ส่วนนี้ให้ข้อมูลทั่วไปและข้อความของมาตรฐานแห่งชาติของสหพันธรัฐรัสเซียในด้านการรักษาความปลอดภัยข้อมูล GOST R.

รายชื่อ GOST สมัยใหม่ปัจจุบันที่พัฒนาขึ้นในช่วงไม่กี่ปีที่ผ่านมาและวางแผนสำหรับการพัฒนา ระบบการรับรองเครื่องมือรักษาความปลอดภัยข้อมูลตามข้อกำหนดด้านความปลอดภัยข้อมูลหมายเลข ROSS RU.0001.01BI00 (FSTEC ของรัสเซีย) มาตรฐานสถานะของสหพันธรัฐรัสเซีย การป้องกันข้อมูล. ขั้นตอนการสร้างระบบอัตโนมัติในการดำเนินการที่ปลอดภัย บทบัญญัติทั่วไป มอสโก มาตรฐานสถานะของสหพันธรัฐรัสเซีย สิ่งอำนวยความสะดวกด้านคอมพิวเตอร์ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ข้อกำหนดทางเทคนิคทั่วไป วันที่แนะนำ 1996-01-01 มาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย การป้องกันข้อมูล. ข้อกำหนดและคำจำกัดความพื้นฐาน การคุ้มครองข้อมูล ข้อกำหนดและคำจำกัดความพื้นฐาน วันที่แนะนำ 2008-02-01 มาตรฐานสถานะของสหพันธรัฐรัสเซีย การป้องกันข้อมูล. ระบบมาตรฐาน ข้อกำหนดพื้นฐาน (ความปลอดภัยของข้อมูล ระบบมาตรฐาน หลักการพื้นฐาน) มาตรฐานสถานะของสหพันธรัฐรัสเซีย การป้องกันข้อมูล. การทดสอบซอฟต์แวร์สำหรับการมีอยู่ของไวรัสคอมพิวเตอร์ คู่มือรุ่น (ความปลอดภัยของข้อมูล ซอฟต์แวร์ทดสอบการมีอยู่ของไวรัสคอมพิวเตอร์ คู่มือตัวอย่าง) เทคโนโลยีสารสนเทศ การปกป้องเทคโนโลยีสารสนเทศและระบบอัตโนมัติจากภัยคุกคามความปลอดภัยของข้อมูลที่ดำเนินการโดยใช้ช่องทางลับ ส่วนที่ 1 บทบัญญัติทั่วไป เทคโนโลยีสารสนเทศ การปกป้องเทคโนโลยีสารสนเทศและระบบอัตโนมัติจากภัยคุกคามความปลอดภัยของข้อมูลที่ดำเนินการโดยใช้ช่องทางลับ ส่วนที่ 2 คำแนะนำสำหรับการจัดระเบียบการปกป้องข้อมูล เทคโนโลยีสารสนเทศ และระบบอัตโนมัติจากการโจมตีโดยใช้ช่องทางแอบแฝง เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย คำแนะนำในการพัฒนาโปรไฟล์การป้องกันและงานด้านความปลอดภัย บัตรประจำตัวอัตโนมัติ บัตรประจำตัวไบโอเมตริกซ์ การทดสอบประสิทธิภาพและรายงานการทดสอบในรูปแบบไบโอเมตริกซ์ ส่วนที่ 3 คุณสมบัติของการทดสอบรูปแบบไบโอเมตริกซ์ต่างๆ เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย ระเบียบวิธีในการประเมินความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ GOST R ISO/IEC 15408-1-2008 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 1 บทนำและรูปแบบทั่วไป (เทคโนโลยีสารสนเทศ เทคนิคความปลอดภัย เกณฑ์การประเมินความปลอดภัยด้านไอที ส่วนที่ 1 บทนำและแบบจำลองทั่วไป) GOST R ISO/IEC 15408-2-2008 - เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 2 ข้อกำหนดด้านความปลอดภัยในการใช้งาน (เทคโนโลยีสารสนเทศ เทคนิคความปลอดภัย เกณฑ์การประเมินความปลอดภัยด้านไอที ส่วนที่ 2 ข้อกำหนดการทำงานด้านความปลอดภัย) GOST R ISO/IEC 15408-3-2008 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 3 ข้อกำหนดการประกันความปลอดภัย (เทคโนโลยีสารสนเทศ เทคนิคความปลอดภัย เกณฑ์การประเมินความปลอดภัยด้านไอที ส่วนที่ 3 ข้อกำหนดการประกันความปลอดภัย) GOST R 53109-2008 ระบบสำหรับรับรองความปลอดภัยของข้อมูลของเครือข่ายการสื่อสารสาธารณะ หนังสือเดินทางองค์กรการสื่อสารความมั่นคงปลอดภัยสารสนเทศ การรักษาความปลอดภัยของข้อมูลของระบบเครือข่ายการสื่อสารสาธารณะ หนังสือเดินทางขององค์กรสื่อสารความปลอดภัยของข้อมูล วันที่มีผลใช้บังคับ: 30/09/2552 GOST R 53114-2008 การคุ้มครองข้อมูล การดูแลความปลอดภัยของข้อมูลในองค์กร ข้อกำหนดและคำจำกัดความพื้นฐาน การคุ้มครองข้อมูล ข้อกำหนดด้านความปลอดภัยข้อมูลในองค์กร ข้อกำหนดและคำจำกัดความพื้นฐาน วันที่มีผลใช้บังคับ: 30/09/2552 GOST R 53112-2008 การคุ้มครองข้อมูล คอมเพล็กซ์สำหรับการวัดพารามิเตอร์ของรังสีแม่เหล็กไฟฟ้าปลอมและการรบกวน ข้อกำหนดทางเทคนิคและวิธีการทดสอบ การคุ้มครองข้อมูล สิ่งอำนวยความสะดวกสำหรับการวัดรังสีแม่เหล็กไฟฟ้าด้านข้างและพารามิเตอร์ปิ๊กอัพ ข้อกำหนดทางเทคนิคและวิธีการทดสอบ วันที่มีผลใช้บังคับ: 30/09/2552 GOST R 53115-2008 การคุ้มครองข้อมูล การทดสอบวิธีทางเทคนิคในการประมวลผลข้อมูลเพื่อให้สอดคล้องกับข้อกำหนดด้านความปลอดภัยจากการเข้าถึงโดยไม่ได้รับอนุญาต วิธีการและวิธีการ การคุ้มครองข้อมูล การทดสอบความสอดคล้องของสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลทางเทคนิคกับข้อกำหนดการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต วิธีการและเทคนิค วันที่มีผลบังคับใช้: 30/09/2552 GOST R 53113.2-2009 เทคโนโลยีสารสนเทศ การปกป้องเทคโนโลยีสารสนเทศและระบบอัตโนมัติจากภัยคุกคามความปลอดภัยของข้อมูลที่ดำเนินการโดยใช้ช่องทางลับ ส่วนที่ 2 คำแนะนำสำหรับการจัดระเบียบการปกป้องข้อมูล เทคโนโลยีสารสนเทศ และระบบอัตโนมัติจากการโจมตีโดยใช้ช่องทางแอบแฝง เทคโนโลยีสารสนเทศ การปกป้องเทคโนโลยีสารสนเทศและระบบอัตโนมัติจากภัยคุกคามความปลอดภัยที่เกิดจากการใช้ช่องทางลับ ส่วนที่ 2 คำแนะนำในการปกป้องข้อมูล เทคโนโลยีสารสนเทศ และระบบอัตโนมัติจากการโจมตีช่องทางลับ วันที่มีผลบังคับใช้: 12/01/2009 GOST R ISO/IEC ถึง 19791-2008 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย การประเมินความปลอดภัยของระบบอัตโนมัติ เทคโนโลยีสารสนเทศ เทคนิคการรักษาความปลอดภัย การประเมินความปลอดภัยของระบบปฏิบัติการ วันที่มีผลใช้บังคับ: 30/09/2552 GOST R 53131-2008 การคุ้มครองข้อมูล คำแนะนำสำหรับบริการกู้คืนความเสียหายสำหรับฟังก์ชันและกลไกความปลอดภัยของเทคโนโลยีสารสนเทศและโทรคมนาคม บทบัญญัติทั่วไป การคุ้มครองข้อมูล แนวปฏิบัติสำหรับบริการกู้คืนฟังก์ชันและกลไกความปลอดภัยของเทคโนโลยีสารสนเทศและการสื่อสาร ทั่วไป. วันที่มีผลใช้บังคับ: 30/09/2552 GOST R 54581-2011 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย พื้นฐานของความไว้วางใจในความปลอดภัยด้านไอที ส่วนที่ 1: ภาพรวมและพื้นฐาน เทคโนโลยีสารสนเทศ เทคนิคการรักษาความปลอดภัย กรอบการทำงานสำหรับการประกันความปลอดภัยด้านไอที ส่วนที่ 1 ภาพรวมและกรอบการทำงาน วันที่มีผลบังคับใช้: 07/01/2012 GOST R ISO/IEC 27033-1-2011 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย ความปลอดภัยของเครือข่าย ส่วนที่ 1: ภาพรวมและแนวคิด เทคโนโลยีสารสนเทศ เทคนิคการรักษาความปลอดภัย ความปลอดภัยของเครือข่าย ส่วนที่ 1 ภาพรวมและแนวคิด วันที่มีผลบังคับใช้: 01/01/2012 GOST R ISO/IEC 27006-2008 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย ข้อกำหนดสำหรับหน่วยงานที่ดำเนินการตรวจสอบและรับรองระบบการจัดการความปลอดภัยของข้อมูล เทคโนโลยีสารสนเทศ เทคนิคการรักษาความปลอดภัย ข้อกำหนดสำหรับหน่วยงานที่จัดให้มีการตรวจสอบและรับรองระบบการจัดการความปลอดภัยของข้อมูล วันที่มีผลใช้บังคับ: 30/09/2552 GOST R ISO/IEC 27004-2011 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย การจัดการความปลอดภัยของข้อมูล การวัด เทคโนโลยีสารสนเทศ เทคนิคการรักษาความปลอดภัย การจัดการความปลอดภัยของข้อมูล การวัด วันที่มีผลบังคับใช้: 01/01/2012 GOST R ISO/IEC 27005-2010 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย การจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล เทคโนโลยีสารสนเทศ เทคนิคการรักษาความปลอดภัย การจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล วันที่มีผลบังคับใช้: 12/01/2011 GOST R ISO/IEC 31010-2011 การจัดการความเสี่ยง วิธีการประเมินความเสี่ยง (การบริหารความเสี่ยง วิธีการประเมินความเสี่ยง) วันที่มีผลบังคับใช้: 12/01/2012 GOST R ISO 31000-2010 การจัดการความเสี่ยง หลักการและแนวปฏิบัติ วันที่มีผลบังคับใช้: 08/31/2011 GOST 28147-89 ระบบประมวลผลข้อมูล การป้องกันการเข้ารหัส อัลกอริธึมการแปลงการเข้ารหัส วันที่มีผลบังคับใช้: 06/30/1990 GOST R ISO/IEC 27013-2014 “เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย คำแนะนำในการใช้ ISO/IEC 27001 และ ISO/IEC 20000-1 ร่วมกัน - มีผลใช้บังคับวันที่ 1 กันยายน 2015 GOST R ISO/IEC 27033-3-2014 “ความปลอดภัยของเครือข่าย ส่วนที่ 3 สถานการณ์เครือข่ายอ้างอิง ภัยคุกคาม วิธีการออกแบบ และปัญหาการจัดการ” – มีผลตั้งแต่วันที่ 1 พฤศจิกายน 2558 GOST R ISO/IEC 27037-2014 “เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย แนวปฏิบัติในการระบุ การรวบรวม การสืบค้น และการเก็บรักษาหลักฐานดิจิทัล - มีผลใช้บังคับวันที่ 1 พฤศจิกายน 2558 GOST R ISO/IEC 27002-2012 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย ชุดบรรทัดฐานและกฎเกณฑ์สำหรับการจัดการความปลอดภัยของข้อมูล เทคโนโลยีสารสนเทศ เทคนิคการรักษาความปลอดภัย หลักปฏิบัติในการจัดการความมั่นคงปลอดภัยสารสนเทศ วันที่มีผลบังคับใช้: 01/01/2014 ตกลง รหัส 35.040 GOST R 56939-2016 การคุ้มครองข้อมูล การพัฒนาซอฟต์แวร์ที่ปลอดภัย ข้อกำหนดทั่วไป (การปกป้องข้อมูล การพัฒนาซอฟต์แวร์ที่ปลอดภัย ข้อกำหนดทั่วไป) วันที่มีผลบังคับใช้: 06/01/2017 GOST R 51583-2014 การคุ้มครองข้อมูล ขั้นตอนการสร้างระบบอัตโนมัติในการออกแบบที่ปลอดภัย บทบัญญัติทั่วไป การคุ้มครองข้อมูล ลำดับของการสร้างระบบปฏิบัติการที่ได้รับการคุ้มครอง ทั่วไป. 09/01/2014 GOST R 7.0.97-2016 ระบบมาตรฐานสำหรับข้อมูลห้องสมุดและการเผยแพร่ เอกสารขององค์กรและการบริหาร ข้อกำหนดสำหรับการจัดทำเอกสาร (ระบบมาตรฐานด้านข้อมูล บรรณารักษ์ และการเผยแพร่ เอกสารขององค์กรและการบริหาร ข้อกำหนดในการนำเสนอเอกสาร) วันที่มีผลบังคับใช้: 07/01/2017 ตกลง รหัส 01.140.20. GOST R 57580.1-2017 ความปลอดภัยของธุรกรรมทางการเงิน (ธนาคาร) การคุ้มครองข้อมูลขององค์กรทางการเงิน องค์ประกอบพื้นฐานของมาตรการองค์กรและทางเทคนิค - การดำเนินงานด้านความปลอดภัยทางการเงิน (การธนาคาร) การคุ้มครองข้อมูลขององค์กรทางการเงิน ชุดพื้นฐานของมาตรการองค์กรและทางเทคนิค GOST R ISO 22301-2014 ระบบการจัดการความต่อเนื่องทางธุรกิจ ข้อกำหนดทั่วไป - ระบบการจัดการความต่อเนื่องทางธุรกิจ ความต้องการ. GOST R ISO 22313-2015 การจัดการความต่อเนื่องทางธุรกิจ คู่มือการใช้งาน - ระบบการจัดการความต่อเนื่องทางธุรกิจ คำแนะนำในการดำเนินการ GOST R ISO/IEC 27031-2012 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย คู่มือความพร้อมด้านเทคโนโลยีสารสนเทศและการสื่อสารเพื่อความต่อเนื่องทางธุรกิจ - เทคโนโลยีสารสนเทศ เทคนิคการรักษาความปลอดภัย แนวทางความพร้อมด้านเทคโนโลยีสารสนเทศและการสื่อสารเพื่อความต่อเนื่องทางธุรกิจ GOST R IEC 61508-1-2012 ความปลอดภัยเชิงหน้าที่ของระบบไฟฟ้า อิเล็กทรอนิกส์ ที่เกี่ยวข้องกับความปลอดภัยอิเล็กทรอนิกส์แบบตั้งโปรแกรมได้ ส่วนที่ 1 ข้อกำหนดทั่วไป ความปลอดภัยในการใช้งานของระบบไฟฟ้า อิเล็กทรอนิกส์ และอิเล็กทรอนิกส์ที่เกี่ยวข้องกับความปลอดภัยแบบตั้งโปรแกรมได้ ส่วนที่ 1 ข้อกำหนดทั่วไป วันที่แนะนำ 2013-08-01 GOST R IEC 61508-2-2012 ความปลอดภัยเชิงหน้าที่ของระบบไฟฟ้า อิเล็กทรอนิกส์ ที่เกี่ยวข้องกับความปลอดภัยอิเล็กทรอนิกส์แบบตั้งโปรแกรมได้ ส่วนที่ 2 ความต้องการของระบบ ความปลอดภัยในการใช้งานของระบบไฟฟ้า อิเล็กทรอนิกส์ และอิเล็กทรอนิกส์ที่เกี่ยวข้องกับความปลอดภัยแบบตั้งโปรแกรมได้ ส่วนที่ 2 ข้อกำหนดสำหรับระบบ วันที่แนะนำ 2013-08-01 GOST R IEC 61508-3-2012 ความปลอดภัยในการใช้งานของระบบไฟฟ้า, อิเล็กทรอนิกส์, อิเล็กทรอนิกส์ที่ตั้งโปรแกรมได้, ระบบที่เกี่ยวข้องกับความปลอดภัย ข้อกำหนดซอฟต์แวร์ IEC 61508-3:2010 ความปลอดภัยในการใช้งานของระบบที่เกี่ยวข้องกับความปลอดภัยทางไฟฟ้า/อิเล็กทรอนิกส์/อิเล็กทรอนิกส์แบบตั้งโปรแกรมได้ - ส่วนที่ 3: ข้อกำหนดของซอฟต์แวร์ (IDT) GOST R IEC 61508-4-2012 ความปลอดภัยในการใช้งานของระบบไฟฟ้า อิเล็กทรอนิกส์ อิเล็กทรอนิกส์แบบตั้งโปรแกรมได้ ระบบที่เกี่ยวข้องกับความปลอดภัย ส่วนที่ 4 ข้อกำหนดและคำจำกัดความ ความปลอดภัยในการใช้งานของระบบไฟฟ้า อิเล็กทรอนิกส์ และอิเล็กทรอนิกส์ที่เกี่ยวข้องกับความปลอดภัยแบบตั้งโปรแกรมได้ ส่วนที่ 4 ข้อกำหนดและคำจำกัดความ วันที่แนะนำ 2013-08-01 - GOST R IEC 61508-6-2012 ความปลอดภัยเชิงหน้าที่ของระบบไฟฟ้า อิเล็กทรอนิกส์ ที่เกี่ยวข้องกับความปลอดภัยอิเล็กทรอนิกส์แบบตั้งโปรแกรมได้ ส่วนที่ 6 แนวทางการใช้ GOST R IEC 61508-2 และ GOST R IEC 61508-3 IEC 61508-6:2010 ความปลอดภัยในการใช้งานของระบบที่เกี่ยวข้องกับความปลอดภัยทางไฟฟ้า/อิเล็กทรอนิกส์/อิเล็กทรอนิกส์แบบตั้งโปรแกรมได้ - ส่วนที่ 6: แนวทางการใช้ IEC 61508-2 และ IEC 61508-3 (IDT) GOST R IEC 61508-7-2012 ความปลอดภัยในการใช้งานของระบบไฟฟ้า, ความปลอดภัยในการใช้งานของระบบไฟฟ้า, อิเล็กทรอนิกส์, อิเล็กทรอนิกส์ที่ตั้งโปรแกรมได้ที่เกี่ยวข้องกับความปลอดภัย ส่วนที่ 7 วิธีการและวิธีการ ความปลอดภัยในการใช้งานของระบบไฟฟ้าอิเล็กทรอนิกส์ที่เกี่ยวข้องกับความปลอดภัยทางอิเล็กทรอนิกส์ที่ตั้งโปรแกรมได้ ส่วนที่ 7 เทคนิคและมาตรการ วันที่แนะนำ 2013-08-01 GOST R 53647.6-2012 การจัดการความต่อเนื่องทางธุรกิจ ข้อกำหนดสำหรับระบบการจัดการข้อมูลส่วนบุคคลเพื่อให้มั่นใจในการปกป้องข้อมูล

ชื่อ:

การป้องกันข้อมูล. การดูแลความปลอดภัยของข้อมูลในองค์กร

ถูกต้อง

วันที่แนะนำ:

วันที่ยกเลิก:

แทนที่ด้วย:

ข้อความ GOST R 53114-2008 การคุ้มครองข้อมูล การดูแลความปลอดภัยของข้อมูลในองค์กร ข้อกำหนดและคำจำกัดความพื้นฐาน

