Ryska informationssäkerhetsstandarder. Informationssäkerhetsstandarder. Krav på kunskaper och färdigheter

Detta avsnitt tillhandahåller allmän information och texter av nationella standarder för Ryska federationen inom området informationssäkerhet GOST R.

Aktuell lista över moderna GOSTs utvecklade under de senaste åren och planerade för utveckling. Certifieringssystem för informationssäkerhetsverktyg enligt informationssäkerhetskrav nr ROSS RU.0001.01BI00 (FSTEC of Russia). STATLIG STANDARD FÖR RYSKA FEDERATIONEN. Dataskydd. PROCEDUR FÖR SKAPA AV AUTOMATISKA SYSTEM I SÄKERT UTFÖRANDE. Allmänna bestämmelser. Moskva STATLIG STANDARD FÖR RYSKA FEDERATIONEN. Datorfaciliteter. Skydd mot obehörig åtkomst till information. Allmänna tekniska krav. Introduktionsdatum 1996-01-01 Ryska federationens nationella standard. Dataskydd. Grundläggande termer och definitioner. Skydd av information. Grundläggande termer och definitioner. Introduktionsdatum 2008-02-01 STATLIG STANDARD FÖR RYSKA FEDERATIONEN. DATASKYDD. STANDARDSYSTEM. GRUNDLÄGGANDE BESTÄMMELSER (INFORMATIONSSÄKERHET. STANDARDSYSTEM. GRUNDLÄGGANDE PRINCIPER) STATLIG STANDARD FÖR RYSKA FEDERATIONEN. Dataskydd. TESTA PROGRAMVARAN FÖR NÄRVARO AV DATORVIRUS. Modellmanual (Informationssäkerhet. Programvarutestning för förekomst av datavirus. Exempelhandboken). Informationsteknologi. Skydd av informationsteknik och automatiserade system från informationssäkerhetshot som implementeras med hjälp av hemliga kanaler. Del 1. Allmänna bestämmelser Informationsteknologi. Skydd av informationsteknik och automatiserade system från informationssäkerhetshot som implementeras med hjälp av hemliga kanaler. Del 2. Rekommendationer för att organisera skyddet av information, informationsteknik och automatiserade system från attacker med hjälp av hemliga kanaler Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Vägledning för att utveckla skyddsprofiler och säkerhetsuppgifter Automatisk identifiering. Biometrisk identifiering. Prestandatester och testrapporter inom biometri. Del 3. Funktioner för testning av olika biometriska modaliteter Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Metodik för bedömning av informationsteknologisäkerhet GOST R ISO/IEC 15408-1-2008 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Kriterier för bedömning av informationsteknikens säkerhet. Del 1. Inledning och generell modell (Informationsteknik. Säkerhetstekniker. Utvärderingskriterier för IT-säkerhet. Del 1. Inledning och generell modell) GOST R ISO/IEC 15408-2-2008 - Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Kriterier för bedömning av informationsteknikens säkerhet. Del 2. Funktionella säkerhetskrav (Informationsteknik. Säkerhetstekniker. Utvärderingskriterier för IT-säkerhet. Del 2. Säkerhetsfunktionskrav) GOST R ISO/IEC 15408-3-2008 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Kriterier för bedömning av informationsteknikens säkerhet. Del 3. Säkerhetskrav (Informationsteknik. Säkerhetstekniker. Utvärderingskriterier för IT-säkerhet. Del 3. Säkerhetskrav) GOST R 53109-2008 System för att säkerställa informationssäkerhet för ett offentligt kommunikationsnät. Informationssäkerhet kommunikation organisation pass. Informationssäkerhet för det offentliga kommunikationsnätverket. Pass för organisationens kommunikation av informationssäkerhet. Ikraftträdandedatum: 2009-09-30. GOST R 53114-2008 Informationsskydd. Säkerställa informationssäkerhet i organisationen. Grundläggande termer och definitioner. Skydd av information. Informationssäkerhet tillhandahållande i organisationer. Grundläggande termer och definitioner. Ikraftträdandedatum: 2009-09-30. GOST R 53112-2008 Informationsskydd. Komplex för mätning av parametrar för falsk elektromagnetisk strålning och störningar. Tekniska krav och testmetoder. Informationsskydd. Faciliteter för mätning av elektromagnetisk strålning från sidan och upptagningsparametrar. Tekniska krav och testmetoder. Ikraftträdandedatum: 2009-09-30. GOST R 53115-2008 Informationsskydd. Testning av tekniska metoder för informationsbehandling för att uppfylla kraven på säkerhet från obehörig åtkomst. Metoder och medel. Informationsskydd. Överensstämmelsetestning av teknisk informationsbehandlingsanläggningar till skydd för obehörigt åtkomst. Metoder och tekniker. Ikraftträdandedatum: 2009-09-30. GOST R 53113.2-2009 Informationsteknik. Skydd av informationsteknik och automatiserade system från informationssäkerhetshot som implementeras med hjälp av hemliga kanaler. Del 2. Rekommendationer för att organisera skyddet av information, informationsteknik och automatiserade system från attacker med hjälp av hemliga kanaler. Informationsteknologi. Skydd av informationsteknik och automatiserade system mot säkerhetshot från användning av hemliga kanaler. Del 2. Rekommendationer om skydd av information, informationsteknik och automatiserade system mot hemliga kanalattacker. Ikraftträdandedatum: 2009-01-12. GOST R ISO/IEC TILL 19791-2008 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Säkerhetsbedömning av automatiserade system. Informationsteknologi. Säkerhetstekniker. Säkerhetsbedömning av operativa system. Ikraftträdandedatum: 2009-09-30. GOST R 53131-2008 Informationsskydd. Rekommendationer för katastrofåterställningstjänster för informations- och telekommunikationsteknikens säkerhetsfunktioner och -mekanismer. Allmänna bestämmelser. Informationsskydd. Riktlinjer för återställningstjänster för informations- och kommunikationsteknikens säkerhetsfunktioner och -mekanismer. Allmän. Ikraftträdandedatum: 2009-09-30. GOST R 54581-2011 Informationsteknik. Metoder och medel för att säkerställa säkerhet. Grunderna för förtroende för IT-säkerhet. Del 1: Översikt och grunder. Informationsteknologi. Säkerhetstekniker. Ett ramverk för IT-säkerhetssäkring. Del 1. Översikt och ramverk. Ikraftträdandedatum: 2012-01-07. GOST R ISO/IEC 27033-1-2011 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Nätverkssäkerhet. Del 1: Översikt och koncept. Informationsteknologi. Säkerhetstekniker. Nätverkssäkerhet. Del 1. Översikt och begrepp. Ikraftträdandedatum: 2012-01-01. GOST R ISO/IEC 27006-2008 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Krav på organ som utför revision och certifiering av ledningssystem för informationssäkerhet. Informationsteknologi. Säkerhetstekniker. Krav på organ som tillhandahåller revision och certifiering av ledningssystem för informationssäkerhet. Ikraftträdandedatum: 2009-09-30. GOST R ISO/IEC 27004-2011 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Informationssäkerhetshantering. Mått. Informationsteknologi. Säkerhetstekniker. Informationssäkerhetshantering. Mått. Ikraftträdandedatum: 2012-01-01. GOST R ISO/IEC 27005-2010 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Informationssäkerhetsriskhantering. Informationsteknologi. Säkerhetstekniker. Informationssäkerhetsriskhantering. Ikraftträdandedatum: 2011-01-12. GOST R ISO/IEC 31010-2011 Riskhantering. Riskbedömningsmetoder (Riskhantering. Riskbedömningsmetoder). Ikraftträdandedatum: 2012-01-12 GOST R ISO 31000-2010 Riskhantering. Riskhantering. Principer och riktlinjer. Ikraftträdandedatum: 2011-08-31 GOST 28147-89 Informationsbehandlingssystem. Kryptografiskt skydd. Kryptografisk konverteringsalgoritm. Ikraftträdandedatum: 1990-06-30. GOST R ISO/IEC 27013-2014 ”Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Vägledning om kombinerad användning av ISO/IEC 27001 och ISO/IEC 20000-1 – från och med 1 september 2015. GOST R ISO/IEC 27033-3-2014 "Nätverkssäkerhet. Del 3. Referensnätverksscenarier. Hot, designmetoder och ledningsfrågor” – gäller 1 november 2015 GOST R ISO/IEC 27037-2014 "Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Riktlinjer för identifiering, insamling, hämtning och bevarande av digitala bevis – gäller 1 november 2015. GOST R ISO/IEC 27002-2012 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Uppsättning av normer och regler för informationssäkerhetshantering. Informationsteknologi. Säkerhetstekniker. Uppförandekod för informationssäkerhetshantering. Ikraftträdandedatum: 2014-01-01. OKS-kod 35.040. GOST R 56939-2016 Informationsskydd. Säker mjukvaruutveckling. Allmänna krav (Informationsskydd. Säker mjukvaruutveckling. Allmänna krav). Ikraftträdandedatum: 2017-01-06. GOST R 51583-2014 Informationsskydd. Proceduren för att skapa automatiserade system i en säker design. Allmänna bestämmelser. Informationsskydd. Sekvens av skyddad operativ systembildning. Allmän. 09/01/2014 GOST R 7.0.97-2016 System av standarder för information, bibliotek och publicering. Organisatorisk och administrativ dokumentation. Krav på upprättande av dokument (System av standarder för information, bibliotek och publicering. Organisatorisk och administrativ dokumentation. Krav på presentation av dokument). Ikraftträdandedatum: 2017-01-07. OKS-kod 01.140.20. GOST R 57580.1-2017 Säkerhet för finansiella (bank)transaktioner. Skydd av information från finansiella organisationer. Den grundläggande sammansättningen av organisatoriska och tekniska åtgärder - Säkerhet för finansiell (bank)verksamhet. Informationsskydd för finansiella organisationer. Grundläggande uppsättning organisatoriska och tekniska åtgärder. GOST R ISO 22301-2014 Ledningssystem för affärskontinuitet. Allmänna krav - Ledningssystem för affärskontinuitet. Krav. GOST R ISO 22313-2015 Business continuity management. Implementeringsguide - System för ledning av affärskontinuitet. Vägledning för genomförande. GOST R ISO/IEC 27031-2012 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. A Guide to Information and Communications Technology Readiness for Business Continuity - Informationsteknologi. Säkerhetstekniker. Riktlinjer för informations- och kommunikationsteknologisk beredskap för affärskontinuitet. GOST R IEC 61508-1-2012 Funktionell säkerhet för elektriska, elektroniska, programmerbara elektroniska säkerhetsrelaterade system. Del 1. Allmänna krav. Funktionell säkerhet för elektriska, elektroniska, programmerbara elektroniska säkerhetsrelaterade system. Del 1. Allmänna krav. Introduktionsdatum 2013-08-01. GOST R IEC 61508-2-2012 Funktionell säkerhet för elektriska, elektroniska, programmerbara elektroniska säkerhetsrelaterade system. Del 2. Systemkrav. Funktionell säkerhet för elektriska, elektroniska, programmerbara elektroniska säkerhetsrelaterade system. Del 2. Krav på system. Introduktionsdatum 2013-08-01. GOST R IEC 61508-3-2012 FUNKTIONELL SÄKERHET FÖR ELEKTRISKA, ELEKTRONISKA, PROGRAMMERBARA ELEKTRONISKA, SÄKERHETSRELATERADE SYSTEM. Programvarukrav. IEC 61508-3:2010 Funktionell säkerhet för elektriska/elektroniska/programmerbara elektroniska säkerhetsrelaterade system - Del 3: Programvarukrav (IDT). GOST R IEC 61508-4-2012 FUNKTIONELL SÄKERHET FÖR ELEKTRISKA, ELEKTRONISKA, PROGRAMMERBARA ELEKTRONISKA, SÄKERHETSRELATERADE SYSTEM Del 4 Termer och definitioner. Funktionell säkerhet för elektriska, elektroniska, programmerbara elektroniska säkerhetsrelaterade system. Del 4. Termer och definitioner. Introduktionsdatum 2013-08-01. . GOST R IEC 61508-6-2012 Funktionell säkerhet för elektriska, elektroniska, programmerbara elektroniska säkerhetsrelaterade system. Del 6. Riktlinjer för användning av GOST R IEC 61508-2 och GOST R IEC 61508-3. IEC 61508-6:2010. Funktionell säkerhet för elektriska/elektroniska/programmerbara elektroniska säkerhetsrelaterade system - Del 6: Riktlinjer för tillämpning av IEC 61508-2 och IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 Funktionell säkerhet för elektriska system, Funktionell säkerhet för elektriska, elektroniska, programmerbara elektroniska system relaterade till säkerhet. Del 7. Metoder och medel. Funktionssäkerhet för elektriska elektroniska programmerbara elektroniska säkerhetsrelaterade system. Del 7. Tekniker och åtgärder. Introduktionsdatum 2013-08-01. GOST R 53647.6-2012. Affärskontinuitetshantering. Krav på ett hanteringssystem för personuppgifter för att säkerställa dataskydd

Namn:

Dataskydd. Säkerställa informationssäkerhet i organisationen.

