Bu bölüm, bilgi güvenliği GOST R alanında Rusya Federasyonu'nun ulusal standartlarının genel bilgilerini ve metinlerini sağlar.

Son yıllarda geliştirilen ve geliştirilmesi planlanan modern GOST'lerin güncel listesi. Bilgi güvenliği gereksinimlerine göre bilgi güvenliği araçları için sertifikasyon sistemi No. ROSS RU.0001.01BI00 (Rusya'nın FSTEC'i). RUSYA FEDERASYONUNUN DEVLET STANDARDI. Veri koruması. GÜVENLİ UYGULAMADA OTOMATİK SİSTEMLERİN OLUŞTURULMASI İÇİN PROSEDÜR. Genel Hükümler. Moskova RUSYA FEDERASYONUNUN DEVLET STANDARDI. Bilgisayar olanakları. Bilgilere yetkisiz erişime karşı koruma. Genel teknik gereksinimler. Giriş tarihi 1996-01-01 Rusya Federasyonu'nun ulusal standardı. Veri koruması. Temel terimler ve tanımlar. Bilginin korunması. Temel terimler ve tanımlar. Giriş tarihi 2008-02-01 RUSYA FEDERASYONUNUN DEVLET STANDARDI. VERİ KORUMASI. STANDARTLAR SİSTEMİ. TEMEL HÜKÜMLER (BİLGİ GÜVENLİĞİ. STANDARTLAR SİSTEMİ. TEMEL İLKELER) RUSYA FEDERASYONUNUN DEVLET STANDARDI. Veri koruması. BİLGİSAYAR VİRÜSLERİNİN VARLIĞINA YÖNELİK TEST YAZILIMI. Model kılavuzu (Bilgi güvenliği. Bilgisayar virüslerinin varlığına yönelik yazılım testi. Örnek kılavuz). Bilgi Teknolojisi. Bilgi teknolojileri ve otomatik sistemlerin gizli kanallar kullanılarak uygulanan bilgi güvenliği tehditlerine karşı korunması. Bölüm 1. Genel hükümler Bilgi Teknolojisi. Bilgi teknolojileri ve otomatik sistemlerin gizli kanallar kullanılarak uygulanan bilgi güvenliği tehditlerine karşı korunması. Bölüm 2. Bilginin, bilgi teknolojilerinin ve otomatik sistemlerin gizli kanallar kullanılarak yapılan saldırılara karşı korunmasını organize etmeye yönelik öneriler Bilgi Teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Güvenlik profilleri ve güvenlik görevleri geliştirmeye yönelik rehberlik Otomatik tanımlama. Biyometrik tanımlama. Biyometride performans testleri ve test raporları. Bölüm 3. Çeşitli biyometrik yöntemlere yönelik testlerin özellikleri Bilgi Teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi teknolojisi güvenliğini değerlendirme metodolojisi GOST R ISO/IEC 15408-1-2008 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi teknolojilerinin güvenliğini değerlendirme kriterleri. Bölüm 1. Giriş ve genel model (Bilgi teknolojisi. Güvenlik teknikleri. BT güvenliği için değerlendirme kriterleri. Bölüm 1. Giriş ve genel model) GOST R ISO/IEC 15408-2-2008 - Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi teknolojilerinin güvenliğini değerlendirme kriterleri. Bölüm 2. İşlevsel güvenlik gereksinimleri (Bilgi teknolojisi. Güvenlik teknikleri. BT güvenliği için değerlendirme kriterleri. Bölüm 2. Güvenlik işlevsel gereksinimleri) GOST R ISO/IEC 15408-3-2008 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi teknolojilerinin güvenliğini değerlendirme kriterleri. Bölüm 3. Güvenlik güvencesi gereksinimleri (Bilgi teknolojisi. Güvenlik teknikleri. BT güvenliği için değerlendirme kriterleri. Bölüm 3. Güvenlik güvencesi gereksinimleri) GOST R 53109-2008 Kamu iletişim ağının bilgi güvenliğini sağlamaya yönelik sistem. Bilgi güvenliği iletişim organizasyonu pasaportu. Kamu iletişim ağı sağlayan sistemin bilgi güvenliği. Bilgi güvenliği organizasyonunun pasaportu. Yürürlük tarihi: 30.09.2009. GOST R 53114-2008 Bilgi koruması. Organizasyonda bilgi güvenliğinin sağlanması. Temel terimler ve tanımlar. Bilginin korunması. Organizasyonlarda bilgi güvenliğinin sağlanması. Temel terimler ve tanımlar. Yürürlük tarihi: 30.09.2009. GOST R 53112-2008 Bilgi koruması. Sahte elektromanyetik radyasyon ve girişim parametrelerini ölçmek için kompleksler. Teknik gereksinimler ve test yöntemleri. Bilgi koruması. Yan elektromanyetik radyasyonu ve başlatma parametrelerini ölçmek için olanaklar. Teknik gereksinimler ve test yöntemleri. Yürürlük tarihi: 30.09.2009. GOST R 53115-2008 Bilgi koruması. Yetkisiz erişime karşı güvenlik gerekliliklerine uygunluk açısından teknik bilgi işleme araçlarının test edilmesi. Yöntemler ve araçlar. Bilgi koruması. Teknik bilgi işleme tesislerinin yetkisiz erişim koruma gereksinimlerine uygunluk testi. Yöntem ve teknikler. Yürürlük tarihi: 30.09.2009. GOST R 53113.2-2009 Bilgi teknolojisi. Bilgi teknolojileri ve otomatik sistemlerin gizli kanallar kullanılarak uygulanan bilgi güvenliği tehditlerine karşı korunması. Bölüm 2. Bilginin, bilgi teknolojilerinin ve otomatik sistemlerin gizli kanallar kullanılarak yapılan saldırılara karşı korunmasını organize etmeye yönelik öneriler. Bilgi Teknolojisi. Gizli kanalların kullanılmasından kaynaklanan güvenlik tehditlerine karşı bilgi teknolojisi ve otomatik sistemlerin korunması. Bölüm 2. Bilginin, bilgi teknolojisinin ve otomatik sistemlerin gizli kanal saldırılarına karşı korunmasına ilişkin öneriler. Yürürlük tarihi: 12/01/2009. GOST R ISO/IEC TO 19791-2008 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Otomatik sistemlerin güvenlik değerlendirmesi. Bilgi Teknolojisi. Güvenlik teknikleri. Operasyonel sistemlerin güvenlik değerlendirmesi. Yürürlük tarihi: 30.09.2009. GOST R 53131-2008 Bilgi koruması. Bilgi ve telekomünikasyon teknolojisi güvenlik işlevleri ve mekanizmalarına yönelik olağanüstü durum kurtarma hizmetlerine yönelik öneriler. Genel Hükümler. Bilgi koruması. Bilgi ve iletişim teknolojisi güvenlik işlevleri ve mekanizmalarının kurtarma hizmetlerine ilişkin yönergeler. Genel. Yürürlük tarihi: 30.09.2009. GOST R 54581-2011 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. BT güvenliğinde güvenin temelleri. Bölüm 1: Genel Bakış ve Temel Bilgiler. Bilgi Teknolojisi. Güvenlik teknikleri. BT güvenlik güvencesi için bir çerçeve. Bölüm 1. Genel bakış ve çerçeve. Yürürlük tarihi: 07/01/2012. GOST R ISO/IEC 27033-1-2011 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Ağ güvenliği. Bölüm 1: Genel Bakış ve Kavramlar. Bilgi Teknolojisi. Güvenlik teknikleri. Ağ güvenliği. Bölüm 1. Genel bakış ve kavramlar. Yürürlük tarihi: 01/01/2012. GOST R ISO/IEC 27006-2008 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi güvenliği yönetim sistemlerinin denetimini ve belgelendirmesini gerçekleştiren kuruluşlar için gereklilikler. Bilgi Teknolojisi. Güvenlik teknikleri. Bilgi güvenliği yönetim sistemlerinin denetimini ve belgelendirmesini sağlayan kuruluşlar için gereklilikler. Yürürlük tarihi: 30.09.2009. GOST R ISO/IEC 27004-2011 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi güvenliği yönetimi. Ölçümler. Bilgi Teknolojisi. Güvenlik teknikleri. Bilgi güvenliği yönetimi. Ölçüm. Yürürlük tarihi: 01/01/2012. GOST R ISO/IEC 27005-2010 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi güvenliği risk yönetimi. Bilgi Teknolojisi. Güvenlik teknikleri. Bilgi güvenliği risk yönetimi. Yürürlük tarihi: 12/01/2011. GOST R ISO/IEC 31010-2011 Risk yönetimi. Risk değerlendirme yöntemleri (Risk yönetimi. Risk değerlendirme yöntemleri). Yürürlük tarihi: 12/01/2012 GOST R ISO 31000-2010 Risk yönetimi. Risk yönetimi İlkeler ve yönergeler. Yürürlük tarihi: 31.08.2011 GOST 28147-89 Bilgi işleme sistemleri. Şifreleme koruması. Kriptografik dönüştürme algoritması. Yürürlük tarihi: 30.06.1990. GOST R ISO/IEC 27013-2014 “Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. ISO/IEC 27001 ve ISO/IEC 20000-1'in birlikte kullanımına ilişkin kılavuz - 1 Eylül 2015'ten itibaren geçerlidir. GOST R ISO/IEC 27033-3-2014 “Ağ güvenliği. Bölüm 3. Referans ağ senaryoları. Tehditler, tasarım yöntemleri ve yönetim sorunları” – 1 Kasım 2015'ten itibaren geçerlidir GOST R ISO/IEC 27037-2014 “Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Dijital Delillerin Belirlenmesi, Toplanması, Geri Alınması ve Saklanmasına İlişkin Kılavuzlar - 1 Kasım 2015 tarihinden itibaren geçerlidir. GOST R ISO/IEC 27002-2012 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi güvenliği yönetimi için normlar ve kurallar kümesi. Bilgi Teknolojisi. Güvenlik teknikleri. Bilgi güvenliği yönetimi için uygulama kuralları. Yürürlük tarihi: 01/01/2014. OKS kodu 35.040. GOST R 56939-2016 Bilgi koruması. Güvenli yazılım geliştirme. Genel gereksinimler (Bilgi koruması. Güvenli Yazılım Geliştirme. Genel gereksinimler). Yürürlük tarihi: 06/01/2017. GOST R 51583-2014 Bilgi koruması. Güvenli bir tasarımda otomatik sistemler oluşturma prosedürü. Genel Hükümler. Bilgi koruması. Korumalı operasyonel sistem oluşum sırası. Genel. 09/01/2014 GOST R 7.0.97-2016 Bilgi, kütüphane ve yayıncılık için standartlar sistemi. Organizasyonel ve idari belgeler. Belgelerin hazırlanmasına ilişkin gereklilikler (Bilgi, kütüphanecilik ve yayınlamaya ilişkin standartlar sistemi. Organizasyonel ve idari belgeler. Belgelerin sunumuna ilişkin gereksinimler). Yürürlük tarihi: 07/01/2017. OKS kodu 01.140.20. GOST R 57580.1-2017 Finansal (bankacılık) işlemlerin güvenliği. Finansal kuruluşların bilgilerinin korunması. Organizasyonel ve teknik önlemlerin temel bileşimi - Finansal (bankacılık) İşlemlerin Güvenliği. Finansal Kuruluşların Bilgilerinin Korunması. Temel Organizasyonel ve Teknik Önlemler Seti. GOST R ISO 22301-2014 İş sürekliliği yönetim sistemleri. Genel gereksinimler - İş sürekliliği yönetim sistemleri. Gereksinimler. GOST R ISO 22313-2015 İş sürekliliği yönetimi. Uygulama Kılavuzu - İş sürekliliği yönetim sistemleri. Uygulamaya yönelik rehberlik. GOST R ISO/IEC 27031-2012 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. İş Sürekliliği için Bilgi ve İletişim Teknolojisine Hazırlık Kılavuzu - Bilgi teknolojisi. Güvenlik teknikleri. İş sürekliliği için bilgi ve iletişim teknolojisi hazırlığına yönelik kılavuzlar. GOST R IEC 61508-1-2012 Elektrikli, elektronik, programlanabilir elektronik güvenlikle ilgili sistemlerin işlevsel güvenliği. Bölüm 1. Genel gereksinimler. Elektrikli, elektronik, programlanabilir elektronik güvenlikle ilgili sistemlerin işlevsel güvenliği. Bölüm 1. Genel gereksinimler. Giriş tarihi 2013-08-01. GOST R IEC 61508-2-2012 Elektrikli, elektronik, programlanabilir elektronik güvenlikle ilgili sistemlerin işlevsel güvenliği. Bölüm 2. Sistem gereksinimleri. Elektrikli, elektronik, programlanabilir elektronik güvenlikle ilgili sistemlerin işlevsel güvenliği. Bölüm 2. Sistemler için gereksinimler. Giriş tarihi 2013-08-01. GOST R IEC 61508-3-2012 ELEKTRİKLİ, ELEKTRONİK, PROGRAMLANABİLİR ELEKTRONİK, GÜVENLİKLE İLGİLİ SİSTEMLERİN İŞLEVSEL GÜVENLİĞİ. Yazılım gereksinimleri. IEC 61508-3:2010 Elektrik/elektronik/programlanabilir elektronik güvenlikle ilgili sistemlerin işlevsel güvenliği - Bölüm 3: Yazılım gereksinimleri (IDT). GOST R IEC 61508-4-2012 ELEKTRİKLİ, ELEKTRONİK, PROGRAMLANABİLİR ELEKTRONİK, GÜVENLİKLE İLGİLİ SİSTEMLERİN İŞLEVSEL GÜVENLİĞİ Bölüm 4 Terimler ve tanımlar. Elektrikli, elektronik, programlanabilir elektronik güvenlikle ilgili sistemlerin işlevsel güvenliği. Bölüm 4. Terimler ve tanımlar. Giriş tarihi 2013-08-01. . GOST R IEC 61508-6-2012 Elektrikli, elektronik, programlanabilir elektronik güvenlikle ilgili sistemlerin işlevsel güvenliği. Bölüm 6. GOST R IEC 61508-2 ve GOST R IEC 61508-3'ün kullanımına ilişkin yönergeler. IEC 61508-6:2010. Elektrik/elektronik/programlanabilir elektronik güvenlikle ilgili sistemlerin işlevsel güvenliği - Bölüm 6: IEC 61508-2 ve IEC 61508-3'ün (IDT) uygulanmasına ilişkin yönergeler. GOST R IEC 61508-7-2012 Elektrik sistemlerinin işlevsel güvenliği, Güvenlikle ilgili elektrikli, elektronik, programlanabilir elektronik sistemlerin işlevsel güvenliği. Bölüm 7. Yöntemler ve araçlar. Elektrikli elektronik programlanabilir elektronik güvenlikle ilgili sistemlerin işlevsel güvenliği. Bölüm 7. Teknikler ve önlemler. Giriş tarihi 2013-08-01. GOST R 53647.6-2012. İş sürekliliği yönetimi. Veri korumasını sağlamak için kişisel bilgi yönetim sistemi gereklilikleri

