 - „Informačné technológie. Bezpečnostné metódy. Systém riadenia informačnej bezpečnosti. Požiadavky". Priama aplikácia medzinárodnej normy je ISO/IEC 27001:2005.
GOST R 51898-2002: Bezpečnostné aspekty. Pravidlá pre zaradenie do noriem.

Sprievodné dokumenty

RD SVT. Ochrana proti NSD. Bezpečnostné ukazovatele od NSD k informáciám - obsahuje popis bezpečnostných ukazovateľov informačných systémov a požiadavky na bezpečnostné triedy.

pozri tiež

Nedeklarované schopnosti

vonkajšie odkazy

Medzinárodné štandardy riadenia informačnej bezpečnosti

Nadácia Wikimedia. 2010.

Dôležitosť zaistenia informačnej bezpečnosti je ťažké preceňovať, pretože potreba ukladať a prenášať údaje je neoddeliteľnou súčasťou každého podnikania.

Rôzne metódy informačnej bezpečnosti závisia od formy, v akej sú uložené, avšak pre systematizáciu a zefektívnenie tejto oblasti je potrebné stanoviť štandardy informačnej bezpečnosti, keďže štandardizácia je dôležitým determinantom kvality pri hodnotení poskytovaných služieb.

Akékoľvek zabezpečenie informačnej bezpečnosti si vyžaduje kontrolu a overovanie, ktoré nemožno vykonávať len individuálnym hodnotením, bez zohľadnenia medzinárodných a štátnych noriem.

K formovaniu noriem informačnej bezpečnosti dochádza po jasnom definovaní jej funkcií a hraníc. Informačná bezpečnosť zabezpečuje dôvernosť, integritu a dostupnosť údajov.

Na určenie stavu informačnej bezpečnosti je najvhodnejšie kvalitatívne hodnotenie, keďže stupeň bezpečnosti alebo zraniteľnosti je možné vyjadriť aj v percentách, čo však neposkytuje úplný a objektívny obraz.

Na posúdenie a audit bezpečnosti informačných systémov môžete použiť množstvo pokynov a odporúčaní, ktoré zahŕňajú regulačnú podporu.

Štátne a medzinárodné štandardy informačnej bezpečnosti

Monitorovanie a vyhodnocovanie stavu bezpečnosti sa vykonáva kontrolou ich súladu so štátnymi normami (GOST, ISO) a medzinárodnými normami (ISo, Spoločné kritériá pre bezpečnosť IT).

Medzinárodný súbor noriem vyvinutý Medzinárodnou organizáciou pre normalizáciu (ISO) je súborom postupov a odporúčaní pre implementáciu systémov a zariadení informačnej bezpečnosti.

ISO 27000 je jednou z najpoužívanejších a najrozšírenejších noriem hodnotenia, ktorá obsahuje viac ako 15 ustanovení, ktoré sú postupne očíslované.

Podľa kritérií hodnotenia štandardizácie ISO 27000 bezpečnosť informácií nie je len ich integrita, dôvernosť a dostupnosť, ale aj autentickosť, spoľahlivosť, odolnosť voči chybám a identifikovateľnosť. Bežne možno túto sériu noriem rozdeliť do 4 sekcií:

prehľad a úvod do terminológie, popis pojmov používaných v oblasti bezpečnosti;
povinné požiadavky na systém riadenia informačnej bezpečnosti, podrobný popis metód a prostriedkov riadenia systému. Je hlavným štandardom tejto skupiny;
odporúčania auditu, usmernenia k bezpečnostným kontrolám;
štandardy, ktoré odporúčajú postupy na implementáciu, vývoj a zlepšenie systému riadenia informačnej bezpečnosti.

Štátne normy informačnej bezpečnosti zahŕňajú množstvo predpisov a dokumentov pozostávajúcich z viac ako 30 ustanovení (GOST).

