Ruski standardi informacijske varnosti. Standardi informacijske varnosti. Zahteve po znanju in spretnostih

Ta razdelek vsebuje splošne informacije in besedila nacionalnih standardov Ruske federacije na področju informacijske varnosti GOST R.

Trenutni seznam sodobnih GOST-ov, razvitih v zadnjih letih in načrtovanih za razvoj. Sistem certificiranja orodij za informacijsko varnost v skladu z zahtevami za informacijsko varnost št. ROSS RU.0001.01BI00 (FSTEC Rusije). DRŽAVNI STANDARD RUSKE FEDERACIJE. Varstvo podatkov. POSTOPEK IZDELAVE AVTOMATIZIRANIH SISTEMOV V VAROVANI IZVEDBI. Splošne določbe. Moskva DRŽAVNI STANDARD RUSKE FEDERACIJE. Računalniška oprema. Zaščita pred nepooblaščenim dostopom do informacij. Splošne tehnične zahteve. Datum uvedbe 1996-01-01 Nacionalni standard Ruske federacije. Varstvo podatkov. Osnovni pojmi in definicije. Varovanje informacij. Osnovni pojmi in definicije. Datum uvedbe 2008-02-01 DRŽAVNI STANDARD RUSKE FEDERACIJE. VARSTVO PODATKOV. SISTEM STANDARDOV. OSNOVNE DOLOČBE (VARNOST INFORMACIJ. SISTEM STANDARDOV. OSNOVNA NAČELA) DRŽAVNI STANDARD RUSKE FEDERACIJE. Varstvo podatkov. PROGRAMSKA OPREMA ZA TESTIRANJE PRISOTNOSTI RAČUNALNIŠKIH VIRUSOV. Model priročnika (Informacijska varnost. Testiranje programske opreme na obstoj računalniških virusov. Vzorec priročnika). Informacijska tehnologija. Zaščita informacijskih tehnologij in avtomatiziranih sistemov pred grožnjami informacijski varnosti, ki se izvajajo po prikritih kanalih. Del 1. Splošne določbe Informacijska tehnologija. Zaščita informacijskih tehnologij in avtomatiziranih sistemov pred grožnjami informacijski varnosti, ki se izvajajo po prikritih kanalih. 2. del. Priporočila za organizacijo zaščite informacij, informacijskih tehnologij in avtomatiziranih sistemov pred napadi po prikritih kanalih Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Navodila za razvoj varnostnih profilov in varnostnih nalog Samodejna identifikacija. Biometrična identifikacija. Testi delovanja in poročila o testih v biometriji. Del 3. Značilnosti testiranja za različne biometrične modalitete Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Metodologija ocenjevanja varnosti informacijske tehnologije GOST R ISO/IEC 15408-1-2008 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Kriteriji za ocenjevanje varnosti informacijskih tehnologij. 1. del. Uvod in splošni model (Informacijska tehnologija. Varnostne tehnike. Kriteriji ocenjevanja varnosti IT. 1. del. Uvod in splošni model) GOST R ISO/IEC 15408-2-2008 - Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Kriteriji za ocenjevanje varnosti informacijskih tehnologij. 2. del. Funkcionalne varnostne zahteve (Informacijska tehnologija. Varnostne tehnike. Merila ocenjevanja za varnost IT. 2. del. Varnostne funkcionalne zahteve) GOST R ISO/IEC 15408-3-2008 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Kriteriji za ocenjevanje varnosti informacijskih tehnologij. Del 3. Zahteve za zagotavljanje varnosti (Informacijska tehnologija. Varnostne tehnike. Merila vrednotenja za varnost IT. Del 3. Zahteve za zagotavljanje varnosti) GOST R 53109-2008 Sistem za zagotavljanje informacijske varnosti javnega komunikacijskega omrežja. Potni list informacijske varnostne organizacije za komunikacije. Informacijska varnost sistema zagotavljanja javnih komunikacijskih omrežij. Potni list organizacije komunikacij informacijske varnosti. Datum veljavnosti: 30.09.2009. GOST R 53114-2008 Varstvo informacij. Zagotavljanje informacijske varnosti v organizaciji. Osnovni pojmi in definicije. Varovanje informacij. Zagotavljanje informacijske varnosti v organizacijah. Osnovni pojmi in definicije. Datum veljavnosti: 30.09.2009. GOST R 53112-2008 Varstvo informacij. Kompleksi za merjenje parametrov lažnega elektromagnetnega sevanja in motenj. Tehnične zahteve in preskusne metode. Varovanje informacij. Naprave za merjenje stranskega elektromagnetnega sevanja in parametrov zajemanja. Tehnične zahteve in preskusne metode. Datum veljavnosti: 30.09.2009. GOST R 53115-2008 Varstvo informacij. Preizkušanje tehničnih sredstev za obdelavo informacij glede skladnosti z zahtevami varnosti pred nepooblaščenim dostopom. Metode in sredstva. Varovanje informacij. Testiranje skladnosti zmogljivosti za obdelavo tehničnih informacij z zahtevami zaščite pred nepooblaščenim dostopom. Metode in tehnike. Datum veljavnosti: 30.09.2009. GOST R 53113.2-2009 Informacijska tehnologija. Zaščita informacijskih tehnologij in avtomatiziranih sistemov pred grožnjami informacijski varnosti, ki se izvajajo po prikritih kanalih. Del 2. Priporočila za organizacijo zaščite informacij, informacijskih tehnologij in avtomatiziranih sistemov pred napadi po prikritih kanalih. Informacijska tehnologija. Zaščita informacijske tehnologije in avtomatiziranih sistemov pred varnostnimi grožnjami, ki jih predstavlja uporaba prikritih kanalov. 2. del. Priporočila za zaščito informacij, informacijske tehnologije in avtomatiziranih sistemov pred napadi po prikritih kanalih. Datum veljavnosti: 12/01/2009. GOST R ISO/IEC TO 19791-2008 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Ocena varnosti avtomatiziranih sistemov. Informacijska tehnologija. Varnostne tehnike. Ocena varnosti operacijskih sistemov. Datum veljavnosti: 30.09.2009. GOST R 53131-2008 Varstvo informacij. Priporočila za storitve obnovitve po katastrofi za varnostne funkcije in mehanizme informacijske in telekomunikacijske tehnologije. Splošne določbe. Varovanje informacij. Smernice za storitve obnovitve varnostnih funkcij in mehanizmov informacijske in komunikacijske tehnologije. Splošno. Datum veljavnosti: 30.09.2009. GOST R 54581-2011 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Osnove zaupanja v IT varnost. 1. del: Pregled in osnove. Informacijska tehnologija. Varnostne tehnike. Okvir za zagotavljanje varnosti IT. 1. del. Pregled in okvir. Datum veljavnosti: 01.07.2012. GOST R ISO/IEC 27033-1-2011 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Omrežna varnost. 1. del: Pregled in koncepti. Informacijska tehnologija. Varnostne tehnike. Omrežna varnost. 1. del. Pregled in koncepti. Datum veljavnosti: 01.01.2012. GOST R ISO/IEC 27006-2008 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Zahteve za organe, ki izvajajo presojo in certifikacijo sistemov upravljanja varnosti informacij. Informacijska tehnologija. Varnostne tehnike. Zahteve za organe, ki izvajajo revizijo in certifikacijo sistemov upravljanja varnosti informacij. Datum veljavnosti: 30.09.2009. GOST R ISO/IEC 27004-2011 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Upravljanje informacijske varnosti. Meritve. Informacijska tehnologija. Varnostne tehnike. Upravljanje informacijske varnosti. Merjenje. Datum veljavnosti: 01.01.2012. GOST R ISO/IEC 27005-2010 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Obvladovanje tveganja informacijske varnosti. Informacijska tehnologija. Varnostne tehnike. Obvladovanje tveganja informacijske varnosti. Datum veljavnosti: 12.1.2011. GOST R ISO/IEC 31010-2011 Obvladovanje tveganja. Metode ocenjevanja tveganj (Upravljanje s tveganji. Metode ocenjevanja tveganj). Datum veljavnosti: 12.1.2012 GOST R ISO 31000-2010 Obvladovanje tveganja. Obvladovanje tveganj. Načela in smernice. Datum veljavnosti: 31. 8. 2011 GOST 28147-89 Sistemi za obdelavo informacij. Kriptografska zaščita. Algoritem za kriptografsko pretvorbo. Datum veljavnosti: 30. 6. 1990. GOST R ISO/IEC 27013-2014 »Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Smernice za kombinirano uporabo standardov ISO/IEC 27001 in ISO/IEC 20000-1 – veljavno od 1. septembra 2015. GOST R ISO/IEC 27033-3-2014 „Varnost omrežja. Del 3. Scenariji referenčnega omrežja. Grožnje, metode načrtovanja in vprašanja upravljanja« – velja od 1. novembra 2015 GOST R ISO/IEC 27037-2014 »Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Smernice za identifikacijo, zbiranje, pridobivanje in hrambo digitalnih dokazov – veljajo od 1. novembra 2015. GOST R ISO/IEC 27002-2012 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Nabor norm in pravil za upravljanje informacijske varnosti. Informacijska tehnologija. Varnostne tehnike. Kodeks ravnanja za upravljanje informacijske varnosti. Datum veljavnosti: 01.01.2014. Koda OKS 35.040. GOST R 56939-2016 Varstvo informacij. Varen razvoj programske opreme. Splošne zahteve (Varstvo informacij. Varen razvoj programske opreme. Splošne zahteve). Datum veljavnosti: 01.06.2017. GOST R 51583-2014 Varstvo informacij. Postopek za ustvarjanje avtomatiziranih sistemov v varni zasnovi. Splošne določbe. Varovanje informacij. Zaporedje oblikovanja zaščitenega operacijskega sistema. Splošno. 01.09.2014 GOST R 7.0.97-2016 Sistem standardov za informacije, knjižnice in založništvo. Organizacijska in upravna dokumentacija. Zahteve za pripravo dokumentov (Sistem standardov za informiranje, knjižničarstvo in založništvo. Organizacijsko-administrativna dokumentacija. Zahteve za predstavitev dokumentov). Datum veljavnosti: 01.07.2017. Šifra OKS 01.140.20. GOST R 57580.1-2017 Varnost finančnih (bančnih) transakcij. Varovanje informacij finančnih organizacij. Osnovna sestava organizacijskih in tehničnih ukrepov - Varnost finančnega (bančnega) poslovanja. Varovanje informacij finančnih organizacij. Osnovni nabor organizacijskih in tehničnih ukrepov. GOST R ISO 22301-2014 Sistemi upravljanja neprekinjenega poslovanja. Splošne zahteve - Sistemi za upravljanje neprekinjenega poslovanja. Zahteve. GOST R ISO 22313-2015 Upravljanje neprekinjenega poslovanja. Vodnik za implementacijo - Sistemi za upravljanje neprekinjenega poslovanja. Navodila za izvajanje. GOST R ISO/IEC 27031-2012 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Vodnik po pripravljenosti informacijske in komunikacijske tehnologije za neprekinjeno poslovanje - Informacijska tehnologija. Varnostne tehnike. Smernice za pripravljenost informacijske in komunikacijske tehnologije za neprekinjeno poslovanje. GOST R IEC 61508-1-2012 Funkcionalna varnost električnih, elektronskih, programabilnih elektronskih varnostnih sistemov. Del 1. Splošne zahteve. Funkcionalna varnost električnih, elektronskih, programabilnih elektronskih varnostnih sistemov. Del 1. Splošne zahteve. Datum uvedbe 2013-08-01. GOST R IEC 61508-2-2012 Funkcionalna varnost električnih, elektronskih, programabilnih elektronskih varnostnih sistemov. Del 2. Sistemske zahteve. Funkcionalna varnost električnih, elektronskih, programabilnih elektronskih varnostnih sistemov. Del 2. Zahteve za sisteme. Datum uvedbe 2013-08-01. GOST R IEC 61508-3-2012 FUNKCIONALNA VARNOST ELEKTRIČNIH, ELEKTRONSKIH, PROGRAMABILNIH ELEKTRONSKIH SISTEMOV, POVEZANIH Z VARNOSTJO. Programske zahteve. IEC 61508-3:2010 Funkcionalna varnost električnih/elektronskih/programabilnih elektronskih sistemov, povezanih z varnostjo – 3. del: Zahteve glede programske opreme (IDT). GOST R IEC 61508-4-2012 FUNKCIONALNA VARNOST ELEKTRIČNIH, ELEKTRONSKIH, PROGRAMABILNIH ELEKTRONSKIH SISTEMOV, POVEZANIH Z VARNOSTJO, del 4 Izrazi in definicije. Funkcionalna varnost električnih, elektronskih, programabilnih elektronskih varnostnih sistemov. Del 4. Izrazi in definicije. Datum uvedbe 2013-08-01. . GOST R IEC 61508-6-2012 Funkcionalna varnost električnih, elektronskih, programabilnih elektronskih varnostnih sistemov. Del 6. Smernice za uporabo GOST R IEC 61508-2 in GOST R IEC 61508-3. IEC 61508-6:2010. Funkcionalna varnost električnih/elektronskih/programabilnih elektronskih sistemov, povezanih z varnostjo – 6. del: Smernice za uporabo standardov IEC 61508-2 in IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 Funkcionalna varnost električnih sistemov, Funkcionalna varnost električnih, elektronskih, programabilnih elektronskih sistemov, povezanih z varnostjo. Del 7. Metode in sredstva. Funkcionalna varnost električnih elektronskih programabilnih elektronskih varnostnih sistemov. Del 7. Tehnike in ukrepi. Datum uvedbe 2013-08-01. GOST R 53647.6-2012. Upravljanje neprekinjenega poslovanja. Zahteve za sistem upravljanja osebnih informacij za zagotavljanje varstva podatkov

ime:

Varstvo podatkov. Zagotavljanje informacijske varnosti v organizaciji.