İsim:

Veri koruması. Organizasyonda bilgi güvenliğinin sağlanması.

Geçerli

Giriş tarihi:

İptal tarihi:

İle ikame edilmiş:

Metin GOST R 53114-2008 Bilgi koruması. Organizasyonda bilgi güvenliğinin sağlanması. Temel terimler ve tanımlar

FEDERAL TEKNİK DÜZENLEME VE METROLOJİ AJANSI

ULUSAL

STANDART

RUSÇA

FEDERASYON

Veri koruması

KURUMDA BİLGİ GÜVENLİĞİNİN SAĞLANMASI

Temel terimler ve tanımlar

Resmi yayın

Oteidartenform

GOSTR 53114-2008

Önsöz

Rusya Federasyonu'nda standardizasyonun hedefleri ve ilkeleri, 27 Aralık 2002 tarihli ve 184-FZ sayılı “Teknik Düzenleme” Federal Kanunu ile belirlenmiş olup, Rusya Federasyonu'nun ulusal standartlarının uygulanmasına ilişkin kurallar GOST R 1.0-2004 “Standartlaştırma”dır. Rusya Federasyonu'nda. Temel hükümler »

Standart bilgiler

1 Federal Devlet Kurumu tarafından GELİŞTİRİLMİŞTİR “Federal Teknik ve İhracat Kontrolü Hizmetinin Teknik Bilgi Güvenliği Sorunları Devlet Araştırma Test Enstitüsü” (FGU “GNIIII PTZI FSTEC of Russia”), Limited Şirket “Araştırma ve Üretim Şirketi “Kristall” (OOO NPF "Kristal")

2 Federal Teknik Düzenleme ve Metroloji Ajansı Teknik Düzenleme ve Standardizasyon Departmanı tarafından SUNULAN

3 Federal Teknik Düzenleme ve Metroloji Ajansı'nın 18 Aralık 2008 tarih ve 532-st sayılı emriyle ONAYLANDI VE YÜRÜRLÜĞE GİRDİ

4 8İLK KEZ SÜRÜŞ

Bu standartta yapılan değişikliklere ilişkin bilgiler, yıllık olarak yayınlanan “Ulusal Standartlar” bilgi endeksinde, değişiklik ve düzeltmelerin metni ise aylık olarak yayınlanan “Ulusal Standartlar” bilgi endeksinde yayınlanmaktadır. Bu standardın revize edilmesi (değiştirilmesi) veya iptal edilmesi durumunda, ilgili bildirim aylık olarak yayınlanan “Ulusal Standartlar” bilgi endeksinde yayınlanacaktır. İlgili bilgiler, bildirimler ve metinler aynı zamanda kamu bilgilendirme sisteminde - Federal Teknik Düzenleme ve Metroloji Ajansı'nın internetteki resmi web sitesinde de yayınlanmaktadır.

© Sgandartinform.2009

Bu standart, Federal Teknik Düzenleme ve Metroloji Ajansının izni olmadan tamamen veya kısmen çoğaltılamaz, kopyalanamaz veya resmi yayın olarak dağıtılamaz.

GOSTR 53114-2008

1 kullanım alanı................................................. ... ....1

3 Terimler ve tanımlar.................................................. ..... ..2

3.1 Genel kavramlar................................................................. .... .....2

3.2 Bilgi korumasının nesnesine ilişkin terimler.................................................. ...4

3.3 Bilgi güvenliği tehditleriyle ilgili terimler..................................................7

3.4 Kurumsal bilgi güvenliği yönetimine ilişkin terimler......8

3.5 Bir kuruluşun bilgi güvenliğinin kontrolü ve değerlendirilmesine ilişkin terimler. ... 8

3.6 Bilgi güvenliği kontrolleriyle ilgili terimler

kuruluşlar.................................................. ....... .......9

Terimlerin alfabetik dizini................................................. .....11

Ek A (referans için) Genel teknik kavramların terimleri ve tanımları..................................................13

Ek B (referans için) Bir kuruluşta bilgi güvenliği alanındaki temel kavramların ilişkisi.................................. .....................15

Kaynakça.................................................................. .......16

GOSTR 53114-2008

giriiş

Bu standardın belirlediği terimler, bu bilgi alanındaki kavram sistemini yansıtacak şekilde sistematik bir düzende düzenlenmiştir.

Her kavram için standartlaştırılmış bir terim vardır.

Bir terminoloji makalesinde köşeli parantezlerin varlığı, bu makalenin ortak terim öğelerine sahip iki terimi içerdiği anlamına gelir. Bu terimler alfabetik dizinde ayrı ayrı listelenmiştir.

Terim standardizasyon belgelerinde kullanılırken, terimin parantez içindeki kısmı çıkarılabilir, terimin parantez içinde yer almayan kısmı ise kısa formunu oluşturur. Standartlaştırılmış terimlerin ardından, kısaltmalarla temsil edilen, noktalı virgüllerle ayrılmış kısa biçimleri gelir.

Verilen tanımlar gerektiğinde türetilmiş özellikler eklenerek değiştirilebilir. İçlerinde kullanılan terimlerin anlamlarını ortaya koymak, tanımlanan kavramın kapsamına giren nesneleri belirtmek.

Değişiklikler bu standartta tanımlanan kavramların kapsam ve içeriğini etkilememelidir.

Standartlaştırılmış terimler kalın harflerle yazılmıştır, kısa biçimleri metinde ve kısaltmalar dahil alfabetik dizinde yer almaktadır. - hafif ve eş anlamlılar - italik.

Bu standardın ana bölümünün metnini anlamak için gerekli genel teknik kavramların terim ve tanımları Ek A'da verilmiştir.

GOSTR 53114-2008

RUSYA FEDERASYONUNUN ULUSAL STANDARDI

Veri koruması

BİLGİ GÜVENLİĞİNİN SAĞLANMASI 8 KURULUŞ

Temel terimler ve tanımlar

Bilginin korunması. Organizasyonda bilgi güvenliği sağlanması.

Temel terimler ve tanımlar

Giriş tarihi - 2009-10-01

1 kullanım alanı

Bu standart, bir kuruluşta bilgi güvenliği alanında standardizasyon çalışmaları yürütülürken kullanılan temel terimleri belirler.