Rôzne normy sú zamerané nielen na stanovenie všeobecných hodnotiacich kritérií, ako napríklad GOST R ISO/IEC 15408, ktorá obsahuje metodické usmernenia pre hodnotenie bezpečnosti a zoznam požiadaviek na systém manažérstva. Môžu byť špecifické a môžu obsahovať aj praktický návod.

Správna organizácia skladu a jeho pravidelné sledovanie prevádzky pomôže eliminovať krádeže komodít a materiálnych aktív, ktoré negatívne ovplyvňujú finančnú pohodu každého podniku bez ohľadu na formu vlastníctva.
V čase spustenia prejde systém automatizácie skladu ďalšími dvoma fázami: interným testovaním a napĺňaním údajov. Po takejto príprave sa systém rozbehne naplno. Prečítajte si viac o automatizácii tu.

Vzájomný vzťah a súbor techník vedie k rozvoju všeobecných ustanovení a k spojeniu medzinárodnej a štátnej normalizácie. GOST Ruskej federácie teda obsahujú dodatky a odkazy na medzinárodné normy ISO.

Takáto interakcia napomáha rozvoju jednotného systému kontroly a hodnotenia, čím sa výrazne zvyšuje efektívnosť uplatňovania týchto ustanovení v praxi, objektívne hodnotenie pracovných výsledkov a celkové zlepšenie.

Porovnanie a analýza národných a medzinárodných štandardizačných systémov

Počet európskych štandardizačných štandardov na zaistenie a kontrolu informačnej bezpečnosti výrazne prevyšuje zákonné štandardy stanovené Ruskou federáciou.

V národných vládnych štandardoch prevládajú ustanovenia o ochrane informácií pred možným hackerstvom, únikom a hrozbami straty. Zahraničné bezpečnostné systémy sa špecializujú na vývoj štandardov pre prístup k údajom a ich autentifikáciu.

Rozdiely sú aj v ustanoveniach týkajúcich sa vykonávania kontroly a auditu systémov. Okrem toho sa prax uplatňovania a implementácie systému riadenia informačnej bezpečnosti európskej normalizácie prejavuje takmer vo všetkých sférach života a normy Ruskej federácie sú zamerané hlavne na zachovanie materiálneho blahobytu.

Neustále aktualizované štátne normy však obsahujú nevyhnutný minimálny súbor požiadaviek na vytvorenie kompetentného systému riadenia informačnej bezpečnosti.

Štandardy informačnej bezpečnosti pre prenos dát

Podnikanie zahŕňa ukladanie, výmenu a prenos údajov cez internet. V modernom svete sa menové transakcie, obchodné aktivity a prevody finančných prostriedkov často uskutočňujú online a informačnú bezpečnosť tejto činnosti je možné zabezpečiť len kompetentným a profesionálnym prístupom.

Na internete existuje množstvo štandardov, ktoré zabezpečujú bezpečné ukladanie a prenos dát, známe antivírusové ochranné programy, špeciálne protokoly pre finančné transakcie a mnohé ďalšie.

Rýchlosť rozvoja informačných technológií a systémov je taká veľká, že výrazne predbieha tvorbu protokolov a jednotných štandardov ich používania.

Jedným z populárnych protokolov bezpečného prenosu údajov je SSL (Secure Socket Layer), vyvinutý americkými špecialistami. Umožňuje vám chrániť údaje pomocou kryptografie.

Výhodou tohto protokolu je možnosť overenia a autentifikácie napríklad bezprostredne pred výmenou dát. Používanie takýchto systémov pri prenose údajov je však skôr poradné, keďže používanie týchto štandardov nie je pre podnikateľov povinné.

Na otvorenie LLC potrebujete chartu podniku. Postup, ktorý sa vyvíja v súlade s právnymi predpismi Ruskej federácie. Môžete si ho napísať sami, vziať si štandardnú vzorku ako sprievodcu alebo môžete kontaktovať špecialistov, ktorí ho napíšu.
Ašpirujúci podnikateľ, ktorý plánuje rozvíjať svoj vlastný podnik ako samostatný podnikateľ, musí pri vypĺňaní žiadosti uviesť kód ekonomickej činnosti v súlade s OKVED. Podrobnosti tu.