หน่วยงานรัฐบาลกลางเพื่อการควบคุมทางเทคนิคและมาตรวิทยา

ระดับชาติ

มาตรฐาน

รัสเซีย

สหพันธ์

การป้องกันข้อมูล

การรับรองความปลอดภัยของข้อมูลในองค์กร

ข้อกำหนดและคำจำกัดความพื้นฐาน

สิ่งพิมพ์อย่างเป็นทางการ

ออเทอิดาร์เทนฟอร์ม

GOST ร 53114-2008

คำนำ

เป้าหมายและหลักการของการกำหนดมาตรฐานในสหพันธรัฐรัสเซียกำหนดโดยกฎหมายของรัฐบาลกลางหมายเลข 184-FZ วันที่ 27 ธันวาคม 2545 "ในกฎระเบียบทางเทคนิค" และกฎสำหรับการใช้มาตรฐานแห่งชาติของสหพันธรัฐรัสเซียคือ GOST R 1.0-2004 "การกำหนดมาตรฐาน ในสหพันธรัฐรัสเซีย บทบัญญัติพื้นฐาน »

ข้อมูลมาตรฐาน

1 พัฒนาโดยสถาบันรัฐบาลกลาง “สถาบันทดสอบการวิจัยของรัฐสำหรับปัญหาความปลอดภัยของข้อมูลทางเทคนิคของบริการของรัฐบาลกลางสำหรับการควบคุมด้านเทคนิคและการส่งออก” (FGU “GNIIII PTZI FSTEC แห่งรัสเซีย”) บริษัทจำกัด “บริษัทวิจัยและการผลิต “คริสทอล” (OOO NPF "คริสตัล")

2 แนะนำโดยกรมระเบียบทางเทคนิคและมาตรฐานของหน่วยงานกลางด้านกฎระเบียบทางเทคนิคและมาตรวิทยา

3 ได้รับการอนุมัติและมีผลบังคับใช้ตามคำสั่งของหน่วยงานกลางด้านกฎระเบียบทางเทคนิคและมาตรวิทยาลงวันที่ 18 ธันวาคม 2551 ฉบับที่ 532-st

4 8ขับเคลื่อนเป็นครั้งแรก

ข้อมูลเกี่ยวกับการเปลี่ยนแปลงมาตรฐานนี้ได้รับการเผยแพร่ในดัชนีข้อมูลที่เผยแพร่เป็นประจำทุกปี "มาตรฐานแห่งชาติ" และข้อความของการเปลี่ยนแปลงและการแก้ไขได้รับการเผยแพร่ในดัชนีข้อมูลที่เผยแพร่รายเดือน "มาตรฐานแห่งชาติ" ในกรณีที่มีการแก้ไข (ทดแทน) หรือยกเลิกมาตรฐานนี้ ประกาศที่เกี่ยวข้องจะถูกเผยแพร่ในดัชนีข้อมูลที่เผยแพร่รายเดือน "มาตรฐานแห่งชาติ" ข้อมูล การแจ้งเตือน และข้อความที่เกี่ยวข้องจะถูกโพสต์ในระบบข้อมูลสาธารณะ - บนเว็บไซต์อย่างเป็นทางการของหน่วยงานกลางด้านกฎระเบียบทางเทคนิคและมาตรวิทยาบนอินเทอร์เน็ต

© สแกนดาร์ตินฟอร์ม.2009

มาตรฐานนี้ไม่สามารถทำซ้ำ ทำซ้ำ หรือแจกจ่ายเป็นสิ่งพิมพ์อย่างเป็นทางการทั้งหมดหรือบางส่วนโดยไม่ได้รับอนุญาตจากหน่วยงานกลางด้านกฎระเบียบทางเทคนิคและมาตรวิทยา

GOST ร 53114-2008

1 พื้นที่ใช้งาน............................................ ... ....1

3 ข้อกำหนดและคำจำกัดความ................................................ ..... ..2

3.1 แนวคิดทั่วไป............................................ .... .....2

3.2 ข้อกำหนดที่เกี่ยวข้องกับวัตถุประสงค์ของการคุ้มครองข้อมูล........................................ ...4

3.3 ข้อกำหนดที่เกี่ยวข้องกับภัยคุกคามความปลอดภัยของข้อมูล........................................7

3.4 ข้อกำหนดที่เกี่ยวข้องกับการจัดการความปลอดภัยข้อมูลองค์กร......8

3.5 ข้อกำหนดที่เกี่ยวข้องกับการควบคุมและการประเมินความปลอดภัยของข้อมูลขององค์กร ... 8

3.6 ข้อกำหนดที่เกี่ยวข้องกับการควบคุมความปลอดภัยของข้อมูล

องค์กร................................................ ....... .......9

ดัชนีตัวอักษรของคำศัพท์............................................ .....11

ภาคผนวก A (สำหรับการอ้างอิง) ข้อกำหนดและคำจำกัดความของแนวคิดทางเทคนิคทั่วไป.................................13

ภาคผนวก B (สำหรับการอ้างอิง) ความสัมพันธ์ของแนวคิดพื้นฐานในด้านความปลอดภัยของข้อมูลในองค์กร ........................... ......................15

บรรณานุกรม................................................. .......16

GOST ร 53114-2008

การแนะนำ

ข้อกำหนดที่กำหนดโดยมาตรฐานนี้ได้รับการจัดเรียงอย่างเป็นระบบซึ่งสะท้อนถึงระบบแนวคิดในสาขาความรู้นี้

มีคำศัพท์ที่เป็นมาตรฐานหนึ่งคำสำหรับแต่ละแนวคิด

การมีวงเล็บเหลี่ยมในบทความเกี่ยวกับคำศัพท์หมายความว่ามีคำศัพท์สองคำที่มีองค์ประกอบของคำศัพท์เหมือนกัน ข้อกำหนดเหล่านี้แสดงแยกกันในดัชนีตามตัวอักษร

ส่วนของคำที่อยู่ในวงเล็บอาจถูกละเว้นเมื่อใช้คำดังกล่าวในเอกสารมาตรฐาน ในขณะที่ส่วนของคำที่ไม่รวมอยู่ในวงเล็บจะอยู่ในรูปแบบย่อ ต่อไปนี้เป็นข้อกำหนดมาตรฐานคือรูปแบบสั้น ๆ คั่นด้วยเครื่องหมายอัฒภาคและแสดงด้วยตัวย่อ

คำจำกัดความที่กำหนดสามารถเปลี่ยนแปลงได้หากจำเป็นโดยการแนะนำคุณลักษณะที่ได้รับมา เปิดเผยความหมายของคำศัพท์ที่ใช้ในนั้นโดยระบุวัตถุที่รวมอยู่ในขอบเขตของแนวคิดที่กำหนด

การเปลี่ยนแปลงจะต้องไม่ส่งผลกระทบต่อขอบเขตและเนื้อหาของแนวคิดที่กำหนดไว้ในมาตรฐานนี้

คำศัพท์มาตรฐานจะพิมพ์ด้วยตัวหนา รูปแบบสั้นอยู่ในข้อความและดัชนีตัวอักษรรวมถึงตัวย่อ - แสงและคำพ้องความหมาย - ตัวเอียง

ข้อกำหนดและคำจำกัดความของแนวคิดทางเทคนิคทั่วไปที่จำเป็นสำหรับการทำความเข้าใจข้อความของส่วนหลักของมาตรฐานนี้มีให้ไว้ในภาคผนวก ก

GOST ร 53114-2008

มาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย

การป้องกันข้อมูล

การรับรองความปลอดภัยของข้อมูล 8 องค์กร

ข้อกำหนดและคำจำกัดความพื้นฐาน

การคุ้มครองข้อมูล ข้อกำหนดด้านความปลอดภัยของข้อมูลในองค์กร

ข้อกำหนดและคำจำกัดความพื้นฐาน

วันที่แนะนำ - 2009-10-01

1 พื้นที่ใช้งาน

มาตรฐานนี้กำหนดคำศัพท์พื้นฐานที่ใช้เมื่อดำเนินงานมาตรฐานในด้านความปลอดภัยของข้อมูลในองค์กร

ข้อกำหนดที่กำหนดโดยมาตรฐานนี้ได้รับการแนะนำให้ใช้ในเอกสารกำกับดูแล เอกสารทางกฎหมาย เทคนิค และองค์กรและการบริหาร เอกสารทางวิทยาศาสตร์ การศึกษา และเอกสารอ้างอิง

มาตรฐานนี้ใช้ร่วมกับ GOST 34.003 GOST 19781 GOST R 22.0.02 GOST R 51897 GOST R 50922 GOST R 51898, GOST R 52069.0 GOST R 51275 GOST R ISO 9000 GOST R ISO 9001 GOST R IS014001 GOST R ISO/IEC 27001 GOST R ISO/IEC13335-1 - (2จ.

ข้อกำหนดที่ให้ไว้ในมาตรฐานนี้เป็นไปตามข้อกำหนดของกฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซียเมื่อวันที่ 27 ธันวาคม 2545 M"184*FZ "กฎระเบียบทางเทคนิค" |3] กฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซียลงวันที่ 27 กรกฎาคม 2549 หมายเลข 149-FZ "เกี่ยวกับข้อมูลเทคโนโลยีสารสนเทศและการปกป้องข้อมูล" กฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซียลงวันที่ 27 กรกฎาคม 2549 หมายเลข 152-FZ "เกี่ยวกับข้อมูลส่วนบุคคล" หลักคำสอนด้านความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียได้รับอนุมัติจากประธานาธิบดีแห่งสหพันธรัฐรัสเซียเมื่อวันที่ 9 กันยายน พ.ศ. 2543 ปร. -1895

2 การอ้างอิงเชิงบรรทัดฐาน

GOST R 22.0.02-94 ความปลอดภัยในสถานการณ์ฉุกเฉิน ข้อกำหนดและคำจำกัดความของแนวคิดพื้นฐาน

GOST R ISO 9000-2001 ระบบการจัดการคุณภาพ ความรู้พื้นฐานและคำศัพท์

GOST R ISO 9001-2008 ระบบการจัดการคุณภาพ ความต้องการ

GOST R IS0 14001-2007 ระบบการจัดการสิ่งแวดล้อม ข้อกำหนดและคำแนะนำสำหรับการใช้งาน

GOST R ISO/IEC 13335-1-2006 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย ส่วนที่ 1 แนวคิดและรูปแบบการจัดการความปลอดภัยของเทคโนโลยีสารสนเทศและโทรคมนาคม

GOST R ISO/IEC 27001-2006 เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย ระบบการจัดการความปลอดภัยของข้อมูล ความต้องการ

GOST R 50922-2006 การคุ้มครองข้อมูล ข้อกำหนดและคำจำกัดความพื้นฐาน

GOST R 51275-2006 การคุ้มครองข้อมูล วัตถุข้อมูล ปัจจัยที่มีอิทธิพลต่อข้อมูล บทบัญญัติทั่วไป

GOST R 51897-2002 การจัดการความเสี่ยง ข้อกำหนดและคำจำกัดความ

สิ่งพิมพ์อย่างเป็นทางการ

GOST ร 53114-2008

GOST R51898-2003 ประเด็นด้านความปลอดภัย กฎการรวมไว้ในมาตรฐาน GOST R 52069.0-2003 การปกป้องข้อมูล ระบบมาตรฐาน. ข้อกำหนดพื้นฐานของ GOST 34.003-90 เทคโนโลยีสารสนเทศ ชุดมาตรฐานสำหรับระบบอัตโนมัติ ระบบอัตโนมัติ ข้อกำหนดและคำจำกัดความ

GOST 19781-90 ซอฟต์แวร์สำหรับระบบประมวลผลข้อมูล ข้อกำหนดและคำจำกัดความ

หมายเหตุ - เมื่อใช้มาตรฐานนี้ขอแนะนำให้ตรวจสอบความถูกต้องของมาตรฐานอ้างอิงในระบบข้อมูลสาธารณะ - บนเว็บไซต์อย่างเป็นทางการของหน่วยงานกลางด้านกฎระเบียบทางเทคนิคและมาตรวิทยาบนอินเทอร์เน็ตหรือตามดัชนีข้อมูลที่เผยแพร่ประจำปี "แห่งชาติ" มาตรฐาน” ซึ่งเผยแพร่ ณ วันที่ 1 มกราคมของปีปัจจุบัน และตามดัชนีข้อมูลรายเดือนที่เกี่ยวข้องที่เผยแพร่ในปีปัจจุบัน หากมาตรฐานอ้างอิงถูกแทนที่ (เปลี่ยนแปลง) เมื่อใช้มาตรฐานนี้ คุณควรได้รับคำแนะนำจากมาตรฐานที่ถูกแทนที่ (เปลี่ยนแปลง) หากมาตรฐานอ้างอิงถูกยกเลิกโดยไม่มีการเปลี่ยน ข้อกำหนดในการอ้างอิงถึงมาตรฐานนั้นจะใช้บังคับกับชิ้นส่วนที่ไม่ส่งผลกระทบต่อการอ้างอิงนี้

3 ข้อกำหนดและคำจำกัดความ

3.1 แนวคิดทั่วไป

ความปลอดภัยของข้อมูล [ข้อมูล]: สถานะของความปลอดภัยของข้อมูล [ข้อมูล] ซึ่งรับประกันการรักษาความลับ ความพร้อมใช้งาน และความสมบูรณ์ของ [พวกเขา]

[GOST ร 50922-2006 วรรค 2.4.5]

ความปลอดภัยของเทคโนโลยีสารสนเทศ: สถานะของความปลอดภัยของเทคโนโลยีสารสนเทศ ซึ่งรับประกันความปลอดภัยของข้อมูลที่ใช้ในการประมวลผล และความปลอดภัยของข้อมูลของระบบสารสนเทศที่ใช้งาน

[ร 50.1.056-2006. วรรค 2.4.5]

ขอบเขตข้อมูล: จำนวนทั้งสิ้นของข้อมูล โครงสร้างพื้นฐานสารสนเทศ วิชาต่างๆ ดำเนินการรวบรวม จัดทำ เผยแพร่ และใช้งานข้อมูล ตลอดจนระบบการควบคุมความสัมพันธ์ทางสังคมที่เกิดขึ้นในกรณีนี้

3.1.4 โครงสร้างพื้นฐานสารสนเทศ: ชุดของวัตถุข้อมูลที่ช่วยให้ผู้บริโภคสามารถเข้าถึงทรัพยากรข้อมูลได้

วัตถุสารสนเทศ: ชุดของทรัพยากรข้อมูล เครื่องมือ และระบบประมวลผลข้อมูลที่ใช้ตามเทคโนโลยีสารสนเทศที่กำหนด เช่นเดียวกับสิ่งอำนวยความสะดวกสนับสนุน สถานที่หรือสิ่งอำนวยความสะดวก (อาคาร โครงสร้าง วิธีการทางเทคนิค) ซึ่งมีการติดตั้งเครื่องมือและระบบเหล่านี้ หรือ สถานที่และสิ่งอำนวยความสะดวก มีไว้สำหรับการเจรจาที่เป็นความลับ

[GOST ร 51275-2006 ข้อ 3.1]

3.1.6 ทรัพย์สินขององค์กร: ทั้งหมด สิ่งที่มีคุณค่าต่อองค์กรเพื่อผลประโยชน์ในการบรรลุเป้าหมายและอยู่ในการกำจัด

หมายเหตุ: ทรัพย์สินขององค์กรอาจรวมถึง:

สินทรัพย์ข้อมูล รวมถึงข้อมูลประเภทต่างๆ ที่หมุนเวียนในระบบสารสนเทศ (บริการ การจัดการ การวิเคราะห์ ธุรกิจ ฯลฯ) ในทุกขั้นตอนของวงจรชีวิต (การสร้าง การจัดเก็บ การประมวลผล การส่งผ่าน การทำลาย):

ทรัพยากร (การเงิน มนุษย์ คอมพิวเตอร์ ข้อมูล โทรคมนาคม และอื่นๆ):

กระบวนการ (เทคโนโลยี ข้อมูล ฯลฯ)

สินค้าหรือบริการที่ผลิตขึ้น

GOST ร 53114-2008

ทรัพยากรระบบประมวลผลข้อมูล: สิ่งอำนวยความสะดวกของระบบประมวลผลข้อมูลที่สามารถจัดสรรให้กับกระบวนการประมวลผลข้อมูลในช่วงเวลาหนึ่ง

หมายเหตุ - ทรัพยากรหลัก ได้แก่ โปรเซสเซอร์ พื้นที่หน่วยความจำหลัก ชุดข้อมูล อุปกรณ์ต่อพ่วงโปรแกรม

[GOST 19781-90 ย่อหน้าที่ 93)

3.1.8 กระบวนการสารสนเทศ ได้แก่ กระบวนการสร้าง การรวบรวม การประมวลผล การสะสม การจัดเก็บ การค้นหา การเผยแพร่และการใช้ข้อมูล

เทคโนโลยีสารสนเทศ ไอที: กระบวนการ วิธีการค้นหา รวบรวม จัดเก็บ ประมวลผล จัดหา การเผยแพร่ข้อมูลและวิธีการดำเนินการตามกระบวนการและวิธีการดังกล่าว [กฎหมายของรัฐบาลกลางแห่งสหพันธรัฐรัสเซีย ลงวันที่ 27 ธันวาคม 2545 ฉบับที่ 184-FZ. บทความ 2 วรรค 2)]

การสนับสนุนทางเทคนิคของระบบอัตโนมัติ การสนับสนุนด้านเทคนิคของ NPP: จำนวนทั้งสิ้นของวิธีการทางเทคนิคทั้งหมดที่ใช้ในการดำเนินการของ NPP

[GOST R 34.003-90. วรรค 2.5]

ซอฟต์แวร์ระบบอัตโนมัติ ซอฟต์แวร์ AS: ชุดโปรแกรมบนสื่อจัดเก็บข้อมูลและเอกสารโปรแกรมที่มีจุดประสงค์เพื่อการดีบัก ใช้งาน และทดสอบการทำงานของ AS

[GOST R 34.003-90. วรรค 2.7]

การสนับสนุนข้อมูลของระบบอัตโนมัติ การสนับสนุนข้อมูลของ AS: ชุดของแบบฟอร์มเอกสาร ตัวแยกประเภท กรอบการกำกับดูแล และโซลูชันที่นำไปใช้เกี่ยวกับปริมาณ ตำแหน่ง และรูปแบบการดำรงอยู่ของข้อมูลที่ใช้ใน AS ระหว่างการดำเนินการ

[GOST R 34.003-90. ข้อ 2.8]

3.1.13 บริการ; บริการ: ผลลัพธ์ของกิจกรรมของนักแสดงเพื่อตอบสนองความต้องการของผู้บริโภค

หมายเหตุ - 8 องค์กร บุคคล หรือกระบวนการสามารถทำหน้าที่เป็นผู้ดำเนินการ (ผู้บริโภค) ของบริการได้

3.1.14 บริการเทคโนโลยีสารสนเทศ: บริการด้านไอที: ชุดความสามารถด้านการทำงานของข้อมูลและ อาจเป็นเทคโนโลยีที่ไม่ใช่สารสนเทศที่มอบให้กับผู้ใช้ปลายทางในรูปแบบบริการ

หมายเหตุ ตัวอย่างของบริการด้าน IT ได้แก่ การส่งข้อความ แอปพลิเคชันทางธุรกิจ บริการไฟล์และการพิมพ์ บริการเครือข่าย ฯลฯ

3.1.15 ระบบโครงสร้างพื้นฐานสารสนเทศที่สำคัญ ระบบโครงสร้างพื้นฐานสารสนเทศที่สำคัญ: FIAC: การจัดการข้อมูลหรือระบบโทรคมนาคมสารสนเทศที่จัดการหรือให้ข้อมูลแก่วัตถุหรือกระบวนการที่สำคัญหรือใช้เพื่อแจ้งให้สังคมและประชาชนทราบอย่างเป็นทางการถึงการหยุดชะงักหรือการหยุดชะงักของการทำงานซึ่ง (อันเป็นผลมาจากการทำลายล้าง อิทธิพลของข้อมูล ตลอดจนความล้มเหลวหรือความล้มเหลว) สามารถนำไปสู่เหตุฉุกเฉินที่ส่งผลเสียอย่างมีนัยสำคัญ

3.1.18 วัตถุวิกฤต: วัตถุหรือกระบวนการ การหยุดชะงักของความต่อเนื่องของการดำเนินงานซึ่งอาจก่อให้เกิดความเสียหายอย่างมีนัยสำคัญ