Bu standart tarafından belirlenen terimlerin düzenleyici belgelerde, yasal, teknik ve organizasyonel ve idari belgelerde, bilimsel, eğitimsel ve referans literatürde kullanılması tavsiye edilir.

Bu standart GOST 34.003 ile birlikte uygulanır. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Bu standartta verilen terimler, 27 Aralık 2002 tarihli Rusya Federasyonu Federal Kanunu M"184*FZ "Teknik Yönetmelik" |3] hükümlerine uygundur. 27 Temmuz 2006 tarih ve 149-FZ sayılı Rusya Federasyonu Federal Kanunu “Bilgi, bilgi teknolojileri ve bilginin korunması hakkında”. 27 Temmuz 2006 tarih ve 152-FZ sayılı Rusya Federasyonu Federal Kanunu “Kişisel Verilere İlişkin”. Rusya Federasyonu Cumhurbaşkanı tarafından 9 Eylül 2000 Pr-1895'te onaylanan Rusya Federasyonu bilgi güvenliği doktrinleri.

2 Normatif referanslar

GOST R 22.0.02-94 Acil durumlarda güvenlik. Temel kavramların terimleri ve tanımları

GOST R ISO 9000-2001 Kalite yönetim sistemleri. Temel Bilgiler ve Kelime Bilgisi

GOST R ISO 9001-2008 Kalite yönetim sistemleri. Gereksinimler

GOST R IS0 14001-2007 Çevre yönetim sistemleri. Gereksinimler ve kullanım talimatları

GOST R ISO/IEC 13335-1-2006 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bölüm 1. Bilgi ve telekomünikasyon teknolojilerinin güvenlik yönetimi kavramı ve modelleri

GOST R ISO/IEC 27001-2006 Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi güvenliği yönetim sistemleri. Gereksinimler

GOST R 50922-2006 Bilgi koruması. Temel terimler ve tanımlar

GOST R 51275-2006 Bilgi koruması. Bilgi nesnesi. Bilgiyi etkileyen faktörler. Genel Hükümler

GOST R 51897-2002 Risk yönetimi. Terimler ve tanımlar

Resmi yayın

GOSTR 53114-2008

GOST R51898-2003 Güvenlik hususları. GOST R 52069.0-2003 Bilgi koruması standartlarına dahil edilme kuralları. Standartlar sistemi. GOST 34.003-90 Bilgi teknolojisinin temel hükümleri. Otomatik sistemler için standartlar seti. Otomatik sistemler. Terimler ve tanımlar

GOST 19781-90 Bilgi işleme sistemleri için yazılım. Terimler ve tanımlar

Not - Bu standardı kullanırken, kamu bilgi sistemindeki referans standartlarının geçerliliğinin - Federal Teknik Düzenleme ve Metroloji Ajansı'nın internetteki resmi web sitesinde veya yıllık olarak yayınlanan “Ulusal Bilgi Endeksi” ne göre kontrol edilmesi tavsiye edilir. Cari yılın 1 Ocak tarihi itibarıyla yayımlanan Standartları” ve cari yılda yayınlanan ilgili aylık bilgi endekslerine göre. Referans standardı değiştirilirse (değiştirilirse), bu standardı kullanırken değiştirilen (değiştirilen) standart tarafından yönlendirilmelisiniz. Bir referans standardı değiştirilmeden iptal edilirse, bu referansı etkilemeyen kısım için ona atıf yapılan hüküm uygulanır.

3 Terimler ve tanımlar

3.1 Genel kavramlar

Bilgi güvenliği [veri]: Bilginin [veri] gizliliğinin, kullanılabilirliğinin ve bütünlüğünün sağlandığı güvenlik durumu.

[GOST R 50922-2006. paragraf 2.4.5]

Bilgi teknolojisi güvenliği: Bilgi teknolojisinin güvenlik durumu. işlenmek üzere kullanıldığı bilgilerin güvenliğini sağlar. ve uygulandığı bilgi sisteminin bilgi güvenliği.

[R 50.1.056-2006. paragraf 2.4.5]

Bilgi Alanı: Bilginin bütünlüğü, bilgi altyapısı, konular. bilginin toplanması, oluşturulması, yayılması ve kullanılmasının yanı sıra bu durumda ortaya çıkan sosyal ilişkilerin düzenlenmesine yönelik sistemlerin yürütülmesi.

3.1.4 bilgi altyapısı: Tüketicilerin bilgi kaynaklarına erişimini sağlayan bir dizi bilişim nesnesi.

Bilgilendirme nesnesi: Belirli bir bilgi teknolojisine uygun olarak kullanılan bir dizi bilgi kaynağı, araç ve bilgi işleme sisteminin yanı sıra bu araç ve sistemlerin kurulu olduğu destek tesisleri, binaları veya tesisleri (binalar, yapılar, teknik araçlar) veya Gizli görüşmelerin yürütülmesine yönelik bina ve tesisler.

[GOST R 51275-2006. madde 3.1]

3.1.6 Kuruluşun varlıkları: Hepsi. Kuruluşun amaçlarına ulaşması açısından değeri olan ve onun emrinde olan şey.

Not: Bir kuruluşun varlıkları şunları içerebilir:

Yaşam döngüsünün tüm aşamalarında (üretim, depolama, işleme, iletim, imha) bilgi sisteminde (hizmet, yönetim, analitik, iş vb.) dolaşan çeşitli bilgi türlerini içeren bilgi varlıkları:

Kaynaklar (finansal, insan, bilgi işlem, bilgi, telekomünikasyon ve diğerleri):

Süreçler (teknolojik, bilgi vb.);

Üretilen ürünler veya sağlanan hizmetler.

GOSTR 53114-2008

bilgi işlem sistemi kaynağı: Belirli bir zaman aralığı için veri işleme sürecine tahsis edilebilecek bir bilgi işlem sistemi tesisidir.

Not - Ana kaynaklar işlemciler, ana bellek alanları ve veri kümeleridir. çevre birimleri, programlar.

[GOST 19781-90. paragraf 93)

3.1.8 bilgi süreci: Oluşturma, toplama, işleme, biriktirme, depolama, arama süreci. bilginin yayılması ve kullanılması.

Bilişim teknolojisi; BT: Süreçler, arama, toplama, depolama, işleme, sağlama yöntemleri. bilginin yayılması ve bu süreç ve yöntemlerin gerçekleştirilme yolları. [27 Aralık 2002 tarih ve 184-FZ sayılı Rusya Federasyonu Federal Kanunu. madde 2. paragraf 2)]

otomatik sistemin teknik desteği; NGS teknik desteği: NGS'nin işletilmesinde kullanılan tüm teknik araçların toplamı.

[GOSTR 34.003-90. paragraf 2.5]

otomatik sistem yazılımı; AS yazılımı: AS'nin işlevselliğini hata ayıklamak, çalıştırmak ve test etmek için tasarlanmış, depolama ortamındaki ve program belgelerindeki bir dizi program.

[GOSTR 34.003-90. paragraf 2.7]

otomatik sistemin bilgi desteği; AS'nin bilgi desteği: AS'de çalışması sırasında kullanılan bilgilerin hacmi, yerleşimi ve varoluş biçimlerine ilişkin bir dizi belge formu, sınıflandırıcı, düzenleyici çerçeve ve uygulanan çözümler.

[GOSTR 34.003-90. madde 2.8]

3.1.13 hizmeti; Hizmet: Tüketicinin ihtiyaçlarını karşılamak için icracının faaliyetlerinin sonucudur.

Not - 8 bir organizasyon, bir birey veya bir süreç, bir hizmetin uygulayıcısı (tüketicisi) olarak hareket edebilir.

3.1.14 bilgi teknolojisi hizmetleri: BT hizmetleri: Bilginin işlevsel yetenekleri kümesi ve. muhtemelen son kullanıcılara bir hizmet olarak sağlanan bilgi dışı teknoloji.

NOT BT hizmetlerine örnek olarak mesajlaşma, iş uygulamaları, dosya ve yazdırma hizmetleri, ağ hizmetleri vb. verilebilir.

3.1.15 kritik bilgi altyapı sistemi; Anahtar bilgi altyapısı sistemi: FIAC: Kritik bir nesneyi veya süreci yöneten veya bunlara bilgi sağlayan veya toplumu ve vatandaşları resmi olarak bilgilendirmek için kullanılan, işleyişinin bozulması veya kesintiye uğraması (yıkıcı bir etki sonucu) olan bilgi yönetimi veya bilgi telekomünikasyon sistemi. bilgi etkilerinin yanı sıra başarısızlıklar veya başarısızlıklar) önemli olumsuz sonuçları olan bir acil duruma yol açabilir.

3.1.18 kritik nesne: Operasyonun sürekliliğinin bozulması ciddi hasara neden olabilecek nesne veya süreçtir.

GOSTR 53114-2008

Not - Bireylerin veya tüzel kişilerin mülküne zarar verilebilir. devlet veya belediye mülküne, çevreye zarar vermenin yanı sıra vatandaşların yaşamına veya sağlığına zarar vermek.

Kişisel veri bilgi sistemi: Bir veri tabanında yer alan kişisel veriler kümesi ile bu tür kişisel verilerin otomasyon araçları kullanılarak veya bu araçlar kullanılmadan işlenmesine olanak sağlayan bilgi teknolojileri ve teknik araçlardan oluşan bilgi sistemidir.

Kişisel veri: Bu bilgilere dayanarak tanımlanan veya belirlenen bir kişiye (kişisel veri konusu) ilişkin, soyadı, adı da dahil olmak üzere her türlü bilgi. soyadı, yıl ay, doğum tarihi ve yeri, adres, aile, sosyal, mal durumu, eğitim, meslek, gelir, diğer bilgiler.

3.1.19 korumalı bir tasarımda otomatik sistem; Korumalı tasarımda AS: Bilgi korumasına ilişkin standartların ve/veya düzenleyici belgelerin gerekliliklerine uygun olarak belirlenmiş işlevleri gerçekleştirmek için bilgi teknolojisini uygulayan otomatik bir sistem.

3.2 Bilgi koruma nesnesine ilişkin terimler

3.2.1 kuruluşun bilgi güvenliği; Örgütsel zeka: Bilgi alanındaki tehditler karşısında örgütün çıkarlarının korunma durumu.

Not - Güvenlik, bir dizi bilgi güvenliği özelliğinin (gizlilik, bütünlük, bilgi varlıklarının kullanılabilirliği ve kuruluşun altyapısı) sağlanmasıyla sağlanır. Bilgi güvenliği özelliklerinin önceliği, bilgi varlıklarının kuruluşun çıkarları (hedefleri) açısından önemi ile belirlenir.

Bilgi korumasının nesnesi: Bilgi veya bilgi taşıyıcısı veya bilgi süreci. Bilginin korunma amacına uygun olarak korunması gerekenler.