Giltig

Datum för introduktion:

Avbokningsdatum:

Ersatt av:

Sms:a GOST R 53114-2008 Informationsskydd. Säkerställa informationssäkerhet i organisationen. Grundläggande termer och definitioner

FEDERAL BYRÅ FÖR TEKNISK REGULERING OCH METROLOGI

NATIONELL

STANDARD

RYSSSKA

FEDERATION

Dataskydd

SÄKRANDE AV INFORMATIONSSÄKERHET I ORGANISATIONEN

Grundläggande termer och definitioner

Officiell publikation

Oteidartenform

GOST R 53114-2008

Förord

Målen och principerna för standardisering i Ryska federationen är fastställda av federal lag nr 184-FZ av den 27 december 2002 "Om teknisk förordning", och reglerna för tillämpning av nationella standarder i Ryska federationen är GOST R 1.0-2004 "Standardisering i Ryska federationen. Grundläggande bestämmelser »

Standardinformation

1 UTVECKLAD av Federal State Institution "State Research Testing Institute for Problems of Technical Information Security of the Federal Service for Technical and Export Control" (FGU "GNIIII PTZI FSTEC of Russia"), aktiebolag "Forsknings- och produktionsbolag "Kristall" (OOO NPF "Crystal")

2 INTRODUCERAD av avdelningen för teknisk reglering och standardisering av Federal Agency for Technical Regulation and Metroology

3 GODKÄND OCH KRÄFTAT IGÅNG genom order från Federal Agency for Technical Regulation and Metrology daterad 18 december 2008 nr 532-st

4 8KÖRT FÖR FÖRSTA GÅNGEN

Information om ändringar av denna standard publiceras i det årligen publicerade informationsindexet "National Standards" och texten till ändringar och tillägg publiceras i det månatliga publicerade informationsindexet "National Standards". I händelse av revidering (ersättning) eller annullering av denna standard kommer motsvarande meddelande att publiceras i det månatliga publicerade informationsindexet "National Standards". Relevant information, meddelanden och texter publiceras också i det offentliga informationssystemet - på den officiella webbplatsen för Federal Agency for Technical Regulation and Metrology på Internet

Denna standard kan inte helt eller delvis reproduceras, replikeras eller distribueras som en officiell publikation utan tillstånd från Federal Agency for Technical Regulation and Metrology

GOST R 53114-2008

1 användningsområde................................................ ... ....1

3 Termer och definitioner................................................... ..... ..2

3.1 Allmänna begrepp................................................... .... .....2

3.2 Villkor relaterade till föremålet för informationsskydd......................................... ...4

3.3 Termer relaterade till hot mot informationssäkerhet...................................7

3.4 Termer relaterade till organisatorisk informationssäkerhetshantering......8

3.5 Termer relaterade till kontroll och bedömning av en organisations informationssäkerhet. ... 8

3.6 Termer relaterade till informationssäkerhetskontroller

organisationer ................................................... ....... .........9

Alfabetiskt index över termer ........................................................ .....11

Bilaga A (för referens) Termer och definitioner av allmänna tekniska begrepp................................13

Bilaga B (för referens) Samband mellan grundläggande begrepp inom området informationssäkerhet i en organisation............................... .....................15

Bibliografi................................................. .......16

GOST R 53114-2008

Introduktion

Termerna som fastställs av denna standard är ordnade i en systematisk ordning, vilket återspeglar begreppssystemet inom detta kunskapsområde.

Det finns en standardiserad term för varje begrepp.

Förekomsten av hakparenteser i en terminologiartikel innebär att den innehåller två termer som har gemensamma terminologiska element. Dessa termer listas separat i det alfabetiska indexet.

Den del av en term som står inom parentes kan utelämnas vid användning av termen i standardiseringsdokument, medan den del av termen som inte ingår inom parentes utgör dess korta form. Efter de standardiserade termerna följer deras korta former, separerade med semikolon, representerade av förkortningar.

De givna definitionerna kan ändras vid behov genom att införa härledda egenskaper i dem. avslöjar innebörden av de termer som används i dem, och indikerar de objekt som ingår i det definierade konceptets omfattning.

Ändringar får inte påverka omfattningen och innehållet i de begrepp som definieras i denna standard.

Standardiserade termer skrivs med fet stil, deras korta former finns i texten och i det alfabetiska indexet, inklusive förkortningar. - ljus och synonymer - kursiv stil.

Termer och definitioner av allmänna tekniska begrepp som är nödvändiga för att förstå texten i huvuddelen av denna standard finns i bilaga A.

GOST R 53114-2008

RYSKA FEDERATIONENS NATIONELL STANDARD

Dataskydd

SÄKRA INFORMATIONSSÄKERHET 8 ORGANISATIONER

Grundläggande termer och definitioner

Skydd av information. Informationssäkerhet tillhandahållande I organisation.

Grundläggande termer och definitioner

Datum för introduktion - 2009-10-01

1 användningsområde

Denna standard fastställer de grundläggande termer som används när man utför standardiseringsarbete inom området informationssäkerhet i en organisation.

Termerna som fastställs av denna standard rekommenderas för användning i regulatoriska dokument, juridisk, teknisk och organisatorisk och administrativ dokumentation, vetenskaplig, utbildnings- och referenslitteratur.

Denna standard tillämpas i samband med GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069,0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Villkoren som ges i denna standard överensstämmer med bestämmelserna i Ryska federationens federala lag av den 27 december 2002 M"184*FZ "Technical Regulation" |3]. Ryska federationens federala lag av den 27 juli 2006 nr 149-FZ "Om information, informationsteknik och informationsskydd". Ryska federationens federala lag av 27 juli 2006 nr 152-FZ "Om personuppgifter". Ryska federationens informationssäkerhetsdoktriner, godkända av Ryska federationens president den 9 september 2000 Pr -1895.

2 Normativa referenser

GOST R 22.0.02-94 Säkerhet i nödsituationer. Termer och definitioner av grundläggande begrepp

GOST R ISO 9000-2001 Kvalitetsledningssystem. Grunder och ordförråd

GOST R ISO 9001-2008 Kvalitetsledningssystem. Krav

GOST R IS0 14001-2007 Miljöledningssystem. Krav och instruktioner för användning

GOST R ISO/IEC 13335-1-2006 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Del 1. Koncept och modeller för säkerhetshantering av informations- och telekommunikationsteknik

GOST R ISO/IEC 27001-2006 Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Ledningssystem för informationssäkerhet. Krav

GOST R 50922-2006 Informationsskydd. Grundläggande termer och definitioner

GOST R 51275-2006 Informationsskydd. Informationsobjekt. Faktorer som påverkar information. Allmänna bestämmelser

GOST R 51897-2002 Riskhantering. Termer och definitioner

Officiell publikation

GOST R 53114-2008

GOST R51898-2003 Säkerhetsaspekter. Regler för införande i standarder GOST R 52069.0-2003 Informationsskydd. System av standarder. Grundläggande bestämmelser i GOST 34.003-90 Informationsteknik. Uppsättning standarder för automatiserade system. Automatiserade system. Termer och definitioner

GOST 19781-90 Programvara för informationsbehandlingssystem. Termer och definitioner

Observera - När du använder denna standard är det tillrådligt att kontrollera giltigheten av referensstandarderna i det offentliga informationssystemet - på den officiella webbplatsen för Federal Agency for Technical Regulation and Metrology på Internet eller enligt det årligen publicerade informationsindexet "National Standards”, som publicerades från och med den 1 januari innevarande år , och enligt motsvarande månatliga informationsindex publicerade under innevarande år. Om referensstandarden ersätts (ändrats), bör du när du använder denna standard vägledas av den ersatta (ändrade) standarden. Om en referensstandard annulleras utan att ersättas, gäller bestämmelsen i vilken en hänvisning till den ges för den del som inte påverkar denna referens.

3 Termer och definitioner

3.1 Allmänna begrepp

informationssäkerhet [data]: Säkerhetsläget för information [data], där dess [deras] konfidentialitet, tillgänglighet och integritet säkerställs.

[GOST R 50922-2006. paragraf 2.4.5]

IT-säkerhet: Informationsteknologins säkerhet. som säkerställer säkerheten för den information som den används för behandling. och informationssäkerhet för det informationssystem där det är implementerat.

[R 50.1.056-2006. paragraf 2.4.5]

informationssfär: Helheten av information, informationsinfrastruktur, ämnen. utföra insamling, bildande, spridning och användning av information, samt system för att reglera de sociala relationer som uppstår i detta fall.

3.1.4 informationsinfrastruktur: En uppsättning informationsobjekt som ger konsumenter tillgång till informationsresurser.

informatiseringsobjekt: En uppsättning informationsresurser, verktyg och informationsbearbetningssystem som används i enlighet med en given informationsteknologi, såväl som stödfaciliteter, lokaler eller anläggningar (byggnader, strukturer, tekniska medel) i vilka dessa verktyg och system är installerade, eller lokaler och anläggningar, avsedda för att föra konfidentiella förhandlingar.

[GOST R 51275-2006. klausul 3.1]

3.1.6 Organisationens tillgångar: Alla. vad som är av värde för organisationen i syfte att nå dess mål och står till dess förfogande.

Obs! En organisations tillgångar kan omfatta:

Informationstillgångar, inklusive olika typer av information som cirkulerar i informationssystemet (tjänst, förvaltning, analytisk, affärsverksamhet, etc.) i alla skeden av livscykeln (generering, lagring, bearbetning, överföring, förstörelse):

Resurser (ekonomiska, mänskliga, datorer, information, telekommunikation och andra):

Processer (teknologiska, information, etc.);

Tillverkade produkter eller tjänster som tillhandahålls.

GOST R 53114-2008

informationsbehandlingssystemresurs: Enäggning som kan allokeras till databehandlingsprocessen under ett visst tidsintervall.

Obs - Huvudresurserna är processorer, huvudminnesområden, datamängder. kringutrustning, program.

[GOST 19781-90. paragraf 93)

3.1.8 informationsprocess: Processen för skapande, insamling, bearbetning, ackumulering, lagring, sökning. spridning och användning av information.

informationsteknologi; IT: Processer, metoder för att söka, samla in, lagra, bearbeta, tillhandahålla. spridning av information och sätt att genomföra sådana processer och metoder. [Rysska federationens federala lag av den 27 december 2002 nr 184-FZ. Artikel 2. punkt 2)]

tekniskt stöd för det automatiserade systemet; Tekniskt stöd för kärnkraftverket: Helheten av alla tekniska medel som används vid driften av kärnkraftverket.

[GOST R 34.003-90. paragraf 2.5]

automatiserad systemprogramvara; AS-programvara: En uppsättning program på lagringsmedia och programdokument avsedda för felsökning, drift och testning av AS:s funktionalitet.

[GOST R 34.003-90. klausul 2.7]

informationsstöd för det automatiserade systemet; informationsstöd för AS: En uppsättning dokumentformulär, klassificerare, regelverk och implementerade lösningar på volymen, placeringen och formerna för förekomsten av information som används i AS under dess drift.

[GOST R 34.003-90. klausul 2.8]

3.1.13 tjänst; service: Resultatet av utförarens aktiviteter för att tillfredsställa konsumentens behov.

Notera - 8 en organisation, en individ eller en process kan agera som utförare (konsument) av en tjänst.

3.1.14 IT-tjänster: IT-tjänster: Uppsättningen av funktionella möjligheter för information och. möjligen icke-informationsteknik som tillhandahålls slutanvändare som en tjänst.

OBS! Exempel på IT-tjänster inkluderar meddelanden, affärsapplikationer, fil- och utskriftstjänster, nätverkstjänster etc.