Na vykonávanie bezpečných transakcií a operácií bol vyvinutý prenosový protokol SET (Security Electronic Transaction), ktorý umožňuje minimalizovať riziká pri vykonávaní obchodných a obchodných operácií. Tento protokol je štandardom pre platobné systémy Visa a Master Card, ktorý umožňuje použitie bezpečnostného mechanizmu platobného systému.

Výbory, ktoré štandardizujú internetové zdroje, sú dobrovoľné, preto činnosti, ktoré vykonávajú, nie sú zákonné a povinné.

Podvody na internete sa však v modernom svete považujú za jeden z globálnych problémov, preto je jednoducho nemožné zabezpečiť bezpečnosť informácií bez použitia špeciálnych technológií a ich štandardizácie.

Systémy manažérstva bezpečnosti – špecifikácia s návodom na použitie" (Systémy – špecifikácie s návodom na použitie). Na jej základe bola vyvinutá norma ISO/IEC 27001:2005 „Informačné technológie". Bezpečnostné techniky. Systémy riadenia informačnej bezpečnosti. Požiadavky“, s ktorými je možné vykonať certifikáciu.

V Rusku sú v súčasnosti platné normy GOST R ISO/IEC 17799-2005 „Informačné technológie“. riadenie informačnej bezpečnosti"(autentický preklad ISO/IEC 17799:2000) a GOST R ISO/IEC 27001-2006 "Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Systémy riadenia informačnej bezpečnosti. Požiadavky" (preklad ISO/IEC 27001:2005). Napriek niektorým interným nezrovnalostiam spojeným s rôznymi verziami a funkciami prekladu nám prítomnosť noriem umožňuje priniesť systém riadenie informačnej bezpečnosti v súlade s ich požiadavkami a v prípade potreby osvedčiť.

GOST R ISO/IEC 17799:2005 "Informačné technológie. Praktické pravidlá pre riadenie informačnej bezpečnosti"

Pozrime sa teraz na obsah normy. V úvode sa uvádza, že „informácie, procesy, ktoré ich podporujú, informačné systémy a sieťová infraštruktúra sú základnými aktívami organizácie obchodnej povesti Môžeme teda povedať, že tento štandard zohľadňuje otázky informačnej bezpečnosti, a to aj z hľadiska ekonomického efektu.

Uvádzajú sa tri skupiny faktorov, ktoré treba brať do úvahy pri vývoji požiadaviek v oblasti informačnej bezpečnosti. toto:

hodnotenie rizika organizácie. Prostredníctvom hodnotenia rizík sa identifikujú hrozby pre aktíva organizácie, posúdenie zraniteľnosti príslušné aktíva a pravdepodobnosť výskytu hrozieb, ako aj posúdenie možných následkov;
právne, zákonné, regulačné a zmluvné požiadavky, ktoré musí spĺňať organizácia, jej obchodní partneri, dodávatelia a poskytovatelia služieb;
špecifický súbor zásad, cieľov a požiadaviek vytvorených organizáciou v súvislosti so spracovaním informácií.

Po stanovení požiadaviek sa začína etapa výberu a implementácie opatrení, ktoré zabezpečia zníženie rizika na prijateľnú úroveň. Výber udalostí podľa riadenie informačnej bezpečnosti by mali vychádzať z pomeru nákladov na ich realizáciu, efektu znižovania rizík a možných strát v prípade narušenia bezpečnosti. Mali by sa brať do úvahy aj faktory, ktoré nemožno vyjadriť v peniazoch, ako je strata dobrého mena. Možný zoznam činností je uvedený v norme, ale je potrebné poznamenať, že môže byť doplnený alebo vytvorený samostatne na základe potrieb organizácie.