Veljavno

Datum uvedbe:

Datum preklica:

Zamenjan z:

Besedilo GOST R 53114-2008 Varstvo informacij. Zagotavljanje informacijske varnosti v organizaciji. Osnovni pojmi in definicije

ZVEZNA AGENCIJA ZA TEHNIČNO REGULACIJO IN MEROSLOVJE

NACIONALNO

STANDARD

RUSKI

FEDERACIJA

Varstvo podatkov

ZAGOTAVLJANJE INFORMACIJSKE VARNOSTI V ORGANIZACIJI

Osnovni pojmi in definicije

Uradna objava

Oteidartenform

GOST R 53114-2008

Predgovor

Cilji in načela standardizacije v Ruski federaciji so določeni z zveznim zakonom št. 184-FZ z dne 27. decembra 2002 "O tehničnih predpisih", pravila za uporabo nacionalnih standardov Ruske federacije pa so GOST R 1.0-2004 "Standardizacija". v Ruski federaciji. Osnovne določbe »

Standardne informacije

1 RAZVIL Zvezna državna ustanova »Državni raziskovalni testni inštitut za probleme tehnične informacijske varnosti Zvezne službe za tehnični in izvozni nadzor« (FGU »GNIIII PTZI FSTEC Rusije«), družba z omejeno odgovornostjo »Raziskovalno in proizvodno podjetje »Kristall« (OOO NPF "Crystal")

2 PREDSTAVIL Oddelek za tehnično regulacijo in standardizacijo Zvezne agencije za tehnično regulacijo in meroslovje

3 ODOBRENA IN ZAČELA VELJAVITI z odredbo Zvezne agencije za tehnično regulacijo in meroslovje z dne 18. decembra 2008 št. 532-st

4 8 VOZEN PRVIČ

Informacije o spremembah tega standarda so objavljene v letno izdanem indeksu informacij "Nacionalni standardi", besedilo sprememb in dopolnitev pa je objavljeno v mesečno objavljenem indeksu informacij "Nacionalni standardi". V primeru revizije (zamenjave) ali preklica tega standarda bo ustrezno obvestilo objavljeno v mesečnem izdanem indeksu informacij "Nacionalni standardi". Ustrezne informacije, obvestila in besedila so objavljeni tudi v sistemu javnega obveščanja - na uradni spletni strani Zvezne agencije za tehnično regulacijo in meroslovje na internetu.

Tega standarda ni mogoče v celoti ali delno reproducirati, razmnoževati ali distribuirati kot uradno publikacijo brez dovoljenja Zvezne agencije za tehnično regulacijo in meroslovje.

GOST R 53114-2008

1 področje uporabe ............................................ ... ....1

3 Pojmi in definicije ............................................... ..... ..2

3.1 Splošni koncepti..................................................... .... .....2

3.2 Pojmi v zvezi s predmetom varovanja informacij..................................... ...4

3.3 Izrazi, povezani z grožnjami informacijski varnosti .................................7

3.4 Izrazi, povezani z upravljanjem varnosti informacij v organizaciji......8

3.5 Izrazi, povezani z nadzorom in ocenjevanjem informacijske varnosti organizacije. ... 8

3.6 Izrazi, povezani s kontrolami varnosti informacij

organizacije.................................................. ....... 9

Abecedno kazalo izrazov.................................................. .....11

Dodatek A (za referenco) Izrazi in definicije splošnih tehničnih pojmov..................................13

Dodatek B (za referenco) Medsebojna povezanost temeljnih pojmov s področja informacijske varnosti v organizaciji.................................. ...................15

Bibliografija................................................. .......16

GOST R 53114-2008

Uvod

Izrazi, ki jih določa ta standard, so urejeni v sistematičnem vrstnem redu, ki odraža sistem pojmov na tem področju znanja.

Za vsak koncept obstaja en standardiziran izraz.

Prisotnost oglatih oklepajev v terminološkem članku pomeni, da vključuje dva izraza, ki imata skupne izrazne elemente. Ti izrazi so ločeno navedeni v abecednem kazalu.

Del izraza, ki je v oklepaju, se lahko pri uporabi izraza v standardizacijskih dokumentih izpusti, del izraza, ki ni v oklepaju, pa tvori njegovo kratko obliko. Za standardiziranimi izrazi so njihove kratke oblike, ločene s podpičji, predstavljene z okrajšavami.

Podane definicije lahko po potrebi spremenimo tako, da vanje vnesemo izpeljane značilnosti. razkrivajo pomene uporabljenih izrazov, nakazujejo predmete, vključene v obseg definiranega koncepta.

Spremembe ne smejo vplivati na obseg in vsebino pojmov, opredeljenih v tem standardu.

Standardizirani pojmi so pisani krepko, njihove kratke oblike so v besedilu in v abecednem kazalu, vključno z okrajšavami. - svetlo, in sopomenke - poševno.

Izrazi in definicije splošnih tehničnih pojmov, potrebnih za razumevanje besedila glavnega dela tega standarda, so podani v Dodatku A.

GOST R 53114-2008

NACIONALNI STANDARD RUSKE FEDERACIJE

Varstvo podatkov

ZAGOTAVLJANJE INFORMACIJSKE VARNOSTI 8 ORGANIZACIJE

Osnovni pojmi in definicije

Varovanje informacij. Zagotavljanje informacijske varnosti v organizaciji.

Osnovni pojmi in definicije

Datum uvedbe - 2009-10-01

1 področje uporabe

Ta standard določa osnovne izraze, ki se uporabljajo pri izvajanju standardizacijskih del na področju informacijske varnosti v organizaciji.

Izrazi, ki jih določa ta standard, se priporočajo za uporabo v regulativnih dokumentih, pravni, tehnični in organizacijski ter upravni dokumentaciji, znanstveni, izobraževalni in referenčni literaturi.

Ta standard se uporablja v povezavi z GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Pogoji, navedeni v tem standardu, so v skladu z določbami zveznega zakona Ruske federacije z dne 27. decembra 2002 M"184*FZ "Tehnični predpisi" |3]. Zvezni zakon Ruske federacije z dne 27. julija 2006 št. 149-FZ "O informacijah, informacijskih tehnologijah in varstvu informacij". Zvezni zakon Ruske federacije z dne 27. julija 2006 št. 152-FZ "O osebnih podatkih". Doktrine informacijske varnosti Ruske federacije, ki jih je odobril predsednik Ruske federacije 9. septembra 2000 Pr -1895.

2 Normativne reference

GOST R 22.0.02-94 Varnost v izrednih razmerah. Izrazi in definicije osnovnih pojmov

GOST R ISO 9000-2001 Sistemi vodenja kakovosti. Osnove in besedišče

GOST R ISO 9001-2008 Sistemi vodenja kakovosti. Zahteve

GOST R IS0 14001-2007 Sistemi ravnanja z okoljem. Zahteve in navodila za uporabo

GOST R ISO/IEC 13335-1-2006 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Del 1. Koncept in modeli upravljanja varnosti informacijskih in telekomunikacijskih tehnologij

GOST R ISO/IEC 27001-2006 Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Sistemi upravljanja informacijske varnosti. Zahteve

GOST R 50922-2006 Varstvo informacij. Osnovni pojmi in definicije

GOST R 51275-2006 Varstvo informacij. Informacijski objekt. Dejavniki, ki vplivajo na informacije. Splošne določbe

GOST R 51897-2002 Obvladovanje tveganja. Izrazi in definicije

Uradna objava

GOST R 53114-2008

GOST R51898-2003 Varnostni vidiki. Pravila za vključitev v standarde GOST R 52069.0-2003 Varstvo informacij. Sistem standardov. Osnovne določbe GOST 34.003-90 Informacijska tehnologija. Nabor standardov za avtomatizirane sisteme. Avtomatizirani sistemi. Izrazi in definicije

GOST 19781-90 Programska oprema za sisteme za obdelavo informacij. Izrazi in definicije

Opomba - Pri uporabi tega standarda je priporočljivo preveriti veljavnost referenčnih standardov v javnem informacijskem sistemu - na uradni spletni strani Zvezne agencije za tehnično regulacijo in meroslovje na internetu ali v skladu z letno objavljenim indeksom informacij "National Standardi«, ki je bil objavljen od 1. januarja tekočega leta, in po ustreznih mesečnih informativnih indeksih, objavljenih v tekočem letu. Če je referenčni standard zamenjan (spremenjen), se morate pri uporabi tega standarda ravnati po zamenjanem (spremenjenem) standardu. Če je referenčni standard preklican brez zamenjave, se določba, v kateri je navedeno sklicevanje nanj, uporablja za del, ki ne vpliva na to sklicevanje.

3 Izrazi in definicije

3.1 Splošni pojmi

varnost informacij [podatkov]: Stanje varnosti informacij [podatkov], v katerem je zagotovljena njihova [njihova] zaupnost, razpoložljivost in celovitost.

[GOST R 50922-2006. odstavek 2.4.5]

varnost informacijske tehnologije: Stanje varnosti informacijske tehnologije. ki zagotavlja varnost informacij, za katere se obdelujejo. in informacijsko varnost informacijskega sistema, v katerega je implementiran.

[R 50.1.056-2006. odstavek 2.4.5]

informacijska sfera: celota informacij, informacijska infrastruktura, subjekti. izvajanje zbiranja, oblikovanja, razširjanja in uporabe informacij ter sistemov za urejanje družbenih odnosov, ki pri tem nastanejo.

3.1.4 informacijska infrastruktura: Niz objektov informatizacije, ki uporabnikom zagotavlja dostop do informacijskih virov.

objekt informatizacije: Skupek informacijskih virov, orodij in sistemov za obdelavo informacij, ki se uporabljajo v skladu z dano informacijsko tehnologijo, kot tudi podporni objekti, prostori ali objekti (zgradbe, objekti, tehnična sredstva), v katerih so ta orodja in sistemi nameščeni, oz. prostori in objekti, namenjeni vodenju zaupnih pogajanj.

[GOST R 51275-2006. klavzula 3.1]

3.1.6 sredstva organizacije: Vse. kar je za organizacijo vredno v interesu doseganja njenih ciljev in ji je na razpolago.

Opomba: sredstva organizacije lahko vključujejo:

Informacijska sredstva, vključno z različnimi vrstami informacij, ki krožijo v informacijskem sistemu (storitvene, upravljavske, analitične, poslovne itd.) v vseh fazah življenjskega cikla (generiranje, shranjevanje, obdelava, prenos, uničenje):

Viri (finančni, človeški, računalniški, informacijski, telekomunikacijski in drugi):

Procesi (tehnološki, informacijski itd.);

Zagotovljeni izdelki ali storitve.

GOST R 53114-2008

vir sistema za obdelavo informacij: sistem za obdelavo informacij, ki se lahko dodeli procesu obdelave podatkov za določen časovni interval.

Opomba - Glavni viri so procesorji, področja glavnega pomnilnika, nizi podatkov. periferne naprave, programi.

[GOST 19781-90. odstavek 93)

3.1.8 informacijski proces: proces ustvarjanja, zbiranja, obdelave, kopičenja, shranjevanja, iskanja. razširjanje in uporaba informacij.

Informacijska tehnologija; IT: Procesi, metode iskanja, zbiranja, shranjevanja, obdelave, posredovanja. razširjanje informacij ter načine izvajanja takih procesov in metod. [Zvezni zakon Ruske federacije z dne 27. decembra 2002 št. 184-FZ. člen 2. odstavek 2)]

tehnična podpora avtomatiziranega sistema; Tehnična podpora NEK: Skupek vseh tehničnih sredstev, ki se uporabljajo pri obratovanju NEK.

[GOST R 34.003-90. odstavek 2.5]

avtomatizirana sistemska programska oprema; Programska oprema AS: Niz programov na pomnilniških medijih in programskih dokumentov, namenjenih odpravljanju napak, delovanju in testiranju funkcionalnosti AS.

[GOST R 34.003-90. odstavek 2.7]

informacijska podpora avtomatiziranega sistema; informacijska podpora AS: Nabor obrazcev dokumentov, klasifikatorjev, regulativnega okvira in implementiranih rešitev o obsegu, umestitvi in oblikah obstoja informacij, ki se uporabljajo v AS med njegovim delovanjem.

[GOST R 34.003-90. klavzula 2.8]

3.1.13 storitev; Storitev: Rezultat dejavnosti izvajalca za zadovoljevanje potreb potrošnika.

Opomba - 8 kot izvajalec (potrošnik) storitve lahko nastopa organizacija, posameznik ali proces.

3.1.14 storitve informacijske tehnologije: storitve IT: Niz funkcionalnih zmožnosti informacij in. morda neinformacijska tehnologija, ki se končnim uporabnikom ponuja kot storitev.