3.1.15 system för kritisk informationsinfrastruktur; ystem: FIAC: Informationshanterings- eller infosom hanterar eller tillhandahåller information till ett kritiskt objekt eller en process, eller används för att officiellt informera samhället och medborgarna, vars avbrott eller avbrott i dess funktion (som ett resultat av destruktiv informationspåverkan, såväl som misslyckanden eller misslyckanden) kan leda till en nödsituation med betydande negativa konsekvenser.

3.1.18 kritiskt objekt: Ett objekt eller en process vars avbrott i driftens kontinuitet kan orsaka betydande skada.

GOST R 53114-2008

Obs - Skador kan orsakas av enskilda eller juridiska personers egendom. statlig eller kommunal egendom, miljön, samt orsaka skada på medborgarnas liv eller hälsa.

personuppgiftsinformationssystem: Ett informationssystem som är en uppsättning personuppgifter som finns i en databas, samt informationsteknik och tekniska medel som tillåter behandling av sådana personuppgifter med hjälp av automationsverktyg eller utan användning av sådana verktyg.

personuppgifter: All information som rör en individ som identifieras eller fastställs på grundval av sådan information (föremålet med personuppgifter), inklusive hans efternamn, förnamn. patronym, årtal månad, födelsedatum och födelseort, adress, familj, social, fastighetsstatus, utbildning, yrke, inkomst, annan information.

3.1.19 automatiserat system i skyddad design; AS i skyddad version: Ett automatiserat system som implementerar informationsteknik för att utföra etablerade funktioner i enlighet med kraven i standarder och/eller regulatoriska dokument om informationsskydd.

3.2 Villkor relaterade till föremålet för informationsskydd

3.2.1 organisationens informationssäkerhet; Organisatorisk intelligens: Tillståndet för skydd av organisationens intressen inför hot inom informationssfären.

Obs - Säkerhet uppnås genom att säkerställa en uppsättning informationssäkerhetsegenskaper - konfidentialitet, integritet, tillgänglighet av informationstillgångar och organisationens infrastruktur. Prioriteten för informationssäkerhetsegenskaper bestäms av informationstillgångarnas betydelse för organisationens intressen (mål).

objekt för informationsskydd: Informations- eller informationsbärare, eller informationsprocess. som ska skyddas i enlighet med syftet att skydda information.

[GOST R 50922-2006. klausul 2.5.1]

3.2.3 skyddad process (informationsteknik): En process som används av informationsteknik för att behandla skyddad information med den säkerhetsnivå som krävs.

3.2.4 brott mot organisationens informationssäkerhet: brott mot organisationens informationssäkerhet: Oavsiktlig eller avsiktlig olaglig handling av en enskild person (subjekt, föremål) i förhållande till organisationens tillgångar, vars konsekvens är ett brott mot informationssäkerheten när det behandlas med tekniska medel i informationssystem, vilket orsakar negativa konsekvenser (skada/skada) för organisationen.

nödsituation; oförutsedd situation; Nödsituation: En situation i ett visst territorium eller vattenområde som har utvecklats till följd av en olycka, ett farligt naturfenomen, en katastrof, en naturkatastrof eller annan katastrof som kan leda till förlust av människoliv eller medföra människors skador, skada på människors hälsa eller miljön, betydande materiella förluster och störningar av människors levnadsvillkor.

Notera - Nödsituationer särskiljs av källans natur (naturlig, konstgjord, biologisk-social och militär) och efter skala (lokal, lokal, territoriell, regional, federal och gränsöverskridande).

(GOST R 22.0.02-94. Artikel 2.1.1)

GOST R 53114-2008

3.2.6

farlig situation: Omständigheter där människor, egendom eller miljö är i fara.

(GOST R 51898-2003. punkt 3.6)

3.2.7

informationssäkerhetsincident: Alla oväntade eller oönskade händelser som kan störa verksamheten eller informationssäkerheten.

Obs! Informationssäkerhetsincidenter är:

Förlust av tjänster, utrustning eller enheter:

Systemfel eller överbelastning:

Användarfel.

Brott mot fysiska skyddsåtgärder:

Okontrollerade förändringar av system.

Programvarufel och hårdvarufel:

Brott mot tillträdesregler.

(GOST R ISO/IEC 27001 -2006. Artikel 3.6)

3.2.8 händelse: förekomsten eller förekomsten av en viss uppsättning omständigheter.

Anteckningar

1 Händelsens art, sannolikhet och konsekvenser kanske inte är helt kända.

2 En händelse kan inträffa en eller flera gånger.

3 Sannolikheten förknippad med en händelse kan uppskattas.

4 En händelse kan bestå av att en eller flera omständigheter inte inträffar.

5 En oförutsägbar händelse kallas ibland en "incident".

6 En händelse där inga förluster inträffar kallas ibland en förutsättning för en incident (incident), ett farligt tillstånd, en farlig kombination av omständigheter etc.

3.2.9 risk: Osäkerheternas inverkan på processen för att uppnå mål.

Anteckningar

1 Mål kan ha olika aspekter: ekonomiska, hälso-, säkerhets- och miljöaspekter, och kan sättas på olika nivåer: på strategisk nivå, på organisationsnivå, på projekt-, produkt- och processnivå.

3 Risk uttrycks ofta i termer av en kombination av konsekvenserna av en händelse eller förändring av omständigheterna och deras sannolikhet.

3.2.10

Riskbedömning: En process som kombinerar riskidentifiering, riskanalys och riskkvantifiering.

(GOST R ISO/IEC 13335-1 -2006, avsnitt 2.21 ]

3.2.11 riskbedömning av informationssäkerhet (av organisationen); informationssäkerhetsriskbedömning (organisation): Den övergripande processen för att identifiera, analysera och fastställa acceptansen av en organisations informationssäkerhetsrisknivå.

3.2.12 riskidentifiering: Processen att upptäcka, känna igen och beskriva risker.

Anteckningar

1 Riskidentifiering omfattar identifiering av riskkällor, händelser och deras orsaker, såväl som deras möjliga konsekvenser.

NOT 2 Riskidentifiering kan inkludera statistiska data, teoretisk analys, välgrundade åsikter och expertutlåtanden och intressenters behov.

GOST R 53114-2008

riskanalys: Den systematiska användningen av information för att identifiera riskkällor och kvantifiera risker.

(GOST R ISO/IEC 27001-2006. Artikel 3.11)

3.2.14 Bestämning av riskacceptabilitet: Processen att jämföra resultaten av en riskanalys med riskkriterier för att fastställa risknivåns acceptans eller tolerabilitet.

OBS! Att bestämma acceptansen av risknivån hjälper till att fatta behandlingsbeslut

3.2.15 hantera organisationens informationssäkerhetsrisk; Organisatorisk informationssäkerhetsriskbehandling: Processen att utveckla och/eller välja och implementera åtgärder för att hantera en organisations informationssäkerhetsrisker.

Anteckningar

1 Riskbehandling kan innefatta:

Undvika risk genom att besluta att inte initiera eller fortsätta aktiviteter som skapar förutsättningar

Att söka en möjlighet genom att besluta att initiera eller fortsätta aktiviteter som kan skapa eller öka risker;

Eliminera källan till risk:

Förändringar i riskens art och storlek:

Förändrade konsekvenser;

Dela risk med annan part eller parter.

Fortsatt risk både som ett resultat av ett medvetet beslut och "by default".

2 Riskbehandlingar med negativa konsekvenser kallas ibland lindring, eliminering, förebyggande. minskning, undertryckande och riskkorrigering.

3.2.16 riskhantering: Samordnade åtgärder för att styra och kontrollera organisationens aktiviteter i relation till risker.

3.2.17 källa till risk för organisationens informationssäkerhet; källa till organisatorisk informationssäkerhetsrisk: Ett objekt eller en åtgärd som kan orsaka [skapa) en risk.

Anteckningar

1 Det finns ingen risk om det inte finns någon interaktion mellan ett objekt, en person eller en organisation med källan till risken.

2 Riskkällan kan vara materiell eller immateriell.

3.2.18 informationssäkerhetspolicy (för organisationen); informationssäkerhetspolicy (organisation): Ett formellt uttalande av regler, procedurer, praxis eller riktlinjer för informationssäkerhet som styr en organisations verksamhet.

Obs - Policyer måste innehålla.

Ämne, huvudmål och mål för säkerhetspolitiken:

Villkor för att tillämpa säkerhetspolicyn och eventuella begränsningar:

Beskrivning av ställningen för organisationens ledning när det gäller implementeringen av säkerhetspolicyn och organisationen av organisationens informationssäkerhetsregim som helhet.

Rättigheter och skyldigheter, samt graden av ansvar för anställda för att organisationens säkerhetspolicy följs.

Akutrutiner vid brott mot säkerhetspolicyn

3.2.19 mål för informationssäkerhet (organisationen); IS (organisations) mål: Ett förutbestämt resultat av att säkerställa informationssäkerheten i en organisation i enlighet med de fastställda kraven i IS (organisations) policyn.

Obs - Resultatet av att säkerställa informationssäkerhet kan vara att förhindra skada på informationsägaren på grund av eventuellt informationsläckage och (eller) otillåten och oavsiktlig påverkan på information.

3.2.20 system med dokument om informationssäkerhet i organisationen; system av informationssäkerhetsdokument i en organisation: en ordnad uppsättning dokument förenade av en målorientering. sammankopplade utifrån ursprung, syfte, typ, verksamhetsomfattning, enhetliga krav på deras utformning och reglering av organisationens verksamhet för att säkerställa informationssäkerhet.

GOST R 53114-2008

3.3 Termer relaterade till informationssäkerhetshot

3.3.1 hot mot organisationens informationssäkerhet; informationssäkerhetshot mot en organisation: En uppsättning faktorer och förhållanden som skapar en fara för ett brott mot en organisations informationssäkerhet, som orsakar eller kan orsaka negativa konsekvenser (skada/skada) för organisationen.

Anteckningar

1 Formen för implementering (manifestation) av ett hot mot informationssäkerhet är utbrottet av en eller flera sammanhängande informationssäkerhetshändelser och informationssäkerhetsincidenter. leder till brott mot informationssäkerhetsegenskaperna för organisationens skyddade objekt(er).

2 Ett hot kännetecknas av närvaron av ett hotobjekt, en hotkälla och en manifestation av hotet.

hot (informationssäkerhet): En uppsättning villkor och faktorer som skapar en potentiell eller faktisk fara för ett brott mot informationssäkerheten.

[GOST R 50922-2006. klausul 2.6.1]

3.3.3 hotmodell (informationssäkerhet): Fysisk, matematisk, beskrivande representation av egenskaperna eller egenskaperna hos informationssäkerhetshot.

Obs - ett särskilt regleringsdokument kan vara en typ av beskrivande representation av egenskaperna eller egenskaperna hos hot mot informationssäkerhet.

sårbarhet (av informationssystem); intrång: En egenskap hos ett informationssystem som gör det möjligt att implementera hot mot säkerheten för den information som behandlas i det.

Anteckningar

1 Förutsättningen för genomförande av ett säkerhetshot som behandlas i informationssystemet kan vara en brist eller svaghet i informationssystemet.

2 Om sårbarheten matchar hotet finns det en risk.

[GOST R 50922-2006. paragraf 2.6.4]

3.3.5 brott mot organisationens informationssäkerhet; organisationens informationssäkerhetsöverträdare: En enskild eller logisk enhet som oavsiktligt eller avsiktligt begått en handling, vars konsekvens är en kränkning av organisationens informationssäkerhet.

3.3.6 obehörig åtkomst: Tillgång till information eller till resurser i ett automatiserat informationssystem, utförd i strid med etablerade åtkomsträttigheter (eller) regler.

Anteckningar

1 Obehörig åtkomst kan vara avsiktlig eller oavsiktlig.

2 Rättigheter och regler för tillgång till informations- och informationssystemresurser fastställs för, underhåll av ett automatiserat informationssystem och programändringar. tekniska resurser och informationsresurser, samt få information om dem.

3.3.7 nätverksattack: Åtgärder som använder programvara och (eller) hårdvara och använder ett nätverksprotokoll, som syftar till att implementera hot om obehörig åtkomst till information, påverka den eller resurserna i ett automatiserat informationssystem.

Tillämpning - Nätverksprotokoll är en uppsättning semantiska och syntaktiska regler som bestämmer interaktionen mellan nätverkshanteringsprogram som finns på samma dator. med program med samma namn som finns på en annan dator.