Stručne vymenujme časti normy a v nich navrhnuté opatrenia na ochranu informácií. Prvá skupina sa týka bezpečnostnej politiky. Vyžaduje sa, aby bol vypracovaný, schválený vedením organizácie, zverejnený a daný na vedomie všetkým zamestnancom. Mal by určiť postup práce s informačnými zdrojmi organizácie, povinnosti a zodpovednosti zamestnancov. Politika sa pravidelne prehodnocuje, aby odrážala aktuálny stav systému a identifikované riziká.

Ďalšia časť sa zaoberá organizačnými problémami súvisiacimi s informačnou bezpečnosťou. Norma odporúča vytvárať riadiace rady (za účasti vrcholového manažmentu spoločnosti), aby schvaľovali bezpečnostnú politiku, menovali zodpovedné osoby, rozdelenie zodpovednosti a koordinácia implementácie opatrení pre riadenie informačnej bezpečnosti V organizácii. Mal by sa opísať aj proces získania povolenia na používanie nástrojov na spracovanie informácií (vrátane nového softvéru a hardvéru) v organizácii, aby to neviedlo k bezpečnostným problémom. Je tiež potrebné určiť postup pre interakciu s inými organizáciami v otázkach informačnej bezpečnosti, konzultácie s „externými“ špecialistami a nezávislé overovanie (audit) informačnej bezpečnosti.

Pri poskytovaní prístupu k informačným systémom odborníkom z organizácií tretích strán je potrebné venovať osobitnú pozornosť otázkam bezpečnosti. Musí sa vykonať posúdenie rizík spojených s rôznymi typmi prístupu (fyzického alebo logického, t. j. vzdialeného) takýchto špecialistov k rôznym organizačným zdrojom. Potreba poskytnúť prístup musí byť odôvodnená a zmluvy s tretími stranami a organizáciami musia obsahovať požiadavky týkajúce sa súladu s bezpečnostnou politikou. To isté sa navrhuje urobiť aj v prípade zapojenia organizácií tretích strán do spracovania informácií (outsourcing).

Ďalšia časť normy je venovaná otázkam klasifikácie a správa majetku. Na zabezpečenie informačnej bezpečnosti organizácie je potrebné, aby všetky kľúčové informačné aktíva boli zaúčtované a pridelené zodpovedným vlastníkom. Odporúčame začať inventúrou. Ako príklad je uvedená nasledujúca klasifikácia:

informačné aktíva (databázy a dátové súbory, systémovú dokumentáciu atď.);
softvérové aktíva (aplikačný softvér, systémový softvér, vývojové nástroje a pomôcky);
fyzický majetok (počítačové vybavenie, komunikačné vybavenie, pamäťové médiá, iné technické vybavenie, nábytok, priestory);
služby (výpočtové a komunikačné služby, základné služby).

Ďalej sa navrhuje klasifikovať informácie s cieľom určiť ich prioritu, nevyhnutnosť a stupeň ochrany. Zároveň je možné relevantné informácie posúdiť s prihliadnutím na to, nakoľko sú pre organizáciu kritické, napríklad z hľadiska zabezpečenia ich integrity a dostupnosti. Potom sa navrhuje vypracovať a implementovať postup označovania pri spracovaní informácií. Postupy označovania by sa mali definovať pre každú úroveň utajenia, aby vyhovovali nasledujúcim typom spracovania informácií:

kopírovanie;
skladovanie;
prenos poštou, faxom a e-mailom;
prenos hlasu, vrátane mobilných telefónov, hlasovej pošty, záznamníkov;
zničenie.