OPOMBA Primeri storitev IT vključujejo sporočanje, poslovne aplikacije, storitve za datoteke in tiskanje, omrežne storitve itd.

3.1.15 sistem kritične informacijske infrastrukture; sistem ključne informacijske infrastrukture: FIAC: informacijsko upravljavski ali informacijsko telekomunikacijski sistem, ki upravlja ali posreduje informacije kritičnemu objektu ali procesu ali se uporablja za uradno obveščanje družbe in državljanov, katerih motnja ali prekinitev delovanja (zaradi destruktivnih informacijski vplivi, pa tudi okvare ali okvare) lahko povzročijo izredne razmere s pomembnimi negativnimi posledicami.

3.1.18 kritični objekt: predmet ali proces, katerega motnja v neprekinjenem delovanju bi lahko povzročila znatno škodo.

GOST R 53114-2008

Opomba - Povzročena je lahko škoda na premoženju fizičnih ali pravnih oseb. državne ali občinske lastnine, okolja, pa tudi povzročanje škode življenju ali zdravju državljanov.

Informacijski sistem osebnih podatkov: Informacijski sistem, ki je niz osebnih podatkov, vsebovanih v zbirki podatkov, ter informacijske tehnologije in tehnična sredstva, ki omogočajo obdelavo teh osebnih podatkov z orodji za avtomatizacijo ali brez uporabe takih orodij.

osebni podatki: Vsaka informacija, ki se nanaša na posameznika, identificiranega ali ugotovljenega na podlagi teh podatkov (subjekt osebnih podatkov), vključno z njegovim priimkom, imenom. patronim, letnik mesec, datum in kraj rojstva, naslov, družinsko, socialno, premoženjsko stanje, izobrazba, poklic, dohodek, drugi podatki.

3.1.19 avtomatiziran sistem v zaščitenem dizajnu; AS v zaščitenem dizajnu: avtomatiziran sistem, ki uporablja informacijsko tehnologijo za izvajanje uveljavljenih funkcij v skladu z zahtevami standardov in/ali regulativnih dokumentov o varstvu informacij.

3.2 Izrazi v zvezi s predmetom varovanja informacij

3.2.1 informacijska varnost organizacije; Organizacijska inteligenca: Stanje zaščite interesov organizacije pred grožnjami v informacijski sferi.

Opomba – Varnost je dosežena z zagotavljanjem niza lastnosti varnosti informacij – zaupnost, celovitost, razpoložljivost informacijskih sredstev in infrastruktura organizacije. Prioriteto lastnosti informacijske varnosti določa pomen informacijskih sredstev za interese (cilje) organizacije.

objekt varstva informacij: Informacija ali nosilec informacije ali informacijski proces. ki morajo biti varovani v skladu z namenom varovanja podatkov.

[GOST R 50922-2006. klavzula 2.5.1]

3.2.3 zaščiten proces (informacijska tehnologija): Postopek, ki ga uporablja informacijska tehnologija za obdelavo zaščitenih informacij z zahtevano stopnjo njihove varnosti.

3.2.4 kršitev informacijske varnosti organizacije: kršitev informacijske varnosti organizacije: Naključno ali namerno protipravno dejanje posameznika (subjekta, objekta) v zvezi s sredstvi organizacije, katerega posledica je kršitev varnosti informacij, ko se obdeluje s tehničnimi sredstvi v informacijskih sistemih, kar povzroči negativne posledice (škoda/škoda) za organizacijo.

nujni primeri; nepredvidena situacija; Izredne razmere: stanje na določenem ozemlju ali vodnem območju, ki je nastalo zaradi nesreče, nevarnega naravnega pojava, katastrofe, naravne ali druge nesreče, ki lahko povzroči izgubo življenj ali človeške žrtve, škodo za zdravje ljudi. ali okolja, znatne materialne izgube in motnje življenjskih razmer ljudi.

Opomba – Izredne razmere ločimo po naravi vira (naravni, umetni, biološko-socialni in vojaški) ter po obsegu (lokalne, lokalne, teritorialne, regionalne, zvezne in čezmejne).

(GOST R 22.0.02-94. Člen 2.1.1)

GOST R 53114-2008

3.2.6

nevarna situacija: okoliščine, v katerih so ogroženi ljudje, lastnina ali okolje.

(GOST R 51898-2003. odstavek 3.6)

3.2.7

informacijsko varnostni incident: vsak nepričakovan ali nezaželen dogodek, ki lahko moti delovanje ali informacijsko varnost.

Opomba – incidenti informacijske varnosti so:

Izguba storitev, opreme ali naprav:

Sistemske napake ali preobremenitve:

Uporabniške napake.

Kršitev ukrepov fizičnega varovanja:

Nenadzorovane spremembe sistemov.

Napake programske opreme in okvare strojne opreme:

Kršitev pravil dostopa.

(GOST R ISO/IEC 27001 -2006. člen 3.6)

3.2.8 dogodek: Pojav ali prisotnost določenega sklopa okoliščin.

Opombe

1 Narava, verjetnost in posledice dogodka morda niso v celoti znane.

2 Dogodek se lahko zgodi enkrat ali večkrat.

3 Verjetnost, povezano z dogodkom, je mogoče oceniti.

4 Dogodek je lahko sestavljen iz nenastopa ene ali več okoliščin.

5 Nepredvidljiv dogodek se včasih imenuje "incident".

6 Dogodek, pri katerem ni izgub, včasih imenujemo predpogoj za incident (incident), nevarno stanje, nevaren splet okoliščin itd.

3.2.9 tveganje: Vpliv negotovosti na proces doseganja ciljev.

Opombe

1 Cilji imajo lahko različne vidike: finančne, zdravstvene, varnostne in okoljske vidike, zastavljajo pa jih lahko na različnih ravneh: na strateški ravni, na organizacijski ravni, na ravni projekta, produkta in procesa.

3 Tveganje je pogosto izraženo v smislu kombinacije posledic dogodka ali spremembe okoliščin in njihove verjetnosti.

3.2.10

Ocena tveganja: proces, ki združuje identifikacijo tveganja, analizo tveganja in kvantifikacijo tveganja.

(GOST R ISO/IEC 13335-1 -2006, odstavek 2.21)

3.2.11 ocena tveganja informacijske varnosti (organizacije); ocena tveganja informacijske varnosti (organizacija): Celoten proces prepoznavanja, analiziranja in določanja sprejemljivosti ravni tveganja informacijske varnosti organizacije.

3.2.12 identifikacija tveganja: Postopek odkrivanja, prepoznavanja in opisovanja tveganj.

Opombe

1 Identifikacija tveganja zajema identifikacijo virov tveganja, dogodkov in njihovih vzrokov ter njihovih možnih posledic.

OPOMBA 2 Identifikacija tveganja lahko vključuje statistične podatke, teoretično analizo, informirana stališča in strokovna mnenja ter potrebe zainteresiranih strani.

GOST R 53114-2008

analiza tveganja: sistematična uporaba informacij za identifikacijo virov tveganja in kvantificiranje tveganja.

(GOST R ISO/IEC 27001-2006. Člen 3.11)

3.2.14 določitev sprejemljivosti tveganja: Postopek primerjave rezultatov analize tveganja z merili tveganja za določitev sprejemljivosti ali tolerantnosti ravni tveganja.

OPOMBA: Določitev sprejemljivosti stopnje tveganja pomaga pri odločitvah o zdravljenju

3.2.15 ravnanje s tveganjem informacijske varnosti organizacije; Obravnava tveganja za varnost informacij organizacije: proces razvoja in/ali izbire in izvajanja ukrepov za obvladovanje tveganj za varnost informacij organizacije.

Opombe

1 Zdravljenje tveganja lahko vključuje:

Izogibanje tveganju z odločitvijo, da ne začnete ali nadaljujete dejavnosti, ki ustvarjajo pogoje

Iskanje priložnosti z odločitvijo za začetek ali nadaljevanje dejavnosti, ki lahko ustvarijo ali povečajo tveganje;

Odprava vira tveganja:

Spremembe v naravi in obsegu tveganja:

Spreminjanje posledic;

Delitev tveganja z drugo stranko ali strankami.

Vztrajnost tveganja tako kot posledica zavestne odločitve kot »privzeto«.

2 Zdravljenje tveganja z negativnimi posledicami včasih imenujemo ublažitev, odprava, preprečevanje. zmanjšanje, zatiranje in popravljanje tveganja.

3.2.16 obvladovanje tveganja: Usklajeni ukrepi za usmerjanje in nadzorovanje dejavnosti organizacije v zvezi s tveganji.

3.2.17 vir tveganja za informacijsko varnost organizacije; vir organizacijskih informacij varnostno tveganje: predmet ali dejanje, ki lahko povzroči (ustvari) tveganje.

Opombe

1 Tveganja ni, če ni interakcije med predmetom, osebo ali organizacijo in virom tveganja.

2 Vir tveganja je lahko materialen ali nematerialen.

3.2.18 politika informacijske varnosti (organizacije); politika informacijske varnosti (organizacija): uradna izjava o pravilih, postopkih, praksah ali smernicah informacijske varnosti, ki vodijo dejavnosti organizacije.

Opomba – Politike morajo vsebovati.

Predmet, glavni cilji in cilji varnostne politike:

Pogoji za uporabo varnostne politike in morebitne omejitve:

Opis stališča vodstva organizacije glede izvajanja varnostne politike in organizacije režima informacijske varnosti organizacije kot celote.

Pravice in odgovornosti ter stopnja odgovornosti zaposlenih za skladnost z varnostno politiko organizacije.

Postopki v sili v primeru kršitve varnostne politike

3.2.19 cilj informacijske varnosti (organizacije); Cilj IS (organizacije): Vnaprej določen rezultat zagotavljanja informacijske varnosti organizacije v skladu z postavljenimi zahtevami v politiki IS (organizacije).

Opomba – Rezultat zagotavljanja informacijske varnosti je lahko preprečitev škode lastniku informacij zaradi morebitnega uhajanja informacij in (ali) nepooblaščenega in nenamernega vpliva na informacije.

3.2.20 sistem dokumentov o informacijski varnosti v organizaciji; sistem dokumentov informacijske varnosti v organizaciji: urejen nabor dokumentov, ki jih združuje ciljna usmeritev. medsebojno povezani glede na izvor, namen, vrsto, obseg dejavnosti, enotne zahteve za njihovo oblikovanje in urejanje dejavnosti organizacije za zagotavljanje informacijske varnosti.

GOST R 53114-2008

3.3 Izrazi, povezani z grožnjami informacijski varnosti

3.3.1 grožnja informacijski varnosti organizacije; informacijska varnostna grožnja organizaciji: Skupek dejavnikov in pogojev, ki ustvarjajo nevarnost kršitve informacijske varnosti organizacije, ki povzročajo ali lahko povzročijo negativne posledice (škoda/škoda) za organizacijo.

Opombe

1 Oblika izvedbe (manifestacije) grožnje informacijski varnosti je izbruh enega ali več med seboj povezanih informacijskovarnostnih dogodkov in informacijskovarnostnih incidentov. kar vodi do kršitev informacijske varnosti zaščitenih objektov organizacije.

2 Za grožnjo je značilna prisotnost predmeta grožnje, vir grožnje in manifestacija grožnje.

grožnja (informacijska varnost): Niz pogojev in dejavnikov, ki ustvarjajo potencialno ali dejansko nevarnost kršitve informacijske varnosti.

[GOST R 50922-2006. klavzula 2.6.1]

3.3.3 model groženj (informacijske varnosti): Fizična, matematična, opisna predstavitev lastnosti ali značilnosti groženj informacijski varnosti.

Opomba - poseben regulativni dokument je lahko vrsta opisne predstavitve lastnosti ali značilnosti groženj informacijski varnosti.

ranljivost (informacijskega sistema); kršitev: Lastnost informacijskega sistema, ki omogoča izvajanje groženj varnosti informacij, ki se v njem obdelujejo.

Opombe

1 Pogoj za realizacijo varnostne grožnje, obdelane v informacijskem sistemu, je lahko pomanjkljivost ali slabost v informacijskem sistemu.

2 Če se ranljivost ujema z grožnjo, potem obstaja tveganje.

[GOST R 50922-2006. odstavek 2.6.4]

3.3.5 kršitelj informacijske varnosti organizacije; kršitelj informacijske varnosti organizacije: posameznik ali logična entiteta, ki je po naključju ali namerno zagrešila dejanje, katerega posledica je kršitev informacijske varnosti organizacije.

3.3.6 nepooblaščen dostop: Dostop do informacij ali virov avtomatiziranega informacijskega sistema, izveden v nasprotju z določenimi pravicami (ali) pravili dostopa.

Opombe

1 Nepooblaščen dostop je lahko nameren ali nenameren.

2 Pravice in pravila dostopa do informacij in virov informacijskega sistema se določijo za procese obdelave informacij, vzdrževanje avtomatiziranega informacijskega sistema in programske spremembe. tehničnih in informacijskih virov ter pridobivanje informacij o njih.

3.3.7 omrežni napad: dejanja z uporabo programske in (ali) strojne opreme in z uporabo omrežnega protokola, katerih cilj je izvajanje groženj nepooblaščenega dostopa do informacij, vplivanje nanje ali na vire avtomatiziranega informacijskega sistema.