3.3.8 blockering av åtkomst (till information): Uppsägning eller svårighet att få tillgång till information om personer. berättigad att göra det (legitima användare).

3.3.9 Denial of service-attack: Nätverksattack som leder till blockering av informationsprocesser i ett automatiserat system.

3.3.10 informationsläckage: Okontrollerad spridning av skyddad information till följd av dess röjande, obehörig åtkomst till information och mottagande av skyddad information av utländska underrättelsetjänster.

3.3.11 utlämnande av information: Otillåten kommunikation av skyddad information till personer. inte behörig att få tillgång till denna information.

GOST R 53114-2008

avlyssning (av information): Olagligt mottagande av information med hjälp av ett tekniskt medel som upptäcker, tar emot och bearbetar informativa signaler.

(R 50.1.053-2005, punkt 3.2.5]

informativ signal: En signal vars parametrar kan användas för att fastställa den skyddade informationen.

[R 50.1.05S-2005. klausul 3.2.6]

3.3.14 deklarerade kapaciteter: Funktionella möjligheter hos datorhårdvara och mjukvara som inte beskrivs eller inte motsvarar de som beskrivs i dokumentationen. vilket kan leda till en minskning eller kränkning av informationens säkerhetsegenskaper.

3.3.15 falsk elektromagnetisk strålning och störningar: Elektromagnetisk strålning från tekniskg, som uppstår som en bieffekt och orsakad av elektriska signaler som verkar i deras elektriska och magnetiska kretsar, samt elektromagnetisk störning av dessa signaler på ledande ledningar, strukturer och kraft. kretsar.

3.4 Termer relaterade till organisatorisk informationssäkerhetshantering

3.4.1 informationssäkerhetshantering av organisationen; ledning av informationssäkerhetsorganisation; Samordnade åtgärder för att vägleda och leda organisationen när det gäller att säkerställa dess informationssäkerhet i enlighet med de förändrade förutsättningarna i organisationens interna och externa miljö.

3.4.2 informationssäkerhetsriskhantering av organisationen; organisationens informationssäkerhetsriskhantering: Samordnade åtgärder för att vägleda och hantera en organisation i förhållande till informationssäkerhetsrisk för att minimera den.

NOT Riskhanteringens kärnprocesser är att sätta sammanhanget, bedöma risken, behandla och acceptera risken, övervaka och granska risken.

ledningssystem för informationssäkerhet; ISMS: En del av det övergripande ledningssystemet. baserad på användningen av riskbedömningsmetoder för bioenergi för utveckling, implementering och drift. övervakning, analys, stöd och förbättring av informationssäkerhet.

NOT Ett ledningssystem inkluderar organisationsstruktur, policyer, planeringsaktiviteter, ansvar, praxis, rutiner, processer och resurser.

[GOST R ISO/IEC 27001 -2006. paragraf 3.7]

3.4.4 informationssäkerhetens roll i organisationen; informationssäkerhetens roll i en organisation: En uppsättning specifika funktioner och uppgifter för att säkerställa informationssäkerheten i en organisation som etablerar acceptabel interaktion mellan ett subjekt och ett objekt i en organisation.

Anteckningar

1 Ämnen inkluderar personer bland cheferna för organisationen, dess personal eller processer som initierats för deras räkning för att utföra åtgärder på objekt

2 Objekt kan vara hårdvara, mjukvara, mjukvara och hårdvara, eller en informationsresurs på vilken åtgärder utförs.

3.4.5 en organisations informationssäkerhetstjänst: Den organisatoriska och tekniska strukturen för ledningssystemet för informationssäkerhet i en organisation som implementerar lösningen av en specifik uppgift som syftar till att motverka hot mot organisationens informationssäkerhet.

3.5 Termer relaterade till övervakning och bedömning av en organisations informationssäkerhet

3.5.1 kontroll över att säkerställa organisationens informationssäkerhet; kontroll av organisationens informationssäkerhetsförsörjning: Kontrollera efterlevnaden av informationssäkerhetsförsörjningen i organisationen.

GOST R 53114-2008

3.5.2 övervaka organisationens informationssäkerhet; organisationens informationssäkerhetsövervakning: Ständig övervakning av informationssäkerhetsprocessen i organisationen för att fastställa dess efterlevnad av informationssäkerhetskrav.

3.5.3 granskning av organisationens informationssäkerhet; revision av en informationssäkerhetsorganisation: En systematisk, oberoende och dokumenterad process för att inhämta bevis på organisationens verksamhet för att säkerställa informationssäkerhet och fastställa graden av uppfyllelse av informationssäkerhetskriterier i organisationen, samt möjliggöra möjligheten att bilda en professionell revision bedömning om tillståndet för organisationens informationssäkerhet.

3.5.4 bevis (bevis) på en organisations informationssäkerhetsrevision; Organisationsinformationssäkerhetsrevisionsdata: Register, faktauppgifter eller annan information som är relevant för organisationens informationssäkerhetsrevisionskriterier och kan verifieras.

OBS! Bevis för informationssäkerhet kan vara kvalitativt eller kvantitativt.

3.5.5 bedömning av överensstämmelsen av organisationens informationssäkerhet med fastställda krav; bedömning av en organisations informationssäkerhetsefterlevnad med fastställda krav: Aktiviteter som är involverade i att direkt eller indirekt fastställa efterlevnad eller bristande efterlevnad av fastställda informationssäkerhetskrav i en organisation.

3.5.6 kriterium för granskning av en organisations informationssäkerhet; revisionskriterium för en informationssäkerhetsorganisation: En uppsättning principer, bestämmelser, krav och indikatorer för aktuella regulatoriska dokument* relaterade till organisationens verksamhet inom informationssäkerhetsområdet.

Tillämpning – Revisionskriterier för informationssäkerhet används för att jämföra revisionsbevis för informationssäkerhet med dem.

3.5.7 certifiering av ett automatiserat system i en säker design: Processen för omfattande verifiering av utförandet av de specificerade funktionerna i ett automatiserat system för behandling av skyddad information för överensstämmelse med kraven i standarder och/eller regulatoriska dokument inom informationsområdet skydd och utarbetande av dokument om dess överensstämmelse med utförandet av funktionen att behandla skyddad information vid en specifik anläggning informatisering.

3.5.8 kriterium för att säkerställa organisationens informationssäkerhet; organisations informationssäkerhetskriterium: En indikator utifrån vilken graden av uppnående av organisationens informationssäkerhetsmål bedöms.

3.5.9 informationssäkerhetens effektivitet; informationssäkerhetens effektivitet: Förhållandet mellan det uppnådda resultatet och de resurser som används för att säkerställa en given nivå av informationssäkerhet.

3.6 Termer relaterade till en organisations informationssäkerhetskontroller

3.6.1 säkerställa organisationens informationssäkerhet; tillhandahålla en organisations informationssäkerhet: Aktiviteter som syftar till att eliminera (neutralisera, motverka) interna och externa hot mot en organisations informationssäkerhet eller minimera skador från eventuell implementering av sådana hot.

3.6.2 säkerhetsåtgärd; säkerhetskontroll: En etablerad praxis, procedur eller mekanism för att hantera risker.

3.6.3 åtgärder för att säkerställa informationssäkerhet; informationssäkerhetsåtgärder: En uppsättning åtgärder som syftar till utveckling och/eller praktisk tillämpning av metoder och medel för att säkerställa informationssäkerhet.

3.6.4 organisatoriska åtgärder för att säkerställa informationssäkerhet; Organisatoriska åtgärder för att säkerställa informationssäkerhet: Åtgärder för att säkerställa informationssäkerhet, som tillhandahåller införandet av tillfälliga, territoriella, rumsliga, rättsliga, metodologiska och andra begränsningar av villkoren för användning och driftsätt för ett informationsobjekt.

3.6.5 tekniska medel för att säkerställa informationssäkerhet; tekniska medel för informationssäkerhet: Utrustning som används för att säkerställa informationssäkerheten för en organisation med hjälp av icke-kryptografiska metoder.

Obs - Sådan utrustning kan representeras av hårdvara och mjukvara som är inbyggd i det skyddade objektet och/eller fungerar autonomt (oberoende av det skyddade objektet).

GOST R 53114-2008

3.5.6 verktyg för intrångsdetektering, verktyg för att upptäcka attacker: Ett verktyg för programvara eller hårdvara som automatiserar processen för att övervaka händelser som inträffar i ett datorsystem eller nätverk, och som även oberoende analyserar dessa händelser i jakt på tecken på en informationssäkerhetsincident.

3.6.7 skyddsmedel mot obehörig åtkomst: Programvara, hårdvara eller mjukvara och hårdvara utformad för att förhindra eller avsevärt hindra obehörig åtkomst.

GOST R 53114-2008

Alfabetisk index över termer

organisationstillgångar 3.1.6

riskanalys 3.2.13

Högtalare i skyddad version 3.1.19

överbelastningsattack 3.3.9

nätverksattack 3.3.7

certifiering av ett automatiserat system i en skyddad version 3.5.7

organisationens informationssäkerhetsrevision 3.5.3

säkerhet (data] 3.1.1

informationssäkerhet 3.1.1

informationstekniksäkerhet 3.1.2

organisationens informationssäkerhet 3.2.1

blockera åtkomst (till information) 3.3.8

överträdelse 3.3.4

odeklarerad kapacitet 3.3.14

personuppgifter 3.1.18

obehörig åtkomst 3.3.6

Organisatorisk informationssäkerhet 3.2.1

riskidentifiering 3.2.12

informationsinfrastruktur 3.1.4

informationssäkerhetsincident 3.2.7

källa till organisatorisk informationssäkerhetsrisk 3.2.17

källa till risk för organisationens informationssäkerhet 3.2.17

kontroll av organisationens informationssäkerhet 3.5.1

kontroll över organisationens informationssäkerhet 3.5.1

kriterier för att säkerställa organisationens informationssäkerhet 3.5.8

Kriterium för organisatorisk IS-revision 3.5.6

Kriterium för revision av organisationens informationssäkerhet 3.5.6

kriterium för att säkerställa organisationens informationssäkerhet 3.5.8

organisationens informationssäkerhetshantering 3.4.1

organisationens informationssäkerhetsriskhantering 3.4.2

säkerhetsåtgärd 3.6.2

informationssäkerhetsåtgärder 3.6.3

organisatoriska informationssäkerhetsåtgärder 3.6.4

informationssäkerhetsåtgärder 3.6.3

organisatoriska informationssäkerhetsåtgärder 3.4.6

hotmodell (informationssäkerhet) 3.3.3

organisationens informationssäkerhetsövervakning 3.5.2

övervakning av organisationens informationssäkerhet 3.5.2

brott mot organisationens informationssäkerhet 3.2.4

organisationens informationssäkerhetsöverträdare 3.3.5

bryter mot en organisations informationssäkerhet 3.3.5

stöd för automatiska informationssystem 3.1.12

automatiserad systemprogramvara 3.1.11

teknisk support för det automatiserade systemet 3.1.10

AS-informationsstöd 3.1.12

AC-programvara 3.1.11

AC teknisk support 3.1.10

säkerställa organisationens informationssäkerhet 3.6.1

organisationens riskhantering för informationssäkerhet 3.2.15

GOST R 53114-2008

hantering av organisationens informationssäkerhetsrisk 3.2.1S

informationsskyddsobjekt 3.2.2

informationsobjekt 3.1.5

kritiskt objekt 3.1.16

fastställande av acceptabel risknivå 3.2.14

riskbedömning 3.2.10

riskbedömning I6 (organisationer) 3.2.11

riskbedömning av informationssäkerhet (organisation) 3.2.11

bedömning av organisationens IS-överensstämmelse med fastställda krav 3.5.5

bedömning av överensstämmelse av organisationens informationssäkerhet med fastställda krav 3.5.5

avlyssning (information) 3.3.12

IS-policy (organisation) 3.2.18

informationssäkerhetspolicy (organisation) 3.2.18

process (informationsteknik) skyddad 3.2.3

informationsprocess 3.1.8

utlämnande av information 3.3.11

resurs för informationsbehandlingssystem 3.1.7

informationssäkerhetens roll i organisationen 3.4.4

informationssäkerhetens roll 8 i organisationen 3.4.4

certifikat (bevis) för en organisations IS-revision 3.5.4

bevis (bevis) för en organisations informationssäkerhetsrevision 3.5.4

service 3.1.13

informativ signal 3.3.13

säkert automatiserat system 3.1.19

informationssäkerhetsdokumentsystem i organisationen 3.2.20

system med dokument om informationssäkerhet i organisationen 3.2.20

infrastruktursystem för nyckelinformation 3.1.15

system för kritisk informationsinfrastruktur 3.1.15

ledningssystem för informationssäkerhet 3.4.3

3.1.17

oförutsedd situation 3.2.5

farlig situation 3.2.6

nödsituation 3.2.5

organisationens informationssäkerhetstjänst 3.4.6

händelse 3.2.8

skydd mot obehörig åtkomst 3.6.7

tekniskt informationssäkerhetsverktyg 3.6.5

Attackdetekteringsverktyg 3.6.6

Intrångsdetekteringsverktyg 3.6.6

informationssfär 3.1.3

informationsteknik 3.1.9

hot (informationssäkerhet) 3.3.2

hot mot organisationens informationssäkerhet 3.3.1

riskhantering 3.2.16

tjänst 3.1.13

IT-tjänster 3.1.14

informationsläcka 3.3.10

sårbarhet (informationssystem) 3.3.4

IS mål (organisation) 3.2.19

informationssäkerhetsmål (organisation) 3.2.19

elektromagnetisk strålning och sidostörningar 3.3.15

IS effektivitet 3.5.9

informationssäkerhetens effektivitet 3.5.9

GOST R 53114-2008

Bilaga A (för referens)

Termer och definitioner av allmänna tekniska begrepp

organisation: En grupp arbetare och nödvändiga resurser med fördelning av ansvar, befogenheter och relationer.