[GOST R 50922-2006. madde 2.5.1]

3.2.3 korunan süreç (bilgi teknolojisi): Korunan bilgiyi gerekli güvenlik düzeyiyle işlemek için bilgi teknolojisi tarafından kullanılan bir süreçtir.

3.2.4 kuruluşun bilgi güvenliğinin ihlali: kuruluşun bilgi güvenliğinin ihlali: Bir bireyin (özne, nesne) kuruluşun varlıklarıyla ilgili olarak kazara veya kasıtlı olarak yasa dışı eylemi, bunun sonucu olarak bilgi güvenliğinin ihlali olur. bilgi sistemlerinde teknik yollarla işlenerek kuruluş açısından olumsuz sonuçlara (zarar/zarar) neden olur.

acil durum; öngörülemeyen durum; Acil Durum: Belirli bir bölgede veya su bölgesinde, bir kaza, tehlikeli bir doğa olayı, bir felaket, doğal veya başka bir afet sonucu gelişen, can kaybı veya insan kayıplarına yol açabilecek, insan sağlığına zarar verebilecek durum. ya da çevrenin zarar görmesi, önemli maddi kayıplar ve insanların yaşam koşullarının bozulması.

Not - Acil durumlar, kaynağın niteliğine (doğal, insan yapımı, biyolojik-sosyal ve askeri) ve ölçeğe (yerel, yerel, bölgesel, bölgesel, federal ve sınır ötesi) göre ayrılır.

(GOST R 22.0.02-94. Madde 2.1.1)

GOSTR 53114-2008

3.2.6

Tehlikeli durum: İnsanların, malların veya çevrenin risk altında olduğu koşullar.

(GOST R 51898-2003. paragraf 3.6)

3.2.7

Bilgi güvenliği olayı: Operasyonları veya bilgi güvenliğini kesintiye uğratabilecek her türlü beklenmeyen veya istenmeyen olay.

Not - Bilgi güvenliği olayları şunlardır:

Hizmet, ekipman veya cihaz kaybı:

Sistem arızaları veya aşırı yüklenmeler:

Kullanıcı hataları.

Fiziksel koruma önlemlerinin ihlali:

Sistemlerde kontrolsüz değişiklikler.

Yazılım arızaları ve donanım arızaları:

Erişim kurallarının ihlali.

(GOST R ISO/IEC 27001 -2006. Madde 3.6)

3.2.8 olay: Belirli bir dizi koşulun ortaya çıkması veya varlığı.

Notlar

1 Olayın niteliği, olasılığı ve sonuçları tam olarak bilinemeyebilir.

2 Bir olay bir veya daha fazla kez meydana gelebilir.

3 Bir olaya ilişkin olasılık tahmin edilebilir.

4 Bir olay, bir veya daha fazla koşulun gerçekleşmemesinden oluşabilir.

5 Tahmin edilemeyen bir olaya bazen "olay" denir.

6 Hiçbir kaybın meydana gelmediği bir olaya bazen bir olay (olay), tehlikeli bir durum, tehlikeli bir durum kombinasyonu vb. için ön koşul denir.

3.2.9 risk: Belirsizliklerin hedeflere ulaşma süreci üzerindeki etkisi.

Notlar

1 Hedeflerin farklı yönleri olabilir: mali, sağlık, güvenlik ve çevre boyutları ve farklı düzeylerde belirlenebilir: stratejik düzeyde, organizasyon düzeyinde, proje, ürün ve süreç düzeyinde.

3 Risk genellikle bir olayın veya koşullardaki değişikliğin sonuçları ile bunların olasılığının birleşimi olarak ifade edilir.

3.2.10

Risk Değerlendirmesi: Risk tanımlamayı, risk analizini ve risk ölçümünü birleştiren bir süreç.

(GOST R ISO/IEC 13335-1 -2006, paragraf 2.21]

3.2.11 bilgi güvenliği risk değerlendirmesi (kuruluşun); Bilgi güvenliği risk değerlendirmesi (organizasyon): Bir organizasyonun bilgi güvenliği risk seviyesinin kabul edilebilirliğini belirleme, analiz etme ve belirlemeye yönelik genel süreç.

3.2.12 Risk tanımlama: Riskleri tespit etme, tanıma ve tanımlama süreci.

Notlar

1 Risk tanımlama, risk kaynaklarının, olayların ve bunların nedenlerinin yanı sıra olası sonuçlarının tanımlanmasını içerir.

NOT 2 Risk tanımlaması istatistiksel verileri, teorik analizleri, bilgilendirilmiş görüşleri ve uzman görüşlerini ve paydaş ihtiyaçlarını içerebilir.

GOSTR 53114-2008

Risk analizi: Risk kaynaklarını belirlemek ve riski ölçmek için bilginin sistematik kullanımı.

(GOST R ISO/IEC 27001-2006. Madde 3.11)

3.2.14 Risk kabul edilebilirliğinin belirlenmesi: Risk seviyesinin kabul edilebilirliğini veya tolere edilebilirliğini belirlemek için risk analizinin sonuçlarının risk kriterleriyle karşılaştırılması süreci.

NOT Risk seviyesinin kabul edilebilirliğinin belirlenmesi tedavi kararlarının alınmasına yardımcı olur

3.2.15 kuruluşun bilgi güvenliği riskinin ele alınması; Organizasyonel Bilgi Güvenliği Risk Tedavisi: Bir organizasyonun bilgi güvenliği risklerini yönetmek için önlemler geliştirme ve/veya seçme ve uygulama süreci.

Notlar

1 Risk tedavisi şunları içerebilir:

Koşul yaratan faaliyetleri başlatmamaya veya sürdürmemeye karar vererek riskten kaçınmak

Risk yaratabilecek veya artırabilecek faaliyetleri başlatmaya veya sürdürmeye karar vererek fırsat aramak;

Risk kaynağının ortadan kaldırılması:

Riskin niteliği ve büyüklüğündeki değişiklikler:

Sonuçların değiştirilmesi;

Riskin başka bir taraf veya taraflarla paylaşılması.

Riskin hem bilinçli bir karar sonucunda hem de “varsayılan olarak” devam etmesi.

2 Olumsuz sonuçları olan risk tedavilerine bazen hafifletme, ortadan kaldırma, önleme adı verilir. azaltma, bastırma ve risk düzeltme.

3.2.16 risk yönetimi: Kuruluşun risklerle ilgili faaliyetlerini yönlendirmek ve kontrol etmek için koordineli eylemler.

3.2.17 kuruluşun bilgi güvenliğine yönelik risk kaynağı; Kurumsal bilgi güvenliği riskinin kaynağı: Riske neden olabilecek bir nesne veya eylem.

Notlar

1 Bir nesne, kişi veya kuruluş ile riskin kaynağı arasında etkileşim yoksa risk yoktur.

2 Riskin kaynağı somut veya soyut olabilir.

3.2.18 bilgi güvenliği politikası (kuruluşun); Bilgi güvenliği politikası (kuruluş): Bir kuruluşun faaliyetlerini yönlendiren bilgi güvenliği kurallarının, prosedürlerinin, uygulamalarının veya yönergelerinin resmi bir beyanı.

Not - Politikalar şunları içermelidir.

Güvenlik politikasının konusu, ana amaç ve hedefleri:

Güvenlik politikasını uygulama koşulları ve olası kısıtlamalar:

Güvenlik politikasının uygulanmasına ve kuruluşun bilgi güvenliği rejiminin bir bütün olarak organizasyonuna ilişkin kuruluş yönetiminin konumunun açıklaması.

Haklar ve sorumlulukların yanı sıra çalışanların kuruluşun güvenlik politikasına uyma konusundaki sorumluluk derecesi.

Güvenlik politikasının ihlali durumunda acil durum prosedürleri

3.2.19 bilgi güvenliği hedefi (kuruluşun); IS (organizasyon) hedefi: IS (organizasyon) politikasında belirlenen gereksinimlere uygun olarak bir organizasyonun bilgi güvenliğini sağlamanın önceden belirlenmiş bir sonucu.

Not - Bilgi güvenliğinin sağlanmasının sonucu, olası bilgi sızıntısı ve/veya bilgi üzerinde yetkisiz ve kasıtsız etki nedeniyle bilgi sahibinin zarar görmesinin önlenmesi olabilir.

3.2.20 kuruluştaki bilgi güvenliğine ilişkin belge sistemi; Bir kuruluştaki bilgi güvenliği belgeleri sistemi: bir hedef yönelimi ile birleştirilmiş sıralı bir belge kümesi. kökeni, amacı, türü, faaliyet kapsamı, tasarımları için tek tip gereklilikler temelinde birbirine bağlanır ve kuruluşun bilgi güvenliğini sağlamak için faaliyetlerini düzenler.

GOSTR 53114-2008

3.3 Bilgi güvenliği tehditleriyle ilgili terimler

3.3.1 kuruluşun bilgi güvenliğine yönelik tehdit; Bir kuruluşa yönelik bilgi güvenliği tehdidi: Bir kuruluşun bilgi güvenliğinin ihlali tehlikesi oluşturan, kuruluş için olumsuz sonuçlara (hasar/zarar) neden olan veya neden olabilecek bir dizi faktör ve koşul.

Notlar

1 Bilgi güvenliği tehdidinin uygulama (belirti) şekli, birbiriyle ilişkili bir veya daha fazla bilgi güvenliği olayının ve bilgi güvenliği olayının ortaya çıkmasıdır. Kuruluşun korunan nesnesinin/nesnelerinin bilgi güvenliği özelliklerinin ihlaline yol açmak.

2 Tehdit, bir tehdit nesnesinin, bir tehdit kaynağının ve tehdidin tezahürünün varlığıyla karakterize edilir.

Tehdit (bilgi güvenliği): Bilgi güvenliğinin ihlaline yönelik potansiyel veya fiili tehlike yaratan bir dizi koşul ve faktör.

[GOST R 50922-2006. madde 2.6.1]

3.3.3 tehdit (bilgi güvenliği) modeli: Bilgi güvenliği tehditlerinin özelliklerinin veya özelliklerinin fiziksel, matematiksel, tanımlayıcı temsili.

Not - özel bir düzenleyici belge, bilgi güvenliği tehditlerinin özelliklerinin veya özelliklerinin açıklayıcı bir temsili olabilir.

güvenlik açığı (bilgi sisteminin); ihlal: Bir bilgi sisteminin, içinde işlenen bilgilerin güvenliğine yönelik tehditlerin uygulanmasını mümkün kılan bir özelliği.

Notlar

1 Bir bilgi sisteminde işlenen bir güvenlik tehdidinin uygulanmasının koşulu, bilgi sisteminde bir eksiklik veya zayıflık olabilir.