Nasledujúca časť sa zaoberá bezpečnostnými otázkami týkajúcimi sa personálu. Norma stanovuje, že zodpovednosti za dodržiavanie bezpečnostných požiadaviek sú rozdelené vo fáze výberu personálu, zahrnuté v pracovných zmluvách a monitorované počas celej doby zamestnania zamestnanca. Najmä pri prijímaní stáleho zamestnanca sa odporúča skontrolovať pravosť dokumentov predložených uchádzačom, úplnosť a správnosť životopisu a odporúčaní, ktoré mu boli predložené. Odporúča sa, aby zamestnanci podpísali dohodu o mlčanlivosti, v ktorej sa uvedie, ktoré informácie sú dôverné alebo citlivé. Musí byť stanovená disciplinárna zodpovednosť za zamestnancov, ktorí porušujú bezpečnostné zásady a postupy organizácie. V prípade potreby by táto zodpovednosť mala pokračovať počas určitého obdobia po ukončení zamestnania.

Používatelia musia byť vyškolení bezpečnostné postupy a správne používanie nástrojov na spracovanie informácií na minimalizáciu možných rizík. Okrem toho postup pri informovaní o porušenie informačnej bezpečnosti, s ktorým musí byť personál oboznámený. Podobný postup by sa mal použiť aj v prípade zlyhania softvéru. Takéto incidenty je potrebné zaznamenávať a analyzovať, aby sa identifikovali opakujúce sa problémy.

Ďalšia časť normy rieši otázky fyzickej ochrany a ochrany životného prostredia. Uvádza sa, že „prostriedky na spracovanie kritických alebo dôležitých obslužných informácií musia byť umiestnené v bezpečnostných oblastiach určených určitým bezpečnostný obvod s vhodnými ochrannými bariérami a kontrolami vniknutia. Tieto priestory musia byť fyzicky chránené pred neoprávneným prístupom, poškodením a nárazmi." Okrem organizácie kontroly vstupu do chránených priestorov je potrebné určiť postup vykonávania prác v nich a v prípade potreby aj postupy organizácie vstupu návštevníkov. nevyhnutné na zaistenie bezpečnosti zariadení (vrátane , ktoré sa používajú mimo organizácie) na zníženie rizika neoprávneného prístupu k údajom a ich ochranu pred stratou alebo poškodením Do tejto skupiny požiadaviek patrí aj zabezpečenie ochrany pred výpadkami napájania a ochrana káblovej siete. Musí sa tiež definovať postup údržby zariadenia, ktorý zohľadňuje bezpečnostné požiadavky, a postupy na bezpečnú likvidáciu alebo opätovné použitie zariadenia, napríklad sa odporúča, aby sa jednorazové pamäťové médiá obsahujúce citlivé informácie bezpečne fyzicky zničili alebo prepísali namiesto používania štandardných funkcií odstraňovania údajov.

Aby sa minimalizovalo riziko neoprávneného prístupu alebo poškodenia papierových dokumentov, pamäťových médií a médií na spracovanie informácií, odporúča sa zaviesť politiku „čistého stola“ pre papierové dokumenty a vymeniteľné pamäťové médiá, ako aj politiku „čistej obrazovky“ pre zariadenia na spracovanie informácií. Zariadenie, informácie alebo softvér môžu byť odstránené z priestorov organizácie len s príslušným povolením.

Názov ďalšej časti normy je „Riadenie prenosu údajov a prevádzkových činností“. Vyžaduje, aby boli stanovené zodpovednosti a postupy spojené s prevádzkou všetkých zariadení na spracovanie informácií. Napríklad zmeny konfigurácie zariadení a systémov na spracovanie informácií musia byť kontrolované. Vyžaduje sa implementácia princípu segregácie zodpovedností vo vzťahu k riadiacim funkciám, plneniu určitých úloh a oblastí.

Odporúča sa oddeliť vývojové, testovacie a produkčné prostredie softvéru. Musia byť definované a zdokumentované pravidlá pre prenos softvéru zo stavu vyvíjaného do stavu prijatého do prevádzky.