(GOST R ISO 9000-2001, avsnitt 3.3.1]

Anteckningar

1 Organisationer inkluderar: företag, aktiebolag, företag, företag, institution, välgörenhetsorganisation, detaljhandelsföretag, förening. samt deras underavdelningar eller en kombination av dem.

2 Distributionen är vanligtvis beställd.

3 En organisation kan vara offentlig eller privat.

A.2 verksamhet: Ekonomisk verksamhet som ger vinst; någon typ av verksamhet som genererar inkomst och är en källa till berikning.

A.Z affärsprocess: Processer som används i en organisations ekonomiska aktiviteter.

information: Information (meddelanden, data) oavsett formen på deras presentation.

tillgångar: Alla. vad som är av värde för organisationen. (GOST R ISO/IEC13335-1-2006, paragraf 2.2(

A.6 resurser: Tillgångar (till en organisation) som används eller förbrukas under genomförandet av en process. Anteckningar

1 Resurser kan inkludera så olika saker som personal, utrustning, anläggningstillgångar, verktyg och verktyg som energi, vatten, bränsle och kommunikationsnätverksinfrastruktur.

2 Resurser kan vara återanvändbara, förnybara eller förbrukningsbara.

A.7 fara: En egenskap hos ett föremål som kännetecknar dess förmåga att orsaka skada eller skada på andra föremål. A.8 nödsituation: En händelse som leder till en nödsituation.

A.9 skada: Fysisk skada eller skada på människors hälsa eller skada på egendom eller miljö.

A. 10 hot: En uppsättning villkor och faktorer som kan orsaka en kränkning av integritet och tillgänglighet. Integritet.

A.11 sårbarhet: Interna egenskaper hos ett objekt som skapar mottaglighet för effekterna av en riskkälla som kan leda till någon konsekvens.

A. 12 attack: Ett försök att övervinna säkerhetssystemet i ett informationssystem.

Noteringar - Graden av "framgång" för en attack beror på försvarssystemets sårbarhet och effektivitet.

A.13 ledning: Samordnade aktiviteter för ledning och ledning av organisationen

A.14 verksamhetsledning (kontinuitet): Samordnad ledning och kontrollaktiviteter

organisationens affärsprocesser.

A. 15 roll: En förutbestämd uppsättning regler och procedurer för verksamheten i en organisation som etablerar acceptabel interaktion mellan subjektet och aktivitetsobjektet.

ägare av information: En person som självständigt skapat information eller mottagit, på grundval av lag eller avtal, rätten att tillåta eller begränsa tillgången till information som bestäms av något kriterium.

GOST R 53114-2008

infrastruktur: Helheten av byggnader, utrustning och stödtjänster som är nödvändiga för en organisations funktion.

[GOST R ISO 9000-2001. paragraf 3.3.3]

A.18 revision: En systematisk, oberoende och dokumenterad process för att inhämta revisionsbevis och utvärdera det objektivt för att fastställa i vilken utsträckning överenskomna revisionskriterier har uppfyllts.

Anteckningar

1 Internrevision, så kallad förstapartsrevision, utförs för interna ändamål av organisationen själv eller för dess räkning av en annan organisation. Resultaten av internrevisionen kan ligga till grund för en försäkran om överensstämmelse. I många fall, särskilt i småföretag, måste revisionen utföras av specialister (personer som inte är ansvariga för den verksamhet som granskas).

NOT 2 Externa revisioner inkluderar revisioner som kallas andra partsrevisioner och tredjepartsrevisioner. Andrapartsrevisioner utförs till exempel av parter som är intresserade av företagets verksamhet.

konsumenter eller andra för deras räkning. Tredjepartsrevisioner utförs av externa oberoende organisationer. Dessa organisationer utför certifiering eller registrering för att uppfylla kraven, till exempel kraven i GOST R ISO 9001 och GOST R ISO 14001.

3 En revision av kvalitetsledningssystem och miljöledningssystem som genomförs samtidigt kallas för en ”omfattande revision”.

4 Om revisionen av den granskade organisationen utförs samtidigt av flera organisationer, kallas en sådan revision en "gemensam revision".

A.19 övervakning: Systematisk eller kontinuerlig övervakning av ett objekt, säkerställa kontroll och/eller mätning av dess parametrar, samt genomföra analyser för att förutsäga parametrarnas variabilitet och fatta beslut om behovet och sammansättningen av korrigerande och förebyggande åtgärder.

försäkran om överensstämmelse: En form av bekräftelse på att produkten överensstämmer med kraven i tekniska föreskrifter.

A.21 teknologi: Ett system av sammanlänkade metoder, metoder, tekniker för objektiv aktivitet. A.22

dokument: Information registrerad på ett materiellt medium med detaljer som gör att den kan identifieras.

[GOST R 52069.0-2003. paragraf 3.18]

A.23 informationsbehandling: En uppsättning operationer för insamling, ackumulering, inmatning, utmatning, mottagning, sändning, inspelning, lagring, registrering, förstörelse, omvandling, visning, utförd på information.

GOST R 53114-2008

Bilaga B (för referens)

Förhållandet mellan grundläggande begrepp inom området informationssäkerhet i en organisation

Sambandet mellan de grundläggande begreppen visas i figur B.1.

Figur B.1 - samband mellan grundläggande begrepp

GOST R 53114-2008

Bibliografi

(1] R 50.1.053-2005

(2]PS0.1.056-2005

Informationsteknologi. Grundläggande termer och definitioner inom området teknisk informationssäkerhet Teknisk informationssäkerhet. Grundläggande termer och definitioner

Om teknisk reglering

Om information, informationsteknik och informationsskydd

Om personuppgifter

Ryska federationens informationssäkerhetsdoktrin

UDC 351.864.1:004:006.354 OKS 35.020 LLP

Nyckelord: information, informationssäkerhet, informationssäkerhet i en organisation, hot mot informationssäkerheten, informationssäkerhetskriterier

Redaktör V.N. Cops soya Teknisk redaktör V.N. Prusakova Corrector V.E. Nestorovo Datorprogramvara I.A. NapeikinoO

Levererades för rekrytering 2009-11-06. Signerad stämpel 2009-01-12. Format 60"84 Offsetpapper. Arial typsnitt. Offset tryck. Usp. ugn l. 2,32. Uch.-ed. l. 1,90. Upplaga 373 »kz. Zach. 626

FSUE "STANDARTINFORM*. 123995 Moskva. Granatäpple por.. 4. info@goslmlo gi

Skrivet in i FSUE "STANDARTINFORM" på en PC.

Tryckt på filialen till FSUE "STANDARTINFORM* - typ. "Moskva skrivare". 105062 Moskva. Lyalin körfält.. 6.