2 Eğer güvenlik açığı tehditle eşleşiyorsa, o zaman risk vardır.

[GOST R 50922-2006. paragraf 2.6.4]

3.3.5 kuruluşun bilgi güvenliğini ihlal eden kişi; Kuruluşun bilgi güvenliği ihlalcisi: Kazara veya kasıtlı olarak sonucu kuruluşun bilgi güvenliğinin ihlali olan bir eylem gerçekleştiren bireysel veya mantıksal kuruluş.

3.3.6 yetkisiz erişim: Yerleşik erişim haklarının (veya) kurallarının ihlal edilerek gerçekleştirilen, otomatik bilgi sisteminin bilgilerine veya kaynaklarına erişim.

Notlar

1 Yetkisiz erişim kasıtlı veya kasıtsız olabilir.

2 Bilgi işleme süreçleri, otomatik bilgi sisteminin bakımı ve program değişiklikleri için bilgiye ve bilgi sistemi kaynaklarına erişime ilişkin haklar ve kurallar oluşturulur. teknik ve bilgi kaynakları ve bunlar hakkında bilgi edinme.

3.3.7 ağ saldırısı: Bilgiye yetkisiz erişim tehditlerini uygulamayı, onu veya otomatik bilgi sisteminin kaynaklarını etkilemeyi amaçlayan, yazılım ve/veya donanım kullanan ve bir ağ protokolü kullanan eylemler.

Uygulama - Ağ protokolü, aynı bilgisayarda bulunan ağ yönetim programlarının etkileşimini belirleyen bir dizi anlamsal ve sözdizimsel kurallardır. başka bir bilgisayarda bulunan aynı isimli programlarla.

3.3.8 Erişimin (bilgiye) engellenmesi: Kişilerin bilgiye erişiminin sonlandırılması veya zorlanması. bunu yapmaya yetkilidir (meşru kullanıcılar).

3.3.9 hizmet reddi saldırısı: Otomatik bir sistemdeki bilgi süreçlerinin engellenmesine yol açan ağ saldırısı.

3.3.10 bilgi sızıntısı: Korunan bilgilerin ifşa edilmesi, bilgilere yetkisiz erişim sağlanması ve korunan bilgilerin yabancı istihbarat servisleri tarafından alınması sonucunda kontrolsüz yayılması.

3.3.11 bilgilerin ifşa edilmesi: Korunan bilgilerin kişilere izinsiz olarak iletilmesi. bu bilgilere erişme yetkisi yoktur.

GOSTR 53114-2008

(bilginin) ele geçirilmesi: Bilgilendirici sinyalleri tespit eden, alan ve işleyen teknik bir araç kullanılarak bilginin yasadışı olarak alınması.

(R 50.1.053-2005, paragraf 3.2.5]

Bilgilendirici sinyal: Korunan bilgiyi belirlemek için parametreleri kullanılabilen bir sinyal.

[R 50.1.05S-2005. madde 3.2.6]

3.3.14 Beyan edilen yetenekler: Bilgisayar donanımı ve yazılımının, açıklanmayan veya belgelerde açıklananlarla eşleşmeyen işlevsel yetenekleri. bilgilerin güvenlik özelliklerinin azalmasına veya ihlal edilmesine yol açabilir.

3.3.15 Sahte elektromanyetik radyasyon ve girişim: Teknik bilgi işlem ekipmanlarından kaynaklanan, yan etki olarak ortaya çıkan ve elektrik ve manyetik devrelerinde hareket eden elektrik sinyallerinden kaynaklanan elektromanyetik radyasyon ve bu sinyallerin iletken hatlar, yapılar ve güç üzerindeki elektromanyetik girişimi devreler.

3.4 Kurumsal bilgi güvenliği yönetimine ilişkin terimler

3.4.1 kuruluşun bilgi güvenliği yönetimi; bilgi güvenliği organizasyonunun yönetimi; Kuruluşun iç ve dış ortamının değişen koşullarına uygun olarak bilgi güvenliğinin sağlanması açısından kuruluşun liderliği ve yönetimine yönelik koordineli eylemler.

3.4.2 kuruluşun bilgi güvenliği risk yönetimi; Kuruluşun bilgi güvenliği risk yönetimi: Bir kuruluşu bilgi güvenliği riskiyle ilgili olarak en aza indirmek amacıyla yönlendirmek ve yönetmek için koordineli eylemler.

NOT Risk yönetiminin temel süreçleri, bağlamın belirlenmesi, riskin değerlendirilmesi, riskin ele alınması ve kabul edilmesi, riskin izlenmesi ve gözden geçirilmesidir.

bilgi güvenliği yönetim sistemi; BGYS: Genel yönetim sisteminin bir parçasıdır. geliştirme, uygulama ve operasyon için biyoenerji risk değerlendirme yöntemlerinin kullanımına dayanmaktadır. Bilgi güvenliğinin izlenmesi, analizi, desteklenmesi ve iyileştirilmesi.

NOT Bir yönetim sistemi organizasyon yapısını, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, süreçleri ve kaynakları içerir.

[GOST R ISO/IEC 27001 -2006. madde 3.7]

3.4.4 kuruluşta bilgi güvenliğinin rolü; Bir kuruluşta bilgi güvenliğinin rolü: Bir kuruluştaki bir konu ile bir nesne arasında kabul edilebilir etkileşim kuran, bir kuruluşun bilgi güvenliğini sağlamaya yönelik bir dizi belirli işlev ve görev.

Notlar

1 Konular, kuruluşun yöneticileri arasından kişileri, personelini veya nesneler üzerinde eylemler gerçekleştirmek üzere onlar adına başlatılan süreçleri içerir.

2 Nesneler donanım, yazılım, yazılım ve donanım ya da üzerinde eylemlerin gerçekleştirildiği bir bilgi kaynağı olabilir.

3.4.5 Bir kuruluşun bilgi güvenliği hizmeti: Kuruluşun bilgi güvenliğine yönelik tehditlere karşı koymayı amaçlayan belirli bir görevin çözümünü uygulayan bir kuruluşun bilgi güvenliği yönetim sisteminin organizasyonel ve teknik yapısı.

3.5 Bir kuruluşun bilgi güvenliğinin izlenmesi ve değerlendirilmesine ilişkin terimler

3.5.1 kuruluşun bilgi güvenliğinin sağlanmasına ilişkin kontrol; kuruluşun bilgi güvenliği hükmünün kontrolü: Kuruluşta bilgi güvenliği hükmünün uygunluğunun kontrol edilmesi.

GOSTR 53114-2008

3.5.2 kuruluşun bilgi güvenliğinin izlenmesi; Kuruluşun bilgi güvenliği izlemesi: Bilgi güvenliği gereksinimlerine uygunluğunu sağlamak amacıyla kuruluştaki bilgi güvenliği sürecinin sürekli izlenmesi.

3.5.3 kuruluşun bilgi güvenliğinin denetimi; Bir bilgi güvenliği kuruluşunun denetimi: Kuruluşun bilgi güvenliğini sağlamaya ve kuruluşta bilgi güvenliği kriterlerinin yerine getirilme derecesini belirlemeye yönelik faaliyetlerine ilişkin kanıtların elde edilmesinin yanı sıra profesyonel bir denetim oluşturma olanağına izin veren sistematik, bağımsız ve belgelenmiş bir süreç. Kuruluşun bilgi güvenliğinin durumu hakkında karar.

3.5.4 bir kuruluşun bilgi güvenliği denetiminin kanıtı (kanıtı); Kurumsal bilgi güvenliği denetim verileri: Kuruluşun bilgi güvenliği denetim kriterleriyle ilgili olan ve doğrulanabilen kayıtlar, gerçek beyanları veya diğer bilgiler.

NOT Bilgi güvenliği kanıtı niteliksel veya niceliksel olabilir.

3.5.5 kuruluşun bilgi güvenliğinin belirlenmiş gerekliliklere uygunluğunun değerlendirilmesi; Bir kuruluşun bilgi güvenliğinin yerleşik gereksinimlere uygunluğunun değerlendirilmesi: Bir kuruluşta yerleşik bilgi güvenliği gereksinimlerine uygunluğun veya uyumsuzluğun doğrudan veya dolaylı olarak belirlenmesiyle ilgili faaliyetler.

3.5.6 bir kuruluşun bilgi güvenliğinin denetlenmesine ilişkin kriter; Bir bilgi güvenliği kuruluşunun denetim kriteri: Kuruluşun bilgi güvenliği alanındaki faaliyetleriyle ilgili mevcut düzenleyici belgelerin* bir dizi ilkesi, hükümleri, gereksinimleri ve göstergeleri.

Uygulama - Bilgi güvenliği denetim kriterleri, bilgi güvenliği denetim kanıtlarını bunlarla karşılaştırmak için kullanılır.

3.5.7 Güvenli tasarımda otomatik bir sistemin sertifikasyonu: Bilgi alanındaki standartların ve/veya düzenleyici belgelerin gerekliliklerine uygunluk açısından korunan bilgileri işlemek için otomatik bir sistemin belirtilen işlevlerinin performansının kapsamlı olarak doğrulanması süreci. koruma ve belirli bir tesiste korunan bilgilerin işlenmesi işlevinin yerine getirilmesine uygunluğuna ilişkin belgelerin hazırlanması.

3.5.8 kuruluşun bilgi güvenliğinin sağlanmasına yönelik kriter; Kuruluşun bilgi güvenliği kriteri: Kuruluşun bilgi güvenliği hedef(ler)ine ulaşma derecesinin değerlendirildiği bir gösterge.

3.5.9 bilgi güvenliğinin etkinliği; Bilgi güvenliğinin etkinliği: Elde edilen sonuç ile belirli bir düzeyde bilgi güvenliği sağlamak için kullanılan kaynaklar arasındaki ilişki.

3.6 Bir kuruluşun bilgi güvenliği kontrolleriyle ilgili terimler

3.6.1 kuruluşun bilgi güvenliğinin sağlanması; Bir kuruluşun bilgi güvenliğinin sağlanması: Bir kuruluşun bilgi güvenliğine yönelik iç ve dış tehditleri ortadan kaldırmayı (etkisiz hale getirmeyi, bunlara karşı koymayı) veya bu tür tehditlerin olası uygulanmasından kaynaklanan hasarı en aza indirmeyi amaçlayan faaliyetler.

3.6.2 güvenlik önlemi; Güvenlik kontrolü: Riski ele almak için yerleşik bir uygulama, prosedür veya mekanizma.

3.6.3 bilgi güvenliğini sağlamaya yönelik önlemler; Bilgi güvenliği önlemleri: Bilgi güvenliğini sağlamaya yönelik yöntem ve araçların geliştirilmesini ve/veya pratik olarak uygulanmasını amaçlayan bir dizi eylem.