Ďalšie riziká vznikajú pri využívaní dodávateľov tretích strán na riadenie zariadení na spracovanie informácií. Takéto riziká musia byť vopred identifikované a musia sa prijať vhodné opatrenia riadenie informačnej bezpečnosti dohodnuté s dodávateľom a zahrnuté v zmluve.

Na zabezpečenie potrebnej kapacity spracovania a skladovania je potrebné analyzovať súčasné požiadavky na výkon, ako aj predpovedať budúce. Tieto prognózy by mali zohľadňovať nové funkčné a systémové požiadavky, ako aj súčasné a budúce plány rozvoja informačných technológií v organizácii. Požiadavky a kritériá na prijatie nových systémov musia byť jasne definované, odsúhlasené, zdokumentované a testované.

Musia sa prijať opatrenia na prevenciu a detekciu zavlečenia škodlivého softvéru, ako sú počítačové vírusy, sieťové červy, trójske kone a logické bomby. Je potrebné poznamenať, že ochrana pred škodlivým softvérom by mala byť založená na pochopení bezpečnostných požiadaviek, vhodných systémových kontrolách prístupu a správnom riadení zmien.

Musí sa určiť postup vykonávania pomocných operácií, ktorý zahŕňa zálohovanie softvéru a údajov 1 Laboratórium č. 10 sa napríklad zameriava na organizáciu záloh v systéme Windows Server 2008. zaznamenávanie udalostí a chýb a v prípade potreby monitorovanie stavu hardvéru. Dojednania o redundancii pre každý jednotlivý systém by sa mali pravidelne testovať, aby sa zabezpečilo, že spĺňajú požiadavky plánov kontinuity prevádzky.

Zabezpečiť bezpečnosť informácií v sieťach a chrániť podporná infraštruktúra, je potrebné zavedenie finančných prostriedkov bezpečnostná kontrola a ochranu pripojených služieb pred neoprávneným prístupom.

Osobitná pozornosť sa venuje zabezpečeniu rôznych typov pamäťových médií: dokumentov, počítačových pamäťových médií (pásky, disky, kazety), vstupných/výstupných dát a systémovej dokumentácie pred poškodením. Odporúča sa stanoviť postup používania vymeniteľných počítačových pamäťových médií (postup na kontrolu obsahu, ukladanie, ničenie atď.). Ako je uvedené vyššie, pamäťové médiá by sa mali po použití bezpečne a bezpečne zlikvidovať.

Na zabezpečenie ochrany informácií pred neoprávneným zverejnením alebo zneužitím je potrebné stanoviť postupy na spracovanie a uchovávanie informácií. Tieto postupy by sa mali navrhnúť s prihliadnutím kategorizácia informácie a konať v súvislosti s dokumentmi, výpočtovými systémami, sieťami, prenosnými počítačmi, mobilnou komunikáciou, poštou, hlasovou poštou, hlasovou komunikáciou vo všeobecnosti, multimediálnymi zariadeniami, používaním faxu a akýmikoľvek inými dôležitými predmetmi, ako sú formuláre, šeky a účty. Systémová dokumentácia môžu obsahovať určité dôležité informácie, a preto musia byť chránené.

Proces výmeny informácií a softvéru medzi organizáciami musí byť kontrolovaný a musí byť v súlade s platnou legislatívou. Predovšetkým treba zabezpečiť, určiť bezpečnosť nosičov informácií pri prenose pravidlá používania e-mailové a elektronické kancelárske systémy. Pozornosť by sa mala venovať ochrane integrity informácií publikovaných elektronicky, ako sú informácie na webovej stránke. Pred zverejnením takýchto informácií sa vyžaduje aj príslušný formalizovaný autorizačný proces.

Ďalšia časť normy je venovaná otázkam riadenia prístupu.

Vyžaduje sa, aby pravidlá riadenia prístupu a práva každého používateľa alebo skupiny používateľov boli jasne definované bezpečnostnou politikou. Používatelia a poskytovatelia služieb si musia byť vedomí potreby dodržiavať tieto požiadavky.