GOST 22731-77 Dataöverföringssystem, datalänkskontrollprocedurer i huvudläget för halvduplex informationsutbyte
GOST 26525-85 Databehandlingssystem. Användningsstatistik
GOST 27771-88 Proceduregenskaper vid gränssnittet mellan dataterminalutrustning och datakanaltermineringsutrustning. Allmänna krav och standarder
GOST 28082-89 Informationsbehandlingssystem. Metoder för att upptäcka fel vid seriell dataöverföring
GOST 28270-89 Informationsbehandlingssystem. Databeskrivning Filspecifikation för informationsutbyte
GOST R 43.2.11-2014 Informationsstöd för utrustning och operatörsaktiviteter. Operatörens språk. Strukturerad presentation av textinformation i meddelandeformat
GOST R 43.2.8-2014 Informationsstöd för utrustning och operatörsaktiviteter. Operatörens språk. Meddelandeformat för tekniska aktiviteter
GOST R 43.4.1-2011 Informationsstöd för utrustning och operatörsaktiviteter. "Man-information" system
GOST R 53633.10-2015 Informationsteknik. Telekommunikationskontrollnät. Extended Communications Organization Operational Framework (eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Organisationsledning. Organisatorisk riskhantering
GOST R 53633.11-2015 Informationsteknik. Telekommunikationskontrollnät. Utökat kommunikatio(eTOM) Nedbrytning och processbeskrivningar. eTOM nivå 2-processer. Organisationsledning. Organisatorisk prestationsledning
GOST R 53633.4-2015 Informationsteknik. Telekommunikationskontrollnät. Extended Communications Organization Operational Framework (eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Primär verksamhet. Serviceledning och drift
GOST R 53633.7-2015 Informationsteknik. Telekommunikationskontrollnät. Extended Communications Organization Operational Framework (eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Strategi, infrastruktur och produkt. Utveckling och resurshantering
GOST R 53633.9-2015 Informationsteknik. Telekommunikationskontrollnät. Extended Communications Organization Operational Framework (eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Organisationsledning. Planera strategi och utveckling av organisationen
GOST R 55767-2013 Informationsteknik. European ICT Competence Framework 2.0. Del 1. Gemensamt europeiskt kompetensramverk för IKT-proffs för alla industrisektorer
GOST R 55768-2013 Informationsteknik. Modell av ett öppet nätsystem. Grundläggande bestämmelser
GOST R 56093-2014 Informationsskydd. Automatiserade system i en säker design. Medel för att detektera avsiktlig kraft elektromagnetisk påverkan. Allmänna krav
GOST R 56115-2014 Informationsskydd. Automatiserade system i en säker design. Skyddsmedel mot avsiktlig kraft elektromagnetisk påverkan. Allmänna krav
GOST R 56545-2015 Informationsskydd. Sårbarheter i informationssystem. Regler för att beskriva sårbarheter
GOST R 56546-2015 Informationsskydd. Sårbarheter i informationssystem. Klassificering av sårbarheter i informationssystem
GOST IEC 60950-21-2013 Informationsteknisk utrustning. Säkerhetskrav. Del 21. Fjärrströmförsörjning
GOST IEC 60950-22-2013 Informationsteknisk utrustning. Säkerhetskrav. Del 22. Utrustning avsedd för installation utomhus
GOST R 51583-2014 Informationsskydd. Proceduren för att skapa automatiserade system i en säker design. Allmänna bestämmelser
GOST R 55766-2013 Informationsteknik. European ICT Competence Framework 2.0. Del 3. Skapande av e-CF - kombinera metodologiska grunder och experterfarenhet
GOST R 55248-2012 Elsäkerhet. Klassificering av gränssnitt för utrustning kopplad till informations- och kommunikationstekniknät
GOST R 43.0.11-2014 Informationsstöd för utrustning och operatörsaktiviteter. Databaser i teknisk verksamhet
GOST R 56174-2014 Informationsteknik. Arkitektur av tjänster i en öppen Grid-miljö. Termer och definitioner
GOST IEC 61606-4-2014 Ljud- och audiovisuell utrustning. Komponenter i digital ljudutrustning. Grundläggande metoder för att mäta ljudegenskaper. Del 4. Persondator
GOST R 43.2.5-2011 Informationsstöd för utrustning och operatörsaktiviteter. Operatörens språk. Grammatik
GOST R 53633.5-2012 Informationsteknik. Telekommunikationskontrollnät. Extended Communications Organization Operational Framework (eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Strategi, infrastruktur och produkt. Hantering av marknadsföring och produkterbjudanden
GOST R 53633.6-2012 Informationsteknik. Telekommunikationskontrollnät. Extended Communications Organization Operational Framework (eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Strategi, infrastruktur och produkt. Tjänsteutveckling och förvaltning
GOST R 53633.8-2012 Informationsteknik. Telekommunikationskontrollnät. Extended Communications Organization Operational Framework (eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Strategi, infrastruktur och produkt. Supply chain utveckling och förvaltning
GOST R 43.0.7-2011 Informationsstöd för utrustning och operatörsaktiviteter. Hybrid-intellektualiserad interaktion mellan människa och information. Allmänna bestämmelser
GOST R 43.2.6-2011 Informationsstöd för utrustning och operatörsaktiviteter. Operatörens språk. Morfologi
GOST R 53633.14-2016 Informationsteknik. Nätverk för telekommunikationshantering är ett utökat ramverk för kommunikationsorganisation (eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Organisationsledning. Hantering av intressenter och externa relationer
GOST R 56938-2016 Informationsskydd. Informationsskydd vid användning av virtualiseringstekniker. Allmänna bestämmelser
GOST R 56939-2016 Informationsskydd. Säker mjukvaruutveckling. Allmänna krav
GOST R ISO/IEC 17963-2016 Specifikation av webbtjänster för förvaltning (WS-management)
GOST R 43.0.6-2011 Informationsstöd för utrustning och operatörsaktiviteter. Naturligt intellektualiserad interaktion mellan människa och information. Allmänna bestämmelser
GOST R 54817-2011 Tändning av ljud-, video-, informationsteknik- och kommunikationsutrustning oavsiktligt orsakad av en ljusflamma
GOST R IEC 60950-23-2011 Informationsteknikutrustning. Säkerhetskrav. Del 23. Utrustning för att lagra stora datamängder
GOST R IEC 62018-2011 Energiförbrukning för informationsteknologisk utrustning. Mätmetoder
GOST R 53538-2009 Flerparkablar med kopparledare för bredbandsaccesskretsar. Allmänna tekniska krav
GOST R 53633.0-2009 Informationsteknik. Telekommunikationskontrollnät. Utökat schema för kommun(eTOM). Allmän struktur av affärsprocesser
GOST R 53633.1-2009 Informationsteknik. Telekommunikationskontrollnät. Utökat schema för kommun(eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Primär verksamhet. Hantera relationer med leverantörer och partners
GOST R 53633.2-2009 Informationsteknik. Telekommunikationskontrollnät. Utökat schema för kommun(eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Primär verksamhet. Resursförvaltning och drift
GOST R 53633.3-2009 Informationsteknik. Telekommunikationskontrollnät. Utökat schema för kommun(eTOM). Nedbrytning och beskrivningar av processer. eTOM nivå 2-processer. Primär verksamhet. Hantering av kundrelationer
GOST R ISO/IEC 20000-2-2010 Informationsteknologi. Servicehantering. Del 2: Uppförandekod
GOST R 43.0.3-2009 Informationsstöd för utrustning och operatörsaktiviteter. Middagsteknik i teknisk verksamhet. Allmänna bestämmelser
GOST R 43.0.4-2009 Informationsstöd för utrustning och operatörsaktiviteter. Information i teknisk verksamhet. Allmänna bestämmelser
GOST R 43.0.5-2009 Informationsstöd för utrustning och operatörsaktiviteter. Informationsutbyte i teknisk verksamhet. Allmänna bestämmelser
GOST R 43.2.1-2007 Informationsstöd för utrustning och operatörsaktiviteter. Operatörens språk. Allmänna bestämmelser
GOST R 43.2.2-2009 Informationsstöd för utrustning och operatörsaktiviteter. Operatörens språk. Allmänna bestämmelser för användning
GOST R 43.2.3-2009 Informationsstöd för utrustning och operatörsaktiviteter. Operatörens språk. Typer och egenskaper hos ikoniska komponenter
GOST R 43.2.4-2009 Informationsstöd för utrustning och operatörsaktiviteter. Operatörens språk. Syntaktik för teckenkomponenter
GOST R 52919-2008 Informationsteknik. Metoder och medel för fysiskt skydd. Klassificering och provningsmetoder för brandmotstånd. Datarum och containrar
GOST R 53114-2008 Informationsskydd. Säkerställa informationssäkerhet i organisationen. Grundläggande termer och definitioner
GOST R 53245-2008 Informationsteknik. Strukturerade kabelsystem. Installation av huvudkomponenterna i systemet. Testmetoder
GOST R 53246-2008 Informationsteknik. Strukturerade kabelsystem. Design av huvudkomponenterna i systemet. Allmänna krav
GOST R IEC 60990-2010 Metoder för att mäta beröringsström och skyddsledarström
GOST 33707-2016 Informationsteknik. Lexikon
GOST R 57392-2017 Informationsteknik. Servicehantering. Del 10. Grundläggande begrepp och terminologi
GOST R 43.0.13-2017 Informationsstöd för utrustning och operatörsaktiviteter. Riktad utbildning av specialister
GOST R 43.0.8-2017 Informationsstöd för utrustning och operatörsaktiviteter. Artificiellt intellektualiserad interaktion mellan människa och information. Allmänna bestämmelser
GOST R 43.0.9-2017 Informationsstöd för utrustning och operatörsaktiviteter. Informationsresurser
GOST R 43.2.7-2017 Informationsstöd för utrustning och operatörsaktiviteter. Operatörens språk. Syntax
GOST R ISO/IEC 38500-2017 Informationsteknologi. Strategisk IT-ledning i en organisation
GOST R 43.0.10-2017 Informationsstöd för utrustning och operatörsaktiviteter. Informationsobjekt, objektorienterad design i skapandet av teknisk information
GOST R 53633.21-2017 Informationsteknik. Telekommunikationskontrollnät. Utökat schema för kommun(eTOM). Nedbrytning och beskrivningar av processer. Primär verksamhet. Förvaltning och drift av tjänster. eTOM nivå 3-processer. Process 1.1.2.1 - Support och tillgänglighet för SM&O-processer
GOST R 57875-2017 Telekommunikation. Kopplingsscheman och jordning i telecentraler
GOST R 53633.22-2017 Informationsteknik. Telekommunikationskontrollnät. Utökat schema för kommun(eTOM). Nedbrytning och beskrivningar av processer. Primär verksamhet. Förvaltning och drift av tjänster. eTOM nivå 3-processer. Process 1.1.2.2 - Konfigurera och aktivera tjänster

Internationella standarder

BS 7799-1:2005 - British Standard BS 7799 första delen. BS 7799 Del 1 - Uppförandekod för informationssäkerhetshantering beskriver de 127 kontroller som krävs för att bygga ledningssystem för informationssäkerhet(ISMS) för organisationen, fastställt på grundval av de bästa exemplen på global erfarenhet (bästa praxis) inom detta område. Detta dokument fungerar som en praktisk guide för att skapa ett ISMS
BS 7799-2:2005 - British Standard BS 7799 är den andra delen av standarden. BS 7799 Del 2 - Informationssäkerhetshantering - specifikation för ledningssystem för informationssäkerhet specificerar ISMS-specifikationen. Den andra delen av standarden används som kriterier under det officiella certifieringsförfarandet för organisationens ISMS.
BS 7799-3:2006 - British Standard BS 7799 tredje delen av standarden. En ny standard inom informationssäkerhetsriskhantering
ISO/IEC 17799:2005 - "Informationsteknik - Säkerhetsteknik - Praxis för hantering av informationssäkerhet." Internationell standard baserad på BS 7799-1:2005.
ISO/IEC 27000 - Ordförråd och definitioner.
ISO/IEC 27001:2005 - "Informationsteknik - Säkerhetstekniker - Managementsystem för informationssäkerhet - Krav." Internationell standard baserad på BS 7799-2:2005.
ISO/IEC 27002 - Nu: ISO/IEC 17799:2005. "Informationsteknik - Säkerhetsteknik - Praktiska regler för informationssäkerhetshantering." Releasedatum: 2007.
ISO/IEC 27005 - Nu: BS 7799-3:2006 - Vägledning om riskhantering för informationssäkerhet.
Tyska informationssäkerhetsbyrån. IT Baseline Protection Manual - Standardsäkerhetsskydd.

Ryska federationens statliga (nationella) standarder

GOST R 50922-2006 - Informationsskydd. Grundläggande termer och definitioner.
R 50.1.053-2005 - Informationsteknik. Grundläggande termer och definitioner inom området teknisk informationssäkerhet.
GOST R 51188-98 - Informationsskydd. Testa programvara för datavirus. Modell manual.
GOST R 51275-2006 - Informationsskydd. Informationsobjekt. Faktorer som påverkar information. Allmänna bestämmelser.
GOST R ISO/IEC 15408-1-2008 - Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Kriterier för bedömning av informationsteknikens säkerhet. Del 1. Inledning och allmän modell.
GOST R ISO/IEC 15408-2-2008 - Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Kriterier för bedömning av informationsteknikens säkerhet. Del 2. Krav på funktionssäkerhet.
GOST R ISO/IEC 15408-3-2008 - Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Kriterier för bedömning av informationsteknikens säkerhet. Del 3. Säkerhetskrav.
GOST R ISO/IEC 15408 - "Allmänna kriterier för att bedöma säkerheten för informationsteknik" - en standard som definierar verktyg och metoder för att bedöma säkerheten för informationsprodukter och -system; den innehåller en lista över krav mot vilka resultaten av oberoende säkerhetsbedömningar kan jämföras - vilket gör det möjligt för konsumenten att fatta beslut om produkters säkerhet. Omfattningen av tillämpningen av de "Allmänna kriterierna" är skydd av information från obehörig åtkomst, modifiering eller läckage och andra skyddsmetoder implementerade av hårdvara och mjukvara.
GOST R ISO/IEC 17799 - "Informationsteknik. Praktiska regler för informationssäkerhetshantering.” Direkt tillämpning av den internationella standarden med dess tillägg - ISO/IEC 17799:2005.
GOST R ISO/IEC 27001 - "Informationsteknik. Säkerhetsmetoder. Managementsystem för informationssäkerhet. Krav". Den direkta tillämpningen av den internationella standarden är ISO/IEC 27001:2005.
GOST R 51898-2002: Säkerhetsaspekter. Regler för införande i standarder.

Vägledande dokument

RD SVT. Skydd mot NSD. Säkerhetsindikatorer från NSD till information - innehåller en beskrivning av säkerhetsindikatorer för informationssystem och krav på säkerhetsklasser.

se även

Odeklarerade förmågor

externa länkar

International Information Security Management Standards

Wikimedia Foundation. 2010.

Vikten av att säkerställa informationssäkerhet är svår att överskatta, eftersom behovet av att lagra och överföra data är en integrerad del av att driva alla företag.

Olika metoder för informationssäkerhet beror på i vilken form den lagras, men för att systematisera och effektivisera detta område är det nödvändigt att fastställa standarder för informationssäkerhet, eftersom standardisering är en viktig kvalitetsfaktor vid bedömningen av de tjänster som tillhandahålls.

Varje tillhandahållande av informationssäkerhet kräver kontroll och verifiering, vilket inte kan utföras endast genom individuell bedömning, utan att ta hänsyn till internationella och statliga standarder.

Bildandet av informationssäkerhetsstandarder sker efter en tydlig definition av dess funktioner och gränser. Informationssäkerhet är att säkerställa konfidentialitet, integritet och tillgänglighet för data.

För att fastställa tillståndet för informationssäkerheten är en kvalitativ bedömning mest tillämplig, eftersom det går att uttrycka graden av säkerhet eller sårbarhet i procent, men det ger inte en fullständig och objektiv bild.

För att bedöma och granska informationssystemens säkerhet kan du tillämpa ett antal instruktioner och rekommendationer som innebär regelstöd.

Statliga och internationella informationssäkerhetsstandarder

Övervakning och bedömning av säkerhetstillståndet utförs genom att kontrollera deras överensstämmelse med statliga standarder (GOST, ISO) och internationella standarder (Iso, Common criteris for IT-säkerhet).

Den internationella uppsättningen standarder som utvecklats av International Organization for Standardization (ISO) är en uppsättning praxis och rekommendationer för implementering av informationssäkerhetssystem och utrustning.