3.6.4 bilgi güvenliğini sağlamaya yönelik organizasyonel önlemler; Bilgi güvenliğini sağlamaya yönelik organizasyonel önlemler: Bir bilişim nesnesinin kullanım koşulları ve çalışma modları üzerinde geçici, bölgesel, mekansal, yasal, metodolojik ve diğer kısıtlamaların oluşturulmasını sağlayan bilgi güvenliğini sağlamaya yönelik önlemler.

3.6.5 bilgi güvenliğini sağlamanın teknik yolları; Bilgi güvenliği teknik anlamı: Bir kuruluşun bilgi güvenliğini kriptografik olmayan yöntemler kullanarak sağlamak için kullanılan ekipman.

Not - Bu tür ekipmanlar, korunan nesneye yerleşik ve/veya otonom olarak (korunan nesneden bağımsız olarak) çalışan donanım ve yazılımla temsil edilebilir.

GOSTR 53114-2008

3.5.6 izinsiz giriş tespit aracı, saldırı tespit aracı: Bir bilgisayar sistemi veya ağında meydana gelen olayların izlenmesi sürecini otomatikleştiren ve aynı zamanda bir bilgi güvenliği olayının işaretlerini aramak amacıyla bu olayları bağımsız olarak analiz eden bir yazılım veya yazılım-donanım aracıdır.

3.6.7 Yetkisiz erişime karşı koruma araçları: Yetkisiz erişimi önlemek veya önemli ölçüde engellemek için tasarlanmış yazılım, donanım veya yazılım ve donanım.

GOSTR 53114-2008

Terimlerin alfabetik dizini

organizasyon varlıkları 3.1.6

risk analizi 3.2.13

Korumalı sürüm 3.1.19'daki hoparlörler

hizmet reddi saldırısı 3.3.9

ağ saldırısı 3.3.7

korumalı bir sürüm 3.5.7'de otomatik sistemin sertifikasyonu

organizasyon bilgi güvenliği denetimi 3.5.3

organizasyon bilgi güvenliği denetimi 3.5.3

güvenlik (veri] 3.1.1

bilgi güvenliği 3.1.1

bilgi teknolojisi güvenliği 3.1.2

organizasyon bilgi güvenliği 3.2.1

(bilgiye) erişimin engellenmesi 3.3.8

ihlal 3.3.4

bildirilmemiş yetenekler 3.3.14

kişisel veriler 3.1.18

yetkisiz erişim 3.3.6

Kurumsal bilgi güvenliği 3.2.1

risk tanımlama 3.2.12

bilgi altyapısı 3.1.4

bilgi güvenliği olayı 3.2.7

kurumsal bilgi güvenliği riskinin kaynağı 3.2.17

kuruluşun bilgi güvenliğine yönelik riskin kaynağı 3.2.17

kuruluşun bilgi güvenliğinin kontrolü 3.5.1

kuruluşun bilgi güvenliği üzerinde kontrol 3.5.1

kuruluşun bilgi güvenliğini sağlamaya yönelik kriterler 3.5.8

organizasyonel BS denetim kriteri 3.5.6

kuruluş bilgi güvenliği denetim kriteri 3.5.6

kuruluşun bilgi güvenliğinin sağlanmasına yönelik kriter 3.5.8

organizasyon bilgi güvenliği yönetimi 3.4.1

organizasyon bilgi güvenliği yönetimi 3.4.1

organizasyon bilgi güvenliği risk yönetimi 3.4.2

organizasyon bilgi güvenliği risk yönetimi 3.4.2

güvenlik önlemi 3.6.2

güvenlik önlemi 3.6.2

bilgi güvenliği önlemleri 3.6.3

kurumsal bilgi güvenliği önlemleri 3.6.4

bilgi güvenliği önlemleri 3.6.3

kurumsal bilgi güvenliği önlemleri 3.4.6

tehdit modeli (bilgi güvenliği) 3.3.3

organizasyon bilgi güvenliği izleme 3.5.2

organizasyon bilgi güvenliğinin izlenmesi 3.5.2

kuruluşun bilgi güvenliğinin ihlali 3.2.4

kuruluşun bilgi güvenliğinin ihlali 3.2.4

kuruluş bilgi güvenliği ihlalcisi 3.3.5

bir kuruluşun bilgi güvenliğini ihlal eden kişi 3.3.5

otomatik sistem bilgisi desteği 3.1.12

otomatik sistem yazılımı 3.1.11

otomatik sistemin teknik desteği 3.1.10

AS bilgi desteği 3.1.12

AC yazılımı 3.1.11

AC teknik desteği 3.1.10

kuruluşun bilgi güvenliğinin sağlanması 3.6.1

kuruluşun bilgi güvenliğinin sağlanması 3.6.1

kuruluşun bilgi güvenliği risk tedavisi 3.2.15

GOSTR 53114-2008

kuruluşun bilgi güvenliği riskini yönetmek 3.2.1S

bilgi koruma nesnesi 3.2.2

bilişim nesnesi 3.1.5

kritik nesne 3.1.16

Kabul edilebilir risk seviyesinin belirlenmesi 3.2.14

risk değerlendirmesi 3.2.10

risk değerlendirmesi I6 (organizasyonlar) 3.2.11

bilgi güvenliği risk değerlendirmesi (organizasyon) 3.2.11

kuruluşun BS'nin yerleşik gerekliliklerle uyumluluğunun değerlendirilmesi 3.5.5

kuruluşun bilgi güvenliğinin belirlenmiş gerekliliklere uygunluğunun değerlendirilmesi 3.5.5

müdahale (bilgi) 3.3.12

IS politikası (organizasyon) 3.2.18

bilgi güvenliği politikası (organizasyon) 3.2.18

süreç (bilgi teknolojisi) korumalı 3.2.3

bilgi süreci 3.1.8

bilgilerin açıklanması 3.3.11

bilgi işlem sistemi kaynağı 3.1.7

kuruluşta bilgi güvenliğinin rolü 3.4.4

organizasyonda bilgi güvenliğinin rolü 8 3.4.4

Bir kuruluşun BS denetiminin sertifikaları (kanıtı) 3.5.4

Bir kuruluşun bilgi güvenliği denetiminin kanıtı (kanıtı) 3.5.4

hizmet 3.1.13

bilgilendirici sinyal 3.3.13

güvenli otomatik sistem 3.1.19

kuruluştaki bilgi güvenliği belge sistemi 3.2.20

kuruluşta bilgi güvenliğine ilişkin belgeler sistemi 3.2.20

temel bilgi altyapı sistemi 3.1.15

kritik bilgi altyapısı sistemi 3.1.15

bilgi güvenliği yönetim sistemi 3.4.3

kişisel veri bilgi sistemi 3.1.17

öngörülemeyen durum 3.2.5

tehlikeli durum 3.2.6

acil durum 3.2.5

organizasyon bilgi güvenliği hizmeti 3.4.6

olay 3.2.8

yetkisiz erişime karşı koruma 3.6.7

teknik bilgi güvenliği aracı 3.6.5

teknik bilgi güvenliği aracı 3.6.5

Saldırı Tespit Aracı 3.6.6

İzinsiz Giriş Tespit Aracı 3.6.6

bilgi alanı 3.1.3

bilgi teknolojisi 3.1.9

tehdit (bilgi güvenliği) 3.3.2

kuruluşun bilgi güvenliğine yönelik tehdit 3.3.1

kuruluşun bilgi güvenliğine yönelik tehdit 3.3.1

risk yönetimi 3.2.16

hizmet 3.1.13

bilgi teknolojisi hizmetleri 3.1.14

BT hizmetleri 3.1.14

bilgi sızıntısı 3.3.10

güvenlik açığı (bilgi sistemi) 3.3.4

IS hedefi (organizasyon) 3.2.19

bilgi güvenliği hedefi (organizasyon) 3.2.19

elektromanyetik radyasyon ve yan girişim 3.3.15

IS verimliliği 3.5.9

bilgi güvenliğinin etkinliği 3.5.9

GOSTR 53114-2008

Ek A (referans)

Genel teknik kavramların terimleri ve tanımları

Organizasyon: Sorumlulukların, yetkilerin ve ilişkilerin dağılımı ile birlikte bir grup çalışan ve gerekli kaynaklar.

(GOST R ISO 9000-2001, paragraf 3.3.1)

Notlar

1 Kuruluşlar şunları içerir: şirket, şirket, firma, girişim, kurum, hayır kurumu, perakende işletmesi, dernek. bunların alt bölümleri veya bunların bir kombinasyonu.

2 Dağıtım genellikle sıralıdır.

3 Bir kuruluş kamusal veya özel olabilir.

A.2 iş: Kâr üreten ekonomik faaliyet; Gelir getiren ve zenginleşme kaynağı olan her türlü faaliyet.

A.Z iş süreci: Bir kuruluşun ekonomik faaliyetlerinde kullanılan süreçler.

bilgi: Sunum şekline bakılmaksızın bilgi (mesajlar, veriler).

varlıklar: Hepsi. kuruluş için neyin değerli olduğu. (GOST R ISO/IEC13335-1-2006, paragraf 2.2(

A.6 kaynaklar: Bir sürecin yürütülmesi sırasında kullanılan veya tüketilen varlıklar (bir kuruluşun). Notlar

1 Kaynaklar, personel, ekipman, sabit kıymetler, araçlar ve enerji, su, yakıt ve iletişim ağı altyapısı gibi yardımcı programları içerebilir.

2 Kaynaklar yeniden kullanılabilir, yenilenebilir veya tüketilebilir olabilir.

A.7 tehlike: Bir nesnenin, diğer nesnelere zarar verme veya zarar verme yeteneğini karakterize eden özelliği. A.8 acil durum olayı: Acil duruma yol açan olay.

A.9 hasar: Fiziksel hasar veya insan sağlığına verilen zarar veya mülke veya çevreye verilen zarar.

A.10 tehdit: Bütünlük ve kullanılabilirliğin ihlaline neden olabilecek bir dizi koşul ve faktör. mahremiyet.

A.11 güvenlik açığı: Bir nesnenin, bazı sonuçlara yol açabilecek bir risk kaynağının etkilerine karşı duyarlılık oluşturan dahili özellikleri.

A.12 saldırısı: Bir bilgi sisteminin güvenlik sistemini aşma girişimi.

Notlar - Bir saldırının "başarılı" derecesi, savunma sisteminin zayıflığına ve etkinliğine bağlıdır.

A.13 yönetim: Organizasyonun yönlendirilmesi ve yönetimi için koordineli faaliyetler

A.14 iş (süreklilik) yönetimi: Koordineli yönetim ve kontrol faaliyetleri

kuruluşun iş süreçleri.