Aplikacija – omrežni protokol je niz semantičnih in sintaktičnih pravil, ki določajo interakcijo programov za upravljanje omrežja, ki se nahajajo na istem računalniku. z istoimenskimi programi v drugem računalniku.

3.3.8 blokiranje dostopa (do informacij): Prekinitev ali otežen dostop do informacij oseb. do tega upravičeni (legitimni uporabniki).

3.3.9 napad z zavrnitvijo storitve: omrežni napad, ki povzroči blokiranje informacijskih procesov v avtomatiziranem sistemu.

3.3.10 uhajanje informacij: nenadzorovano širjenje varovanih informacij zaradi njihovega razkritja, nepooblaščenega dostopa do informacij in prejema varovanih informacij s strani tujih obveščevalnih služb.

3.3.11 razkritje informacij: Nepooblaščeno posredovanje varovanih informacij osebam. ni pooblaščen za dostop do teh informacij.

GOST R 53114-2008

prestrezanje (informacije): nezakonito sprejemanje informacij z uporabo tehničnega sredstva, ki zaznava, sprejema in obdeluje informativne signale.

(R 50.1.053-2005, odstavek 3.2.5)

informativni signal: signal, katerega parametre je mogoče uporabiti za določitev zaščitenih informacij.

[R 50.1.05S-2005. klavzula 3.2.6]

3.3.14 deklarirane zmogljivosti: Funkcionalne zmogljivosti računalniške strojne in programske opreme, ki niso opisane ali ne ustrezajo opisanim v dokumentaciji. kar lahko povzroči zmanjšanje ali kršitev varnostnih lastnosti informacij.

3.3.15 lažno elektromagnetno sevanje in motnje: Elektromagnetno sevanje opreme za obdelavo tehničnih informacij, ki nastane kot stranski učinek in ga povzročijo električni signali, ki delujejo v njihovih električnih in magnetnih tokokrogih, ter elektromagnetne motnje teh signalov na prevodnih vodih, strukturah in napajanju. vezja.

3.4 Izrazi, povezani z upravljanjem varnosti informacij organizacije

3.4.1 upravljanje informacijske varnosti organizacije; upravljanje organizacije za informacijsko varnost; Usklajeno delovanje za vodenje in upravljanje organizacije v smislu zagotavljanja njene informacijske varnosti v skladu s spreminjajočimi se pogoji notranjega in zunanjega okolja organizacije.

3.4.2 obvladovanje tveganja informacijske varnosti organizacije; obvladovanje tveganja informacijske varnosti organizacije: Usklajeni ukrepi za usmerjanje in upravljanje organizacije v zvezi s tveganjem informacijske varnosti, da bi ga čim bolj zmanjšali.

OPOMBA: Temeljni procesi obvladovanja tveganja so določanje konteksta, ocenjevanje tveganja, obravnavanje in sprejemanje tveganja, spremljanje in pregledovanje tveganja.

sistem upravljanja informacijske varnosti; ISMS: del celotnega sistema upravljanja. temelji na uporabi bioenergetskih metod ocenjevanja tveganja za razvoj, implementacijo in delovanje. spremljanje, analiza, podpora in izboljšanje informacijske varnosti.

OPOMBA: Sistem upravljanja vključuje organizacijsko strukturo, politike, dejavnosti načrtovanja, odgovornosti, prakse, postopke, procese in vire.

[GOST R ISO/IEC 27001 -2006. odstavek 3.7]

3.4.4 vloga informacijske varnosti v organizaciji; vloga informacijske varnosti v organizaciji: Niz specifičnih funkcij in nalog za zagotavljanje informacijske varnosti organizacije, ki vzpostavljajo sprejemljivo interakcijo med subjektom in objektom v organizaciji.

Opombe

1 Subjekti vključujejo osebe med menedžerji organizacije, njeno osebje ali procese, sprožene v njihovem imenu za izvajanje dejanj na objektih

2 Objekti so lahko strojna oprema, programska oprema, programska in strojna oprema ali informacijski vir, na katerem se izvajajo dejanja.

3.4.5 storitev informacijske varnosti organizacije: organizacijska in tehnična struktura sistema upravljanja informacijske varnosti organizacije, ki izvaja rešitev določene naloge, namenjene zoperstavljanju grožnjam informacijski varnosti organizacije.

3.5 Izrazi, povezani s spremljanjem in ocenjevanjem informacijske varnosti organizacije

3.5.1 nadzor nad zagotavljanjem informacijske varnosti organizacije; nadzor zagotavljanja informacijske varnosti organizacije: Preverjanje skladnosti zagotavljanja informacijske varnosti v organizaciji.

GOST R 53114-2008

3.5.2 spremljanje informacijske varnosti organizacije; spremljanje informacijske varnosti organizacije: Stalno spremljanje procesa informacijske varnosti v organizaciji z namenom ugotavljanja njegove skladnosti z zahtevami informacijske varnosti.

3.5.3 revizija informacijske varnosti organizacije; revizija organizacije za informacijsko varnost: sistematičen, neodvisen in dokumentiran proces pridobivanja dokazov o aktivnostih organizacije za zagotavljanje informacijske varnosti in ugotavljanje stopnje izpolnjevanja kriterijev informacijske varnosti v organizaciji ter dopuščanje možnosti oblikovanja strokovne revizije presojo o stanju informacijske varnosti organizacije.

3.5.4 evidenca (dokazi) o reviziji informacijske varnosti organizacije; Podatki revizije varnosti informacij organizacije: Zapisi, izjave o dejstvih ali druge informacije, ki so pomembne za kriterije revizije varnosti informacij organizacije in jih je mogoče preveriti.

OPOMBA: Dokazi o varnosti informacij so lahko kvalitativni ali kvantitativni.

3.5.5 ocena skladnosti informacijske varnosti organizacije z uveljavljenimi zahtevami; ocena skladnosti informacijske varnosti organizacije z uveljavljenimi zahtevami: Dejavnosti, vključene v neposredno ali posredno ugotavljanje skladnosti ali neskladnosti z uveljavljenimi zahtevami glede informacijske varnosti v organizaciji.

3.5.6 merilo za revizijo informacijske varnosti organizacije; revizijsko merilo organizacije za informacijsko varnost: Niz načel, določb, zahtev in kazalnikov trenutnih regulativnih dokumentov*, povezanih z dejavnostmi organizacije na področju informacijske varnosti.

Uporaba – Merila revizije varnosti informacij se uporabljajo za primerjavo dokazov revizije varnosti informacij z njimi.

3.5.7 certificiranje avtomatiziranega sistema v varni zasnovi: Postopek celovitega preverjanja delovanja določenih funkcij avtomatiziranega sistema za obdelavo zaščitenih informacij glede skladnosti z zahtevami standardov in/ali regulativnih dokumentov na področju informacij. varovanje in priprava dokumentov o njegovi skladnosti z opravljanjem funkcije obdelave varovanih informacij na konkretnem objektu informatizacije.

3.5.8 merilo za zagotavljanje informacijske varnosti organizacije; merilo informacijske varnosti organizacije: kazalnik, na podlagi katerega se ocenjuje stopnja doseganja ciljev informacijske varnosti organizacije.

3.5.9 učinkovitost informacijske varnosti; učinkovitost informacijske varnosti: razmerje med doseženim rezultatom in uporabljenimi sredstvi za zagotavljanje dane ravni informacijske varnosti.

3.6 Izrazi, povezani s kontrolami varnosti informacij v organizaciji

3.6.1 zagotavljanje informacijske varnosti organizacije; zagotavljanje informacijske varnosti organizacije: dejavnosti, namenjene odpravljanju (nevtralizaciji, zoperstavljanju) notranjih in zunanjih groženj informacijski varnosti organizacije ali zmanjševanju škode zaradi morebitnega izvajanja takih groženj.

3.6.2 varnostni ukrep; varnostni nadzor: uveljavljena praksa, postopek ali mehanizem za ravnanje s tveganjem.

3.6.3 ukrepi za zagotavljanje informacijske varnosti; ukrepi za varnost informacij: niz ukrepov, namenjenih razvoju in/ali praktični uporabi metod in sredstev za zagotavljanje varnosti informacij.

3.6.4 organizacijski ukrepi za zagotavljanje informacijske varnosti; organizacijski ukrepi za zagotavljanje informacijske varnosti: Ukrepi za zagotavljanje informacijske varnosti, ki predvidevajo vzpostavitev začasnih, teritorialnih, prostorskih, pravnih, metodoloških in drugih omejitev pogojev uporabe in načinov delovanja objekta informatizacije.

3.6.5 tehnična sredstva za zagotavljanje informacijske varnosti; tehnična sredstva za informacijsko varnost: oprema, ki se uporablja za zagotavljanje informacijske varnosti organizacije z uporabo nekriptografskih metod.

Opomba – Takšno opremo lahko predstavlja strojna in programska oprema, vgrajena v varovani objekt in/ali delujoča avtonomno (neodvisno od varovanega objekta).

GOST R 53114-2008

3.5.6 orodje za odkrivanje vdorov, orodje za odkrivanje napadov: programsko ali programsko-strojno orodje, ki avtomatizira proces spremljanja dogodkov, ki se dogajajo v računalniškem sistemu ali omrežju, in tudi neodvisno analizira te dogodke v iskanju znakov informacijsko varnostnega incidenta.

3.6.7 sredstva zaščite pred nepooblaščenim dostopom: Programska, strojna ali programska in strojna oprema, ki je zasnovana za preprečevanje ali znatno oviranje nepooblaščenega dostopa.

GOST R 53114-2008

Abecedno kazalo pojmov

sredstva organizacije 3.1.6

analiza tveganja 3.2.13

Zvočniki v zaščiteni različici 3.1.19

napad z zavrnitvijo storitve 3.3.9

omrežni napad 3.3.7

certificiranje avtomatiziranega sistema v zaščiteni različici 3.5.7

revizija informacijske varnosti organizacije 3.5.3

varnost (podatki] 3.1.1

informacijska varnost 3.1.1

varnost informacijske tehnologije 3.1.2

informacijska varnost organizacije 3.2.1

blokiranje dostopa (do informacij) 3.3.8

kršitev 3.3.4

nenajavljene zmogljivosti 3.3.14

osebni podatki 3.1.18

nepooblaščen dostop 3.3.6

Organizacijska informacijska varnost 3.2.1

Identifikacija tveganja 3.2.12

informacijska infrastruktura 3.1.4

informacijsko varnostni incident 3.2.7

varnostno tveganje vira organizacijskih informacij 3.2.17

vir tveganja za informacijsko varnost organizacije 3.2.17

nadzor informacijske varnosti organizacije 3.5.1

nadzor nad informacijsko varnostjo organizacije 3.5.1

merila za zagotavljanje informacijske varnosti organizacije 3.5.8

merilo revizije IS organizacije 3.5.6

Kriterij revizije informacijske varnosti organizacije 3.5.6

merilo za zagotavljanje informacijske varnosti organizacije 3.5.8

upravljanje informacijske varnosti organizacije 3.4.1

obvladovanje tveganja informacijske varnosti organizacije 3.4.2

varnostni ukrep 3.6.2

ukrepi za varovanje informacij 3.6.3

organizacijski informacijski varnostni ukrepi 3.6.4

ukrepi za varovanje informacij 3.6.3

organizacijski informacijski varnostni ukrepi 3.4.6

model groženj (informacijska varnost) 3.3.3

nadzor informacijske varnosti organizacije 3.5.2

spremljanje informacijske varnosti organizacije 3.5.2

kršitev informacijske varnosti organizacije 3.2.4

kršitelj informacijske varnosti organizacije 3.3.5

avtomatizirana sistemska informacijska podpora 3.1.12

programska oprema avtomatiziranega sistema 3.1.11

tehnična podpora avtomatiziranega sistema 3.1.10

Informacijska podpora AS 3.1.12

AC programska oprema 3.1.11

AC tehnična podpora 3.1.10

zagotavljanje informacijske varnosti organizacije 3.6.1

Obravnava tveganja informacijske varnosti organizacije 3.2.15

GOST R 53114-2008

obvladovanje tveganja informacijske varnosti organizacije 3.2.1S

objekt varovanja informacij 3.2.2

objekt informatizacije 3.1.5

kritični objekt 3.1.16

določitev sprejemljive stopnje tveganja 3.2.14

ocena tveganja 3.2.10

ocena tveganja I6 (organizacije) 3.2.11

ocena tveganja informacijske varnosti (organizacija) 3.2.11

ocenjevanje skladnosti IS organizacije z uveljavljenimi zahtevami 3.5.5

ocena skladnosti informacijske varnosti organizacije z uveljavljenimi zahtevami 3.5.5

prestrezanje (informacija) 3.3.12

Politika (organizacija) IS 3.2.18

politika (organizacija) informacijske varnosti 3.2.18

proces (informacijska tehnologija) zaščiten 3.2.3

informacijski proces 3.1.8

razkritje informacij 3.3.11

vir sistema za obdelavo informacij 3.1.7

vloga informacijske varnosti v organizaciji 3.4.4

vloga informacijske varnosti 8 v organizaciji 3.4.4

potrdila (dokazila) o presoji IS organizacije 3.5.4

dokazila (dokazila) o reviziji informacijske varnosti organizacije 3.5.4

storitev 3.1.13

informativni signal 3.3.13

varen avtomatiziran sistem 3.1.19

dokumentni sistem informacijske varnosti v organizaciji 3.2.20

sistem dokumentov o informacijski varnosti v organizaciji 3.2.20

sistem ključne informacijske infrastrukture 3.1.15

sistem kritične informacijske infrastrukture 3.1.15

sistem upravljanja varnosti informacij 3.4.3

informacijski sistem osebnih podatkov 3.1.17

nepredvidena situacija 3.2.5

nevarna situacija 3.2.6

izredne razmere 3.2.5

služba informacijske varnosti organizacije 3.4.6

dogodek 3.2.8

zaščita pred nepooblaščenim dostopom 3.6.7

orodje za tehnično varnost informacij 3.6.5

orodje za tehnično varovanje informacij 3.6.5

Orodje za zaznavanje napadov 3.6.6

Orodje za zaznavanje vdorov 3.6.6

informacijska sfera 3.1.3

informacijska tehnologija 3.1.9

grožnja (informacijska varnost) 3.3.2

grožnja informacijski varnosti organizacije 3.3.1

obvladovanje tveganj 3.2.16

storitev 3.1.13

storitve informacijske tehnologije 3.1.14

IT storitve 3.1.14

uhajanje informacij 3.3.10

ranljivost (informacijski sistem) 3.3.4

Cilj (organizacija) IS 3.2.19

cilj informacijske varnosti (organizacija) 3.2.19

elektromagnetno sevanje in stranske motnje 3.3.15

Učinkovitost IS 3.5.9

učinkovitost informacijske varnosti 3.5.9

GOST R 53114-2008

Dodatek A (referenca)

Izrazi in definicije splošnih tehničnih pojmov

organizacija: Skupina delavcev in potrebnih virov z razdelitvijo odgovornosti, pooblastil in odnosov.