Použitím overenie hesla, je potrebné vykonávať kontrolu nad používateľskými heslami. Používatelia musia najmä podpísať dokument vyžadujúci úplnú dôvernosť hesiel. Vyžaduje sa, aby bola zaistená bezpečnosť procesu získavania hesla pre užívateľa a v prípade jeho využitia, aby si užívatelia spravovali svoje heslá (vynútená zmena hesla po prvom prihlásení a pod.).

Prístup k interným aj externým sieťovým službám musí byť kontrolovaný. Používatelia by mali mať priamy prístup len k tým službám, na ktoré majú oprávnenie. Osobitná pozornosť sa musí venovať overovaniu vzdialených používateľov. Na základe posúdenia rizika je dôležité určiť požadovanú úroveň ochrany pre výber vhodnej metódy autentifikácie. Dohliadať treba aj na bezpečnosť používania sieťových služieb.

Mnohé sieťové a výpočtové zariadenia majú vstavané možnosti vzdialenej diagnostiky a správy. Aj na tieto zariadenia sa musia vzťahovať bezpečnostné opatrenia.

Keď siete zdieľajú viaceré organizácie, musia byť definované požiadavky na politiku riadenia prístupu, aby sa to zohľadnilo. Môže byť tiež potrebné zaviesť dodatočné opatrenia riadenie informačnej bezpečnosti obmedziť možnosť pripojenia používateľov.

Na úrovni operačného systému by sa mali použiť opatrenia na zabezpečenie informácií na obmedzenie prístupu k počítačovým zdrojom 2 Príklad organizácie riadenia prístupu k súborom a priečinkom v systéme Windows Server 2008 bude diskutovaný v laboratórnej práci č.. Odvoláva sa na identifikácia a autentifikácia terminálov a používateľov. Odporúča sa, aby všetci používatelia mali jedinečné identifikátory, ktoré by nemali obsahovať žiadne označenie úrovne privilégií používateľa. V systémoch správa hesiel musia byť poskytnuté efektívne interaktívne schopnosti na podporu ich požadovanej kvality 3 Príkladom riadenia kvality hesiel v operačných systémoch Windows sa zaoberá laboratórna práca č.3.. Používanie systémových nástrojov by malo byť obmedzené a starostlivo kontrolované.

Odporúča sa zabezpečiť alarm pre prípad, že by sa používateľ mohol stať terčom násilia 4 Príkladom môžu byť „nátlakové“ prihlasovacie heslá. Ak používateľ zadá takéto heslo, systém zobrazí bežný proces prihlásenia používateľa a následne simuluje zlyhanie, aby zabránil útočníkom získať prístup k údajom.(ak je takáto udalosť vyhodnotená ako pravdepodobná). Musia byť definované zodpovednosti a postupy reakcie na takýto alarm.

Terminály obsluhujúce vysokorizikové systémy, ak sú umiestnené na ľahko prístupných miestach, by sa mali po určitej dobe nečinnosti vypnúť, aby sa zabránilo prístupu neoprávnených osôb. Môže sa zaviesť aj obmedzenie časového obdobia, počas ktorého sa terminály môžu pripojiť k počítačovým službám.

Opatrenia informačnej bezpečnosti sa musia uplatňovať aj na aplikačnej úrovni. Môže ísť najmä o obmedzenie prístupu pre určité kategórie používateľov. Systémy, ktoré spracúvajú dôležité informácie, musia byť vybavené vyhradeným (izolovaným) výpočtovým prostredím.

Monitorovanie systému je nevyhnutné na zistenie odchýlok od požiadaviek politiky kontroly prístupu a poskytnutie dôkazov v prípade incidentu informačnej bezpečnosti. Výsledky monitorovania by sa mali pravidelne kontrolovať. Audit log je možné použiť na vyšetrovanie incidentov, takže správne nastavenie (synchronizácia) hodín počítača je dosť dôležité.