ISO 27000 är en av de mest tillämpliga och utbredda bedömningsstandarderna, inklusive mer än 15 bestämmelser, och sekventiellt numrerade.

Enligt ISO 27000 standardiseringsbedömningskriterierna är informationssäkerhet inte bara dess integritet, konfidentialitet och tillgänglighet, utan också äkthet, tillförlitlighet, feltolerans och identifierbarhet. Konventionellt kan denna serie av standarder delas in i fyra sektioner:

översikt och introduktion till terminologi, beskrivning av termer som används inom säkerhetsområdet;
obligatoriska krav på ett ledningssystem för informationssäkerhet, en detaljerad beskrivning av metoder och medel för att hantera systemet. Är huvudstandarden för denna grupp;
revisionsrekommendationer, vägledning för säkerhetskontroller;
standarder som rekommenderar metoder för att implementera, utveckla och förbättra ett ledningssystem för informationssäkerhet.

Statliga informationssäkerhetsstandarder inkluderar ett antal förordningar och dokument som består av mer än 30 bestämmelser (GOST).

Olika standarder syftar inte bara till att fastställa generella bedömningskriterier, såsom GOST R ISO/IEC 15408, som innehåller metodologiska riktlinjer för säkerhetsbedömning och en lista med krav på ledningssystemet. De kan vara specifika och även innehålla praktisk vägledning.

Korrekt organisation av lagret och dess regelbundna övervakning av dess drift kommer att hjälpa till att eliminera stöld av råvaror och materiella tillgångar, vilket negativt påverkar det ekonomiska välbefinnandet för alla företag, oavsett dess form av ägande.
Vid lanseringen går lagerautomationssystemet igenom ytterligare två steg: intern testning och datafyllning. Efter en sådan förberedelse startar systemet upp för fullt. Läs mer om automation här.

Sambandet och uppsättningen av tekniker leder till utvecklingen av allmänna bestämmelser och till sammanslagning av internationell och statlig standardisering. Således innehåller Ryska federationens GOST tillägg och hänvisningar till internationella ISO-standarder.

Sådan interaktion hjälper till att utveckla ett enhetligt system för kontroll och utvärdering, vilket i sin tur avsevärt ökar effektiviteten i att tillämpa dessa bestämmelser i praktiken, objektivt bedöma arbetsresultat och generellt förbättra.

Jämförelse och analys av nationella och internationella standardiseringssystem

Antalet europeiska standardiseringsstandarder för att säkerställa och kontrollera informationssäkerhet överstiger avsevärt de rättsliga standarder som fastställts av Ryska federationen.

I nationella myndighetsstandarder är de rådande bestämmelserna om skydd av information från eventuell hackning, läckage och hot om förlust. Utländska säkerhetssystem är specialiserade på att utveckla standarder för dataåtkomst och autentisering.

Det finns också skillnader i bestämmelserna om genomförandet av kontroll och revision av system. Dessutom manifesteras praktiken att tillämpa och implementera informationssäkerhetshanteringssystemet för europeisk standardisering i nästan alla livets sfärer, och Ryska federationens standarder är främst inriktade på att bevara materiellt välbefinnande.

Ständigt uppdaterade statliga standarder innehåller dock de nödvändiga minimikraven för att skapa ett kompetent ledningssystem för informationssäkerhet.

Informationssäkerhetsstandarder för dataöverföring

Att göra affärer innebär att lagra, utbyta och överföra data via Internet. I den moderna världen sker valutatransaktioner, kommersiella aktiviteter och överföringar av medel ofta online, och det är möjligt att säkerställa informationssäkerheten för denna aktivitet endast genom att tillämpa ett kompetent och professionellt tillvägagångssätt.

Det finns många standarder på Internet som säkerställer säker lagring och överföring av data, välkända antivirusskyddsprogram, speciella protokoll för finansiella transaktioner och många andra.

Hastigheten i utvecklingen av informationsteknik och system är så stor att den avsevärt överträffar skapandet av protokoll och enhetliga standarder för deras användning.

Ett av de populära säkra dataöverföringsprotokollen är SSL (Secure Socket Layer), utvecklat av amerikanska specialister. Det låter dig skydda data med kryptografi.

Fördelen med detta protokoll är möjligheten till verifiering och autentisering, till exempel omedelbart före datautbyte. Användningen av sådana system vid överföring av data är dock ganska rådgivande, eftersom användningen av dessa standarder inte är obligatorisk för företagare.

För att öppna ett LLC behöver du en stadga för företaget. Ett förfarande som utvecklas i enlighet med Rysslands lagstiftning. Du kan skriva det själv, ta ett standardprov som vägledning, eller så kan du kontakta specialister som kommer att skriva det.
En blivande affärsman som planerar att utveckla sin egen verksamhet som enskild företagare måste ange ekonomisk verksamhetskod enligt OKVED när ansökan fylls i. Detaljer här.

För att utföra säkra transaktioner och operationer har SET (Security Electronic Transaction) överföringsprotokollet utvecklats, vilket gör det möjligt att minimera riskerna vid utförande av kommersiella och handelstransaktioner. Detta protokoll är en standard för Visa- och Master Card-betalningssystem, vilket tillåter användning av en säkerhetsmekanism för betalningssystem.

Kommittéer som standardiserar internetresurser är frivilliga, därför är de aktiviteter de utför inte lagliga och obligatoriska.

Men bedrägeri på Internet i den moderna världen erkänns som ett av de globala problemen, därför är det helt enkelt omöjligt att säkerställa informationssäkerhet utan användning av speciell teknik och deras standardisering.

Security Management Systems - Specification with guidance for use" (Systems - specifications with guidance for use). På grundval av denna utvecklades standarden ISO/IEC 27001:2005 "Information Technology". Säkerhetstekniker. Ledningssystem för informationssäkerhet. Krav", för överensstämmelse med vilka certifiering kan utföras.

I Ryssland är standarderna GOST R ISO/IEC 17799-2005 "Informationsteknologi" för närvarande i kraft informationssäkerhetshantering"(autentisk översättning av ISO/IEC 17799:2000) och GOST R ISO/IEC 27001-2006 "Informationsteknologi. Metoder och medel för att säkerställa säkerhet. Ledningssystem för informationssäkerhet. Requirements" (översättning av ISO/IEC 27001:2005). Trots vissa interna avvikelser förknippade med olika versioner och översättningsfunktioner tillåter närvaron av standarder oss att ta med systemet informationssäkerhetshantering i enlighet med deras krav och vid behov intyga.

GOST R ISO/IEC 17799:2005 "Informationsteknologi. Praktiska regler för informationssäkerhetshantering"

Låt oss nu överväga innehållet i standarden. I inledningen står det att ”information, processerna som stöder den, informationssystem och nätverksinfrastruktur är väsentliga tillgångar för en organisation. Sekretess, integritet och tillgänglighet av information kan avsevärt bidra till konkurrenskraft, likviditet, lönsamhet, efterlevnad och efterlevnad. affärsrykte organisation." Sålunda kan vi säga att denna standard tar hänsyn till informationssäkerhetsfrågor, inklusive ur synvinkeln av ekonomisk effekt.

Tre grupper av faktorer anges som måste beaktas vid utveckling av krav inom informationssäkerhetsområdet. Detta:

organisationens riskbedömning. Genom riskbedömning identifieras hot mot organisationens tillgångar, sårbarhetsbedömning relevanta tillgångar och sannolikheten för att hot uppstår, samt en bedömning av möjliga konsekvenser;
juridiska, lagstadgade, regulatoriska och kontraktuella krav som måste uppfyllas av organisationen, dess handelspartners, entreprenörer och tjänsteleverantörer;
en specifik uppsättning principer, mål och krav som utvecklats av en organisation när det gäller behandlingen av information.

När kraven har fastställts börjar steget med att välja och genomföra åtgärder som säkerställer riskreducering till en acceptabel nivå. Urval av evenemang av informationssäkerhetshantering bör baseras på förhållandet mellan kostnaden för deras genomförande, effekten av att minska risker och eventuella förluster i händelse av ett säkerhetsbrott. Faktorer som inte kan uttryckas i monetära termer, såsom förlust av anseende, bör också beaktas. En möjlig lista över aktiviteter finns i standarden, men det noteras att den kan kompletteras eller formas självständigt utifrån organisationens behov.

Låt oss kort lista avsnitten i standarden och de informationsskyddsåtgärder som föreslås i dem. Den första gruppen gäller säkerhetspolitik. Det krävs att det utvecklas, godkänns av organisationens ledning, publiceras och kommer till alla anställdas kännedom. Det bör fastställa förfarandet för att arbeta med organisationens informationsresurser, de anställdas uppgifter och ansvar. Policyn ses över regelbundet för att återspegla systemets nuvarande tillstånd och identifierade risker.

Nästa avsnitt tar upp organisatoriska frågor relaterade till informationssäkerhet. Standarden rekommenderar att man skapar ledningsråd (med deltagande av företagets högsta ledning) för att godkänna säkerhetspolicyn, utse ansvariga personer, ansvarsfördelning och samordning av genomförandet av åtgärder för informationssäkerhetshantering I organisationen. Processen för att få tillstånd att använda informationsbehandlingsverktyg (inklusive ny mjukvara och hårdvara) i organisationen bör också beskrivas så att detta inte leder till säkerhetsproblem. Det är också nödvändigt att fastställa förfarandet för interaktion med andra organisationer i informationssäkerhetsfrågor, samråd med "externa" specialister och oberoende verifiering (revision) av informationssäkerhet.

Vid tillhandahållande av tillgång till informationssystem till specialister från tredjepartsorganisationer måste särskild uppmärksamhet ägnas åt säkerhetsfrågor. En bedömning av riskerna förknippade med olika typer av tillgång (fysisk eller logisk, d.v.s. distans) för sådana specialister till olika organisatoriska resurser måste utföras. Behovet av att ge tillgång måste motiveras och avtal med tredje part och organisationer måste innehålla krav på efterlevnad av säkerhetspolicyn. Det föreslås göra detsamma när det gäller att involvera tredjepartsorganisationer i informationsbehandling (outsourcing).

Nästa avsnitt av standarden ägnas åt frågor om klassificering och kapitalförvaltning. För att säkerställa informationssäkerheten i en organisation är det nödvändigt att alla nyckelinformationstillgångar redovisas och tilldelas ansvariga ägare. Vi föreslår att du börjar med en inventering. Följande klassificering ges som ett exempel:

informationstillgångar (databaser och datafiler, systemdokumentation etc.);
programvarutillgångar (applikationsprogramvara, systemprogramvara, utvecklingsverktyg och verktyg);
fysiska tillgångar (datorutrustning, kommunikationsutrustning, lagringsmedia, annan teknisk utrustning, möbler, lokaler);
tjänster (dator- och kommunikationstjänster, grundläggande verktyg).

Därefter föreslås att uppgifter ska sekretessbeläggas för att fastställa dess prioritet, nödvändighet och skyddsgrad. Samtidigt kan den relevanta informationen bedömas med hänsyn till hur kritisk den är för organisationen, till exempel för att säkerställa dess integritet och tillgänglighet. Efter detta föreslås utveckla och implementera ett märkningsförfarande vid behandling av information. Märkningsprocedurer bör definieras för varje klassificeringsnivå för att rymma följande typer av informationsbehandling:

kopiering;
lagring;
överföring via post, fax och e-post;
röstöverföring, inklusive mobiltelefoner, röstbrevlåda, telefonsvarare;
förstörelse.

Nästa avsnitt tar upp säkerhetsfrågor relaterade till personal. Standarden bestämmer att ansvaret för efterlevnaden av säkerhetskraven fördelas vid personalurvalet, inkluderas i anställningsavtal och övervakas under hela anställningsperioden. I synnerhet, när du anställer en fast anställd, rekommenderas det att kontrollera äktheten av de dokument som lämnats in av sökanden, fullständigheten och riktigheten av CV:t och de rekommendationer som lämnats till honom. Det rekommenderas att anställda skriver under ett sekretessavtal som anger vilken information som är konfidentiell eller känslig. Det disciplinära ansvaret för anställda som bryter mot organisationens säkerhetspolicyer och rutiner måste fastställas. Vid behov bör detta ansvar fortsätta under en viss period efter att ha lämnat anställningen.

Användare måste utbildas säkerhetsrutiner och korrekt användning av informationsbehandlingsverktyg för att minimera möjliga risker. Dessutom förfarandet för att informera om informationssäkerhetsbrott, som måste vara bekant med personalen. En liknande procedur bör följas vid programvarufel. Sådana incidenter måste registreras och analyseras för att identifiera återkommande problem.