(GOST R ISO 9000-2001, odstavek 3.3.1)

Opombe

1 Organizacije vključujejo: podjetje, korporacijo, podjetje, podjetje, institucijo, dobrodelno organizacijo, maloprodajno podjetje, združenje. kot tudi njihove pododdelke ali njihove kombinacije.

2 Razdelitev je običajno naročena.

3 Organizacija je lahko javna ali zasebna.

A.2 posel: gospodarska dejavnost, ki ustvarja dobiček; kakršna koli dejavnost, ki ustvarja dohodek in je vir obogatitve.

A.Z poslovni proces: Procesi, ki se uporabljajo v gospodarskih dejavnostih organizacije.

informacije: Informacije (sporočila, podatki) ne glede na obliko njihove predstavitve.

sredstva: Vse. kaj je vredno za organizacijo. (GOST R ISO/IEC13335-1-2006, odstavek 2.2(

A.6 viri: Sredstva (organizacije), ki se uporabljajo ali porabijo med izvajanjem procesa. Opombe

1 Viri lahko vključujejo tako različne postavke, kot so osebje, oprema, osnovna sredstva, orodja in pripomočki, kot so energija, voda, gorivo in infrastruktura komunikacijskega omrežja.

2 Viri so lahko ponovno uporabni, obnovljivi ali potrošni.

A.7 nevarnost: lastnost predmeta, ki označuje njegovo sposobnost, da povzroči škodo ali škodo drugim predmetom. A.8 izredni dogodek: dogodek, ki povzroči izredne razmere.

A.9 škoda: fizična škoda ali škoda za zdravje ljudi ali škoda za lastnino ali okolje.

A. 10 grožnja: Niz pogojev in dejavnikov, ki lahko povzročijo kršitev celovitosti in razpoložljivosti. zasebnost.

A.11 ranljivost: Notranje lastnosti predmeta, ki ustvarjajo dovzetnost za učinke vira tveganja, ki lahko vodi do neke posledice.

A. 12 napad: Poskus premagovanja varnostnega sistema informacijskega sistema.

Opombe - Stopnja "uspeha" napada je odvisna od ranljivosti in učinkovitosti obrambnega sistema.

A.13 management: Usklajene dejavnosti za usmerjanje in upravljanje organizacije

A.14 Upravljanje (kontinuitete) poslovanja: Usklajeno vodenje in nadzorne dejavnosti

poslovnih procesov organizacije.

A. 15 vloga: vnaprej določen niz pravil in postopkov za dejavnosti organizacije, ki vzpostavljajo sprejemljivo interakcijo med subjektom in objektom dejavnosti.

Lastnik informacije: Oseba, ki je samostojno ustvarila informacijo ali je na podlagi zakona ali pogodbe prejela pravico dovoliti ali omejiti dostop do informacij, določenih s katerim koli merilom.

GOST R 53114-2008

infrastruktura: celota zgradb, opreme in podpornih storitev, potrebnih za delovanje organizacije.

[GOST R ISO 9000-2001. odstavek 3.3.3]

A.18 revizija: sistematičen, neodvisen in dokumentiran postopek pridobivanja revizijskih dokazov in njihovega objektivnega vrednotenja, da se določi obseg, v katerem so bila izpolnjena dogovorjena revizijska merila.

Opombe

1 Notranje presoje, imenovane presoje prve stranke, izvaja za notranje namene organizacija sama ali druga organizacija v njenem imenu. Rezultati notranje presoje so lahko podlaga za izjavo o skladnosti. V mnogih primerih, zlasti v malih podjetjih, morajo revizijo opraviti strokovnjaki (osebe, ki niso odgovorne za dejavnost, ki se revidira).

OPOMBA 2 Zunanje presoje vključujejo revizije, imenovane revizije druge osebe in revizije tretje osebe. Revizije druge stranke izvajajo stranke, ki se na primer zanimajo za dejavnosti podjetja.

potrošniki ali drugi v njihovem imenu. Revizije tretjih oseb izvajajo zunanje neodvisne organizacije. Te organizacije izvajajo certificiranje ali registracijo za skladnost z zahtevami, na primer z zahtevami GOST R ISO 9001 in GOST R ISO 14001.

3 Presoja sistemov vodenja kakovosti in sistemov ravnanja z okoljem, ki se izvaja hkrati, se imenuje "celovita presoja".

4 Če revizijo presojane organizacije izvaja več organizacij hkrati, se takšna revizija imenuje "skupna revizija".

A.19 spremljanje: Sistematično ali stalno spremljanje objekta, ki zagotavlja nadzor in/ali merjenje njegovih parametrov, kot tudi izvajanje analiz za napovedovanje variabilnosti parametrov in sprejemanje odločitev o potrebi in sestavi korektivnih in preventivnih ukrepov.

izjava o skladnosti: Oblika potrditve skladnosti proizvoda z zahtevami tehničnih predpisov.

A.21 tehnologija: Sistem med seboj povezanih metod, metod, tehnik ciljne dejavnosti. A.22

dokument: Informacije, zapisane na otipljivem mediju s podrobnostmi, ki omogočajo njihovo identifikacijo.

[GOST R 52069.0-2003. odstavek 3.18]

A.23 obdelava informacij: Niz operacij zbiranja, kopičenja, vnosa, izpisa, sprejema, prenosa, snemanja, shranjevanja, registracije, uničenja, preoblikovanja, prikaza, izvedenih na informacijah.

GOST R 53114-2008

Dodatek B (za referenco)

Razmerje osnovnih pojmov s področja informacijske varnosti v organizaciji

Razmerje med osnovnimi pojmi je prikazano na sliki B.1.

Slika B.1 - odnos med osnovnimi pojmi

GOST R 53114-2008

Bibliografija

(1) R 50.1.053-2005

(2) PS0.1.056-2005

Informacijska tehnologija. Osnovni pojmi in definicije na področju tehničnega varovanja informacij Tehnično varovanje informacij. Osnovni pojmi in definicije

O tehnični ureditvi

O informacijah, informacijskih tehnologijah in zaščiti informacij

O osebnih podatkih

Doktrina informacijske varnosti Ruske federacije

UDK 351.864.1:004:006.354 OKS 35.020 VŽU

Ključne besede: informacije, informacijska varnost, informacijska varnost v organizaciji, grožnje informacijski varnosti, kriteriji informacijske varnosti

Urednik V.N. Cops soya Tehnični urednik V.N. Prusakova Korektor V.E. Nestorovo Računalniška programska oprema I.A. NapeikinoO

Oddano v zaposlitev dne 06.11.2009. Podpisani žig 01.12.2009. Format 60"84 Offset papir. pisava Arial. Offset tisk. Usp. pečica l. 2.32. Uč.-ur. l. 1.90. Naklada 373 »kz. Zach. 626

FSUE "STANDARTINFORM*. 123995 Moskva. Granatno jabolko por.. 4. info@goslmlo gi

Vneseno v FSUE "STANDARTINFORM" na osebnem računalniku.

Tiskano v podružnici FSUE "STANDARTINFORM* - vrsta. "Moskovski tiskar". 105062 Moskva. Lyalin lane.. 6.