GOST ร 53114-2008

หมายเหตุ - ความเสียหายอาจเกิดขึ้นกับทรัพย์สินของบุคคลหรือนิติบุคคล ทรัพย์สินของรัฐหรือเทศบาล สิ่งแวดล้อม ตลอดจนก่อให้เกิดอันตรายต่อชีวิตหรือสุขภาพของประชาชน

ระบบสารสนเทศข้อมูลส่วนบุคคล: ระบบสารสนเทศที่เป็นชุดข้อมูลส่วนบุคคลที่มีอยู่ในฐานข้อมูลตลอดจนเทคโนโลยีสารสนเทศและวิธีการทางเทคนิคที่ช่วยให้สามารถประมวลผลข้อมูลส่วนบุคคลดังกล่าวโดยใช้เครื่องมืออัตโนมัติหรือโดยไม่ต้องใช้เครื่องมือดังกล่าว

ข้อมูลส่วนบุคคล: ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลที่ระบุหรือกำหนดบนพื้นฐานของข้อมูลดังกล่าว (เรื่องของข้อมูลส่วนบุคคล) รวมถึงนามสกุลชื่อจริงของเขา นามสกุลปี เดือน วันและสถานที่เกิด ที่อยู่ ครอบครัว สังคม สถานะทรัพย์สิน การศึกษา อาชีพ รายได้ ข้อมูลอื่นๆ

3.1.19 ระบบอัตโนมัติในการออกแบบที่ได้รับการป้องกัน AS ในเวอร์ชันที่ได้รับการป้องกัน: ระบบอัตโนมัติที่ใช้เทคโนโลยีสารสนเทศเพื่อทำหน้าที่ที่กำหนดไว้ตามข้อกำหนดของมาตรฐานและ/หรือเอกสารกำกับดูแลเกี่ยวกับการปกป้องข้อมูล

3.2 ข้อกำหนดที่เกี่ยวข้องกับวัตถุประสงค์ของการคุ้มครองข้อมูล

3.2.1 ความปลอดภัยของข้อมูลขององค์กร IW ขององค์กร: สถานะของการคุ้มครองผลประโยชน์ขององค์กรเมื่อเผชิญกับภัยคุกคามในขอบเขตข้อมูล

หมายเหตุ - การรักษาความปลอดภัยทำได้โดยการรับรองชุดคุณสมบัติความปลอดภัยของข้อมูล - การรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งานของสินทรัพย์ข้อมูล และโครงสร้างพื้นฐานขององค์กร ลำดับความสำคัญของคุณสมบัติความปลอดภัยของข้อมูลถูกกำหนดโดยความสำคัญของสินทรัพย์ข้อมูลเพื่อผลประโยชน์ (เป้าหมาย) ขององค์กร

วัตถุประสงค์ของการปกป้องข้อมูล: ข้อมูลหรือผู้ให้บริการข้อมูล หรือกระบวนการข้อมูล ซึ่งจะต้องได้รับการคุ้มครองตามวัตถุประสงค์ในการปกป้องข้อมูล

[GOST ร 50922-2006 ข้อ 2.5.1]

3.2.3 กระบวนการที่ได้รับการคุ้มครอง (เทคโนโลยีสารสนเทศ): กระบวนการที่เทคโนโลยีสารสนเทศใช้เพื่อประมวลผลข้อมูลที่ได้รับการคุ้มครองตามระดับความปลอดภัยที่ต้องการ

3.2.4 การละเมิดความปลอดภัยของข้อมูลขององค์กร: การละเมิดความปลอดภัยของข้อมูลขององค์กร: การกระทำที่ผิดกฎหมายโดยไม่ได้ตั้งใจหรือโดยเจตนาของบุคคล (หัวเรื่อง, วัตถุ) ที่เกี่ยวข้องกับทรัพย์สินขององค์กรซึ่งผลที่ตามมาคือการละเมิดความปลอดภัยของข้อมูลเมื่อ มีการประมวลผลด้วยวิธีทางเทคนิคในระบบสารสนเทศ ก่อให้เกิดผลเสีย (ความเสียหาย/อันตราย) ต่อองค์กร

ภาวะฉุกเฉิน; สถานการณ์ที่ไม่คาดฝัน เหตุฉุกเฉิน: สถานการณ์ในพื้นที่หรือพื้นที่แหล่งน้ำบางแห่งซึ่งเกิดขึ้นจากอุบัติเหตุ ปรากฏการณ์ทางธรรมชาติที่เป็นอันตราย ภัยพิบัติ ภัยพิบัติทางธรรมชาติหรือภัยพิบัติอื่น ๆ ที่อาจส่งผลให้เกิดการสูญเสียชีวิตหรือการบาดเจ็บล้มตายของมนุษย์ ความเสียหายต่อสุขภาพของมนุษย์ หรือสิ่งแวดล้อม การสูญเสียวัตถุอย่างมีนัยสำคัญ และการหยุดชะงักของสภาพความเป็นอยู่ของผู้คน

หมายเหตุ - สถานการณ์ฉุกเฉินจำแนกตามลักษณะของแหล่งที่มา (ธรรมชาติ มนุษย์สร้างขึ้น ชีววิทยา-สังคม และการทหาร) และตามขนาด (ท้องถิ่น ท้องถิ่น อาณาเขต ภูมิภาค รัฐบาลกลาง และข้ามพรมแดน)

(GOST R 22.0.02-94 ข้อ 2.1.1)

GOST ร 53114-2008

3.2.6

สถานการณ์อันตราย: สถานการณ์ที่บุคคล ทรัพย์สิน หรือสิ่งแวดล้อมตกอยู่ในความเสี่ยง

(GOST R 51898-2003 วรรค 3.6)

3.2.7

เหตุการณ์ด้านความปลอดภัยของข้อมูล: เหตุการณ์ที่ไม่คาดคิดหรือไม่พึงประสงค์ใดๆ ที่อาจขัดขวางการดำเนินงานหรือความปลอดภัยของข้อมูล

หมายเหตุ - เหตุการณ์ด้านความปลอดภัยของข้อมูลได้แก่:

การสูญเสียบริการ อุปกรณ์ หรืออุปกรณ์:

ระบบล้มเหลวหรือโอเวอร์โหลด:

ข้อผิดพลาดของผู้ใช้

การละเมิดมาตรการป้องกันทางกายภาพ:

การเปลี่ยนแปลงระบบที่ไม่สามารถควบคุมได้

ความล้มเหลวของซอฟต์แวร์และความล้มเหลวของฮาร์ดแวร์:

การละเมิดกฎการเข้าถึง

(GOST R ISO/IEC 27001 -2006 มาตรา 3.6)

3.2.8 เหตุการณ์: การเกิดขึ้นหรือการมีอยู่ของสถานการณ์บางอย่าง

หมายเหตุ

1 ลักษณะ ความน่าจะเป็น และผลที่ตามมาของเหตุการณ์อาจไม่เป็นที่ทราบแน่ชัด

2 เหตุการณ์สามารถเกิดขึ้นได้หนึ่งครั้งหรือมากกว่านั้น

3 ความน่าจะเป็นที่เกี่ยวข้องกับเหตุการณ์สามารถประมาณได้

4 เหตุการณ์อาจประกอบด้วยการไม่เกิดขึ้นของสถานการณ์หนึ่งสถานการณ์หรือมากกว่านั้น

5 เหตุการณ์ที่ไม่อาจคาดเดาได้บางครั้งเรียกว่า "เหตุการณ์"

6 เหตุการณ์ที่ไม่มีการสูญเสียเกิดขึ้นบางครั้งเรียกว่าข้อกำหนดเบื้องต้นสำหรับเหตุการณ์ (เหตุการณ์) สภาพที่เป็นอันตราย สถานการณ์ที่เป็นอันตรายรวมกัน ฯลฯ

3.2.9 ความเสี่ยง: ผลกระทบของความไม่แน่นอนต่อกระบวนการบรรลุเป้าหมาย

หมายเหตุ

1 เป้าหมายสามารถมีแง่มุมที่แตกต่างกัน: ทางการเงิน สุขภาพ ความปลอดภัย และสิ่งแวดล้อม และสามารถกำหนดได้ในระดับที่แตกต่างกัน: ในระดับยุทธศาสตร์ ในระดับองค์กร ในระดับโครงการ ผลิตภัณฑ์ และกระบวนการ

3 ความเสี่ยงมักแสดงออกมาในรูปของการรวมกันของผลที่ตามมาของเหตุการณ์หรือการเปลี่ยนแปลงในสถานการณ์และความน่าจะเป็น

3.2.10

การประเมินความเสี่ยง: กระบวนการที่รวมการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการวัดปริมาณความเสี่ยง

(GOST R ISO/IEC 13335-1 -2006 ย่อหน้าที่ 2.21]

3.2.11 การประเมินความเสี่ยงด้านความปลอดภัยของข้อมูล (ขององค์กร) การประเมินความเสี่ยงด้านความปลอดภัยของข้อมูล (องค์กร): กระบวนการโดยรวมของการระบุ การวิเคราะห์ และการกำหนดการยอมรับระดับความเสี่ยงด้านความปลอดภัยของข้อมูลขององค์กร

3.2.12 การระบุความเสี่ยง: กระบวนการตรวจจับ รับรู้ และอธิบายความเสี่ยง

หมายเหตุ

1 การระบุความเสี่ยงรวมถึงการระบุแหล่งที่มาของความเสี่ยง เหตุการณ์ และสาเหตุ ตลอดจนผลที่ตามมาที่อาจเกิดขึ้น

หมายเหตุ 2 การระบุความเสี่ยงอาจรวมถึงข้อมูลทางสถิติ การวิเคราะห์ทางทฤษฎี มุมมองที่มีข้อมูลและความคิดเห็นของผู้เชี่ยวชาญ และความต้องการของผู้มีส่วนได้ส่วนเสีย

GOST ร 53114-2008

การวิเคราะห์ความเสี่ยง: การใช้ข้อมูลอย่างเป็นระบบเพื่อระบุแหล่งที่มาของความเสี่ยงและวัดปริมาณความเสี่ยง

(GOST R ISO/IEC 27001-2006 ข้อ 3.11)

3.2.14 การกำหนดการยอมรับความเสี่ยง: กระบวนการเปรียบเทียบผลการวิเคราะห์ความเสี่ยงกับเกณฑ์ความเสี่ยงเพื่อกำหนดระดับความเสี่ยงที่ยอมรับได้หรือยอมรับได้

หมายเหตุ การพิจารณาการยอมรับระดับความเสี่ยงจะช่วยในการตัดสินใจในการรักษา

3.2.15 การจัดการความเสี่ยงด้านความปลอดภัยข้อมูลขององค์กร การรักษาความเสี่ยงด้านความปลอดภัยของข้อมูลองค์กร: กระบวนการพัฒนาและ/หรือการเลือกและการใช้มาตรการเพื่อจัดการความเสี่ยงด้านความปลอดภัยของข้อมูลขององค์กร

หมายเหตุ

1 การรักษาความเสี่ยงอาจรวมถึง:

หลีกเลี่ยงความเสี่ยงด้วยการตัดสินใจที่จะไม่เริ่มหรือดำเนินกิจกรรมที่สร้างเงื่อนไขต่อไป

การแสวงหาโอกาสโดยการตัดสินใจเริ่มต้นหรือดำเนินกิจกรรมที่อาจสร้างหรือเพิ่มความเสี่ยง

การกำจัดแหล่งที่มาของความเสี่ยง:

การเปลี่ยนแปลงลักษณะและขนาดของความเสี่ยง:

การเปลี่ยนแปลงผลที่ตามมา;

แบ่งปันความเสี่ยงกับบุคคลอื่นหรือบุคคลอื่น

การคงอยู่ของความเสี่ยงทั้งอันเป็นผลมาจากการตัดสินใจอย่างมีสติและ "โดยค่าเริ่มต้น"

2 การรักษาความเสี่ยงที่มีผลกระทบด้านลบบางครั้งเรียกว่าการบรรเทา การกำจัด และการป้องกัน การลด การปราบปราม และการแก้ไขความเสี่ยง

3.2.16 การบริหารความเสี่ยง: การประสานงานการดำเนินการเพื่อกำกับและควบคุมกิจกรรมขององค์กรที่เกี่ยวข้องกับความเสี่ยง

3.2.17 แหล่งที่มาของความเสี่ยงต่อความมั่นคงปลอดภัยสารสนเทศขององค์กร แหล่งที่มาของความเสี่ยงด้านความปลอดภัยข้อมูลองค์กร: วัตถุหรือการกระทำที่อาจทำให้เกิด (สร้าง) ความเสี่ยง

หมายเหตุ

1 ไม่มีความเสี่ยงหากไม่มีปฏิสัมพันธ์ระหว่างวัตถุ บุคคล หรือองค์กรกับแหล่งที่มาของความเสี่ยง

2 แหล่งที่มาของความเสี่ยงสามารถจับต้องได้หรือจับต้องไม่ได้

3.2.18 นโยบายการรักษาความปลอดภัยของข้อมูล (ขององค์กร) นโยบายการรักษาความปลอดภัยของข้อมูล (องค์กร): คำแถลงอย่างเป็นทางการเกี่ยวกับกฎ ขั้นตอน แนวปฏิบัติ หรือแนวปฏิบัติด้านความปลอดภัยของข้อมูลที่เป็นแนวทางในกิจกรรมขององค์กร

หมายเหตุ - นโยบายจะต้องมี

เรื่อง เป้าหมายหลัก และวัตถุประสงค์ของนโยบายความปลอดภัย:

เงื่อนไขในการใช้นโยบายความปลอดภัยและข้อจำกัดที่เป็นไปได้:

คำอธิบายตำแหน่งผู้บริหารขององค์กรเกี่ยวกับการดำเนินการตามนโยบายความปลอดภัยและการจัดองค์กรของระบบรักษาความปลอดภัยข้อมูลขององค์กรโดยรวม

สิทธิและความรับผิดชอบตลอดจนระดับความรับผิดชอบของพนักงานในการปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยขององค์กร

ขั้นตอนฉุกเฉินในกรณีที่ฝ่าฝืนนโยบายความปลอดภัย

3.2.19 เป้าหมายความปลอดภัยของข้อมูล (ขององค์กร) เป้าหมาย IS (องค์กร): ผลลัพธ์ที่กำหนดไว้ล่วงหน้าของการรับรองความปลอดภัยของข้อมูลขององค์กรตามข้อกำหนดที่กำหนดไว้ในนโยบาย IS (องค์กร)

หมายเหตุ - ผลลัพธ์ของการรับรองความปลอดภัยของข้อมูลอาจเป็นการป้องกันความเสียหายต่อเจ้าของข้อมูลเนื่องจากการรั่วไหลของข้อมูลที่เป็นไปได้และ (หรือ) ผลกระทบต่อข้อมูลโดยไม่ได้รับอนุญาตและไม่ได้ตั้งใจ

3.2.20 ระบบเอกสารด้านความมั่นคงปลอดภัยสารสนเทศในองค์กร ระบบเอกสารความปลอดภัยของข้อมูลในองค์กร: ชุดเอกสารที่เรียงลำดับรวมกันตามการวางแนวเป้าหมาย เชื่อมโยงถึงกันบนพื้นฐานของแหล่งกำเนิด วัตถุประสงค์ ประเภท ขอบเขตของกิจกรรม ข้อกำหนดที่เหมือนกันสำหรับการออกแบบ และการควบคุมกิจกรรมขององค์กรเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูล

GOST ร 53114-2008

3.3 ข้อกำหนดที่เกี่ยวข้องกับภัยคุกคามความปลอดภัยของข้อมูล

3.3.1 ภัยคุกคามต่อความมั่นคงปลอดภัยข้อมูลขององค์กร ภัยคุกคามด้านความปลอดภัยของข้อมูลต่อองค์กร: ชุดของปัจจัยและเงื่อนไขที่สร้างอันตรายจากการละเมิดความปลอดภัยของข้อมูลขององค์กร ก่อให้เกิดหรือสามารถก่อให้เกิดผลเสีย (ความเสียหาย/อันตราย) ต่อองค์กร

หมายเหตุ

1 รูปแบบการดำเนินการ (การสำแดง) ของภัยคุกคามด้านความปลอดภัยของข้อมูลคือการระบาดของเหตุการณ์ด้านความปลอดภัยของข้อมูลที่เกี่ยวข้องกันตั้งแต่หนึ่งเหตุการณ์ขึ้นไปและเหตุการณ์ด้านความปลอดภัยของข้อมูล นำไปสู่การละเมิดคุณสมบัติความปลอดภัยของข้อมูลของวัตถุที่ได้รับการคุ้มครองขององค์กร

2 ภัยคุกคามมีลักษณะเฉพาะคือการมีวัตถุที่เป็นภัยคุกคาม แหล่งที่มาของภัยคุกคาม และการปรากฏตัวของภัยคุกคาม

ภัยคุกคาม (ความปลอดภัยของข้อมูล): ชุดของเงื่อนไขและปัจจัยที่สร้างอันตรายที่อาจเกิดขึ้นหรือเกิดขึ้นจริงจากการละเมิดความปลอดภัยของข้อมูล

[GOST ร 50922-2006 ข้อ 2.6.1]

3.3.3 โมเดลภัยคุกคาม (ความปลอดภัยของข้อมูล): การแสดงทางกายภาพ คณิตศาสตร์ เชิงพรรณนาของคุณสมบัติหรือลักษณะของภัยคุกคามความปลอดภัยของข้อมูล

หมายเหตุ - เอกสารกำกับดูแลพิเศษอาจเป็นประเภทของคำอธิบายคุณสมบัติหรือลักษณะของภัยคุกคามความปลอดภัยของข้อมูล

ความเปราะบาง (ของระบบสารสนเทศ); การละเมิด: คุณสมบัติของระบบข้อมูลที่ทำให้สามารถนำภัยคุกคามมาสู่ความปลอดภัยของข้อมูลที่ประมวลผลในระบบได้

หมายเหตุ

1 เงื่อนไขสำหรับการดำเนินการภัยคุกคามความปลอดภัยที่ประมวลผลในระบบสารสนเทศอาจเป็นจุดบกพร่องหรือจุดอ่อนในระบบสารสนเทศ

2 หากช่องโหว่ตรงกับภัยคุกคาม แสดงว่ามีความเสี่ยง

[GOST ร 50922-2006 ข้อ 2.6.4]

3.3.5 ผู้ฝ่าฝืนความปลอดภัยของข้อมูลขององค์กร ผู้ละเมิดความปลอดภัยข้อมูลขององค์กร: บุคคลหรือนิติบุคคลที่กระทำการโดยไม่ได้ตั้งใจหรือโดยเจตนา ซึ่งผลที่ตามมาคือการละเมิดความปลอดภัยของข้อมูลขององค์กร

3.3.6 การเข้าถึงโดยไม่ได้รับอนุญาต: การเข้าถึงข้อมูลหรือทรัพยากรของระบบข้อมูลอัตโนมัติที่ละเมิดกฎสิทธิ์การเข้าถึง (หรือ) ที่กำหนดไว้

หมายเหตุ

1 การเข้าถึงโดยไม่ได้รับอนุญาตอาจเกิดขึ้นโดยตั้งใจหรือไม่ตั้งใจ

2 สิทธิและกฎเกณฑ์ในการเข้าถึงข้อมูลและทรัพยากรระบบสารสนเทศได้รับการจัดตั้งขึ้นสำหรับกระบวนการประมวลผลข้อมูล การบำรุงรักษาระบบข้อมูลอัตโนมัติ และการเปลี่ยนแปลงซอฟต์แวร์ ทรัพยากรทางเทคนิคและข้อมูลตลอดจนการได้รับข้อมูลเกี่ยวกับพวกเขา

3.3.7 การโจมตีเครือข่าย: การดำเนินการโดยใช้ซอฟต์แวร์และ (หรือ) ฮาร์ดแวร์และการใช้โปรโตคอลเครือข่าย มุ่งเป้าไปที่ภัยคุกคามจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต มีอิทธิพลต่อข้อมูลหรือทรัพยากรของระบบข้อมูลอัตโนมัติ