Nästa avsnitt av standarden tar upp frågor om fysiskt och miljöskydd. Det anges att ”medel för behandling av kritisk eller viktig tjänsteinformation ska finnas i säkerhetsområden som anvisas av viss säkerhetsomkrets med lämpliga skyddsbarriärer och intrångskontroller. Dessa områden ska skyddas fysiskt från obehörigt tillträde, skada och påverkan." Förutom att organisera tillträdeskontroll till skyddade områden ska förfarandet för att utföra arbeten i dessa och vid behov rutiner för att organisera besökarnas tillträde fastställas. nödvändigt för att säkerställa säkerheten för utrustning (inklusive , som används utanför organisationen) för att minska risken för obehörig åtkomst till data och skydda den från förlust eller skada. En procedur för att underhålla utrustning som tar hänsyn till säkerhetskrav måste också definieras, och rutiner för säker kassering eller återanvändning av utrustning. Det rekommenderas till exempel att engångslagringsmedia som innehåller känslig information förstörs eller skrivs över på ett säkert sätt. istället för att använda standardfunktioner för dataradering.

För att minimera risken för obehörig åtkomst till eller skada på pappersdokument, lagringsmedia och informationsbehandlingsmedia, rekommenderas att implementera en "clean desk"-policy för pappersdokument och flyttbara lagringsmedia, samt en "clean screen"-policy förg. Utrustning, information eller programvara får endast tas bort från organisationens lokaler med lämpligt tillstånd.

Rubriken på nästa avsnitt av standarden är "Hantera dataöverföring och operativa aktiviteter." Det kräver att ansvar och förfaranden som är förknippade med driften av alla informationsbehandlingsanläggningar fastställs. Till exempel måste konfigurationsändringar i informationsbehandlingsanläggningar och system kontrolleras. Det krävs att principen om ansvarsskillnad implementeras i förhållande till ledningsfunktioner, utförandet av vissa uppgifter och områden.

Det rekommenderas att separera utvecklings-, test- och produktionsmiljöer för programvara. Reglerna för överföring av programvara från status under utveckling till status accepterad för drift måste definieras och dokumenteras.

Ytterligare risker uppstår när man använder tredjepartsleverantörer för att hantera informationsbehandlingsanläggningar. Sådana risker måste identifieras i förväg och lämpliga åtgärder måste vidtas informationssäkerhetshantering kommit överens med entreprenören och ingår i kontraktet.

För att tillhandahålla den nödvändiga bearbetnings- och lagringskapaciteten är det nödvändigt att analysera nuvarande prestandakrav, såväl som att förutse framtida. Dessa prognoser bör ta hänsyn till nya funktions- och systemkrav, samt nuvarande och framtida planer för utvecklingen av informationsteknologi i organisationen. Krav och kriterier för införande av nya system måste vara tydligt definierade, överenskomna, dokumenterade och testade.

Åtgärder måste vidtas för att förhindra och upptäcka introduktion av skadlig programvara som datavirus, nätverksmaskar, trojanska hästar och logiska bomber. Det noteras att skydd mot skadlig programvara bör baseras på en förståelse för säkerhetskrav, lämpliga systemåtkomstkontroller och korrekt ändringshantering.

Proceduren för att utföra hjälpoperationer, som inkluderar säkerhetskopiering av programvara och data, måste fastställas 1 Som ett exempel tittar labb #10 på att organisera säkerhetskopior i Windows Server 2008. loggning av händelser och fel och vid behov övervakning av hårdvarustatus. Redundansarrangemang för varje enskilt system bör testas regelbundet för att säkerställa att de uppfyller kraven i affärskontinuitetsplaner.

För att säkerställa säkerheten för information på nätverk och skydda stödjande infrastruktur, krävs införande av fonder säkerhetskontroll och skydda anslutna tjänster från obehörig åtkomst.

Särskild uppmärksamhet ägnas åt säkerheten för olika typer av lagringsmedia: dokument, datorlagringsmedia (band, diskar, kassetter), in-/utdata och systemdokumentation från skador. Det rekommenderas att upprätta en procedur för att använda flyttbara datorlagringsmedia (procedur för innehållskontroll, lagring, förstörelse, etc.). Som nämnts ovan ska lagringsmedia kasseras på ett säkert och säkert sätt efter användning.

För att säkerställa skyddet av information från obehörigt röjande eller missbruk är det nödvändigt att fastställa rutiner för behandling och lagring av information. Dessa förfaranden bör utformas med hänsyn tagen kategorisering information och agera i relation till dokument, datorsystem, nätverk, bärbara datorer, mobil kommunikation, post, röstbrevlåda, röstkommunikation i allmänhet, multimediaenheter, faxanvändning och andra viktiga objekt, såsom blanketter, checkar och räkningar. Systemdokumentation kan innehålla viss viktig information och måste därför också skyddas.

Processen att utbyta information och programvara mellan organisationer måste kontrolleras och följa gällande lagstiftning. I synnerhet måste informationsbärarnas säkerhet under överföring säkerställas, fastställas användningspolicy e-post och elektroniska kontorssystem. Försiktighet bör iakttas för att skydda integriteten hos information som publiceras elektroniskt, såsom information på en webbplats. En lämplig formaliserad auktorisationsprocess krävs också innan sådan information görs allmänt tillgänglig.

Nästa avsnitt av standarden ägnas åt åtkomstkontrollfrågor.

Det krävs att åtkomstkontrollreglerna och rättigheterna för varje användare eller grupp av användare är tydligt definierade av säkerhetspolicyn. Användare och tjänsteleverantörer måste göras medvetna om behovet av att uppfylla dessa krav.

Använder sig av lösenordsautentisering, är det nödvändigt att utöva kontroll över användarlösenord. I synnerhet måste användare underteckna ett dokument som kräver fullständig konfidentialitet för lösenord. Det krävs för att säkerställa säkerheten i processen för att erhålla ett lösenord för användaren och, om detta används, för användarna att hantera sina lösenord (tvingat lösenordsbyte efter första inloggningen, etc.).

Tillgången till både interna och externa nätverkstjänster måste kontrolleras. Användare bör endast ges direkt tillgång till de tjänster som de har auktoriserats för. Särskild uppmärksamhet måste ägnas åt att autentisera fjärranvändare. Baserat på riskbedömningen är det viktigt att fastställa vilken skyddsnivå som krävs för att välja lämplig autentiseringsmetod. Säkerheten för att använda nätverkstjänster måste också övervakas.

Många nätverks- och datorenheter har inbyggda funktioner för fjärrdiagnostik och hantering. Säkerhetsåtgärder måste gälla även för dessa anläggningar.

När nätverk delas av flera organisationer måste krav på åtkomstkontroll definieras för att ta hänsyn till detta. Det kan också bli nödvändigt att införa ytterligare åtgärder för att informationssäkerhetshantering för att begränsa användarnas möjlighet att ansluta.

På operativsystemnivå bör informationssäkerhetsåtgärder användas för att begränsa åtkomsten till datorresurser 2 Ett exempel på att organisera åtkomstkontroll till filer och mappar i Windows Server 2008 kommer att diskuteras i laboratoriearbete nr 9.. Det hänvisar till identifiering och autentisering terminaler och användare. Det rekommenderas att alla användare har unika identifierare, som inte bör innehålla någon indikation på användarens behörighetsnivå. I system lösenordshantering effektiv interaktiv kapacitet måste tillhandahållas för att stödja deras erforderliga kvalitet 3 Ett exempel på lösenordskvalitetshantering i Windows-operativsystem diskuteras i laboratoriearbete nr 3.. Användningen av systemverktyg bör begränsas och noggrant kontrolleras.

Det är tillrådligt att ge ett larm om användaren kan bli ett mål för våld 4 Ett exempel på detta skulle vara inloggningslösenord för tvång. Om användaren anger ett sådant lösenord visar systemet användarens normala inloggningsprocess och simulerar sedan ett misslyckande med att förhindra angripare från att få tillgång till data.(om en sådan händelse bedöms som sannolik). Ansvar och rutiner för att svara på ett sådant larm måste definieras.

Terminaler som betjänar högrisksystem, när de är placerade på lättillgängliga platser, bör stängas av efter en viss period av inaktivitet för att förhindra åtkomst av obehöriga. En begränsning av den tidsperiod under vilken terminaler får ansluta till datortjänster kan också införas.

Informationssäkerhetsåtgärder behöver också tillämpas på applikationsnivå. I synnerhet kan detta vara en begränsning av tillgången för vissa kategorier användare. System som behandlar viktig information måste förses med en dedikerad (isolerad) datormiljö.

Övervakning av systemet är nödvändigt för att upptäcka avvikelser från kraven på tillträdeskontrollpolicyn och tillhandahålla bevis i händelse av en informationssäkerhetsincident. Övervakningsresultaten bör ses över regelbundet. Granskningsloggen kan användas för att undersöka incidenter, så korrekt inställning (synkronisering) av datorklockan är ganska viktig.

När du använder bärbara enheter, såsom bärbara datorer, är det nödvändigt att vidta speciella åtgärder för att motverka komprometterandet av proprietär information. Formaliserad policy bör antas som tar itu med riskerna med att arbeta med bärbara enheter, särskilt i osäkra miljöer.

Nästa avsnitt av standarden heter "Utveckling och underhåll av system". Redan på scenen utveckling av informationssystem det är nödvändigt att säkerställa att säkerhetskraven beaktas. Och under driften av systemet är det nödvändigt att förhindra förlust, ändring eller missbruk av användardata. För detta ändamål rekommenderas att applikationssystem ger bekräftelse på riktigheten av datainmatning och -utgång, kontroll av databehandling i system, autentisering meddelanden, loggning av användaråtgärder.

För att säkerställa sekretess, integritet och dataautentisering Kryptografiska säkerhetsåtgärder kan användas.

Att säkerställa programvarans integritet spelar en viktig roll i processen för informationssäkerhet. För att minimera skador på informationssystem bör genomförandet av förändringar kontrolleras strikt. Då och då finns det ett behov av att göra ändringar i operativsystem. I dessa fall måste applikationssystem analyseras och testas för att säkerställa att det inte finns någon negativ inverkan på deras funktionalitet och säkerhet. Så långt det är möjligt rekommenderas att använda färdiga mjukvarupaket utan modifiering.

Ett relaterat problem är att motverka trojanska hästar och användningen av hemliga läckagekanaler. En motåtgärd är att använda programvara som erhållits från betrodda leverantörer och monitor systemets integritet.

I de fall en tredjepartsorganisation är inblandad i mjukvaruutveckling är det nödvändigt att vidta åtgärder för att kontrollera kvaliteten och riktigheten av det utförda arbetet.

Nästa avsnitt av standarden ägnas åt affärskontinuitetshantering. I det inledande skedet är det tänkt att identifiera händelser som kan orsaka avbrott i affärsprocesser (utrustningsfel, brand, etc.). I det här fallet är det nödvändigt att bedöma konsekvenserna och sedan utveckla återhämtningsplaner. Lämpligheten av planerna måste bekräftas genom testning, och de själva måste regelbundet revideras för att ta hänsyn till förändringar som sker i systemet.

Det sista avsnittet av standarden tar upp frågor om efterlevnad. Först och främst gäller detta systemets överensstämmelse med lagkraven och förfarandet för dess drift. Detta inkluderar frågor om efterlevnad av upphovsrätt (inklusive programvara), skydd av personlig information (anställda, kunder) och förhindrande av missbruk av informationsbehandlingsverktyg. Använder sig av kryptografiska medel informationsskydd måste de följa gällande lagstiftning. Förfarandet för att samla in bevis vid rättstvister relaterade till incidenter inom området informationssystemsäkerhet bör också utarbetas noggrant.

Informationssystemen själva måste följa säkerhetspolicyn organisation och standarder som används. Informationssystemens säkerhet måste regelbundet analyseras och utvärderas. Samtidigt är det nödvändigt att observera säkerhetsåtgärder när du gör en säkerhetsrevision så att detta inte leder till oönskade konsekvenser (till exempel fel på en kritisk server på grund av en revision).

Sammanfattningsvis kan det noteras att standarden tar upp ett brett spektrum av frågor relaterade till att säkerställa informationssystemens säkerhet. Praktiska rekommendationer ges inom ett antal områden.