GOST 22731-77 Sistemi za prenos podatkov, postopki za nadzor podatkovnih povezav v glavnem načinu za poldupleksno izmenjavo informacij
GOST 26525-85 Sistemi za obdelavo podatkov. Meritve uporabe
GOST 27771-88 Postopkovne značilnosti na vmesniku med podatkovno terminalsko opremo in opremo za zaključek podatkovnega kanala. Splošne zahteve in standardi
GOST 28082-89 Sistemi za obdelavo informacij. Metode za odkrivanje napak pri serijskem prenosu podatkov
GOST 28270-89 Sistemi za obdelavo informacij. Specifikacija datoteke z opisom podatkov za izmenjavo informacij
GOST R 43.2.11-2014 Informacijska podpora za opremo in dejavnosti operaterja. Jezik operaterja. Strukturirana predstavitev besedilnih informacij v formatih sporočil
GOST R 43.2.8-2014 Informacijska podpora za opremo in dejavnosti operaterja. Jezik operaterja. Formati sporočil za tehnične dejavnosti
GOST R 43.4.1-2011 Informacijska podpora za opremo in dejavnosti operaterja. Sistem "človek-informacija".
GOST R 53633.10-2015 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Zemljevid dejavnosti razširjene komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Upravljanje organizacije. Obvladovanje organizacijskih tveganj
GOST R 53633.11-2015 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Razširjeni komunikacijski organizacijski diagram (eTOM). Procesi 2. stopnje eTOM. Upravljanje organizacije. Upravljanje organizacijske uspešnosti
GOST R 53633.4-2015 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Zemljevid dejavnosti razširjene komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Primarna dejavnost. Upravljanje in delovanje storitev
GOST R 53633.7-2015 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Operativni okvir razširjene komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Strategija, infrastruktura in produkt. Razvoj in upravljanje virov
GOST R 53633.9-2015 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Operativni okvir razširjene komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Upravljanje organizacije. Načrtovanje strategije in razvoja organizacije
GOST R 55767-2013 Informacijska tehnologija. Evropski kompetenčni okvir IKT 2.0. Del 1. Skupni evropski kompetenčni okvir za strokovnjake za IKT za vse industrijske sektorje
GOST R 55768-2013 Informacijska tehnologija. Model odprtega Grid sistema. Temeljne določbe
GOST R 56093-2014 Varstvo informacij. Avtomatizirani sistemi v varni zasnovi. Sredstva za detekcijo namernih silovitih elektromagnetnih vplivov. Splošni pogoji
GOST R 56115-2014 Varstvo informacij. Avtomatizirani sistemi v varni zasnovi. Sredstva za zaščito pred namernimi silovitimi elektromagnetnimi vplivi. Splošni pogoji
GOST R 56545-2015 Varstvo informacij. Ranljivosti informacijskih sistemov. Pravila za opisovanje ranljivosti
GOST R 56546-2015 Varstvo informacij. Ranljivosti informacijskih sistemov. Klasifikacija ranljivosti informacijskega sistema
GOST IEC 60950-21-2013 Oprema informacijske tehnologije. Varnostne zahteve. Del 21. Daljinsko napajanje
GOST IEC 60950-22-2013 Oprema informacijske tehnologije. Varnostne zahteve. Del 22. Oprema, namenjena za namestitev na prostem
GOST R 51583-2014 Varstvo informacij. Postopek za ustvarjanje avtomatiziranih sistemov v varni zasnovi. Splošne določbe
GOST R 55766-2013 Informacijska tehnologija. Evropski kompetenčni okvir IKT 2.0. Del 3. Izdelava e-CF - združevanje metodoloških osnov in strokovnih izkušenj
GOST R 55248-2012 Električna varnost. Klasifikacija vmesnikov za opremo, povezano z omrežji informacijske in komunikacijske tehnologije
GOST R 43.0.11-2014 Informacijska podpora za opremo in dejavnosti operaterja. Baze podatkov v tehničnih dejavnostih
GOST R 56174-2014 Informacijske tehnologije. Arhitektura storitev odprtega Grid okolja. Izrazi in definicije
GOST IEC 61606-4-2014 Avdio in avdiovizualna oprema. Komponente digitalne avdio opreme. Osnovne metode za merjenje zvočnih karakteristik. Del 4. Osebni računalnik
GOST R 43.2.5-2011 Informacijska podpora za opremo in dejavnosti operaterja. Jezik operaterja. Slovnica
GOST R 53633.5-2012 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Zemljevid dejavnosti razširjene komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Strategija, infrastruktura in produkt. Trženje in upravljanje ponudbe izdelkov
GOST R 53633.6-2012 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Operativni okvir razširjene komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Strategija, infrastruktura in produkt. Razvoj in upravljanje storitev
GOST R 53633.8-2012 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Operativni okvir razširjene komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Strategija, infrastruktura in produkt. Razvoj in upravljanje dobavne verige
GOST R 43.0.7-2011 Informacijska podpora za opremo in dejavnosti operaterja. Hibridno-intelektualizirana interakcija človek-informacija. Splošne določbe
GOST R 43.2.6-2011 Informacijska podpora za opremo in dejavnosti operaterja. Jezik operaterja. Morfologija
GOST R 53633.14-2016 Informacijske tehnologije. Telekomunikacijsko omrežje za upravljanje je razširjeno ogrodje delovanja komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Upravljanje organizacije. Upravljanje deležnikov in zunanjih odnosov
GOST R 56938-2016 Varstvo informacij. Zaščita informacij pri uporabi virtualizacijskih tehnologij. Splošne določbe
GOST R 56939-2016 Varstvo informacij. Varen razvoj programske opreme. Splošni pogoji
GOST R ISO/IEC 17963-2016 Specifikacija spletnih storitev za upravljanje (WS-management)
GOST R 43.0.6-2011 Informacijska podpora za opremo in dejavnosti operaterja. Naravno intelektualizirana interakcija med človekom in informacijo. Splošne določbe
GOST R 54817-2011 Vžig avdio, video, informacijske tehnologije in komunikacijske opreme po nesreči zaradi plamena sveče
GOST R IEC 60950-23-2011 Oprema informacijske tehnologije. Varnostne zahteve. Del 23. Oprema za shranjevanje velikih količin podatkov
GOST R IEC 62018-2011 Poraba energije opreme informacijske tehnologije. Metode merjenja
GOST R 53538-2009 Večparični kabli z bakrenimi vodniki za širokopasovne dostopovne tokokroge. Splošne tehnične zahteve
GOST R 53633.0-2009 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Razširjena shema aktivnosti komunikacijske organizacije (eTOM). Splošna struktura poslovnih procesov
GOST R 53633.1-2009 Informacijska tehnologija. Telekomunikacijsko nadzorno omrežje. Razširjena shema aktivnosti komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Primarna dejavnost. Upravljanje odnosov z dobavitelji in partnerji
GOST R 53633.2-2009 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Razširjena shema aktivnosti komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Primarna dejavnost. Upravljanje virov in delovanje
GOST R 53633.3-2009 Informacijska tehnologija. Telekomunikacijsko nadzorno omrežje. Razširjena shema aktivnosti komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Procesi 2. stopnje eTOM. Primarna dejavnost. Upravljanje odnosov s strankami
GOST R ISO/IEC 20000-2-2010 Informacijska tehnologija. Upravljanje storitev. 2. del: Kodeks ravnanja
GOST R 43.0.3-2009 Informacijska podpora za opremo in dejavnosti operaterja. Noon tehnologija v tehničnih dejavnostih. Splošne določbe
GOST R 43.0.4-2009 Informacijska podpora za opremo in dejavnosti operaterja. Informacije v tehničnih dejavnostih. Splošne določbe
GOST R 43.0.5-2009 Informacijska podpora za opremo in dejavnosti operaterja. Procesi izmenjave informacij v tehničnih dejavnostih. Splošne določbe
GOST R 43.2.1-2007 Informacijska podpora za opremo in dejavnosti operaterja. Jezik operaterja. Splošne določbe
GOST R 43.2.2-2009 Informacijska podpora za opremo in dejavnosti operaterja. Jezik operaterja. Splošna določila za uporabo
GOST R 43.2.3-2009 Informacijska podpora za opremo in dejavnosti operaterja. Jezik operaterja. Vrste in lastnosti ikoničnih komponent
GOST R 43.2.4-2009 Informacijska podpora za opremo in dejavnosti operaterja. Jezik operaterja. Sintaktika znakovnih sestavin
GOST R 52919-2008 Informacijska tehnologija. Metode in sredstva fizičnega varovanja. Razvrstitev in preskusne metode za požarno odpornost. Podatkovne sobe in kontejnerji
GOST R 53114-2008 Varstvo informacij. Zagotavljanje informacijske varnosti v organizaciji. Osnovni pojmi in definicije
GOST R 53245-2008 Informacijske tehnologije. Strukturirani kabelski sistemi. Namestitev glavnih komponent sistema. Testne metode
GOST R 53246-2008 Informacijske tehnologije. Strukturirani kabelski sistemi. Načrtovanje glavnih komponent sistema. Splošni pogoji
GOST R IEC 60990-2010 Metode za merjenje toka dotika in toka zaščitnega vodnika
GOST 33707-2016 Informacijske tehnologije. Slovar
GOST R 57392-2017 Informacijske tehnologije. Upravljanje storitev. Del 10. Osnovni pojmi in terminologija
GOST R 43.0.13-2017 Informacijska podpora za opremo in dejavnosti operaterja. Usmerjeno usposabljanje specialistov
GOST R 43.0.8-2017 Informacijska podpora za opremo in dejavnosti operaterja. Umetno intelektualizirana interakcija med človekom in informacijo. Splošne določbe
GOST R 43.0.9-2017 Informacijska podpora za opremo in dejavnosti operaterja. Informacijski viri
GOST R 43.2.7-2017 Informacijska podpora za opremo in dejavnosti operaterja. Jezik operaterja. Sintaksa
GOST R ISO/IEC 38500-2017 Informacijska tehnologija. Strateško upravljanje IT v organizaciji
GOST R 43.0.10-2017 Informacijska podpora za opremo in dejavnosti operaterja. Informacijski objekti, objektno orientirano oblikovanje pri ustvarjanju tehničnih informacij
GOST R 53633.21-2017 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Razširjena shema aktivnosti komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Primarna dejavnost. Upravljanje in delovanje storitev. Procesi 3. stopnje eTOM. Proces 1.1.2.1 – Podpora in razpoložljivost procesov SM&O
GOST R 57875-2017 Telekomunikacije. Sheme povezav in ozemljitev v telekomunikacijskih centrih
GOST R 53633.22-2017 Informacijske tehnologije. Telekomunikacijsko nadzorno omrežje. Razširjena shema aktivnosti komunikacijske organizacije (eTOM). Razgradnja in opisi procesov. Primarna dejavnost. Upravljanje in delovanje storitev. Procesi 3. stopnje eTOM. Proces 1.1.2.2 – Konfiguriranje in aktiviranje storitev

Mednarodni standardi

BS 7799-1:2005 - britanski standard BS 7799 prvi del. BS 7799 1. del – Kodeks ravnanja za upravljanje informacijske varnosti opisuje 127 kontrol, potrebnih za gradnjo sistemi upravljanja informacijske varnosti(ISMS) organizacije, določeno na podlagi najboljših primerov svetovnih izkušenj (best practices) na tem področju. Ta dokument služi kot praktični vodnik za ustvarjanje ISMS
BS 7799-2:2005 - britanski standard BS 7799 je drugi del standarda. BS 7799 2. del – Upravljanje informacijske varnosti – specifikacija za sisteme upravljanja informacijske varnosti določa specifikacijo ISMS. Drugi del standarda se uporablja kot merilo med postopkom uradne certifikacije za ISMS organizacije.
BS 7799-3:2006 - britanski standard BS 7799 tretji del standarda. Nov standard v obvladovanju tveganj za informacijsko varnost
ISO/IEC 17799:2005 – “Informacijska tehnologija – Varnostne tehnologije – Praksa upravljanja varnosti informacij.” Mednarodni standard, ki temelji na BS 7799-1:2005.
ISO/IEC 27000 - Besednjak in definicije.
ISO/IEC 27001:2005 - "Informacijska tehnologija - Varnostne tehnike - Sistemi upravljanja varnosti informacij - Zahteve." Mednarodni standard, ki temelji na BS 7799-2:2005.
ISO/IEC 27002 – zdaj: ISO/IEC 17799:2005. "Informacijske tehnologije - Varnostne tehnologije - Praktična pravila upravljanja informacijske varnosti." Datum izdaje: 2007.
ISO/IEC 27005 – Sedaj: BS 7799-3:2006 – Smernice za obvladovanje tveganja varnosti informacij.
Nemška agencija za informacijsko varnost. IT Baseline Protection Manual - Standardni varnostni zaščitni ukrepi.

Državni (nacionalni) standardi Ruske federacije

GOST R 50922-2006 - Varstvo informacij. Osnovni pojmi in definicije.
R 50.1.053-2005 - Informacijske tehnologije. Osnovni pojmi in definicije s področja tehnične informacijske varnosti.
GOST R 51188-98 - Varstvo informacij. Testiranje programske opreme za računalniške viruse. Priročnik za model.
GOST R 51275-2006 - Varstvo informacij. Informacijski objekt. Dejavniki, ki vplivajo na informacije. Splošne določbe.
GOST R ISO/IEC 15408-1-2008 - Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Kriteriji za ocenjevanje varnosti informacijskih tehnologij. 1. del. Uvod in splošni model.
GOST R ISO/IEC 15408-2-2008 - Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Kriteriji za ocenjevanje varnosti informacijskih tehnologij. Del 2. Funkcionalne varnostne zahteve.
GOST R ISO/IEC 15408-3-2008 - Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Kriteriji za ocenjevanje varnosti informacijskih tehnologij. Del 3. Zahteve za zagotavljanje varnosti.
GOST R ISO/IEC 15408 - "Splošna merila za ocenjevanje varnosti informacijskih tehnologij" - standard, ki določa orodja in metode za ocenjevanje varnosti informacijskih izdelkov in sistemov; vsebuje seznam zahtev, s katerimi je mogoče primerjati rezultate neodvisnih ocen varnosti – kar potrošniku omogoča sprejemanje odločitev o varnosti izdelkov. Področje uporabe »Splošnih meril« je zaščita informacij pred nepooblaščenim dostopom, spreminjanjem ali uhajanjem ter druge metode zaščite, ki jih izvaja strojna in programska oprema.
GOST R ISO/IEC 17799 - “Informacijske tehnologije. Praktična pravila za upravljanje informacijske varnosti.” Neposredna uporaba mednarodnega standarda z dodatkom ISO/IEC 17799:2005.
GOST R ISO/IEC 27001 - “Informacijske tehnologije. Varnostne metode. Sistem upravljanja informacijske varnosti. Zahteve". Neposredna uporaba mednarodnega standarda je ISO/IEC 27001:2005.
GOST R 51898-2002: Varnostni vidiki. Pravila za vključitev v standarde.

Vodilni dokumenti

RD SVT. Zaščita pred NSD. Varnostni indikatorji od NSD do informacij - vsebuje opis varnostnih indikatorjev informacijskih sistemov in zahteve za varnostne razrede.

Poglej tudi

Nenajavljene zmogljivosti

Zunanje povezave

Mednarodni standardi upravljanja informacijske varnosti

Fundacija Wikimedia. 2010.

Pomen zagotavljanja informacijske varnosti je težko preceniti, saj je potreba po shranjevanju in prenosu podatkov sestavni del vodenja vsakega podjetja.

Različni načini informacijske varnosti so odvisni od oblike, v kateri so shranjene, vendar je za sistemizacijo in racionalizacijo tega področja potrebna vzpostavitev standardov informacijske varnosti, saj je standardizacija pomembna determinanta kakovosti pri ocenjevanju opravljenih storitev.

Vsako zagotavljanje informacijske varnosti zahteva kontrolo in preverjanje, ki pa je ni mogoče izvajati samo z individualno presojo, brez upoštevanja mednarodnih in državnih standardov.

Oblikovanje standardov informacijske varnosti se pojavi po jasni opredelitvi njegovih funkcij in meja. Informacijska varnost je zagotavljanje zaupnosti, celovitosti in dostopnosti podatkov.

Za ugotavljanje stanja informacijske varnosti je najbolj uporabna kvalitativna ocena, saj je mogoče stopnjo varnosti oziroma ranljivosti izraziti v odstotkih, vendar to ne daje popolne in objektivne slike.

Za presojo in revizijo varnosti informacijskih sistemov lahko uporabite številna navodila in priporočila, ki pomenijo regulativno podporo.

Državni in mednarodni standardi informacijske varnosti

Spremljanje in ocenjevanje varnostnega stanja se izvaja s preverjanjem njihove skladnosti z državnimi standardi (GOST, ISO) in mednarodnimi standardi (Iso, Common criteris for IT security).

Mednarodni nabor standardov, ki ga je razvila Mednarodna organizacija za standardizacijo (ISO), je nabor praks in priporočil za implementacijo sistemov in opreme za varnost informacij.

ISO 27000 je eden najbolj uporabnih in razširjenih standardov ocenjevanja, ki vključuje več kot 15 določb in je zaporedno oštevilčen.

Varnost informacij po merilih za ocenjevanje standardizacije ISO 27000 ni le njihova celovitost, zaupnost in razpoložljivost, temveč tudi avtentičnost, zanesljivost, odpornost na napake in prepoznavnost. Običajno lahko to serijo standardov razdelimo na 4 dele:

pregled in uvod v terminologijo, opis izrazov, ki se uporabljajo na področju varovanja;
obvezne zahteve za sistem upravljanja varovanja informacij, podroben opis metod in sredstev upravljanja sistema. Je glavni standard te skupine;
revizijska priporočila, navodila za varnostni nadzor;
standardi, ki priporočajo prakse za implementacijo, razvoj in izboljšanje sistema upravljanja varnosti informacij.