แอปพลิเคชัน - โปรโตคอลเครือข่ายคือชุดของกฎความหมายและวากยสัมพันธ์ที่กำหนดการโต้ตอบของโปรแกรมการจัดการเครือข่ายที่อยู่บนคอมพิวเตอร์เครื่องเดียวกัน ด้วยโปรแกรมชื่อเดียวกันที่อยู่ในคอมพิวเตอร์เครื่องอื่น

3.3.8 การปิดกั้นการเข้าถึง (ข้อมูล): การยุติหรือความยากลำบากในการเข้าถึงข้อมูลของบุคคล มีสิทธิที่จะทำเช่นนั้น (ผู้ใช้ที่ถูกกฎหมาย)

3.3.9 การโจมตีแบบปฏิเสธการให้บริการ: การโจมตีเครือข่ายที่นำไปสู่การบล็อกกระบวนการข้อมูลในระบบอัตโนมัติ

3.3.10 การรั่วไหลของข้อมูล: การเผยแพร่ข้อมูลที่ได้รับการคุ้มครองโดยไม่มีการควบคุมอันเป็นผลมาจากการเปิดเผย การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และการรับข้อมูลที่ได้รับการคุ้มครองโดยหน่วยข่าวกรองต่างประเทศ

3.3.11 การเปิดเผยข้อมูล: การสื่อสารข้อมูลที่ได้รับการคุ้มครองไปยังบุคคลโดยไม่ได้รับอนุญาต ไม่ได้รับอนุญาตให้เข้าถึงข้อมูลนี้

GOST ร 53114-2008

การสกัดกั้น (ข้อมูล): การรับข้อมูลที่ผิดกฎหมายโดยใช้วิธีการทางเทคนิคที่ตรวจจับ รับ และประมวลผลสัญญาณข้อมูล

(R 50.1.053-2005 ย่อหน้าที่ 3.2.5]

สัญญาณข้อมูล: สัญญาณที่สามารถใช้พารามิเตอร์เพื่อกำหนดข้อมูลที่ได้รับการคุ้มครอง

[R 50.1.05S-2005. วรรค 3.2.6]

3.3.14 ความสามารถที่ประกาศ: ความสามารถด้านการทำงานของฮาร์ดแวร์และซอฟต์แวร์คอมพิวเตอร์ที่ไม่ได้อธิบายหรือไม่สอดคล้องกับที่อธิบายไว้ในเอกสารประกอบ ซึ่งอาจนำไปสู่การลดลงหรือการละเมิดคุณสมบัติความปลอดภัยของข้อมูล

3.3.15 รังสีแม่เหล็กไฟฟ้าปลอมและการรบกวน: รังสีแม่เหล็กไฟฟ้าจากอุปกรณ์ประมวลผลข้อมูลทางเทคนิคที่เกิดขึ้นเป็นผลข้างเคียงและเกิดจากสัญญาณไฟฟ้าที่กระทำในวงจรไฟฟ้าและแม่เหล็กรวมถึงการรบกวนทางแม่เหล็กไฟฟ้าของสัญญาณเหล่านี้บนเส้นนำไฟฟ้า โครงสร้าง และกำลัง วงจร

3.4 ข้อกำหนดที่เกี่ยวข้องกับการจัดการความปลอดภัยข้อมูลองค์กร

3.4.1 การจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กร การจัดการองค์กรความมั่นคงปลอดภัยสารสนเทศ ประสานงานการดำเนินการเพื่อเป็นแนวทางและจัดการองค์กรในด้านการรักษาความปลอดภัยของข้อมูลให้สอดคล้องกับสภาพการเปลี่ยนแปลงของสภาพแวดล้อมภายในและภายนอกขององค์กร

3.4.2 การจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร การจัดการความเสี่ยงด้านความปลอดภัยข้อมูลขององค์กร: การดำเนินการประสานงานเพื่อเป็นแนวทางและจัดการองค์กรที่เกี่ยวข้องกับความเสี่ยงด้านความปลอดภัยข้อมูลเพื่อลดความเสี่ยง

หมายเหตุ กระบวนการหลักของการบริหารความเสี่ยงคือ การกำหนดบริบท การประเมินความเสี่ยง การปฏิบัติและการยอมรับความเสี่ยง การติดตามและทบทวนความเสี่ยง

ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ ISMS: ส่วนหนึ่งของระบบการจัดการโดยรวม โดยอาศัยวิธีประเมินความเสี่ยงด้านพลังงานชีวภาพเพื่อการพัฒนา การนำไปปฏิบัติ และการดำเนินงาน การติดตาม การวิเคราะห์ การสนับสนุน และปรับปรุงความปลอดภัยของข้อมูล

หมายเหตุ ระบบการจัดการประกอบด้วยโครงสร้างองค์กร นโยบาย กิจกรรมการวางแผน ความรับผิดชอบ แนวปฏิบัติ ขั้นตอน กระบวนการ และทรัพยากร

[GOST R ISO/IEC 27001 -2006 วรรค 3.7]

3.4.4 บทบาทของความมั่นคงปลอดภัยสารสนเทศในองค์กร บทบาทของความปลอดภัยของข้อมูลในองค์กร: ชุดของฟังก์ชันและงานเฉพาะเพื่อรับรองความปลอดภัยของข้อมูลขององค์กรที่สร้างปฏิสัมพันธ์ที่ยอมรับได้ระหว่างหัวเรื่องและวัตถุในองค์กร

หมายเหตุ

1 หัวเรื่องรวมถึงบุคคลจากผู้จัดการขององค์กร บุคลากรหรือกระบวนการที่ริเริ่มในนามของพวกเขาเพื่อดำเนินการกับวัตถุ

2 ออบเจ็กต์อาจเป็นฮาร์ดแวร์ ซอฟต์แวร์ ซอฟต์แวร์และฮาร์ดแวร์ หรือแหล่งข้อมูลที่มีการดำเนินการ

3.4.5 บริการรักษาความปลอดภัยข้อมูลขององค์กร: โครงสร้างองค์กรและทางเทคนิคของระบบการจัดการความปลอดภัยของข้อมูลขององค์กรที่ดำเนินการแก้ไขปัญหาของงานเฉพาะที่มุ่งตอบโต้ภัยคุกคามต่อความปลอดภัยของข้อมูลขององค์กร

3.5 ข้อกำหนดที่เกี่ยวข้องกับการติดตามและประเมินความปลอดภัยของข้อมูลขององค์กร

3.5.1 การควบคุมการสร้างความมั่นใจในความปลอดภัยของข้อมูลขององค์กร การควบคุมข้อกำหนดด้านความปลอดภัยข้อมูลขององค์กร: การตรวจสอบการปฏิบัติตามข้อกำหนดด้านความปลอดภัยข้อมูลในองค์กร

GOST ร 53114-2008

3.5.2 ติดตามการรักษาความปลอดภัยของข้อมูลขององค์กร การตรวจสอบความปลอดภัยของข้อมูลขององค์กร: การตรวจสอบกระบวนการรักษาความปลอดภัยข้อมูลในองค์กรอย่างต่อเนื่องเพื่อสร้างการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูล

3.5.3 การตรวจสอบความมั่นคงปลอดภัยสารสนเทศขององค์กร การตรวจสอบองค์กรความปลอดภัยของข้อมูล: กระบวนการที่เป็นระบบอิสระและเป็นเอกสารในการรับหลักฐานกิจกรรมขององค์กรเพื่อรับรองความปลอดภัยของข้อมูลและการสร้างระดับการปฏิบัติตามเกณฑ์ความปลอดภัยของข้อมูลในองค์กรรวมถึงการอนุญาตให้มีการตรวจสอบอย่างมืออาชีพ การตัดสินเกี่ยวกับสถานะความปลอดภัยของข้อมูลขององค์กร

3.5.4 หลักฐาน (หลักฐาน) การตรวจสอบความปลอดภัยของข้อมูลขององค์กร ข้อมูลการตรวจสอบความปลอดภัยของข้อมูลองค์กร: บันทึก ข้อความข้อเท็จจริง หรือข้อมูลอื่นๆ ที่เกี่ยวข้องกับเกณฑ์การตรวจสอบความปลอดภัยของข้อมูลขององค์กรและสามารถตรวจสอบได้

หมายเหตุ หลักฐานความปลอดภัยของข้อมูลอาจเป็นได้ทั้งเชิงคุณภาพหรือเชิงปริมาณ

3.5.5 การประเมินการปฏิบัติตามความปลอดภัยของข้อมูลขององค์กรตามข้อกำหนดที่กำหนดไว้ การประเมินการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูลขององค์กรตามข้อกำหนดที่กำหนดไว้: กิจกรรมที่เกี่ยวข้องในการพิจารณาการปฏิบัติตามหรือไม่ปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูลที่กำหนดไว้ในองค์กรทั้งทางตรงและทางอ้อม

3.5.6 เกณฑ์การตรวจสอบความมั่นคงปลอดภัยสารสนเทศขององค์กร เกณฑ์การตรวจสอบขององค์กรรักษาความปลอดภัยข้อมูล: ชุดของหลักการ บทบัญญัติ ข้อกำหนด และตัวบ่งชี้ของเอกสารกำกับดูแลปัจจุบัน* ที่เกี่ยวข้องกับกิจกรรมขององค์กรในด้านความปลอดภัยของข้อมูล

แอปพลิเคชัน - เกณฑ์การตรวจสอบความปลอดภัยของข้อมูลใช้เพื่อเปรียบเทียบหลักฐานการตรวจสอบความปลอดภัยของข้อมูลกับเกณฑ์เหล่านั้น

3.5.7 การรับรองระบบอัตโนมัติในการออกแบบที่ปลอดภัย: กระบวนการตรวจสอบที่ครอบคลุมประสิทธิภาพของฟังก์ชันที่ระบุของระบบอัตโนมัติสำหรับการประมวลผลข้อมูลที่ได้รับการคุ้มครองเพื่อให้สอดคล้องกับข้อกำหนดของมาตรฐานและ/หรือเอกสารกำกับดูแลในด้านข้อมูล การป้องกันและการจัดทำเอกสารเกี่ยวกับการปฏิบัติตามประสิทธิภาพของฟังก์ชันการประมวลผลข้อมูลที่ได้รับการคุ้มครองในการให้ข้อมูลสิ่งอำนวยความสะดวกเฉพาะ

3.5.8 เกณฑ์ในการรับรองความปลอดภัยของข้อมูลขององค์กร เกณฑ์ด้านความปลอดภัยข้อมูลขององค์กร: ตัวบ่งชี้บนพื้นฐานของระดับความสำเร็จของเป้าหมายด้านความปลอดภัยข้อมูลขององค์กรได้รับการประเมิน

3.5.9 ประสิทธิผลของการรักษาความปลอดภัยข้อมูล ประสิทธิผลของการรักษาความปลอดภัยข้อมูล: ความสัมพันธ์ระหว่างผลลัพธ์ที่ได้รับกับทรัพยากรที่ใช้เพื่อรับรองความปลอดภัยของข้อมูลในระดับที่กำหนด

3.6 ข้อกำหนดที่เกี่ยวข้องกับการควบคุมความปลอดภัยของข้อมูลขององค์กร

3.6.1 สร้างความมั่นใจในความปลอดภัยของข้อมูลขององค์กร การให้ความปลอดภัยของข้อมูลขององค์กร: กิจกรรมที่มุ่งเป้าไปที่การกำจัด (การวางตัวเป็นกลาง, การตอบโต้) ภัยคุกคามภายในและภายนอกต่อความปลอดภัยของข้อมูลขององค์กรหรือลดความเสียหายจากการดำเนินการที่เป็นไปได้ของภัยคุกคามดังกล่าว

3.6.2 มาตรการรักษาความปลอดภัย การควบคุมความปลอดภัย: แนวทางปฏิบัติ ขั้นตอน หรือกลไกที่กำหนดไว้ในการจัดการความเสี่ยง

3.6.3 มาตรการเพื่อรับรองความปลอดภัยของข้อมูล มาตรการรักษาความปลอดภัยข้อมูล: ชุดของการดำเนินการที่มุ่งเป้าไปที่การพัฒนาและ/หรือการใช้วิธีการและวิธีการในการรับรองความปลอดภัยของข้อมูลในทางปฏิบัติ

3.6.4 มาตรการขององค์กรเพื่อรับรองความปลอดภัยของข้อมูล มาตรการขององค์กรเพื่อรับรองความปลอดภัยของข้อมูล: มาตรการเพื่อรับรองความปลอดภัยของข้อมูลโดยจัดให้มีการจัดตั้งข้อ จำกัด ชั่วคราว, อาณาเขต, เชิงพื้นที่, กฎหมาย, ระเบียบวิธีและอื่น ๆ ตามเงื่อนไขการใช้งานและโหมดการทำงานของวัตถุข้อมูล

3.6.5 วิธีการทางเทคนิคในการรับรองความปลอดภัยของข้อมูล วิธีการทางเทคนิคด้านความปลอดภัยของข้อมูล: อุปกรณ์ที่ใช้เพื่อรับรองความปลอดภัยของข้อมูลขององค์กรโดยใช้วิธีการที่ไม่เข้ารหัส

หมายเหตุ - อุปกรณ์ดังกล่าวสามารถแสดงได้ด้วยฮาร์ดแวร์และซอฟต์แวร์ที่สร้างไว้ในวัตถุที่ได้รับการป้องกัน และ/หรือทำงานโดยอัตโนมัติ (เป็นอิสระจากวัตถุที่ได้รับการป้องกัน)

GOST ร 53114-2008

3.5.6 เครื่องมือตรวจจับการบุกรุก เครื่องมือตรวจจับการโจมตี: ซอฟต์แวร์หรือเครื่องมือฮาร์ดแวร์ซอฟต์แวร์ที่ทำให้กระบวนการตรวจสอบเหตุการณ์ที่เกิดขึ้นในระบบคอมพิวเตอร์หรือเครือข่ายเป็นไปโดยอัตโนมัติ และยังวิเคราะห์เหตุการณ์เหล่านี้อย่างอิสระเพื่อค้นหาสัญญาณของเหตุการณ์ความปลอดภัยของข้อมูล

3.6.7 วิธีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต: ซอฟต์แวร์ ฮาร์ดแวร์หรือซอฟต์แวร์ และฮาร์ดแวร์ที่ออกแบบมาเพื่อป้องกันหรือขัดขวางการเข้าถึงโดยไม่ได้รับอนุญาตอย่างมีนัยสำคัญ

GOST ร 53114-2008

ดัชนีคำศัพท์ตามตัวอักษร

ทรัพย์สินขององค์กร 3.1.6

การวิเคราะห์ความเสี่ยง 3.2.13

ลำโพงในเวอร์ชันที่ได้รับการป้องกัน 3.1.19

การปฏิเสธการโจมตีบริการ 3.3.9

การโจมตีเครือข่าย 3.3.7

การรับรองระบบอัตโนมัติในเวอร์ชันที่ได้รับการป้องกัน 3.5.7

การตรวจสอบความปลอดภัยของข้อมูลองค์กร 3.5.3

การตรวจสอบความปลอดภัยของข้อมูลองค์กร 3.5.3

ความปลอดภัย (ข้อมูล) 3.1.1

ความปลอดภัยของข้อมูล 3.1.1

ความปลอดภัยของเทคโนโลยีสารสนเทศ 3.1.2

ความปลอดภัยของข้อมูลองค์กร 3.2.1

การปิดกั้นการเข้าถึง (ข้อมูล) 3.3.8

การละเมิด 3.3.4

ความสามารถที่ไม่ได้ประกาศ 3.3.14

ข้อมูลส่วนบุคคล 3.1.18

การเข้าถึงโดยไม่ได้รับอนุญาต 3.3.6

ความปลอดภัยของข้อมูลองค์กร 3.2.1

การระบุความเสี่ยง 3.2.12

โครงสร้างพื้นฐานสารสนเทศ 3.1.4

เหตุการณ์ความปลอดภัยของข้อมูล 3.2.7

แหล่งที่มาของความเสี่ยงด้านความปลอดภัยข้อมูลองค์กร 3.2.17

แหล่งที่มาของความเสี่ยงต่อความมั่นคงปลอดภัยข้อมูลขององค์กร 3.2.17

การควบคุมความปลอดภัยของข้อมูลขององค์กร 3.5.1

การควบคุมความปลอดภัยของข้อมูลขององค์กร 3.5.1

เกณฑ์การรับรองความปลอดภัยของข้อมูลขององค์กร 3.5.8

เกณฑ์การตรวจสอบ IS ขององค์กร 3.5.6

เกณฑ์การตรวจสอบความปลอดภัยของข้อมูลองค์กร 3.5.6

เกณฑ์ในการรับรองความปลอดภัยของข้อมูลขององค์กร 3.5.8

การจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กร 3.4.1

การจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กร 3.4.1

การจัดการความเสี่ยงด้านความปลอดภัยข้อมูลองค์กร 3.4.2

การจัดการความเสี่ยงด้านความปลอดภัยข้อมูลองค์กร 3.4.2

มาตรการรักษาความปลอดภัย 3.6.2

มาตรการรักษาความปลอดภัย 3.6.2

มาตรการรักษาความปลอดภัยข้อมูล 3.6.3

มาตรการรักษาความปลอดภัยข้อมูลองค์กร 3.6.4

มาตรการรักษาความปลอดภัยข้อมูล 3.6.3

มาตรการรักษาความปลอดภัยข้อมูลองค์กร 3.4.6

รูปแบบภัยคุกคาม (ความปลอดภัยของข้อมูล) 3.3.3

การตรวจสอบความปลอดภัยของข้อมูลองค์กร 3.5.2

การติดตามความปลอดภัยของข้อมูลองค์กร 3.5.2

การละเมิดความปลอดภัยของข้อมูลขององค์กร 3.2.4

การละเมิดความปลอดภัยของข้อมูลขององค์กร 3.2.4

ผู้ละเมิดความปลอดภัยของข้อมูลองค์กร 3.3.5

ผู้ละเมิดความปลอดภัยของข้อมูลขององค์กร 3.3.5

รองรับระบบข้อมูลอัตโนมัติ 3.1.12

ซอฟต์แวร์ระบบอัตโนมัติ 3.1.11

การสนับสนุนด้านเทคนิคของระบบอัตโนมัติ 3.1.10

AS ข้อมูลสนับสนุน 3.1.12

ซอฟต์แวร์ AC 3.1.11

การสนับสนุนด้านเทคนิค AC 3.1.10

สร้างความมั่นใจในความปลอดภัยของข้อมูลขององค์กร 3.6.1

สร้างความมั่นใจในความปลอดภัยของข้อมูลขององค์กร 3.6.1

การรักษาความเสี่ยงด้านความปลอดภัยข้อมูลขององค์กร 3.2.15

GOST ร 53114-2008

การจัดการความเสี่ยงด้านความปลอดภัยข้อมูลขององค์กร 3.2.1ส

วัตถุคุ้มครองข้อมูล 3.2.2

วัตถุข้อมูล 3.1.5

อ็อบเจ็กต์สำคัญ 3.1.16

การกำหนดระดับความเสี่ยงที่ยอมรับได้ 3.2.14

การประเมินความเสี่ยง 3.2.10

การประเมินความเสี่ยง I6 (องค์กร) 3.2.11

การประเมินความเสี่ยงด้านความปลอดภัยของข้อมูล (องค์กร) 3.2.11

การประเมินการปฏิบัติตาม IS ขององค์กรตามข้อกำหนดที่กำหนดไว้ 3.5.5

การประเมินการปฏิบัติตามความปลอดภัยของข้อมูลขององค์กรตามข้อกำหนดที่กำหนดไว้ 3.5.5

การสกัดกั้น (ข้อมูล) 3.3.12

นโยบาย IS (องค์กร) 3.2.18

นโยบายความปลอดภัยของข้อมูล (องค์กร) 3.2.18

กระบวนการ (เทคโนโลยีสารสนเทศ) ได้รับการคุ้มครอง 3.2.3

กระบวนการข้อมูล 3.1.8

การเปิดเผยข้อมูล 3.3.11

ทรัพยากรระบบประมวลผลข้อมูล 3.1.7

บทบาทของความมั่นคงปลอดภัยสารสนเทศในองค์กร 3.4.4

บทบาทของความมั่นคงปลอดภัยสารสนเทศ 8 ในองค์กร 3.4.4

ใบรับรอง (หลักฐาน) การตรวจสอบ IS ขององค์กร 3.5.4

หลักฐาน (หลักฐาน) การตรวจสอบความปลอดภัยของข้อมูลขององค์กร 3.5.4

บริการ 3.1.13

สัญญาณข้อมูล 3.3.13

ระบบอัตโนมัติที่ปลอดภัย 3.1.19

ระบบเอกสารความมั่นคงปลอดภัยสารสนเทศในองค์กร 3.2.20

ระบบเอกสารเกี่ยวกับความปลอดภัยของข้อมูลในองค์กร 3.2.20

ระบบโครงสร้างพื้นฐานสารสนเทศที่สำคัญ 3.1.15

ระบบโครงสร้างพื้นฐานสารสนเทศที่สำคัญ 3.1.15

ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ 3.4.3

ระบบข้อมูลข้อมูลส่วนบุคคล 3.1.17

สถานการณ์ที่ไม่คาดฝัน 3.2.5

สถานการณ์อันตราย 3.2.6

สถานการณ์ฉุกเฉิน 3.2.5

บริการรักษาความปลอดภัยข้อมูลองค์กร 3.4.6

เหตุการณ์ 3.2.8

การป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต 3.6.7

เครื่องมือรักษาความปลอดภัยข้อมูลทางเทคนิค 3.6.5

เครื่องมือรักษาความปลอดภัยข้อมูลทางเทคนิค 3.6.5

เครื่องมือตรวจจับการโจมตี 3.6.6

เครื่องมือตรวจจับการบุกรุก 3.6.6

ทรงกลมข้อมูล 3.1.3

เทคโนโลยีสารสนเทศ 3.1.9

ภัยคุกคาม (ความปลอดภัยของข้อมูล) 3.3.2

ภัยคุกคามต่อความมั่นคงปลอดภัยข้อมูลขององค์กร 3.3.1

ภัยคุกคามต่อความมั่นคงปลอดภัยข้อมูลขององค์กร 3.3.1

การบริหารความเสี่ยง 3.2.16

บริการ 3.1.13

บริการเทคโนโลยีสารสนเทศ 3.1.14

บริการไอที 3.1.14

ข้อมูลรั่วไหล 3.3.10

ช่องโหว่ (ระบบสารสนเทศ) 3.3.4

เป้าหมาย IS (องค์กร) 3.2.19

เป้าหมายความปลอดภัยของข้อมูล (องค์กร) 3.2.19

รังสีแม่เหล็กไฟฟ้าและการรบกวนด้านข้าง 3.3.15

ประสิทธิภาพ IS 3.5.9

ความมีประสิทธิผลของการรักษาความปลอดภัยข้อมูล 3.5.9

GOST ร 53114-2008

ภาคผนวก A (ข้อมูลอ้างอิง)