A.15 rolü: Bir organizasyonun faaliyetleri için özne ile faaliyetin nesnesi arasında kabul edilebilir etkileşimi kuran önceden belirlenmiş bir dizi kural ve prosedür.

Bilgi sahibi: Bağımsız olarak bilgi oluşturan veya yasa veya anlaşmaya dayanarak, herhangi bir kritere göre belirlenen bilgiye erişime izin verme veya erişimi kısıtlama hakkını alan kişi.

GOSTR 53114-2008

Altyapı: Bir kuruluşun işleyişi için gerekli olan bina, ekipman ve destek hizmetlerinin toplamı.

[GOST R ISO 9000-2001. paragraf 3.3.3]

A.18 denetim: Üzerinde anlaşmaya varılan denetim kriterlerinin ne ölçüde karşılandığını belirlemek amacıyla denetim kanıtlarının elde edildiği ve objektif olarak değerlendirildiği sistematik, bağımsız ve belgelenmiş bir süreç.

Notlar

1 Birinci taraf denetimleri olarak adlandırılan iç denetimler, kuruluşun kendisi tarafından veya onun adına başka bir kuruluş tarafından iç amaçlarla gerçekleştirilir. İç denetimin sonuçları uygunluk beyanına temel teşkil edebilir. Çoğu durumda, özellikle küçük işletmelerde, denetimin uzmanlar (denetlenen faaliyetten sorumlu olmayan kişiler) tarafından yapılması gerekir.

NOT 2 Dış denetimler, ikinci taraf denetimleri ve üçüncü taraf denetimleri olarak adlandırılan denetimleri içerir. İkinci taraf denetimleri örneğin işletmenin faaliyetleriyle ilgilenen taraflarca gerçekleştirilir.

tüketiciler veya onlar adına başkaları. Üçüncü taraf denetimleri dış bağımsız kuruluşlar tarafından gerçekleştirilmektedir. Bu kuruluşlar, örneğin GOST R ISO 9001 ve GOST R ISO 14001 gereklilikleri gibi gerekliliklere uygunluk için sertifikasyon veya kayıt gerçekleştirir.

3 Kalite yönetim sistemleri ile çevre yönetim sistemlerinin eş zamanlı olarak yürütülen denetimine “kapsamlı denetim” denir.

4 Denetlenen kuruluşun denetiminin birden fazla kuruluş tarafından aynı anda yapılması durumunda bu tür denetime “ortak denetim” adı verilmektedir.

A.19 izleme: Bir nesnenin sistematik veya sürekli izlenmesi, parametrelerinin kontrolünün ve/veya ölçülmesinin sağlanması, ayrıca parametrelerin değişkenliğini tahmin etmek için analiz yapılması ve düzeltici ve önleyici faaliyetlerin gerekliliği ve bileşimi hakkında kararlar alınması.

Uygunluk beyanı: Ürünün teknik düzenlemelerin gerekliliklerine uygunluğunun onaylanma şekli.

A.21 teknoloji: Birbirine bağlı yöntemler, yöntemler ve nesnel faaliyet tekniklerinden oluşan bir sistem. A.22

Belge: Somut bir ortama kaydedilen, tanımlanmasına olanak sağlayan ayrıntılarla birlikte bilgi.

[GOST R 52069.0-2003. paragraf 3.18]

A.23 bilgi işleme: Bilgi üzerinde gerçekleştirilen bir dizi toplama, biriktirme, girdi, çıktı, alım, iletim, kayıt, depolama, tescil, imha, dönüştürme, görüntüleme işlemleri.

GOSTR 53114-2008

Ek B (referans için)

Bir kuruluşta bilgi güvenliği alanındaki temel kavramların ilişkisi

Temel kavramlar arasındaki ilişki Şekil B.1'de gösterilmektedir.

Şekil B.1 - Temel kavramlar arasındaki ilişki

GOSTR 53114-2008

Kaynakça

(1]R 50.1.053-2005

(2]PS0.1.056-2005

Bilgi Teknolojisi. Teknik bilgi güvenliği alanında temel terimler ve tanımlar Teknik bilgi güvenliği. Temel terimler ve tanımlar

Teknik düzenleme hakkında

Bilgi, bilgi teknolojileri ve bilgilerin korunması hakkında

Kişisel veriler hakkında

Rusya Federasyonu Bilgi Güvenliği Doktrini

UDC 351.864.1:004:006.354 OKS 35.020 LLP

Anahtar kelimeler: bilgi, bilgi güvenliği, kuruluşta bilgi güvenliği, bilgi güvenliğine yönelik tehditler, bilgi güvenliği kriterleri

Editör V.N. Polisler soya Teknik editör V.N. Prusakova Düzeltici V.E. Nestorovo Bilgisayar yazılımı I.A. NapeikinoO

11.06.2009 tarihinde işe alım için teslim edildi. İmzalı pul 12/01/2009. 60"84 Ofset kağıdı biçimlendirin. Arial yazı tipi. Ofset baskı. Usp. fırın l. 2.32. Uch.-ed. l. 1.90. Tiraj 373 »kz. Zach. 626

FSUE "STANDART BİLGİSİ*. 123995 Moskova. Nar por.. 4. info@goslmlo gi

PC'de FSUE "STANDARTINFORM"a yazıldı.

FSUE "STANDARTINFORM* - tipi" şubesinde basılmıştır. "Moskova Yazıcısı". 105062 Moskova. Lyalin şeridi.. 6.