Državni standardi informacijske varnosti vključujejo številne predpise in dokumente, ki jih sestavlja več kot 30 določb (GOST).

Različni standardi niso namenjeni samo določanju splošnih meril za ocenjevanje, kot je GOST R ISO/IEC 15408, ki vsebuje metodološke smernice za oceno varnosti in seznam zahtev za sistem vodenja. Lahko so specifični in vsebujejo tudi praktične napotke.

Pravilna organizacija skladišča in njegovo redno spremljanje njegovega delovanja bosta pomagala odpraviti krajo blaga in materialnih sredstev, kar negativno vpliva na finančno blaginjo katerega koli podjetja, ne glede na njegovo obliko lastništva.
Do zagona gre sistem za avtomatizacijo skladišč skozi še dve stopnji: interno testiranje in polnjenje podatkov. Po takšni pripravi se sistem v celoti zažene. Več o avtomatizaciji preberite tukaj.

Medsebojna povezanost in nabor tehnik vodita do razvoja splošnih določb in do združitve mednarodne in državne standardizacije. Tako GOST Ruske federacije vsebuje dodatke in sklicevanja na mednarodne standarde ISO.

Takšna interakcija pomaga razviti enoten sistem spremljanja in ocenjevanja, kar posledično bistveno poveča učinkovitost uporabe teh določb v praksi, objektivno ocenjuje rezultate dela in na splošno izboljša.

Primerjava in analiza nacionalnih in mednarodnih sistemov standardizacije

Število evropskih standardizacijskih standardov za zagotavljanje in nadzor informacijske varnosti znatno presega pravne standarde, ki jih je določila Ruska federacija.

V nacionalnih državnih standardih prevladujejo določbe o zaščiti informacij pred možnimi vdori, uhajanjem in grožnjami izgube. Tuji varnostni sistemi so specializirani za razvoj standardov za dostop do podatkov in avtentikacijo.

Razlike so tudi v določbah, ki se nanašajo na izvajanje nadzora in revizije sistemov. Poleg tega se praksa uporabe in izvajanja sistema upravljanja varnosti informacij evropske standardizacije kaže na skoraj vseh področjih življenja, standardi Ruske federacije pa so usmerjeni predvsem v ohranjanje materialne blaginje.

Vendar pa stalno posodobljeni državni standardi vsebujejo potreben minimalni nabor zahtev za ustvarjanje kompetentnega sistema upravljanja varnosti informacij.

Standardi informacijske varnosti za prenos podatkov

Poslovanje vključuje shranjevanje, izmenjavo in prenos podatkov prek interneta. V sodobnem svetu se valutne transakcije, komercialne dejavnosti in prenosi sredstev pogosto izvajajo na spletu, informacijsko varnost te dejavnosti pa je mogoče zagotoviti le s kompetentnim in strokovnim pristopom.

Na spletu obstaja veliko standardov, ki zagotavljajo varno shranjevanje in prenos podatkov, znani protivirusni programi za zaščito, posebni protokoli za finančne transakcije in mnogi drugi.

Hitrost razvoja informacijskih tehnologij in sistemov je tako velika, da močno prehiteva ustvarjanje protokolov in enotnih standardov za njihovo uporabo.

Eden izmed priljubljenih varnih protokolov za prenos podatkov je SSL (Secure Socket Layer), ki so ga razvili ameriški strokovnjaki. Omogoča zaščito podatkov s kriptografijo.

Prednost tega protokola je možnost preverjanja in avtentikacije, na primer neposredno pred izmenjavo podatkov. Je pa uporaba tovrstnih sistemov pri prenosu podatkov precej svetovalna, saj uporaba teh standardov za podjetnike ni obvezna.

Če želite odpreti LLC, potrebujete listino podjetja. Postopek, ki se razvija v skladu z zakonodajo Ruske federacije. Lahko ga napišete sami, vzamete standardni vzorec kot vodilo ali pa se obrnete na strokovnjake, ki ga bodo napisali.
Ambiciozni poslovnež, ki namerava razviti lastno podjetje kot samostojni podjetnik posameznik, mora pri izpolnjevanju vloge navesti šifro gospodarske dejavnosti v skladu z OKVED. Podrobnosti tukaj.

Za izvajanje varnih transakcij in operacij je bil razvit prenosni protokol SET (Security Electronic Transaction), ki omogoča minimiziranje tveganj pri izvajanju komercialnih in trgovalnih operacij. Ta protokol je standard za plačilna sistema Visa in Master Card, ki omogoča uporabo varnostnega mehanizma plačilnega sistema.

Odbori, ki standardizirajo internetne vire, so prostovoljni, zato dejavnosti, ki jih izvajajo, niso zakonite in obvezne.

Vendar pa je goljufija na internetu v sodobnem svetu priznana kot eden od globalnih problemov, zato je preprosto nemogoče zagotoviti informacijsko varnost brez uporabe posebnih tehnologij in njihove standardizacije.

Security Management Systems - Specification with guidance for use" (Sistemi - specifikacije z navodili za uporabo). Na njegovi podlagi je bil razvit standard ISO/IEC 27001:2005 "Informacijska tehnologija". Varnostne tehnike. Sistemi upravljanja informacijske varnosti. Zahteve", za skladnost s katerimi se lahko izvede certificiranje.

V Rusiji trenutno veljajo standardi GOST R ISO/IEC 17799-2005 "Praktična pravila". upravljanje informacijske varnosti"(verodostojni prevod ISO/IEC 17799:2000) in GOST R ISO/IEC 27001-2006 "Informacijska tehnologija. Metode in sredstva za zagotavljanje varnosti. Sistemi upravljanja informacijske varnosti. Zahteve" (prevod ISO/IEC 27001:2005). Kljub nekaterim notranjim neskladjem, povezanim z različnimi različicami in funkcijami prevoda, nam prisotnost standardov omogoča, da sistem upravljanje informacijske varnosti v skladu z njihovimi zahtevami in po potrebi certificirati.

GOST R ISO/IEC 17799:2005 "Informacijska tehnologija. Praktična pravila za upravljanje varnosti informacij"

Oglejmo si zdaj vsebino standarda. Uvod navaja, da so »informacije, procesi, ki jih podpirajo, informacijski sistemi in omrežna infrastruktura bistvena sredstva organizacije. Zaupnost, celovitost in razpoložljivost informacij lahko pomembno prispevajo h konkurenčnosti, likvidnosti, donosnosti, skladnosti in. poslovni ugled organizacija." Tako lahko rečemo, da ta standard obravnava vprašanja informacijske varnosti, tudi z vidika ekonomskega učinka.

Navedene so tri skupine dejavnikov, ki jih je treba upoštevati pri oblikovanju zahtev na področju informacijske varnosti. to:

ocena tveganja organizacije. Z oceno tveganja se ugotovijo nevarnosti za sredstva organizacije, ocena ranljivosti ustrezna sredstva in verjetnost pojava nevarnosti ter oceno možnih posledic;
pravne, statutarne, regulativne in pogodbene zahteve, ki jih morajo izpolnjevati organizacija, njeni poslovni partnerji, izvajalci in ponudniki storitev;
poseben nabor načel, ciljev in zahtev, ki jih je razvila organizacija glede obdelave informacij.

Ko so zahteve določene, se začne faza izbire in izvedbe ukrepov, ki bodo zagotovili zmanjšanje tveganja na sprejemljivo raven. Izbor dogodkov po upravljanje informacijske varnosti mora temeljiti na razmerju med stroški njihove izvedbe, učinkom zmanjšanja tveganj in možnimi izgubami v primeru kršitve varnosti. Upoštevati je treba tudi dejavnike, ki jih ni mogoče izraziti v denarju, kot je izguba ugleda. Možen seznam dejavnosti je podan v standardu, vendar je navedeno, da ga je mogoče dopolniti ali oblikovati neodvisno glede na potrebe organizacije.

Na kratko naštejmo razdelke standarda in v njih predlagane ukrepe za zaščito informacij. Prva skupina zadeva varnostno politiko. Potrebno ga je razviti, odobriti vodstvo organizacije, objaviti in seznaniti vse zaposlene. Določiti mora postopek dela z informacijskimi viri organizacije, dolžnosti in odgovornosti zaposlenih. Politika se redno pregleduje, da odraža trenutno stanje sistema in ugotovljena tveganja.

Naslednji razdelek obravnava organizacijska vprašanja, povezana z varnostjo informacij. Standard priporoča oblikovanje upravnih svetov (s sodelovanjem višjega vodstva podjetja), ki bi potrdili varnostno politiko, imenovali odgovorne osebe, porazdelitev odgovornosti ter koordinacijo izvajanja ukrepov za upravljanje informacijske varnosti V organizaciji. Opisati je treba tudi postopek za pridobitev dovoljenja za uporabo orodij za obdelavo informacij (vključno z novo programsko in strojno opremo) v organizaciji, da to ne povzroči varnostnih težav. Prav tako je treba določiti postopek za interakcijo z drugimi organizacijami o vprašanjih informacijske varnosti, posvetovanja z "zunanjimi" strokovnjaki in neodvisno preverjanje (revizijo) informacijske varnosti.

Pri zagotavljanju dostopa do informacijskih sistemov strokovnjakom iz tretjih organizacij je treba posebno pozornost nameniti varnostnim vprašanjem. Izvesti je treba oceno tveganj, povezanih z različnimi vrstami dostopa (fizičnega ali logičnega, tj. oddaljenega) takih strokovnjakov do različnih organizacijskih virov. Potreba po zagotavljanju dostopa mora biti utemeljena, pogodbe s tretjimi osebami in organizacijami pa morajo vsebovati zahteve glede skladnosti z varnostno politiko. Enako se predlaga v primeru vključevanja tretjih organizacij v obdelavo informacij (outsourcing).

Naslednji del standarda je posvečen vprašanjem klasifikacije in upravljanje premoženja. Za zagotovitev informacijske varnosti organizacije je potrebno, da so vsa ključna informacijska sredstva evidentirana in dodeljena odgovornim lastnikom. Predlagamo, da začnete z popisom. Naslednja razvrstitev je navedena kot primer:

informacijska sredstva (baze podatkov in podatkovne datoteke, sistemsko dokumentacijo itd.);
sredstva programske opreme (aplikacijska programska oprema, sistemska programska oprema, razvojna orodja in pripomočki);
fizična sredstva (računalniška oprema, komunikacijska oprema, nosilci podatkov, druga tehnična oprema, pohištvo, prostori);
storitve (računalniške in komunikacijske storitve, osnovni pripomočki).

Nato se predlaga klasifikacija podatkov, da se določi njihova prioriteta, nujnost in stopnja zaščite. Hkrati je mogoče ustrezne informacije oceniti glede na to, kako kritične so za organizacijo, na primer z vidika zagotavljanja njihove celovitosti in razpoložljivosti. Po tem se predlaga razvoj in izvajanje postopka označevanja pri obdelavi informacij. Postopke označevanja je treba opredeliti za vsako stopnjo tajnosti, da se prilagodijo naslednjim vrstam obdelave informacij:

kopiranje;
shranjevanje;
prenos po pošti, faksu in elektronski pošti;
prenos govora, vključno z mobilnim telefonom, glasovno pošto, telefonskimi tajnicami;
uničenje.

Naslednji razdelek obravnava varnostna vprašanja v zvezi z osebjem. Standard določa, da so odgovornosti za izpolnjevanje varnostnih zahtev porazdeljene v fazi izbire osebja, vključene v pogodbe o zaposlitvi in spremljane skozi celotno obdobje zaposlitve zaposlenega. Zlasti pri zaposlovanju stalnega zaposlenega je priporočljivo preveriti verodostojnost dokumentov, ki jih predloži prosilec, popolnost in točnost življenjepisa ter priporočila, ki so mu bila predložena. Priporočljivo je, da zaposleni podpišejo pogodbo o zaupnosti, v kateri navedejo, kateri podatki so zaupni ali občutljivi. Določiti je treba disciplinsko odgovornost zaposlenih, ki kršijo varnostne politike in postopke organizacije. Po potrebi mora ta odgovornost trajati določeno obdobje po prenehanju zaposlitve.

Uporabnike je treba usposobiti varnostne postopke in pravilno uporabo orodij za obdelavo informacij za zmanjšanje možnih tveganj. Poleg tega postopek obveščanja o kršitve informacijske varnosti, s katerim mora biti osebje seznanjeno. Podoben postopek je treba uporabiti v primeru napak programske opreme. Takšne incidente je treba zabeležiti in analizirati, da bi prepoznali ponavljajoče se težave.