ข้อกำหนดและคำจำกัดความของแนวคิดทางเทคนิคทั่วไป

องค์กร: กลุ่มคนงานและทรัพยากรที่จำเป็นซึ่งมีการกระจายความรับผิดชอบ อำนาจ และความสัมพันธ์

(GOST R ISO 9000-2001 วรรค 3.3.1]

หมายเหตุ

1 องค์กร ได้แก่: บริษัท บรรษัท บริษัท วิสาหกิจ สถาบัน องค์กรการกุศล วิสาหกิจการค้าปลีก สมาคม เช่นเดียวกับเขตการปกครองหรือการรวมกันของพวกเขา

2 การกระจายมักจะสั่ง

3 องค์กรอาจเป็นภาครัฐหรือเอกชนก็ได้

ก.2 ธุรกิจ : กิจกรรมทางเศรษฐกิจที่สร้างผลกำไร กิจกรรมทุกประเภทที่สร้างรายได้และเป็นบ่อเกิดของความเจริญรุ่งเรือง

กระบวนการทางธุรกิจ A.Z: กระบวนการที่ใช้ในกิจกรรมทางเศรษฐกิจขององค์กร

ข้อมูล: ข้อมูล (ข้อความ ข้อมูล) โดยไม่คำนึงถึงรูปแบบของการนำเสนอ

ทรัพย์สิน: ทั้งหมด สิ่งที่มีคุณค่าต่อองค์กร (GOST R ISO/IEC13335-1-2006, ย่อหน้าที่ 2.2(

ก.6 ทรัพยากร: สินทรัพย์ (ขององค์กร) ที่ใช้หรือบริโภคระหว่างการดำเนินการของกระบวนการ หมายเหตุ

1 ทรัพยากรอาจรวมถึงรายการที่หลากหลาย เช่น บุคลากร อุปกรณ์ สินทรัพย์ถาวร เครื่องมือ และสาธารณูปโภค เช่น พลังงาน น้ำ เชื้อเพลิง และโครงสร้างพื้นฐานเครือข่ายการสื่อสาร

2 ทรัพยากรสามารถนำกลับมาใช้ใหม่ หมุนเวียน หรือบริโภคได้

ก.7 อันตราย: คุณสมบัติของวัตถุที่แสดงถึงความสามารถในการสร้างความเสียหายหรืออันตรายต่อวัตถุอื่น ก.8 เหตุการณ์ฉุกเฉิน: เหตุการณ์ที่นำไปสู่สถานการณ์ฉุกเฉิน

ก.9 ความเสียหาย: ความเสียหายทางกายภาพหรืออันตรายต่อสุขภาพของมนุษย์หรือความเสียหายต่อทรัพย์สินหรือสิ่งแวดล้อม

ก. 10 ภัยคุกคาม: ชุดของเงื่อนไขและปัจจัยที่อาจทำให้เกิดการละเมิดความสมบูรณ์และความพร้อม ความเป็นส่วนตัว.

ก.11 ช่องโหว่: คุณสมบัติภายในของออบเจ็กต์ที่สร้างความอ่อนไหวต่อผลกระทบของแหล่งความเสี่ยงที่อาจนำไปสู่ผลที่ตามมาบางประการ

ก. การโจมตี 12: ความพยายามที่จะเอาชนะระบบรักษาความปลอดภัยของระบบสารสนเทศ

หมายเหตุ - ระดับของ "ความสำเร็จ" ของการโจมตีขึ้นอยู่กับช่องโหว่และประสิทธิผลของระบบป้องกัน

ก.13 การจัดการ : กิจกรรมประสานงานเพื่อการกำกับดูแลและการจัดการขององค์กร

ก.14 การจัดการธุรกิจ (ความต่อเนื่อง): กิจกรรมการจัดการและการควบคุมที่ประสานงาน

กระบวนการทางธุรกิจขององค์กร

ก. บทบาทที่ 15: ชุดกฎและขั้นตอนที่กำหนดไว้ล่วงหน้าสำหรับกิจกรรมขององค์กรที่สร้างปฏิสัมพันธ์ที่ยอมรับได้ระหว่างหัวเรื่องและเป้าหมายของกิจกรรม

เจ้าของข้อมูล: บุคคลที่สร้างข้อมูลอย่างอิสระหรือได้รับสิทธิในการอนุญาตหรือจำกัดการเข้าถึงข้อมูลที่กำหนดโดยเกณฑ์ใด ๆ ตามกฎหมายหรือข้อตกลง

GOST ร 53114-2008

โครงสร้างพื้นฐาน: จำนวนทั้งสิ้นของอาคาร อุปกรณ์ และบริการสนับสนุนที่จำเป็นสำหรับการทำงานขององค์กร

[GOST R ISO 9000-2001. วรรค 3.3.3]

ก.18 การตรวจสอบ: กระบวนการที่เป็นระบบ เป็นอิสระ และจัดทำเป็นเอกสารในการได้มาซึ่งหลักฐานการตรวจสอบ และการประเมินอย่างเป็นกลาง เพื่อกำหนดขอบเขตที่เป็นไปตามเกณฑ์การตรวจสอบที่ตกลงกันไว้

หมายเหตุ

1 การตรวจสอบภายใน เรียกว่าการตรวจสอบจากบุคคลที่หนึ่ง ดำเนินการโดยองค์กรเองหรือในนามขององค์กรอื่น ผลการตรวจสอบภายในอาจใช้เป็นพื้นฐานในการประกาศความสอดคล้อง ในหลายกรณี โดยเฉพาะอย่างยิ่งในธุรกิจขนาดเล็ก การตรวจสอบจะต้องดำเนินการโดยผู้เชี่ยวชาญ (บุคคลที่ไม่รับผิดชอบต่อกิจกรรมที่กำลังตรวจสอบ)

หมายเหตุ 2 การตรวจสอบภายนอกรวมถึงการตรวจสอบที่เรียกว่าการตรวจสอบบุคคลที่สามและการตรวจสอบบุคคลที่สาม การตรวจสอบโดยบุคคลที่สามดำเนินการโดยฝ่ายที่สนใจในกิจกรรมขององค์กรเป็นต้น

ผู้บริโภคหรือบุคคลอื่นในนามของพวกเขา การตรวจสอบโดยบุคคลที่สามดำเนินการโดยองค์กรอิสระภายนอก องค์กรเหล่านี้ดำเนินการรับรองหรือลงทะเบียนเพื่อให้เป็นไปตามข้อกำหนดเช่นข้อกำหนดของ GOST R ISO 9001 และ GOST R ISO 14001

3 การตรวจสอบระบบการจัดการคุณภาพและระบบการจัดการสิ่งแวดล้อมที่ดำเนินการไปพร้อมๆ กันเรียกว่า “การตรวจสอบที่ครอบคลุม”

4 หากการตรวจสอบขององค์กรที่ได้รับการตรวจสอบดำเนินการโดยหลายองค์กรพร้อมกัน การตรวจสอบดังกล่าวจะเรียกว่า "การตรวจสอบร่วม"

ก.19 การติดตาม: การติดตามวัตถุอย่างเป็นระบบหรือต่อเนื่อง เพื่อให้มั่นใจในการควบคุมและ/หรือการวัดพารามิเตอร์ ตลอดจนดำเนินการวิเคราะห์เพื่อทำนายความแปรปรวนของพารามิเตอร์ และตัดสินใจเกี่ยวกับความจำเป็นและองค์ประกอบของการดำเนินการแก้ไขและป้องกัน

การประกาศความสอดคล้อง: รูปแบบการยืนยันการปฏิบัติตามข้อกำหนดของผลิตภัณฑ์ตามข้อกำหนดของกฎระเบียบทางเทคนิค

ก.21 เทคโนโลยี: ระบบวิธีการ วิธีการ เทคนิคของกิจกรรมวัตถุประสงค์ที่เชื่อมโยงถึงกัน ก.22

เอกสาร: ข้อมูลที่บันทึกไว้ในสื่อที่จับต้องได้พร้อมรายละเอียดที่ทำให้สามารถระบุได้

[GOST ร 52069.0-2003 ย่อหน้าที่ 3.18]

ก.23 การประมวลผลข้อมูล: ชุดของการดำเนินการรวบรวม การสะสม อินพุต เอาท์พุต การรับ การส่งผ่าน การบันทึก การจัดเก็บ การลงทะเบียน การทำลาย การแปลง การแสดงผล การดำเนินการกับข้อมูล

GOST ร 53114-2008

ภาคผนวก B (สำหรับการอ้างอิง)

ความสัมพันธ์ของแนวคิดพื้นฐานด้านความปลอดภัยข้อมูลในองค์กร

ความสัมพันธ์ระหว่างแนวคิดพื้นฐานแสดงไว้ในรูปที่ ข.1

รูปที่ ข.1 - ความสัมพันธ์ระหว่างแนวคิดพื้นฐาน

GOST ร 53114-2008

บรรณานุกรม

(1) R 50.1.053-2005

(2]PS0.1.056-2005

เทคโนโลยีสารสนเทศ. ข้อกำหนดและคำจำกัดความพื้นฐานในด้านการรักษาความปลอดภัยข้อมูลทางเทคนิค ความปลอดภัยของข้อมูลทางเทคนิค ข้อกำหนดและคำจำกัดความพื้นฐาน

เกี่ยวกับกฎระเบียบทางเทคนิค

เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการปกป้องข้อมูล

เกี่ยวกับข้อมูลส่วนบุคคล

หลักคำสอนด้านความปลอดภัยข้อมูลของสหพันธรัฐรัสเซีย

UDC 351.864.1:004:006.354 ตกลง 35.020 LLP

คำสำคัญ: ข้อมูล ความปลอดภัยของข้อมูล ความปลอดภัยของข้อมูลในองค์กร ภัยคุกคามต่อความปลอดภัยของข้อมูล เกณฑ์ความปลอดภัยของข้อมูล

บรรณาธิการ V.N. ตำรวจถั่วเหลือง บรรณาธิการด้านเทคนิค V.N. พรูซาโควา Corrector V.E. ซอฟต์แวร์คอมพิวเตอร์ Nestorovo I.A. นาเปอิคิโนะโอ

จัดส่งให้เมื่อ 11/06/2009 ประทับตราลงนาม 12/01/2552 รูปแบบกระดาษออฟเซต 60"84. แบบอักษรอาเรียล การพิมพ์ออฟเซต สหรัฐอเมริกา เตาอบ ล. 2.32. อุช.-เอ็ด. ล. 1.90. ยอดจำหน่าย 373 »kz. แซค. 626

FSUE "มาตรฐาน*. 123995 มอสโก ทับทิม ป.. 4. info@goslmlo gi

พิมพ์ลงใน FSUE "STANDARTINFORM" บนพีซี

จัดพิมพ์ที่สาขา FSUE "STANDARTINFORM* - แบบ "เครื่องพิมพ์มอสโก" 105062 มอสโก เลนยาลิน..6.