Pri používaní prenosných zariadení, ako sú notebooky, je potrebné prijať špeciálne opatrenia, aby sa zabránilo ohrozeniu chránených informácií. Mali by sa prijať formalizované politiky, ktoré riešia riziká spojené s prácou s prenosnými zariadeniami, najmä v nezabezpečenom prostredí.

Ďalšia časť normy sa nazýva „Vývoj a údržba systémov“. Už v štádiu vývoj informačných systémov je potrebné zabezpečiť, aby sa zohľadnili bezpečnostné požiadavky. A počas prevádzky systému je potrebné zabrániť strate, úprave alebo zneužitiu užívateľských dát. Na tento účel sa odporúča, aby aplikačné systémy zabezpečovali potvrdenie správnosti vstupu a výstupu údajov, kontrolu spracovania údajov v systém, autentifikácia správy, zaznamenávanie akcií používateľov.

Na zabezpečenie dôvernosti, integrity a autentifikácia údajov Môžu sa použiť kryptografické bezpečnostné opatrenia.

Zabezpečenie integrity softvéru hrá dôležitú úlohu v procese informačnej bezpečnosti. Aby sa minimalizovali škody na informačných systémoch, implementácia zmien by mala byť prísne kontrolovaná. Z času na čas je potrebné vykonať zmeny v operačných systémoch. V týchto prípadoch musia byť aplikačné systémy analyzované a testované, aby sa zabezpečilo, že nebude mať nepriaznivý vplyv na ich funkčnosť a bezpečnosť. Pokiaľ je to možné, odporúča sa používať hotové softvérové balíky bez úprav.

Súvisiacim problémom je boj proti trójskym koňom a používanie skrytých únikových kanálov. Jedným z protiopatrení je použitie softvéru získaného od dôveryhodných predajcov a monitora integrita systému.

V prípadoch, keď sa na vývoji softvéru podieľa organizácia tretej strany, je potrebné zabezpečiť opatrenia na kontrolu kvality a správnosti vykonanej práce.

Ďalšia časť normy je venovaná riadeniu kontinuity podnikania. V počiatočnej fáze má identifikovať udalosti, ktoré môžu spôsobiť prerušenie obchodných procesov (porucha zariadenia, požiar atď.). V tomto prípade je potrebné posúdiť dôsledky a potom vypracovať plány obnovy. Adekvátnosť plánov sa musí potvrdiť testovaním a samotné plány sa musia pravidelne revidovať, aby zohľadnili zmeny, ktoré nastanú v systéme.

Záverečná časť normy sa zaoberá otázkami zhody. V prvom rade ide o súlad systému a postupu pri jeho prevádzke s právnymi požiadavkami. To zahŕňa otázky dodržiavania autorských práv (vrátane softvéru), ochrany osobných údajov (zamestnanci, klienti) a predchádzanie zneužitiu nástrojov na spracovanie informácií. Použitím kryptografickými prostriedkami ochrany informácií, musia byť v súlade s platnou legislatívou. Dôkladne prepracovaný by mal byť aj postup zhromažďovania dôkazov v prípade súdnych sporov súvisiacich s incidentmi v oblasti bezpečnosti informačných systémov.

Samotné informačné systémy musia dodržiavať bezpečnostnú politiku organizácie a používaných noriem. Bezpečnosť informačných systémov je potrebné pravidelne analyzovať a hodnotiť. Zároveň je potrebné pri vykonávaní bezpečnostného auditu dodržiavať bezpečnostné opatrenia, aby to neviedlo k nežiaducim následkom (napríklad výpadok kritického servera z dôvodu auditu).

Ak to zhrnieme, možno konštatovať, že norma rieši široké spektrum otázok súvisiacich so zaistením bezpečnosti informačných systémov. V mnohých oblastiach sú uvedené praktické odporúčania.