Naslednji del standarda obravnava vprašanja fizične zaščite in zaščite okolja. Navedeno je, da morajo biti »sredstva za obdelavo kritičnih ali pomembnih servisnih informacij nameščena v varnostnih conah, ki jih določi določen varnostno območje z ustreznimi zaščitnimi pregradami in nadzorom vdorov. Ta območja morajo biti fizično zavarovana pred nepooblaščenim dostopom, poškodbami in udarci.« Poleg organizacije nadzora dostopa na varovana območja je treba določiti tudi postopek izvajanja del na njih in po potrebi postopke za organizacijo dostopa obiskovalcev. potrebna za zagotovitev varnosti opreme (vključno s tisto, ki se uporablja zunaj organizacije), da se zmanjša tveganje nepooblaščenega dostopa do podatkov in zaščiti pred izgubo ali poškodbo. Ta skupina zahtev vključuje tudi zagotavljanje zaščite pred izpadi električne energije in zaščito kabelskega omrežja. Določiti je treba tudi postopek za vzdrževanje opreme, ki upošteva varnostne zahteve, in postopke za varno odstranjevanje ali ponovno uporabo opreme. Priporočljivo je na primer, da se mediji za enkratno uporabo, ki vsebujejo občutljive informacije, fizično uničijo ali prepišejo na varen način. namesto uporabe standardnih funkcij za brisanje podatkov.

Za zmanjšanje tveganja nepooblaščenega dostopa do ali poškodovanja papirnatih dokumentov, medijev za shranjevanje in medijev za obdelavo informacij je priporočljivo izvajati politiko "čiste mize" za papirne dokumente in izmenljive medije za shranjevanje ter politiko "čistega zaslona" za oprema za obdelavo informacij. Opremo, informacije ali programsko opremo je dovoljeno odstraniti iz prostorov organizacije le z ustreznim dovoljenjem.

Naslov naslednjega razdelka standarda je »Upravljanje prenosa podatkov in operativnih dejavnosti«. Zahteva, da se določijo odgovornosti in postopki, povezani z delovanjem vseh zmogljivosti za obdelavo informacij. Na primer, spremembe konfiguracije v napravah in sistemih za obdelavo informacij je treba nadzorovati. Uveljaviti je potrebno načelo delitve odgovornosti glede funkcij upravljanja, opravljanja posameznih nalog in področij.

Priporočljivo je ločiti razvojno, testno in proizvodno okolje programske opreme. Določena in dokumentirana morajo biti pravila za prehod programske opreme iz statusa v razvoju v status sprejete v obratovanje.

Dodatna tveganja nastanejo pri uporabi izvajalcev tretjih oseb za upravljanje naprav za obdelavo informacij. Takšna tveganja je treba prepoznati vnaprej in sprejeti ustrezne ukrepe upravljanje informacijske varnosti dogovorjen z izvajalcem in vključen v pogodbo.

Da bi zagotovili potrebno zmogljivost obdelave in shranjevanja, je treba analizirati trenutne zahteve glede zmogljivosti in napovedati prihodnje. Te napovedi morajo upoštevati nove funkcionalne in sistemske zahteve ter sedanje in prihodnje načrte razvoja informacijske tehnologije v organizaciji. Zahteve in merila za prevzem novih sistemov morajo biti jasno opredeljeni, dogovorjeni, dokumentirani in testirani.

Treba je sprejeti ukrepe za preprečevanje in odkrivanje vnosa zlonamerne programske opreme, kot so računalniški virusi, omrežni črvi, trojanski konji in logične bombe. Opozoriti je treba, da mora zaščita pred zlonamerno programsko opremo temeljiti na razumevanju varnostnih zahtev, ustreznem nadzoru dostopa do sistemov in ustreznem upravljanju sprememb.

Določiti je treba postopek za izvajanje pomožnih operacij, ki vključuje varnostno kopiranje programske opreme in podatkov 1 Na primer, laboratorij št. 10 obravnava organiziranje varnostnih kopij v sistemu Windows Server 2008. beleženje dogodkov in napak ter po potrebi spremljanje stanja strojne opreme. Ureditve redundance za vsak posamezen sistem je treba redno testirati, da se zagotovi, da izpolnjujejo zahteve načrtov neprekinjenega poslovanja.

Za zagotovitev varnosti informacij v omrežjih in zaščito podporno infrastrukturo, je potrebna uvedba sredstev varnostni nadzor in zaščita povezanih storitev pred nepooblaščenim dostopom.

Posebno pozornost namenjamo varnosti pred poškodbami različnih vrst pomnilniških medijev: dokumentov, računalniških pomnilniških medijev (trakovi, diski, kasete), vhodno/izhodnih podatkov in sistemske dokumentacije. Priporočljivo je vzpostaviti postopek uporabe izmenljivih računalniških pomnilnikov (postopek nadzora vsebine, hrambe, uničenja ipd.). Kot je navedeno zgoraj, je treba medije za shranjevanje po uporabi varno in varno zavreči.

Da bi zagotovili varstvo informacij pred nepooblaščenim razkritjem ali zlorabo, je treba vzpostaviti postopke za obdelavo in shranjevanje informacij. Te postopke je treba oblikovati ob upoštevanju kategorizacija informacij in deluje v zvezi z dokumenti, računalniškimi sistemi, omrežji, prenosnimi računalniki, mobilnimi komunikacijami, pošto, glasovno pošto, glasovnimi komunikacijami na splošno, multimedijskimi napravami, uporabo faksa in drugimi pomembnimi predmeti, kot so obrazci, čeki in računi. Sistemska dokumentacija lahko vsebuje določene pomembne informacije, zato jih je treba tudi varovati.

Proces izmenjave informacij in programske opreme med organizacijami mora biti nadzorovan in v skladu z veljavno zakonodajo. Predvsem mora biti zagotovljena, določena varnost nosilcev informacij med prenosom politiko uporabe e-poštni in elektronski pisarniški sistemi. Paziti je treba na zaščito celovitosti informacij, objavljenih v elektronski obliki, kot so informacije na spletnem mestu. Potreben je tudi ustrezen formaliziran postopek avtorizacije, preden so takšne informacije javno dostopne.

Naslednji razdelek standarda je posvečen vprašanjem nadzora dostopa.

Zahteva se, da so pravila nadzora dostopa in pravice vsakega uporabnika ali skupine uporabnikov jasno opredeljena z varnostno politiko. Uporabniki in ponudniki storitev morajo biti seznanjeni s potrebo po izpolnjevanju teh zahtev.

Uporaba preverjanje pristnosti z geslom, je treba izvajati nadzor nad uporabniškimi gesli. Uporabniki morajo zlasti podpisati dokument, s katerim se strinjajo, da bodo ohranili popolno zaupnost gesel. Zagotoviti je potrebno varnost procesa pridobivanja gesla za uporabnika in, če se le-to uporablja, upravljanje uporabnikov z gesli (prisilna sprememba gesla po prvi prijavi ipd.).

Dostop do notranjih in zunanjih omrežnih storitev mora biti nadzorovan. Uporabnikom je treba omogočiti neposreden dostop le do tistih storitev, za katere so pooblaščeni. Posebno pozornost je treba nameniti avtentifikaciji oddaljenih uporabnikov. Na podlagi ocene tveganja je pomembno določiti zahtevano stopnjo zaščite za izbiro ustreznega načina avtentikacije. Prav tako je treba nadzorovati varnost uporabe omrežnih storitev.

Številne omrežne in računalniške naprave imajo vgrajene zmožnosti oddaljene diagnostike in upravljanja. Varnostni ukrepi morajo veljati tudi za te objekte.

Kadar si omrežja deli več organizacij, je treba določiti zahteve politike nadzora dostopa, da se to upošteva. Morda bo treba uvesti tudi dodatne ukrepe za upravljanje informacijske varnosti omejiti možnost povezovanja uporabnikov.

Na ravni operacijskega sistema je treba uporabiti varnostne ukrepe za omejitev dostopa do računalniških virov 2 Primer organiziranja nadzora dostopa do datotek in map v sistemu Windows Server 2008 bo obravnavan v laboratorijskem delu št. 9.. Nanaša se na identifikacijo in avtentikacijo terminali in uporabniki. Priporočljivo je, da imajo vsi uporabniki edinstvene identifikatorje, ki ne smejo vsebovati nobene oznake ravni privilegijev uporabnika. V sistemih upravljanje gesel za podporo njihove zahtevane kakovosti je treba zagotoviti učinkovite interaktivne zmogljivosti 3 Primer upravljanja kakovosti gesel v operacijskih sistemih Windows je obravnavan v laboratorijskem delu št. 3.. Uporaba sistemskih pripomočkov mora biti omejena in skrbno nadzorovana.

Priporočljivo je, da zagotovite alarm, če uporabnik postane tarča nasilja 4 Primer tega so gesla za prijavo pod prisilo. Če uporabnik vnese takšno geslo, sistem prikaže običajni postopek prijave uporabnika in nato simulira napako, da prepreči napadalcem dostop do podatkov.(če je tak dogodek ocenjen kot verjeten). Določiti je treba odgovornosti in postopke za odziv na tak alarm.

Če so terminali, ki oskrbujejo sisteme z visokim tveganjem, na lahko dostopnih lokacijah, jih je treba po določenem obdobju nedejavnosti izklopiti, da se prepreči dostop nepooblaščenim osebam. Uvede se lahko tudi omejitev časovnega obdobja, v katerem se lahko terminali povezujejo z računalniškimi storitvami.

Varnostne ukrepe je treba uporabiti tudi na ravni aplikacije. Zlasti je to lahko omejitev dostopa za določene kategorije uporabniki. Sistemom, ki obdelujejo pomembne informacije, je treba zagotoviti namensko (izolirano) računalniško okolje.

Spremljanje sistema je potrebno za odkrivanje odstopanj od zahtev politike nadzora dostopa in zagotavljanje dokazov v primeru incidenta informacijske varnosti. Rezultate spremljanja je treba redno pregledovati. Revizijski dnevnik se lahko uporablja za raziskovanje incidentov, zato je pravilna nastavitev (sinhronizacija) računalniške ure zelo pomembna.

Pri uporabi prenosnih naprav, kot so prenosni računalniki, je treba sprejeti posebne ukrepe za preprečitev ogrožanja zaupnih informacij. Treba je sprejeti formalizirane politike, ki obravnavajo tveganja, povezana z delom s prenosnimi napravami, zlasti v nezavarovanih okoljih.

Naslednji del standarda se imenuje "Razvoj in vzdrževanje sistemov." Že na odru razvoj informacijskih sistemov je treba zagotoviti upoštevanje varnostnih zahtev. In med delovanjem sistema je treba preprečiti izgubo, spreminjanje ali zlorabo uporabniških podatkov. V ta namen je priporočljivo, da aplikacijski sistemi zagotavljajo potrditev pravilnosti vnosa in izpisa podatkov, nadzor nad obdelavo podatkov v sistem, avtentikacija sporočila, beleženje uporabniških dejanj.

Za zagotovitev zaupnosti, integritete in preverjanje pristnosti podatkov Uporabijo se lahko kriptografski varnostni ukrepi.

Zagotavljanje celovitosti programske opreme igra pomembno vlogo v procesu informacijske varnosti. Da bi čim manj škodovali informacijskim sistemom, je treba izvajanje sprememb strogo nadzorovati. Od časa do časa je treba spremeniti operacijske sisteme. V teh primerih je potrebno analizirati in testirati aplikacijske sisteme, da se zagotovi, da ni škodljivega vpliva na njihovo funkcionalnost in varnost. Kolikor je to mogoče, je priporočljivo uporabljati že pripravljene programske pakete brez sprememb.

Povezano vprašanje je boj proti trojanskim konjem in uporaba prikritih kanalov za uhajanje. Eden od protiukrepov je uporaba programske opreme, pridobljene od zaupanja vrednih prodajalcev, in nadzora celovitost sistema.

V primerih, ko pri razvoju programske opreme sodeluje tretja organizacija, je treba zagotoviti ukrepe za nadzor kakovosti in pravilnosti opravljenega dela.

Naslednji del standarda je posvečen upravljanju neprekinjenega poslovanja. V začetni fazi naj bi prepoznali dogodke, ki lahko povzročijo prekinitev poslovnih procesov (okvara opreme, požar ipd.). V tem primeru je treba oceniti posledice in nato razviti sanacijske načrte. Ustreznost načrtov je treba potrditi s testiranjem, same pa občasno revidirati zaradi sprememb, ki se dogajajo v sistemu.

Zadnji del standarda obravnava vprašanja skladnosti. Najprej se to nanaša na skladnost sistema in postopek njegovega delovanja z zakonskimi zahtevami. To vključuje vprašanja skladnosti z avtorskimi pravicami (vključno s programsko opremo), zaščito osebnih podatkov (zaposleni, stranke) in preprečevanje zlorabe orodij za obdelavo informacij. Uporaba kriptografska sredstva varstva informacij, morajo upoštevati veljavno zakonodajo. Prav tako je treba temeljito razviti postopek zbiranja dokazov v primeru sodnih sporov v zvezi z incidenti na področju varnosti informacijskega sistema.

Sami informacijski sistemi morajo v skladu z varnostno politiko organizacija in uporabljeni standardi. Varnost informacijskih sistemov je treba redno analizirati in ocenjevati. Hkrati je treba pri izvajanju varnostne revizije upoštevati varnostne ukrepe, da ne pride do nezaželenih posledic (na primer okvara kritičnega strežnika zaradi revizije).

Če povzamemo, je mogoče opozoriti, da standard obravnava širok spekter vprašanj, povezanih z zagotavljanjem varnosti informacijskih sistemov. Podana so praktična priporočila na številnih področjih.