• GOST 22731-77 ระบบการส่งข้อมูลขั้นตอนการควบคุมดาต้าลิงค์ในโหมดหลักสำหรับการแลกเปลี่ยนข้อมูลฮาล์ฟดูเพล็กซ์
• GOST 26525-85 ระบบประมวลผลข้อมูล ตัวชี้วัดการใช้งาน
• GOST 27771-88 ลักษณะขั้นตอนที่อินเทอร์เฟซระหว่างอุปกรณ์ปลายทางข้อมูลและอุปกรณ์ยุติช่องสัญญาณข้อมูล ข้อกำหนดและมาตรฐานทั่วไป
• GOST 28082-89 ระบบประมวลผลข้อมูล วิธีการตรวจจับข้อผิดพลาดในการส่งข้อมูลแบบอนุกรม
• GOST 28270-89 ระบบประมวลผลข้อมูล ข้อกำหนดไฟล์คำอธิบายข้อมูลสำหรับการแลกเปลี่ยนข้อมูล
• GOST R 43.2.11-2014 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ภาษาของตัวดำเนินการ การนำเสนอข้อมูลข้อความในรูปแบบข้อความอย่างมีโครงสร้าง
• GOST R 43.2.8-2014 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ภาษาของตัวดำเนินการ รูปแบบข้อความสำหรับกิจกรรมด้านเทคนิค
• GOST R 43.4.1-2011 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ระบบ "ข้อมูลมนุษย์"
• GOST R 53633.10-2015 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม แผนผังกิจกรรมองค์กรการสื่อสารขยาย (eTOM) การสลายตัวและคำอธิบายของกระบวนการ กระบวนการ eTOM ระดับ 2 การจัดการองค์กร การบริหารความเสี่ยงองค์กร
• GOST R 53633.11-2015 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม แผนภาพกิจกรรมองค์กรการสื่อสารแบบขยาย (eTOM) คำอธิบายการสลายตัวและกระบวนการ กระบวนการ eTOM ระดับ 2 การจัดการองค์กร การจัดการผลการปฏิบัติงานขององค์กร
• GOST R 53633.4-2015 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม แผนผังกิจกรรมองค์กรการสื่อสารขยาย (eTOM) การสลายตัวและคำอธิบายกระบวนการ กระบวนการ eTOM ระดับ 2 กิจกรรมเบื้องต้น การจัดการบริการและการดำเนินงาน
• GOST R 53633.7-2015 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม แผนผังกิจกรรมองค์กรการสื่อสารขยาย (eTOM) การสลายตัวและคำอธิบายกระบวนการ กระบวนการ eTOM ระดับ 2 กลยุทธ์ โครงสร้างพื้นฐาน และผลิตภัณฑ์ การพัฒนาและการจัดการทรัพยากร
• GOST R 53633.9-2015 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม แผนผังกิจกรรมองค์กรการสื่อสารขยาย (eTOM) การสลายตัวและคำอธิบายของกระบวนการ กระบวนการ eTOM ระดับ 2 การจัดการองค์กร การวางแผนกลยุทธ์และการพัฒนาองค์กร
• GOST R 55767-2013 เทคโนโลยีสารสนเทศ กรอบความสามารถด้าน ICT ของยุโรป 2.0 ส่วนที่ 1 กรอบความสามารถทั่วไปของยุโรปสำหรับผู้เชี่ยวชาญด้าน ICT สำหรับทุกภาคอุตสาหกรรม
• GOST R 55768-2013 เทคโนโลยีสารสนเทศ แบบจำลองของระบบกริดแบบเปิด บทบัญญัติพื้นฐาน
• GOST R 56093-2014 การคุ้มครองข้อมูล ระบบอัตโนมัติในการออกแบบที่ปลอดภัย หมายถึงการตรวจจับอิทธิพลของแม่เหล็กไฟฟ้าแรงโดยเจตนา ข้อกำหนดทั่วไป
• GOST R 56115-2014 การคุ้มครองข้อมูล ระบบอัตโนมัติในการออกแบบที่ปลอดภัย วิธีการป้องกันอิทธิพลแม่เหล็กไฟฟ้าแรงโดยเจตนา ข้อกำหนดทั่วไป
• GOST R 56545-2015 การคุ้มครองข้อมูล ช่องโหว่ของระบบสารสนเทศ กฎสำหรับการอธิบายช่องโหว่
• GOST R 56546-2015 การคุ้มครองข้อมูล ช่องโหว่ของระบบสารสนเทศ การจำแนกช่องโหว่ของระบบสารสนเทศ
• GOST IEC 60950-21-2013 อุปกรณ์เทคโนโลยีสารสนเทศ ข้อกำหนดด้านความปลอดภัย ตอนที่ 21 แหล่งจ่ายไฟระยะไกล
• GOST IEC 60950-22-2013 อุปกรณ์เทคโนโลยีสารสนเทศ ข้อกำหนดด้านความปลอดภัย ส่วนที่ 22 อุปกรณ์ที่มีไว้สำหรับการติดตั้งกลางแจ้ง
• GOST R 51583-2014 การคุ้มครองข้อมูล ขั้นตอนการสร้างระบบอัตโนมัติในการออกแบบที่ปลอดภัย บทบัญญัติทั่วไป
• GOST R 55766-2013 เทคโนโลยีสารสนเทศ กรอบความสามารถด้าน ICT ของยุโรป 2.0 ส่วนที่ 3 การสร้าง e-CF - ผสมผสานรากฐานด้านระเบียบวิธีและประสบการณ์ของผู้เชี่ยวชาญ
• GOST R 55248-2012 ความปลอดภัยทางไฟฟ้า การจำแนกประเภทของส่วนต่อประสานสำหรับอุปกรณ์ที่เชื่อมต่อกับเครือข่ายเทคโนโลยีสารสนเทศและการสื่อสาร
• GOST R 43.0.11-2014 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ฐานข้อมูลในกิจกรรมทางเทคนิค
• GOST R 56174-2014 เทคโนโลยีสารสนเทศ สถาปัตยกรรมการบริการของสภาพแวดล้อมกริดแบบเปิด ข้อกำหนดและคำจำกัดความ
• GOST IEC 61606-4-2014 อุปกรณ์ภาพและเสียง ส่วนประกอบของอุปกรณ์เครื่องเสียงดิจิตอล วิธีการพื้นฐานในการวัดลักษณะเสียง ส่วนที่ 4 คอมพิวเตอร์ส่วนบุคคล
• GOST R 43.2.5-2011 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ภาษาของตัวดำเนินการ ไวยากรณ์
• GOST R 53633.5-2012 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม แผนผังกิจกรรมองค์กรการสื่อสารขยาย (eTOM) การสลายตัวและคำอธิบายกระบวนการ กระบวนการ eTOM ระดับ 2 กลยุทธ์ โครงสร้างพื้นฐาน และผลิตภัณฑ์ การจัดการการตลาดและการนำเสนอผลิตภัณฑ์
• GOST R 53633.6-2012 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม แผนผังกิจกรรมองค์กรการสื่อสารขยาย (eTOM) การสลายตัวและคำอธิบายของกระบวนการ กระบวนการ eTOM ระดับ 2 กลยุทธ์ โครงสร้างพื้นฐาน และผลิตภัณฑ์ การพัฒนาและการจัดการบริการ
• GOST R 53633.8-2012 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม แผนผังกิจกรรมองค์กรการสื่อสารขยาย (eTOM) การสลายตัวและคำอธิบายของกระบวนการ กระบวนการ eTOM ระดับ 2 กลยุทธ์ โครงสร้างพื้นฐาน และผลิตภัณฑ์ การพัฒนาและการจัดการห่วงโซ่อุปทาน
• GOST R 43.0.7-2011 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ปฏิสัมพันธ์ระหว่างมนุษย์กับข้อมูลแบบไฮบริด บทบัญญัติทั่วไป
• GOST R 43.2.6-2011 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ภาษาของตัวดำเนินการ สัณฐานวิทยา
• GOST R 53633.14-2016 เทคโนโลยีสารสนเทศ เครือข่ายการจัดการโทรคมนาคมเป็นกรอบการดำเนินงานองค์กรการสื่อสารแบบขยาย (eTOM) การสลายตัวและคำอธิบายของกระบวนการ กระบวนการ eTOM ระดับ 2 การจัดการองค์กร การจัดการผู้มีส่วนได้เสียและความสัมพันธ์ภายนอก
• GOST R 56938-2016 การคุ้มครองข้อมูล การปกป้องข้อมูลเมื่อใช้เทคโนโลยีเวอร์ช่วลไลเซชั่น บทบัญญัติทั่วไป
• GOST R 56939-2016 การคุ้มครองข้อมูล การพัฒนาซอฟต์แวร์ที่ปลอดภัย ข้อกำหนดทั่วไป
• GOST R ISO/IEC 17963-2016 ข้อมูลจำเพาะของบริการเว็บเพื่อการจัดการ (การจัดการ WS)
• GOST R 43.0.6-2011 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ปฏิสัมพันธ์ระหว่างมนุษย์กับข้อมูลทางปัญญาโดยธรรมชาติ บทบัญญัติทั่วไป
• GOST R 54817-2011 การจุดระเบิดของอุปกรณ์เสียงวิดีโอเทคโนโลยีสารสนเทศและอุปกรณ์สื่อสารที่เกิดจากเปลวเทียนโดยไม่ได้ตั้งใจ
• GOST R IEC 60950-23-2011 อุปกรณ์เทคโนโลยีสารสนเทศ ข้อกำหนดด้านความปลอดภัย ตอนที่ 23 อุปกรณ์สำหรับจัดเก็บข้อมูลปริมาณมาก
• GOST R IEC 62018-2011 การใช้พลังงานของอุปกรณ์เทคโนโลยีสารสนเทศ วิธีการวัด
• GOST R 53538-2009 สายเคเบิลหลายคู่พร้อมตัวนำทองแดงสำหรับวงจรการเข้าถึงบรอดแบนด์ ข้อกำหนดทางเทคนิคทั่วไป
• GOST R 53633.0-2009 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม ขยายโครงการกิจกรรมองค์กรการสื่อสาร (eTOM) โครงสร้างทั่วไปของกระบวนการทางธุรกิจ
• GOST R 53633.1-2009 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม ขยายโครงการกิจกรรมองค์กรการสื่อสาร (eTOM) การสลายตัวและคำอธิบายกระบวนการ กระบวนการ eTOM ระดับ 2 กิจกรรมเบื้องต้น การจัดการความสัมพันธ์กับซัพพลายเออร์และคู่ค้า
• GOST R 53633.2-2009 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม ขยายโครงการกิจกรรมองค์กรการสื่อสาร (eTOM) การสลายตัวและคำอธิบายของกระบวนการ กระบวนการ eTOM ระดับ 2 กิจกรรมเบื้องต้น การจัดการทรัพยากรและการปฏิบัติการ
• GOST R 53633.3-2009 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม ขยายโครงการกิจกรรมองค์กรการสื่อสาร (eTOM) การสลายตัวและคำอธิบายของกระบวนการ กระบวนการ eTOM ระดับ 2 กิจกรรมเบื้องต้น การจัดการลูกค้าสัมพันธ์
• GOST R ISO/IEC 20000-2-2010 เทคโนโลยีสารสนเทศ การจัดการบริการ ส่วนที่ 2: หลักปฏิบัติ
• GOST R 43.0.3-2009 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน เทคโนโลยีเที่ยงในกิจกรรมด้านเทคนิค บทบัญญัติทั่วไป
• GOST R 43.0.4-2009 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ข้อมูลในกิจกรรมด้านเทคนิค บทบัญญัติทั่วไป
• GOST R 43.0.5-2009 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน กระบวนการแลกเปลี่ยนข้อมูลในกิจกรรมทางเทคนิค บทบัญญัติทั่วไป
• GOST R 43.2.1-2007 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ภาษาของตัวดำเนินการ บทบัญญัติทั่วไป
• GOST R 43.2.2-2009 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ภาษาของตัวดำเนินการ ข้อกำหนดทั่วไปสำหรับการใช้งาน
• GOST R 43.2.3-2009 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ภาษาของตัวดำเนินการ ประเภทและคุณสมบัติของส่วนประกอบที่เป็นสัญลักษณ์
• GOST R 43.2.4-2009 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ภาษาของตัวดำเนินการ วากยสัมพันธ์ของส่วนประกอบสัญญาณ
• GOST R 52919-2008 เทคโนโลยีสารสนเทศ วิธีการและวิธีการป้องกันทางกายภาพ การจำแนกประเภทและวิธีทดสอบการทนไฟ ห้องข้อมูลและคอนเทนเนอร์
• GOST R 53114-2008 การคุ้มครองข้อมูล การดูแลความปลอดภัยของข้อมูลในองค์กร ข้อกำหนดและคำจำกัดความพื้นฐาน
• GOST R 53245-2008 เทคโนโลยีสารสนเทศ ระบบเคเบิลที่มีโครงสร้าง การติดตั้งส่วนประกอบหลักของระบบ วิธีการทดสอบ
• GOST R 53246-2008 เทคโนโลยีสารสนเทศ ระบบเคเบิลที่มีโครงสร้าง การออกแบบส่วนประกอบหลักของระบบ ข้อกำหนดทั่วไป
• GOST R IEC 60990-2010 วิธีการวัดกระแสสัมผัสและกระแสตัวนำป้องกัน
• GOST 33707-2016 เทคโนโลยีสารสนเทศ พจนานุกรม
• GOST R 57392-2017 เทคโนโลยีสารสนเทศ การจัดการบริการ ตอนที่ 10 แนวคิดพื้นฐานและคำศัพท์เฉพาะทาง
• GOST R 43.0.13-2017 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน กำกับการฝึกอบรมผู้เชี่ยวชาญ
• GOST R 43.0.8-2017 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ปฏิสัมพันธ์ของมนุษย์กับข้อมูลทางปัญญาเทียม บทบัญญัติทั่วไป
• GOST R 43.0.9-2017 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน แหล่งข้อมูล
• GOST R 43.2.7-2017 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน ภาษาของตัวดำเนินการ ไวยากรณ์
• GOST R ISO/IEC 38500-2017 เทคโนโลยีสารสนเทศ การจัดการไอทีเชิงกลยุทธ์ในองค์กร
• GOST R 43.0.10-2017 การสนับสนุนข้อมูลสำหรับอุปกรณ์และกิจกรรมของผู้ปฏิบัติงาน วัตถุสารสนเทศ การออกแบบเชิงวัตถุในการสร้างข้อมูลทางเทคนิค
• GOST R 53633.21-2017 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม ขยายโครงการกิจกรรมองค์กรการสื่อสาร (eTOM) การสลายตัวและคำอธิบายของกระบวนการ กิจกรรมเบื้องต้น การจัดการและการดำเนินงานบริการ กระบวนการ eTOM ระดับ 3 กระบวนการ 1.1.2.1 - การสนับสนุนและความพร้อมใช้งานของกระบวนการ SM&O
• GOST R 57875-2017 โทรคมนาคม แผนภาพการเชื่อมต่อและการต่อสายดินในศูนย์โทรคมนาคม
• GOST R 53633.22-2017 เทคโนโลยีสารสนเทศ โครงข่ายควบคุมโทรคมนาคม ขยายโครงการกิจกรรมองค์กรการสื่อสาร (eTOM) การสลายตัวและคำอธิบายของกระบวนการ กิจกรรมเบื้องต้น การจัดการและการดำเนินงานบริการ กระบวนการ eTOM ระดับ 3 กระบวนการ 1.1.2.2 - การกำหนดค่าและการเปิดใช้งานบริการ

มาตรฐานสากล

• BS 7799-1:2005 - British Standard BS 7799 ส่วนที่หนึ่ง BS 7799 ส่วนที่ 1 - หลักปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล อธิบายการควบคุม 127 รายการที่จำเป็นในการสร้าง ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS) ขององค์กร กำหนดบนพื้นฐานของตัวอย่างที่ดีที่สุดของประสบการณ์ระดับโลก (แนวทางปฏิบัติที่ดีที่สุด) ในด้านนี้ เอกสารนี้ทำหน้าที่เป็นแนวทางปฏิบัติในการสร้าง ISMS
• BS 7799-2:2005 - มาตรฐานอังกฤษ BS 7799 เป็นส่วนที่สองของมาตรฐาน BS 7799 ส่วนที่ 2 - การจัดการความปลอดภัยของข้อมูล - ข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูลระบุข้อกำหนด ISMS ส่วนที่สองของมาตรฐานจะใช้เป็นเกณฑ์ในระหว่างขั้นตอนการรับรองอย่างเป็นทางการสำหรับ ISMS ขององค์กร
• BS 7799-3:2006 - British Standard BS 7799 ส่วนที่สามของมาตรฐาน มาตรฐานใหม่ในการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล
• ISO/IEC 17799:2005 - "เทคโนโลยีสารสนเทศ - เทคโนโลยีความปลอดภัย - แนวทางปฏิบัติในการจัดการความปลอดภัยของข้อมูล" มาตรฐานสากลอ้างอิงจาก BS 7799-1:2005
• ISO/IEC 27000 - คำศัพท์และคำจำกัดความ
• ISO/IEC 27001:2005 - "เทคโนโลยีสารสนเทศ - เทคนิคความปลอดภัย - ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนด" มาตรฐานสากลอ้างอิงจาก BS 7799-2:2005
• ISO/IEC 27002 - ปัจจุบัน: ISO/IEC 17799:2005 "เทคโนโลยีสารสนเทศ - เทคโนโลยีความปลอดภัย - กฎการปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล" วันที่วางจำหน่าย: 2007
• ISO/IEC 27005 - ปัจจุบัน: BS 7799-3:2006 - คำแนะนำเกี่ยวกับการบริหารความเสี่ยงด้านความปลอดภัยของข้อมูล
• หน่วยงานรักษาความปลอดภัยข้อมูลของเยอรมัน คู่มือการป้องกันพื้นฐานด้านไอที - การรักษาความปลอดภัยมาตรฐาน

มาตรฐานของรัฐ (ระดับชาติ) ของสหพันธรัฐรัสเซีย

• GOST R 50922-2006 - การปกป้องข้อมูล ข้อกำหนดและคำจำกัดความพื้นฐาน
• R 50.1.053-2005 - เทคโนโลยีสารสนเทศ ข้อกำหนดและคำจำกัดความพื้นฐานในด้านความปลอดภัยของข้อมูลทางเทคนิค
• GOST R 51188-98 - การปกป้องข้อมูล ซอฟต์แวร์ทดสอบไวรัสคอมพิวเตอร์ คู่มือรุ่น
• GOST R 51275-2006 - การปกป้องข้อมูล วัตถุข้อมูล ปัจจัยที่มีอิทธิพลต่อข้อมูล บทบัญญัติทั่วไป
• GOST R ISO/IEC 15408-1-2008 - เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 1 บทนำและแบบทั่วไป
• GOST R ISO/IEC 15408-2-2008 - เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 2 ข้อกำหนดด้านความปลอดภัยในการใช้งาน
• GOST R ISO/IEC 15408-3-2008 - เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 3 ข้อกำหนดการประกันความปลอดภัย
• GOST R ISO/IEC 15408 - "เกณฑ์ทั่วไปสำหรับการประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ" - มาตรฐานที่กำหนดเครื่องมือและวิธีการในการประเมินความปลอดภัยของผลิตภัณฑ์และระบบสารสนเทศ ประกอบด้วยรายการข้อกำหนดที่สามารถเปรียบเทียบผลการประเมินความปลอดภัยโดยหน่วยงานอิสระได้ ช่วยให้ผู้บริโภคตัดสินใจเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ได้ ขอบเขตของการใช้ "เกณฑ์ทั่วไป" คือการปกป้องข้อมูลจากการเข้าถึง การดัดแปลง หรือการรั่วไหลโดยไม่ได้รับอนุญาต และวิธีการป้องกันอื่น ๆ ที่ดำเนินการโดยฮาร์ดแวร์และซอฟต์แวร์
• GOST R ISO/IEC 17799 - “เทคโนโลยีสารสนเทศ กฎการปฏิบัติสำหรับการจัดการความมั่นคงปลอดภัยสารสนเทศ” การประยุกต์ใช้มาตรฐานสากลโดยตรงด้วยการเพิ่ม ISO/IEC 17799:2005
• GOST R ISO/IEC 27001 - “เทคโนโลยีสารสนเทศ วิธีการรักษาความปลอดภัย ระบบการจัดการความปลอดภัยของข้อมูล ความต้องการ". การบังคับใช้มาตรฐานสากลโดยตรงคือ ISO/IEC 27001:2005
• GOST R 51898-2002: ประเด็นด้านความปลอดภัย กฎเกณฑ์ในการรวมไว้ในมาตรฐาน

เอกสารแนะนำ

• อาร์ดี เอสวีที. การป้องกัน NSD ตัวบ่งชี้ความปลอดภัยจาก NSD ไปจนถึงข้อมูล - มีคำอธิบายของตัวบ่งชี้ความปลอดภัยของระบบข้อมูลและข้อกำหนดสำหรับคลาสความปลอดภัย

ดูสิ่งนี้ด้วย

• ความสามารถที่ไม่ได้ประกาศ

ลิงค์ภายนอก

• มาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศระหว่างประเทศ

มูลนิธิวิกิมีเดีย 2010.

ความสำคัญของการรับรองความปลอดภัยของข้อมูลนั้นยากที่จะประเมินสูงเกินไป เนื่องจากความจำเป็นในการจัดเก็บและถ่ายโอนข้อมูลเป็นส่วนสำคัญในการดำเนินธุรกิจ

วิธีการต่างๆ ของการรักษาความปลอดภัยข้อมูลขึ้นอยู่กับรูปแบบที่จัดเก็บ อย่างไรก็ตาม เพื่อจัดระบบและปรับปรุงพื้นที่นี้ จำเป็นต้องสร้างมาตรฐานความปลอดภัยของข้อมูล เนื่องจากการกำหนดมาตรฐานเป็นตัวกำหนดคุณภาพที่สำคัญในการประเมินบริการที่มีให้

ข้อกำหนดด้านความปลอดภัยของข้อมูลใดๆ จำเป็นต้องมีการควบคุมและตรวจสอบ ซึ่งไม่สามารถดำเนินการโดยการประเมินรายบุคคลเท่านั้น โดยไม่คำนึงถึงมาตรฐานระหว่างประเทศและมาตรฐานของรัฐ

การก่อตัวของมาตรฐานความปลอดภัยของข้อมูลเกิดขึ้นหลังจากคำจำกัดความที่ชัดเจนของฟังก์ชันและขอบเขต การรักษาความปลอดภัยของข้อมูลคือการรับประกันการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล

ในการกำหนดสถานะของความปลอดภัยของข้อมูล การประเมินเชิงคุณภาพจะมีประโยชน์มากที่สุด เนื่องจากสามารถแสดงระดับความปลอดภัยหรือช่องโหว่เป็นเปอร์เซ็นต์ได้ แต่ไม่ได้ให้ภาพรวมที่สมบูรณ์และเป็นกลาง

ในการประเมินและตรวจสอบความปลอดภัยของระบบข้อมูล คุณสามารถใช้คำแนะนำและคำแนะนำหลายประการ ซึ่งบ่งบอกถึงการสนับสนุนด้านกฎระเบียบ

มาตรฐานการรักษาความมั่นคงปลอดภัยสารสนเทศของรัฐและระหว่างประเทศ

การตรวจสอบและประเมินสถานะความปลอดภัยดำเนินการโดยการตรวจสอบการปฏิบัติตามมาตรฐานของรัฐ (GOST, ISO) และมาตรฐานสากล (Iso, เกณฑ์ทั่วไปสำหรับความปลอดภัยด้านไอที)

ชุดมาตรฐานสากลที่พัฒนาโดยองค์การระหว่างประเทศเพื่อการมาตรฐาน (ISO) คือชุดแนวทางปฏิบัติและคำแนะนำสำหรับการใช้งานระบบและอุปกรณ์รักษาความปลอดภัยข้อมูล

ISO 27000 เป็นหนึ่งในมาตรฐานการประเมินที่บังคับใช้และแพร่หลายมากที่สุด ซึ่งรวมถึงข้อกำหนดมากกว่า 15 ข้อและมีการเรียงลำดับหมายเลขตามลำดับ

ตามเกณฑ์การประเมินมาตรฐาน ISO 27000 ความปลอดภัยของข้อมูลไม่เพียงแต่มีความสมบูรณ์ การรักษาความลับ และความพร้อมใช้งานเท่านั้น แต่ยังรวมถึงความถูกต้อง ความน่าเชื่อถือ การทนต่อข้อผิดพลาด และความสามารถในการระบุตัวตนด้วย ตามอัตภาพ ชุดมาตรฐานนี้สามารถแบ่งออกเป็น 4 ส่วน:

• ภาพรวมและความรู้เบื้องต้นเกี่ยวกับคำศัพท์ คำอธิบายคำศัพท์ที่ใช้ในด้านความปลอดภัย
• ข้อกำหนดบังคับสำหรับระบบการจัดการความปลอดภัยของข้อมูล คำอธิบายโดยละเอียดเกี่ยวกับวิธีการและวิธีการจัดการระบบ เป็นมาตรฐานหลักของกลุ่มนี้
• คำแนะนำในการตรวจสอบ คำแนะนำในการควบคุมความปลอดภัย
• มาตรฐานที่แนะนำแนวทางปฏิบัติในการนำไปใช้ พัฒนา และปรับปรุงระบบการจัดการความปลอดภัยของข้อมูล

มาตรฐานความปลอดภัยข้อมูลของรัฐประกอบด้วยข้อบังคับและเอกสารจำนวนหนึ่งที่ประกอบด้วยบทบัญญัติมากกว่า 30 บท (GOST)

มาตรฐานต่างๆ ไม่เพียงมุ่งเป้าไปที่การกำหนดเกณฑ์การประเมินทั่วไปเท่านั้น เช่น GOST R ISO/IEC 15408 ซึ่งมีหลักเกณฑ์ด้านระเบียบวิธีสำหรับการประเมินความปลอดภัยและรายการข้อกำหนดสำหรับระบบการจัดการ สามารถระบุได้เฉพาะเจาะจงและยังมีคำแนะนำที่เป็นประโยชน์ด้วย

การจัดคลังสินค้าอย่างเหมาะสมและการติดตามการดำเนินงานอย่างสม่ำเสมอจะช่วยลดการโจรกรรมสินทรัพย์สินค้าและวัสดุซึ่งส่งผลเสียต่อความเป็นอยู่ทางการเงินขององค์กรใด ๆ โดยไม่คำนึงถึงรูปแบบการเป็นเจ้าของ

เมื่อถึงเวลาเปิดตัว ระบบอัตโนมัติของคลังสินค้าจะต้องผ่านขั้นตอนเพิ่มเติมอีกสองขั้นตอน ได้แก่ การทดสอบภายในและการกรอกข้อมูล หลังจากการเตรียมการดังกล่าว ระบบจะเริ่มการทำงานเต็มรูปแบบ อ่านเพิ่มเติมเกี่ยวกับระบบอัตโนมัติที่นี่

ความสัมพันธ์และชุดของเทคนิคนำไปสู่การพัฒนาข้อกำหนดทั่วไปและการรวมมาตรฐานระหว่างประเทศและรัฐเข้าด้วยกัน ดังนั้น GOST ของสหพันธรัฐรัสเซียจึงมีการเพิ่มเติมและการอ้างอิงถึงมาตรฐาน ISO สากล

ปฏิสัมพันธ์ดังกล่าวช่วยในการพัฒนาระบบควบคุมและการประเมินผลแบบครบวงจร ซึ่งจะช่วยเพิ่มประสิทธิภาพในการใช้ข้อกำหนดเหล่านี้ในทางปฏิบัติ การประเมินผลงานอย่างเป็นกลาง และปรับปรุงโดยทั่วไปอย่างมีนัยสำคัญ

การเปรียบเทียบและวิเคราะห์ระบบมาตรฐานระดับชาติและนานาชาติ

จำนวนมาตรฐานมาตรฐานยุโรปสำหรับการรับรองและควบคุมความปลอดภัยของข้อมูลนั้นเกินกว่ามาตรฐานทางกฎหมายที่กำหนดโดยสหพันธรัฐรัสเซียอย่างมีนัยสำคัญ

ในมาตรฐานของรัฐแห่งชาติ บทบัญญัติที่ใช้อยู่ในปัจจุบันเกี่ยวกับการปกป้องข้อมูลจากการแฮ็ก การรั่วไหล และการคุกคามต่อการสูญเสียที่อาจเกิดขึ้น ระบบรักษาความปลอดภัยต่างประเทศมีความเชี่ยวชาญในการพัฒนามาตรฐานสำหรับการเข้าถึงข้อมูลและการรับรองความถูกต้อง

นอกจากนี้ยังมีข้อแตกต่างในข้อกำหนดที่เกี่ยวข้องกับการดำเนินการควบคุมและการตรวจสอบระบบ นอกจากนี้แนวปฏิบัติในการประยุกต์และการนำระบบการจัดการความปลอดภัยของข้อมูลตามมาตรฐานยุโรปไปใช้นั้นแสดงให้เห็นในเกือบทุกด้านของชีวิตและมาตรฐานของสหพันธรัฐรัสเซียมีวัตถุประสงค์หลักเพื่อรักษาความเป็นอยู่ที่ดีของวัสดุ

อย่างไรก็ตาม มาตรฐานของรัฐที่ได้รับการปรับปรุงอย่างต่อเนื่องประกอบด้วยชุดข้อกำหนดขั้นต่ำที่จำเป็นเพื่อสร้างระบบการจัดการความปลอดภัยของข้อมูลที่มีความสามารถ

มาตรฐานการรักษาความปลอดภัยของข้อมูลสำหรับการส่งข้อมูล

การทำธุรกิจเกี่ยวข้องกับการจัดเก็บ แลกเปลี่ยน และส่งข้อมูลผ่านทางอินเทอร์เน็ต ในโลกสมัยใหม่ ธุรกรรมสกุลเงิน กิจกรรมเชิงพาณิชย์ และการโอนเงินมักเกิดขึ้นทางออนไลน์ และเป็นไปได้ที่จะรับประกันความปลอดภัยของข้อมูลของกิจกรรมนี้โดยการใช้แนวทางที่มีความสามารถและเป็นมืออาชีพเท่านั้น

มีมาตรฐานมากมายบนอินเทอร์เน็ตที่รับประกันการจัดเก็บและการส่งข้อมูลอย่างปลอดภัย โปรแกรมป้องกันไวรัสที่รู้จักกันดี โปรโตคอลพิเศษสำหรับธุรกรรมทางการเงิน และอื่นๆ อีกมากมาย

ความเร็วของการพัฒนาเทคโนโลยีสารสนเทศและระบบนั้นยอดเยี่ยมมากจนเกินกว่าการสร้างโปรโตคอลและมาตรฐานที่เหมือนกันสำหรับการใช้งาน

หนึ่งในโปรโตคอลการถ่ายโอนข้อมูลที่ปลอดภัยยอดนิยมคือ SSL (Secure Socket Layer) ซึ่งพัฒนาโดยผู้เชี่ยวชาญชาวอเมริกัน ช่วยให้คุณสามารถปกป้องข้อมูลโดยใช้การเข้ารหัส

ข้อดีของโปรโตคอลนี้คือความเป็นไปได้ในการตรวจสอบและรับรองความถูกต้อง เช่น ทันทีก่อนการแลกเปลี่ยนข้อมูล อย่างไรก็ตาม การใช้ระบบดังกล่าวในการถ่ายโอนข้อมูลค่อนข้างเป็นคำแนะนำ เนื่องจากผู้ประกอบการไม่จำเป็นต้องใช้มาตรฐานเหล่านี้

ในการเปิด LLC คุณต้องมีกฎบัตรขององค์กร ขั้นตอนที่ได้รับการพัฒนาตามกฎหมายของสหพันธรัฐรัสเซีย คุณสามารถเขียนเอง นำตัวอย่างมาตรฐานมาเป็นแนวทาง หรือคุณสามารถติดต่อผู้เชี่ยวชาญที่จะเขียนมันได้

นักธุรกิจที่ต้องการวางแผนพัฒนาธุรกิจของตัวเองในฐานะผู้ประกอบการแต่ละรายจะต้องระบุรหัสกิจกรรมทางเศรษฐกิจตาม OKVED เมื่อกรอกใบสมัคร รายละเอียดที่นี่

เพื่อดำเนินการธุรกรรมและการดำเนินงานที่ปลอดภัย จึงมีการพัฒนาโปรโตคอลการส่งผ่านข้อมูลของตลาดหลักทรัพย์ (ธุรกรรมทางอิเล็กทรอนิกส์เพื่อความปลอดภัย) ซึ่งช่วยให้ลดความเสี่ยงเมื่อดำเนินการเชิงพาณิชย์และการค้า โปรโตคอลนี้เป็นมาตรฐานสำหรับระบบการชำระเงินของ Visa และ Master Card ซึ่งช่วยให้สามารถใช้กลไกความปลอดภัยของระบบการชำระเงินได้

คณะกรรมการที่สร้างมาตรฐานทรัพยากรอินเทอร์เน็ตนั้นเป็นไปโดยสมัครใจ ดังนั้นกิจกรรมที่พวกเขาดำเนินการจึงไม่ถูกกฎหมายและบังคับ

อย่างไรก็ตาม การฉ้อโกงบนอินเทอร์เน็ตในโลกสมัยใหม่ถือเป็นปัญหาระดับโลกอย่างหนึ่ง ดังนั้นจึงเป็นไปไม่ได้เลยที่จะรับประกันความปลอดภัยของข้อมูลหากปราศจากการใช้เทคโนโลยีพิเศษและมาตรฐาน

ระบบการจัดการความปลอดภัย - ข้อกำหนดพร้อมคำแนะนำในการใช้งาน" (ระบบ - ข้อมูลจำเพาะพร้อมคำแนะนำสำหรับการใช้งาน) มาตรฐาน ISO/IEC 27001:2005 "เทคโนโลยีสารสนเทศ" ได้รับการพัฒนาบนพื้นฐานของมาตรฐานดังกล่าว เทคนิคการรักษาความปลอดภัย ระบบการจัดการความปลอดภัยของข้อมูล ข้อกำหนด" สำหรับการปฏิบัติตามการรับรองที่สามารถดำเนินการได้

ในรัสเซีย มาตรฐาน GOST R ISO/IEC 17799-2005 “กฎเกณฑ์การปฏิบัติ” มีผลบังคับใช้อยู่ในปัจจุบัน การจัดการความปลอดภัยของข้อมูล"(แปลตามจริงของ ISO/IEC 17799:2000) และ GOST R ISO/IEC 27001-2006 "เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย ระบบการจัดการความปลอดภัยของข้อมูล ข้อกำหนด" (คำแปลของ ISO/IEC 27001:2005) แม้จะมีความแตกต่างภายในบางประการที่เกี่ยวข้องกับเวอร์ชันและคุณลักษณะการแปลที่แตกต่างกัน แต่การมีมาตรฐานช่วยให้เราสามารถนำระบบมาใช้ได้ การจัดการความปลอดภัยของข้อมูลตามข้อกำหนดและรับรองหากจำเป็น

GOST R ISO/IEC 17799:2005 "เทคโนโลยีสารสนเทศ กฎการปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล"

ให้เราพิจารณาเนื้อหาของมาตรฐานตอนนี้ บทนำระบุว่า “ข้อมูล กระบวนการที่สนับสนุน ระบบข้อมูล และโครงสร้างพื้นฐานเครือข่ายเป็นทรัพย์สินที่สำคัญขององค์กร การรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูลสามารถมีส่วนอย่างมากต่อความสามารถในการแข่งขัน สภาพคล่อง การทำกำไร การปฏิบัติตามข้อกำหนด และ ชื่อเสียงทางธุรกิจองค์กร" ดังนั้น เราสามารถพูดได้ว่ามาตรฐานนี้พิจารณาประเด็นด้านความปลอดภัยของข้อมูล รวมถึงจากมุมมองของผลกระทบทางเศรษฐกิจ

มีการระบุปัจจัยสามกลุ่มที่ต้องนำมาพิจารณาเมื่อพัฒนาข้อกำหนดในด้านความปลอดภัยของข้อมูล นี้:

• การประเมินความเสี่ยงขององค์กร ผ่านการประเมินความเสี่ยง ระบุภัยคุกคามต่อทรัพย์สินขององค์กร การประเมินความเสี่ยงสินทรัพย์ที่เกี่ยวข้องและแนวโน้มของภัยคุกคามที่เกิดขึ้นตลอดจนการประเมินผลที่ตามมาที่อาจเกิดขึ้น
• ข้อกำหนดทางกฎหมาย กฎหมาย ข้อบังคับและสัญญาที่องค์กร คู่ค้า ผู้รับเหมา และผู้ให้บริการจะต้องปฏิบัติตาม
• ชุดหลักการ วัตถุประสงค์ และข้อกำหนดเฉพาะที่พัฒนาโดยองค์กรเกี่ยวกับการประมวลผลข้อมูล

เมื่อกำหนดข้อกำหนดแล้ว ขั้นตอนของการเลือกและการนำมาตรการไปใช้เพื่อให้แน่ใจว่าการลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้จะเริ่มต้นขึ้น การคัดเลือกกิจกรรมโดย การจัดการความปลอดภัยของข้อมูลควรขึ้นอยู่กับอัตราส่วนของค่าใช้จ่ายในการดำเนินการ ผลกระทบของการลดความเสี่ยงและความสูญเสียที่อาจเกิดขึ้นในกรณีที่มีการละเมิดความปลอดภัย ควรคำนึงถึงปัจจัยที่ไม่สามารถแสดงออกมาเป็นเงินตราได้ เช่น การสูญเสียชื่อเสียง รายการกิจกรรมที่เป็นไปได้ระบุไว้ในมาตรฐาน แต่มีข้อสังเกตว่าสามารถเสริมหรือจัดทำขึ้นได้อย่างอิสระตามความต้องการขององค์กร

ให้เราแสดงรายการส่วนต่างๆ ของมาตรฐานและมาตรการปกป้องข้อมูลที่เสนอโดยย่อ กลุ่มแรกเกี่ยวข้องกับนโยบายความปลอดภัย จำเป็นต้องได้รับการพัฒนาได้รับการอนุมัติจากฝ่ายบริหารขององค์กรเผยแพร่และนำเสนอต่อพนักงานทุกคน ควรกำหนดขั้นตอนการทำงานกับทรัพยากรสารสนเทศขององค์กร หน้าที่ และความรับผิดชอบของพนักงาน นโยบายนี้ได้รับการทบทวนเป็นระยะเพื่อสะท้อนถึงสถานะปัจจุบันของระบบและความเสี่ยงที่ระบุ

ส่วนถัดไปจะกล่าวถึงปัญหาขององค์กรที่เกี่ยวข้องกับความปลอดภัยของข้อมูล มาตรฐานแนะนำให้สร้างสภาการจัดการ (โดยมีส่วนร่วมของผู้บริหารระดับสูงของบริษัท) เพื่ออนุมัตินโยบายความปลอดภัย แต่งตั้งผู้รับผิดชอบ การกระจายความรับผิดชอบและประสานการดำเนินกิจกรรมเพื่อ การจัดการความปลอดภัยของข้อมูลในองค์กร. ควรอธิบายกระบวนการในการขออนุญาตใช้เครื่องมือประมวลผลข้อมูล (รวมถึงซอฟต์แวร์และฮาร์ดแวร์ใหม่) ในองค์กรเพื่อไม่ให้นำไปสู่ปัญหาด้านความปลอดภัย นอกจากนี้ยังจำเป็นต้องกำหนดขั้นตอนการโต้ตอบกับองค์กรอื่น ๆ เกี่ยวกับปัญหาความปลอดภัยของข้อมูลการปรึกษาหารือกับผู้เชี่ยวชาญ "ภายนอก" และการตรวจสอบอิสระ (การตรวจสอบ) ความปลอดภัยของข้อมูล

เมื่อให้การเข้าถึงระบบข้อมูลแก่ผู้เชี่ยวชาญจากองค์กรบุคคลที่สาม จะต้องให้ความสนใจเป็นพิเศษกับปัญหาด้านความปลอดภัย การประเมินความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงประเภทต่างๆ (ทางกายภาพหรือเชิงตรรกะ เช่น ระยะไกล) ของผู้เชี่ยวชาญดังกล่าวไปยังทรัพยากรต่างๆ ขององค์กรจะต้องดำเนินการ ความจำเป็นในการให้การเข้าถึงต้องมีเหตุผล และสัญญากับบุคคลที่สามและองค์กรต้องมีข้อกำหนดที่เกี่ยวข้องกับการปฏิบัติตามนโยบายความปลอดภัย เสนอให้ทำเช่นเดียวกันในกรณีที่องค์กรบุคคลที่สามมีส่วนร่วมในการประมวลผลข้อมูล (เอาท์ซอร์ส)

หัวข้อถัดไปของมาตรฐานจะกล่าวถึงประเด็นการจำแนกประเภทและ การจัดการสินทรัพย์- เพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลขององค์กร จำเป็นต้องมีการพิจารณาและมอบหมายสินทรัพย์ข้อมูลที่สำคัญทั้งหมดให้กับเจ้าของที่รับผิดชอบ เราขอแนะนำให้เริ่มต้นด้วยสินค้าคงคลัง การจำแนกประเภทต่อไปนี้เป็นตัวอย่าง:

• สินทรัพย์ข้อมูล (ฐานข้อมูลและไฟล์ข้อมูล เอกสารระบบฯลฯ );
• สินทรัพย์ซอฟต์แวร์ (ซอฟต์แวร์ประยุกต์ ซอฟต์แวร์ระบบ เครื่องมือพัฒนาและยูทิลิตี้)
• ทรัพย์สินทางกายภาพ (อุปกรณ์คอมพิวเตอร์ อุปกรณ์สื่อสาร สื่อจัดเก็บข้อมูล อุปกรณ์ทางเทคนิคอื่นๆ เฟอร์นิเจอร์ สถานที่)
• บริการ (บริการคอมพิวเตอร์และการสื่อสาร สาธารณูปโภคพื้นฐาน)

ต่อไปจะเสนอให้จำแนกข้อมูลเพื่อกำหนดลำดับความสำคัญ ความจำเป็น และระดับของการป้องกัน ในขณะเดียวกัน ก็สามารถประเมินข้อมูลที่เกี่ยวข้องได้โดยคำนึงถึงความสำคัญของข้อมูลดังกล่าวต่อองค์กร เช่น จากมุมมองของการรับรองความสมบูรณ์และความพร้อมใช้งาน หลังจากนี้จะมีการเสนอให้พัฒนาและใช้ขั้นตอนการติดฉลากเมื่อประมวลผลข้อมูล ควรกำหนดขั้นตอนการติดฉลากสำหรับแต่ละระดับการจำแนกประเภทเพื่อรองรับการประมวลผลข้อมูลประเภทต่อไปนี้:

• การคัดลอก;
• พื้นที่จัดเก็บ;
• การส่งทางไปรษณีย์ โทรสาร และอีเมล
• การส่งผ่านเสียง รวมถึงโทรศัพท์มือถือ ข้อความเสียง เครื่องตอบรับอัตโนมัติ
• การทำลาย.

ส่วนถัดไปจะกล่าวถึงประเด็นด้านความปลอดภัยที่เกี่ยวข้องกับบุคลากร มาตรฐานกำหนดความรับผิดชอบในการปฏิบัติตามข้อกำหนดด้านความปลอดภัยในขั้นตอนการคัดเลือกบุคลากร รวมอยู่ในสัญญาการจ้างงานและมีการติดตามตลอดระยะเวลาการจ้างงานของพนักงาน โดยเฉพาะอย่างยิ่งเมื่อจ้างพนักงานประจำ แนะนำให้ตรวจสอบความถูกต้องของเอกสารที่ผู้สมัครส่งมา ความครบถ้วนและถูกต้องของเรซูเม่ และคำแนะนำที่ส่งถึงเขา ขอแนะนำให้พนักงานลงนามในข้อตกลงการรักษาความลับโดยระบุว่าข้อมูลใดที่เป็นความลับหรือละเอียดอ่อน ต้องกำหนดความรับผิดชอบทางวินัยสำหรับพนักงานที่ละเมิดนโยบายและขั้นตอนด้านความปลอดภัยขององค์กร ในกรณีที่จำเป็น ความรับผิดชอบนี้ควรดำเนินต่อไปตามระยะเวลาที่กำหนดหลังจากออกจากงาน

ผู้ใช้จำเป็นต้องได้รับการฝึกอบรม ขั้นตอนการรักษาความปลอดภัยและการใช้เครื่องมือประมวลผลข้อมูลอย่างถูกต้องเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ขั้นตอนการแจ้งเรื่อง การละเมิดความปลอดภัยของข้อมูลซึ่งจะต้องสร้างความคุ้นเคยให้กับพนักงาน ควรปฏิบัติตามขั้นตอนที่คล้ายกันในกรณีที่ซอฟต์แวร์ขัดข้อง เหตุการณ์ดังกล่าวจำเป็นต้องได้รับการบันทึกและวิเคราะห์เพื่อระบุปัญหาที่เกิดซ้ำ

หัวข้อถัดไปของมาตรฐานจะกล่าวถึงประเด็นการปกป้องทางกายภาพและสิ่งแวดล้อม โดยระบุว่า “วิธีการประมวลผลข้อมูลบริการที่สำคัญหรือสำคัญจะต้องอยู่ในโซนความปลอดภัยที่กำหนดโดยหน่วยงานบางแห่ง ขอบเขตการรักษาความปลอดภัยมีแผงกั้นป้องกันและการควบคุมการบุกรุกที่เหมาะสม พื้นที่เหล่านี้จะต้องได้รับการปกป้องทางกายภาพจากการเข้าถึงที่ไม่ได้รับอนุญาต ความเสียหาย และผลกระทบ" นอกเหนือจากการจัดระเบียบการควบคุมการเข้าถึงไปยังพื้นที่คุ้มครองแล้ว ขั้นตอนการดำเนินงานในพื้นที่เหล่านั้น และหากจำเป็น จะต้องกำหนดขั้นตอนในการจัดการการเข้าถึงของผู้เยี่ยมชม นอกจากนี้ยังเป็น จำเป็นเพื่อความปลอดภัยของอุปกรณ์ (รวมถึง ที่ใช้ภายนอกองค์กร) เพื่อลดความเสี่ยงในการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และปกป้องจากการสูญหายหรือความเสียหาย ข้อกำหนดกลุ่มนี้ยังรวมถึงการให้การป้องกันจากไฟฟ้าขัดข้องและการป้องกันเครือข่ายเคเบิล ต้องกำหนดขั้นตอนในการบำรุงรักษาอุปกรณ์ที่คำนึงถึงข้อกำหนดด้านความปลอดภัย และขั้นตอนในการกำจัดหรือนำอุปกรณ์กลับมาใช้ใหม่อย่างปลอดภัย ตัวอย่างเช่น แนะนำให้ทำลายหรือเขียนทับสื่อเก็บข้อมูลแบบใช้แล้วทิ้งที่มีข้อมูลที่ละเอียดอ่อนในลักษณะที่ปลอดภัย แทนที่จะใช้ฟังก์ชันการลบข้อมูลมาตรฐาน

เพื่อลดความเสี่ยงในการเข้าถึงหรือความเสียหายต่อเอกสารกระดาษ สื่อจัดเก็บข้อมูล และสื่อประมวลผลข้อมูลโดยไม่ได้รับอนุญาต ขอแนะนำให้ใช้นโยบาย "คลีนเดสก์" สำหรับเอกสารที่เป็นกระดาษและสื่อจัดเก็บข้อมูลแบบถอดได้ รวมถึงนโยบาย "ทำความสะอาดหน้าจอ" สำหรับ อุปกรณ์ประมวลผลข้อมูล อุปกรณ์ ข้อมูล หรือซอฟต์แวร์อาจถูกลบออกจากสถานที่ขององค์กรเมื่อได้รับอนุญาตอย่างเหมาะสมเท่านั้น

หัวข้อถัดไปของมาตรฐานคือ "การจัดการการถ่ายโอนข้อมูลและกิจกรรมการปฏิบัติงาน" กำหนดให้มีการจัดตั้งความรับผิดชอบและขั้นตอนที่เกี่ยวข้องกับการดำเนินงานของศูนย์ประมวลผลข้อมูลทั้งหมด ตัวอย่างเช่น การเปลี่ยนแปลงการกำหนดค่าในสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลและระบบจะต้องได้รับการควบคุม จำเป็นต้องใช้หลักการแบ่งแยกความรับผิดชอบที่เกี่ยวข้องกับหน้าที่การจัดการ การปฏิบัติงานและบางพื้นที่

ขอแนะนำให้แยกสภาพแวดล้อมการพัฒนา การทดสอบ และการใช้งานจริงของซอฟต์แวร์ กฎสำหรับการถ่ายโอนซอฟต์แวร์จากสถานะกำลังพัฒนาไปเป็นสถานะที่ยอมรับสำหรับการดำเนินการจะต้องได้รับการกำหนดและจัดทำเป็นเอกสาร

ความเสี่ยงเพิ่มเติมเกิดขึ้นเมื่อใช้ผู้รับเหมาบุคคลที่สามเพื่อจัดการสิ่งอำนวยความสะดวกในการประมวลผลข้อมูล ความเสี่ยงดังกล่าวจะต้องได้รับการระบุล่วงหน้าและดำเนินมาตรการที่เหมาะสม การจัดการความปลอดภัยของข้อมูลตกลงกับผู้รับเหมาและรวมไว้ในสัญญาด้วย

เพื่อให้มีความสามารถในการประมวลผลและการจัดเก็บที่จำเป็น จำเป็นต้องวิเคราะห์ข้อกำหนดด้านประสิทธิภาพในปัจจุบัน ตลอดจนคาดการณ์ความต้องการในอนาคต การคาดการณ์เหล่านี้ควรคำนึงถึงข้อกำหนดด้านการทำงานและระบบใหม่ตลอดจนแผนปัจจุบันและอนาคตสำหรับการพัฒนาเทคโนโลยีสารสนเทศในองค์กร ข้อกำหนดและเกณฑ์สำหรับการนำระบบใหม่มาใช้จะต้องมีการกำหนด ตกลง บันทึก และทดสอบอย่างชัดเจน

ต้องใช้มาตรการเพื่อป้องกันและตรวจจับการนำซอฟต์แวร์ที่เป็นอันตรายมาใช้ เช่น ไวรัสคอมพิวเตอร์ เวิร์มเครือข่าย ม้าโทรจัน และ ระเบิดลอจิก- โปรดทราบว่าการป้องกันมัลแวร์ควรขึ้นอยู่กับความเข้าใจในข้อกำหนดด้านความปลอดภัย การควบคุมการเข้าถึงระบบที่เหมาะสม และการจัดการการเปลี่ยนแปลงที่เหมาะสม

ต้องกำหนดขั้นตอนในการดำเนินการเสริมซึ่งรวมถึงการสำรองข้อมูลซอฟต์แวร์และข้อมูล 1 ตามตัวอย่าง ห้องแล็บ #10 ดูที่การจัดระเบียบการสำรองข้อมูลใน Windows Server 2008การบันทึกเหตุการณ์และข้อผิดพลาด และการตรวจสอบสถานะฮาร์ดแวร์หากจำเป็น การจัดการความซ้ำซ้อนสำหรับแต่ละระบบควรได้รับการทดสอบเป็นประจำเพื่อให้แน่ใจว่าเป็นไปตามข้อกำหนดของแผนความต่อเนื่องทางธุรกิจ

เพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลบนเครือข่ายและการป้องกัน โครงสร้างพื้นฐานที่รองรับจำเป็นต้องมีการแนะนำเงินทุน การควบคุมความปลอดภัยและการป้องกันบริการที่เชื่อมต่อจากการเข้าถึงโดยไม่ได้รับอนุญาต

ความสนใจเป็นพิเศษจะจ่ายให้กับความปลอดภัยของสื่อจัดเก็บข้อมูลประเภทต่างๆ: เอกสาร สื่อจัดเก็บข้อมูลคอมพิวเตอร์ (เทป ดิสก์ เทป) ข้อมูลอินพุต/เอาต์พุต และเอกสารประกอบของระบบจากความเสียหาย ขอแนะนำให้สร้างขั้นตอนสำหรับการใช้สื่อบันทึกข้อมูลคอมพิวเตอร์แบบถอดได้ (ขั้นตอนสำหรับการควบคุมเนื้อหา การจัดเก็บ การทำลาย ฯลฯ) ตามที่ระบุไว้ข้างต้น สื่อจัดเก็บข้อมูลควรถูกกำจัดอย่างปลอดภัยหลังการใช้งาน

เพื่อให้มั่นใจในการปกป้องข้อมูลจากการเปิดเผยโดยไม่ได้รับอนุญาตหรือการใช้ในทางที่ผิด จำเป็นต้องกำหนดขั้นตอนในการประมวลผลและจัดเก็บข้อมูล ขั้นตอนเหล่านี้ควรได้รับการออกแบบโดยคำนึงถึง การจัดหมวดหมู่ข้อมูลและการกระทำที่เกี่ยวข้องกับเอกสาร ระบบคอมพิวเตอร์ เครือข่าย คอมพิวเตอร์แล็ปท็อป การสื่อสารเคลื่อนที่ จดหมาย ข้อความเสียง การสื่อสารด้วยเสียงโดยทั่วไป อุปกรณ์มัลติมีเดีย การใช้แฟกซ์ และวัตถุสำคัญอื่น ๆ เช่น แบบฟอร์ม เช็คและใบเรียกเก็บเงิน เอกสารประกอบของระบบอาจมีข้อมูลสำคัญบางประการ ดังนั้นจึงต้องได้รับการคุ้มครองด้วย

กระบวนการแลกเปลี่ยนข้อมูลและซอฟต์แวร์ระหว่างองค์กรจะต้องได้รับการควบคุมและปฏิบัติตามกฎหมายปัจจุบัน โดยเฉพาะอย่างยิ่ง จะต้องมั่นใจและกำหนดความปลอดภัยของผู้ให้บริการข้อมูลระหว่างการส่งข้อมูล นโยบายการใช้งานระบบอีเมลและสำนักงานอิเล็กทรอนิกส์ ควรใช้ความระมัดระวังเพื่อปกป้องความสมบูรณ์ของข้อมูลที่เผยแพร่ทางอิเล็กทรอนิกส์ เช่น ข้อมูลบนเว็บไซต์ จำเป็นต้องมีขั้นตอนการอนุญาตอย่างเป็นทางการที่เหมาะสมก่อนที่ข้อมูลดังกล่าวจะเปิดเผยต่อสาธารณะ

ส่วนถัดไปของมาตรฐานจะกล่าวถึงปัญหาการควบคุมการเข้าถึง

จำเป็นต้องมีการกำหนดกฎการควบคุมการเข้าถึงและสิทธิ์ของผู้ใช้แต่ละรายหรือกลุ่มผู้ใช้อย่างชัดเจนโดยนโยบายความปลอดภัย ผู้ใช้และผู้ให้บริการจะต้องตระหนักถึงความจำเป็นในการปฏิบัติตามข้อกำหนดเหล่านี้

โดยใช้ การตรวจสอบรหัสผ่านจำเป็นต้องควบคุมรหัสผ่านของผู้ใช้ โดยเฉพาะอย่างยิ่งผู้ใช้จะต้องลงนามในเอกสารยินยอมที่จะรักษาความลับของรหัสผ่านอย่างสมบูรณ์ จำเป็นเพื่อให้มั่นใจในความปลอดภัยของกระบวนการรับรหัสผ่านสำหรับผู้ใช้ และหากใช้สิ่งนี้ ผู้ใช้จะจัดการรหัสผ่านของตนได้ (บังคับให้เปลี่ยนรหัสผ่านหลังจากการเข้าสู่ระบบครั้งแรก ฯลฯ)

การเข้าถึงบริการเครือข่ายทั้งภายในและภายนอกจะต้องได้รับการควบคุม ผู้ใช้ควรได้รับการเข้าถึงโดยตรงเฉพาะบริการที่ได้รับอนุญาตเท่านั้น ต้องให้ความสนใจเป็นพิเศษกับการตรวจสอบสิทธิ์ผู้ใช้ระยะไกล จากการประเมินความเสี่ยง การกำหนดระดับการป้องกันที่จำเป็นเป็นสิ่งสำคัญ เพื่อเลือกวิธีการรับรองความถูกต้องที่เหมาะสม จะต้องตรวจสอบความปลอดภัยของการใช้บริการเครือข่ายด้วย

อุปกรณ์เครือข่ายและคอมพิวเตอร์จำนวนมากมีความสามารถในการวินิจฉัยและการจัดการระยะไกลในตัว มาตรการรักษาความปลอดภัยต้องใช้กับสิ่งอำนวยความสะดวกเหล่านี้ด้วย

เมื่อมีการแชร์เครือข่ายโดยหลายองค์กร จะต้องกำหนดข้อกำหนดนโยบายการควบคุมการเข้าถึงเพื่อคำนึงถึงเรื่องนี้ อาจจำเป็นต้องออกมาตรการเพิ่มเติมด้วย การจัดการความปลอดภัยของข้อมูลเพื่อจำกัดความสามารถในการเชื่อมต่อของผู้ใช้

ในระดับระบบปฏิบัติการ ควรใช้มาตรการรักษาความปลอดภัยข้อมูลเพื่อจำกัดการเข้าถึงทรัพยากรคอมพิวเตอร์ 2 ตัวอย่างของการจัดระเบียบการควบคุมการเข้าถึงไฟล์และโฟลเดอร์ใน Windows Server 2008 จะมีการหารือในงานห้องปฏิบัติการหมายเลข 9- มันหมายถึง บัตรประจำตัวและการรับรองความถูกต้องเทอร์มินัลและผู้ใช้ ขอแนะนำให้ผู้ใช้ทุกคนมีตัวระบุที่ไม่ซ้ำกัน ซึ่งไม่ควรมีสิ่งบ่งชี้ระดับสิทธิ์ของผู้ใช้ ในระบบ การจัดการรหัสผ่านต้องมีความสามารถในการโต้ตอบที่มีประสิทธิภาพเพื่อรองรับคุณภาพที่ต้องการ 3 ตัวอย่างของการจัดการคุณภาพรหัสผ่านในระบบปฏิบัติการ Windows จะถูกกล่าวถึงในงานห้องปฏิบัติการหมายเลข 3- การใช้ยูทิลิตี้ระบบควรถูกจำกัดและมีการควบคุมอย่างระมัดระวัง

แนะนำให้ส่งสัญญาณเตือนในกรณีที่ผู้ใช้อาจกลายเป็นเป้าหมายของความรุนแรง 4 ตัวอย่างนี้คือรหัสผ่านเข้าสู่ระบบ "ข่มขู่" หากผู้ใช้ป้อนรหัสผ่าน ระบบจะแสดงกระบวนการเข้าสู่ระบบปกติของผู้ใช้ จากนั้นจำลองความล้มเหลวเพื่อป้องกันไม่ให้ผู้โจมตีเข้าถึงข้อมูลได้(หากเหตุการณ์ดังกล่าวได้รับการประเมินว่าเป็นไปได้) ต้องกำหนดความรับผิดชอบและขั้นตอนในการตอบสนองต่อสัญญาณเตือนดังกล่าว

อาคารผู้โดยสารที่ให้บริการระบบที่มีความเสี่ยงสูง เมื่อตั้งอยู่ในสถานที่ที่เข้าถึงได้ง่าย ควรปิดเครื่องหลังจากไม่มีการใช้งานช่วงระยะเวลาหนึ่ง เพื่อป้องกันการเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต อาจมีข้อจำกัดเกี่ยวกับระยะเวลาระหว่างที่เครื่องเทอร์มินัลได้รับอนุญาตให้เชื่อมต่อกับบริการคอมพิวเตอร์ด้วย

ต้องใช้มาตรการรักษาความปลอดภัยข้อมูลในระดับแอปพลิเคชันด้วย โดยเฉพาะนี่อาจเป็นข้อจำกัดในการเข้าถึงสำหรับ บางหมวดหมู่ผู้ใช้ ระบบที่ประมวลผลข้อมูลสำคัญจะต้องมีสภาพแวดล้อมการประมวลผลเฉพาะ (แยกส่วน)

การตรวจสอบระบบเป็นสิ่งจำเป็นในการตรวจจับความเบี่ยงเบนจากข้อกำหนดนโยบายการควบคุมการเข้าถึง และจัดเตรียมหลักฐานในกรณีที่เกิดเหตุการณ์ความปลอดภัยของข้อมูล การติดตามผลควรได้รับการตรวจสอบอย่างสม่ำเสมอ บันทึกการตรวจสอบสามารถใช้เพื่อตรวจสอบเหตุการณ์ได้ ดังนั้นการตั้งค่าที่เหมาะสม (การซิงโครไนซ์) ของนาฬิกาคอมพิวเตอร์จึงค่อนข้างสำคัญ

เมื่อใช้อุปกรณ์พกพา เช่น แล็ปท็อป จำเป็นต้องใช้มาตรการพิเศษเพื่อต่อต้านการประนีประนอมของข้อมูลที่เป็นกรรมสิทธิ์ ควรใช้นโยบายที่เป็นทางการซึ่งระบุถึงความเสี่ยงที่เกี่ยวข้องกับการทำงานกับอุปกรณ์พกพา โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่ไม่ปลอดภัย

หัวข้อถัดไปของมาตรฐานเรียกว่า “การพัฒนาและบำรุงรักษาระบบ” อยู่บนเวทีแล้ว การพัฒนาระบบสารสนเทศจำเป็นต้องให้แน่ใจว่าได้คำนึงถึงข้อกำหนดด้านความปลอดภัยด้วย และในระหว่างการทำงานของระบบจำเป็นต้องป้องกันการสูญหาย การแก้ไข หรือการใช้ข้อมูลผู้ใช้ในทางที่ผิด เพื่อจุดประสงค์นี้ ขอแนะนำให้ระบบแอปพลิเคชันจัดให้มีการยืนยันความถูกต้องของข้อมูลอินพุตและเอาต์พุต การควบคุมการประมวลผลข้อมูล ระบบการรับรองความถูกต้องข้อความ บันทึกการกระทำของผู้ใช้

เพื่อให้เกิดการรักษาความลับ ความซื่อสัตย์ และ การตรวจสอบข้อมูลอาจใช้มาตรการรักษาความปลอดภัยแบบเข้ารหัส

การตรวจสอบความสมบูรณ์ของซอฟต์แวร์มีบทบาทสำคัญในกระบวนการรักษาความปลอดภัยข้อมูล เพื่อลดความเสียหายต่อระบบสารสนเทศ การดำเนินการเปลี่ยนแปลงควรได้รับการควบคุมอย่างเข้มงวด มีความจำเป็นต้องเปลี่ยนแปลงระบบปฏิบัติการเป็นครั้งคราว ในกรณีเหล่านี้ ระบบการใช้งานจะต้องได้รับการวิเคราะห์และทดสอบเพื่อให้แน่ใจว่าไม่มีผลกระทบเชิงลบต่อการทำงานและความปลอดภัย เท่าที่เป็นไปได้ ขอแนะนำให้ใช้แพ็คเกจซอฟต์แวร์สำเร็จรูปโดยไม่มีการดัดแปลง

ปัญหาที่เกี่ยวข้องคือการตอบโต้ม้าโทรจันและการใช้ช่องทางรั่วไหลแอบแฝง มาตรการตอบโต้ประการหนึ่งคือการใช้ซอฟต์แวร์ที่ได้รับจากผู้ขายและผู้ตรวจสอบที่เชื่อถือได้ ความสมบูรณ์ของระบบ.

ในกรณีที่องค์กรบุคคลที่สามมีส่วนร่วมในการพัฒนาซอฟต์แวร์ จำเป็นต้องมีมาตรการเพื่อควบคุมคุณภาพและความถูกต้องของงานที่ทำ

หัวข้อถัดไปของมาตรฐานนี้เน้นไปที่การจัดการความต่อเนื่องทางธุรกิจ ในระยะเริ่มแรก ควรระบุเหตุการณ์ที่อาจทำให้กระบวนการทางธุรกิจหยุดชะงัก (อุปกรณ์ขัดข้อง ไฟไหม้ ฯลฯ) ในกรณีนี้จำเป็นต้องประเมินผลที่ตามมา จากนั้นจึงจัดทำแผนการฟื้นฟู ความเพียงพอของแผนต้องได้รับการยืนยันโดยการทดสอบ และต้องได้รับการแก้ไขเป็นระยะเพื่อคำนึงถึงการเปลี่ยนแปลงที่เกิดขึ้นในระบบ

ส่วนสุดท้ายของมาตรฐานจะกล่าวถึงปัญหาการปฏิบัติตามข้อกำหนด ประการแรกเกี่ยวข้องกับการปฏิบัติตามระบบและขั้นตอนการดำเนินงานตามข้อกำหนดทางกฎหมาย ซึ่งรวมถึงปัญหาการปฏิบัติตามลิขสิทธิ์ (รวมถึงซอฟต์แวร์) การปกป้องข้อมูลส่วนบุคคล (พนักงาน ลูกค้า) และการป้องกันการใช้เครื่องมือประมวลผลข้อมูลในทางที่ผิด โดยใช้ หมายถึงการเข้ารหัสการปกป้องข้อมูลจะต้องปฏิบัติตามกฎหมายปัจจุบัน ขั้นตอนการรวบรวมพยานหลักฐานในกรณีฟ้องร้องที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัยระบบสารสนเทศควรมีการพิจารณาอย่างละเอียดถี่ถ้วน

ระบบสารสนเทศเองก็จะต้อง ปฏิบัติตามนโยบายความปลอดภัยองค์กรและมาตรฐานที่ใช้ ความปลอดภัยของระบบสารสนเทศต้องได้รับการวิเคราะห์และประเมินอย่างสม่ำเสมอ ในเวลาเดียวกัน จำเป็นต้องปฏิบัติตามมาตรการรักษาความปลอดภัยเมื่อดำเนินการตรวจสอบความปลอดภัย เพื่อไม่ให้เกิดผลที่ไม่พึงประสงค์ (เช่น ความล้มเหลวของเซิร์ฟเวอร์ที่สำคัญเนื่องจากการตรวจสอบ)

โดยสรุป สามารถสังเกตได้ว่ามาตรฐานดังกล่าวระบุถึงประเด็นต่างๆ มากมายที่เกี่ยวข้องกับการรับรองความปลอดภัยของระบบสารสนเทศ มีการให้คำแนะนำที่เป็นประโยชน์ในหลายด้าน