• GOST 22731-77 Veri iletim sistemleri, yarı çift yönlü bilgi alışverişi için ana modda veri bağlantısı kontrol prosedürleri
• GOST 26525-85 Veri işleme sistemleri. Kullanım metrikleri
• GOST 27771-88 Veri terminal ekipmanı ile veri kanalı sonlandırma ekipmanı arasındaki arayüzdeki prosedür özellikleri. Genel gereksinimler ve standartlar
• GOST 28082-89 Bilgi işleme sistemleri. Seri veri aktarımındaki hataları tespit etme yöntemleri
• GOST 28270-89 Bilgi işleme sistemleri. Bilgi Alışverişi için Veri Açıklaması Dosya Belirtimi
• GOST R 43.2.11-2014 Ekipman ve operatör faaliyetleri için bilgi desteği. Operatör dili. Metin bilgilerinin mesaj formatlarında yapılandırılmış sunumu
• GOST R 43.2.8-2014 Ekipman ve operatör faaliyetleri için bilgi desteği. Operatör dili. Teknik Faaliyetlere İlişkin Mesaj Formatları
• GOST R 43.4.1-2011 Ekipman ve operatör faaliyetleri için bilgi desteği. “İnsan-bilgi” sistemi
• GOST R 53633.10-2015 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş İletişim Organizasyonu Faaliyet Haritası (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Organizasyon yönetimi. Organizasyonel risk yönetimi
• GOST R 53633.11-2015 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş iletişim organizasyonu faaliyet diyagramı (eTOM). Ayrıştırma ve süreç açıklamaları. eTOM Seviye 2 Süreçleri. Organizasyon yönetimi. Organizasyonel Performans Yönetimi
• GOST R 53633.4-2015 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş İletişim Organizasyonu Etkinlik Haritası (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Birincil aktivite. Hizmet yönetimi ve işletimi
• GOST R 53633.7-2015 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş İletişim Organizasyonu Etkinlik Haritası (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Strateji, altyapı ve ürün. Geliştirme ve kaynak yönetimi
• GOST R 53633.9-2015 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş İletişim Organizasyonu Etkinlik Haritası (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Organizasyon yönetimi. Planlama stratejisi ve organizasyonun gelişimi
• GOST R 55767-2013 Bilgi teknolojisi. Avrupa BİT Yeterlilik Çerçevesi 2.0. Bölüm 1. Tüm Endüstri Sektörlerindeki BİT Profesyonelleri için Ortak Avrupa Yeterlilik Çerçevesi
• GOST R 55768-2013 Bilgi teknolojisi. Açık Izgara sisteminin modeli. Temel hükümler
• GOST R 56093-2014 Bilgi koruması. Güvenli bir tasarımda otomatik sistemler. Kasıtlı kuvvet elektromanyetik etkilerini tespit etmek için araçlar. Genel Gereksinimler
• GOST R 56115-2014 Bilgi koruması. Güvenli bir tasarımda otomatik sistemler. Kasıtlı kuvvet elektromanyetik etkilerine karşı koruma araçları. Genel Gereksinimler
• GOST R 56545-2015 Bilgi koruması. Bilgi sistemlerinin güvenlik açıkları. Güvenlik açıklarını tanımlama kuralları
• GOST R 56546-2015 Bilgi koruması. Bilgi sistemlerinin güvenlik açıkları. Bilgi sistemi güvenlik açıklarının sınıflandırılması
• GOST IEC 60950-21-2013 Bilgi teknolojisi ekipmanı. Güvenlik gereksinimleri. Bölüm 21. Uzaktan güç kaynağı
• GOST IEC 60950-22-2013 Bilgi teknolojisi ekipmanı. Güvenlik gereksinimleri. Bölüm 22. Açık havada kurulumu amaçlanan ekipman
• GOST R 51583-2014 Bilgi koruması. Güvenli bir tasarımda otomatik sistemler oluşturma prosedürü. Genel Hükümler
• GOST R 55766-2013 Bilgi teknolojisi. Avrupa BİT Yeterlilik Çerçevesi 2.0. Bölüm 3. e-CF'nin oluşturulması - metodolojik temeller ve uzman deneyiminin birleştirilmesi
• GOST R 55248-2012 Elektrik güvenliği. Bilgi ve iletişim teknolojisi ağlarına bağlı ekipmanlar için arayüzlerin sınıflandırılması
• GOST R 43.0.11-2014 Ekipman ve operatör faaliyetleri için bilgi desteği. Teknik faaliyetlerde veritabanları
• GOST R 56174-2014 Bilgi teknolojileri. Açık Grid ortamının hizmetlerinin mimarisi. Terimler ve tanımlar
• GOST IEC 61606-4-2014 İşitsel ve görsel-işitsel ekipmanlar. Dijital ses ekipmanının bileşenleri. Ses özelliklerini ölçmek için temel yöntemler. Bölüm 4. Kişisel bilgisayar
• GOST R 43.2.5-2011 Ekipman ve operatör faaliyetleri için bilgi desteği. Operatör dili. Dilbilgisi
• GOST R 53633.5-2012 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş İletişim Organizasyonu Etkinlik Haritası (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Strateji, altyapı ve ürün. Pazarlama ve ürün sunma yönetimi
• GOST R 53633.6-2012 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş İletişim Organizasyonu Etkinlik Haritası (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Strateji, altyapı ve ürün. Hizmet geliştirme ve yönetimi
• GOST R 53633.8-2012 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş İletişim Organizasyonu Etkinlik Haritası (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Strateji, altyapı ve ürün. Tedarik zinciri geliştirme ve yönetimi
• GOST R 43.0.7-2011 Ekipman ve operatör faaliyetleri için bilgi desteği. Melez-entelektüelleşmiş insan-bilgi etkileşimi. Genel Hükümler
• GOST R 43.2.6-2011 Ekipman ve operatör faaliyetleri için bilgi desteği. Operatör dili. Morfoloji
• GOST R 53633.14-2016 Bilgi teknolojileri. Telekomünikasyon yönetim ağı, genişletilmiş bir iletişim organizasyonu operasyon çerçevesidir (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Organizasyon yönetimi. Paydaş ve dış ilişkiler yönetimi
• GOST R 56938-2016 Bilgi koruması. Sanallaştırma teknolojilerini kullanırken bilgilerin korunması. Genel Hükümler
• GOST R 56939-2016 Bilgi koruması. Güvenli yazılım geliştirme. Genel Gereksinimler
• GOST R ISO/IEC 17963-2016 Yönetime yönelik web hizmetlerinin özellikleri (WS yönetimi)
• GOST R 43.0.6-2011 Ekipman ve operatör faaliyetleri için bilgi desteği. Doğal olarak entelektüelleştirilmiş insan-bilgi etkileşimi. Genel Hükümler
• GOST R 54817-2011 Bir mum alevinin kazara neden olduğu ses, video, bilgi teknolojisi ve iletişim ekipmanlarının tutuşması
• GOST R IEC 60950-23-2011 Bilgi teknolojisi ekipmanı. Güvenlik gereksinimleri. Bölüm 23. Büyük hacimli verileri depolamak için ekipman
• GOST R IEC 62018-2011 Bilgi teknolojisi ekipmanlarının enerji tüketimi. Ölçüm yöntemleri
• GOST R 53538-2009 Geniş bant erişim devreleri için bakır iletkenli çok çiftli kablolar. Genel teknik gereksinimler
• GOST R 53633.0-2009 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş iletişim organizasyonu faaliyetleri şeması (eTOM). İş süreçlerinin genel yapısı
• GOST R 53633.1-2009 Bilgi teknolojisi. Telekomünikasyon kontrol ağı. Genişletilmiş iletişim organizasyonu faaliyetleri şeması (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Birincil aktivite. Tedarikçiler ve ortaklarla ilişkileri yönetmek
• GOST R 53633.2-2009 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş iletişim organizasyonu faaliyetleri şeması (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Birincil aktivite. Kaynak Yönetimi ve Operasyonu
• GOST R 53633.3-2009 Bilgi teknolojisi. Telekomünikasyon kontrol ağı. Genişletilmiş iletişim organizasyonu faaliyetleri şeması (eTOM). Süreçlerin ayrıştırılması ve tanımları. eTOM Seviye 2 Süreçleri. Birincil aktivite. Müşteri ilişkileri yönetimi
• GOST R ISO/IEC 20000-2-2010 Bilgi teknolojisi. Servis Yönetimi. Bölüm 2: Uygulama Kuralları
• GOST R 43.0.3-2009 Ekipman ve operatör faaliyetleri için bilgi desteği. Teknik faaliyetlerde öğle teknolojisi. Genel Hükümler
• GOST R 43.0.4-2009 Ekipman ve operatör faaliyetleri için bilgi desteği. Teknik faaliyetlerde bilgi. Genel Hükümler
• GOST R 43.0.5-2009 Ekipman ve operatör faaliyetleri için bilgi desteği. Teknik faaliyetlerde bilgi alışverişi süreçleri. Genel Hükümler
• GOST R 43.2.1-2007 Ekipman ve operatör faaliyetleri için bilgi desteği. Operatör dili. Genel Hükümler
• GOST R 43.2.2-2009 Ekipman ve operatör faaliyetleri için bilgi desteği. Operatör dili. Kullanıma ilişkin genel hükümler
• GOST R 43.2.3-2009 Ekipman ve operatör faaliyetleri için bilgi desteği. Operatör dili. İkonik bileşenlerin türleri ve özellikleri
• GOST R 43.2.4-2009 Ekipman ve operatör faaliyetleri için bilgi desteği. Operatör dili. İşaret bileşenlerinin söz dizimi
• GOST R 52919-2008 Bilgi teknolojisi. Fiziksel koruma yöntemleri ve araçları. Yangına dayanıklılık için sınıflandırma ve test yöntemleri. Veri odaları ve konteynerler
• GOST R 53114-2008 Bilgi koruması. Organizasyonda bilgi güvenliğinin sağlanması. Temel terimler ve tanımlar
• GOST R 53245-2008 Bilgi teknolojileri. Yapısal kablo sistemleri. Sistemin ana bileşenlerinin kurulumu. Test yöntemleri
• GOST R 53246-2008 Bilgi teknolojileri. Yapısal kablo sistemleri. Sistemin ana bileşenlerinin tasarımı. Genel Gereksinimler
• GOST R IEC 60990-2010 Dokunma akımını ve koruyucu iletken akımını ölçme yöntemleri
• GOST 33707-2016 Bilgi teknolojileri. Sözlük
• GOST R 57392-2017 Bilgi teknolojileri. Servis Yönetimi. Bölüm 10. Temel kavramlar ve terminoloji
• GOST R 43.0.13-2017 Ekipman ve operatör faaliyetleri için bilgi desteği. Uzmanların yönlendirilmiş eğitimi
• GOST R 43.0.8-2017 Ekipman ve operatör faaliyetleri için bilgi desteği. Yapay olarak entelektüelleştirilmiş insan-bilgi etkileşimi. Genel Hükümler
• GOST R 43.0.9-2017 Ekipman ve operatör faaliyetleri için bilgi desteği. Bilgi kaynakları
• GOST R 43.2.7-2017 Ekipman ve operatör faaliyetleri için bilgi desteği. Operatör dili. Sözdizimi
• GOST R ISO/IEC 38500-2017 Bilgi teknolojisi. Bir kuruluşta stratejik BT yönetimi
• GOST R 43.0.10-2017 Ekipman ve operatör faaliyetleri için bilgi desteği. Bilgi nesneleri, teknik bilgilerin oluşturulmasında nesne yönelimli tasarım
• GOST R 53633.21-2017 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş iletişim organizasyonu faaliyetleri şeması (eTOM). Süreçlerin ayrıştırılması ve tanımları. Birincil aktivite. Hizmetlerin yönetimi ve işletilmesi. eTOM Seviye 3 Süreçleri. Süreç 1.1.2.1 - SM&O Süreçlerinin Desteği ve Kullanılabilirliği
• GOST R 57875-2017 Telekomünikasyon. Telekomünikasyon merkezlerinde bağlantı şemaları ve topraklama
• GOST R 53633.22-2017 Bilgi teknolojileri. Telekomünikasyon kontrol ağı. Genişletilmiş iletişim organizasyonu faaliyetleri şeması (eTOM). Süreçlerin ayrıştırılması ve tanımları. Birincil aktivite. Hizmetlerin yönetimi ve işletilmesi. eTOM Seviye 3 Süreçleri. Süreç 1.1.2.2 - Hizmetleri yapılandırma ve etkinleştirme

Uluslararası standartlar

• BS 7799-1:2005 - İngiliz Standardı BS 7799 ilk bölüm. BS 7799 Bölüm 1 - Bilgi Güvenliği Yönetimi Uygulama Kuralları, oluşturmak için gereken 127 kontrolü açıklar bilgi güvenliği yönetim sistemleri Kuruluşun (ISMS), bu alandaki küresel deneyimin en iyi örneklerine (en iyi uygulamalara) dayanarak belirlenmiştir. Bu belge BGYS oluşturmaya yönelik pratik bir kılavuz görevi görmektedir.
• BS 7799-2:2005 - İngiliz Standardı BS 7799, standardın ikinci kısmıdır. BS 7799 Bölüm 2 - Bilgi Güvenliği yönetimi - bilgi güvenliği yönetim sistemleri için spesifikasyon, BGYS spesifikasyonunu belirtir. Standardın ikinci kısmı, kuruluşun BGYS'sinin resmi belgelendirme prosedürü sırasında kriter olarak kullanılır.
• BS 7799-3:2006 - İngiliz Standardı BS 7799 standardın üçüncü kısmı. Bilgi güvenliği risk yönetiminde yeni bir standart
• ISO/IEC 17799:2005 - "Bilgi teknolojisi - Güvenlik teknolojileri - Bilgi güvenliği yönetimi uygulaması." BS 7799-1:2005'e dayalı uluslararası standart.
• ISO/IEC 27000 - Kelime dağarcığı ve tanımlar.
• ISO/IEC 27001:2005 - "Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler." BS 7799-2:2005'e dayalı uluslararası standart.
• ISO/IEC 27002 - Şimdi: ISO/IEC 17799:2005. "Bilgi teknolojileri - Güvenlik teknolojileri - Bilgi güvenliği yönetimi için pratik kurallar." Çıkış tarihi: 2007.
• ISO/IEC 27005 - Şimdi: BS 7799-3:2006 - Bilgi güvenliği risk yönetimine ilişkin kılavuz.
• Alman Bilgi Güvenliği Ajansı. BT Temel Koruma Kılavuzu - Standart güvenlik önlemleri.

Rusya Federasyonu'nun devlet (ulusal) standartları

• GOST R 50922-2006 - Bilgi koruması. Temel terimler ve tanımlar.
• R 50.1.053-2005 - Bilgi teknolojileri. Teknik bilgi güvenliği alanında temel terimler ve tanımlar.
• GOST R 51188-98 - Bilgi koruması. Yazılımların bilgisayar virüslerine karşı test edilmesi. Modeli kılavuzu.
• GOST R 51275-2006 - Bilgi koruması. Bilgi nesnesi. Bilgiyi etkileyen faktörler. Genel Hükümler.
• GOST R ISO/IEC 15408-1-2008 - Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi teknolojilerinin güvenliğini değerlendirme kriterleri. Bölüm 1. Giriş ve genel model.
• GOST R ISO/IEC 15408-2-2008 - Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi teknolojilerinin güvenliğini değerlendirme kriterleri. Bölüm 2. İşlevsel güvenlik gereksinimleri.
• GOST R ISO/IEC 15408-3-2008 - Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi teknolojilerinin güvenliğini değerlendirme kriterleri. Bölüm 3. Güvenlik güvencesi gereksinimleri.
• GOST R ISO/IEC 15408 - “Bilgi teknolojilerinin güvenliğini değerlendirmek için genel kriterler” - bilgi ürünleri ve sistemlerinin güvenliğini değerlendirmeye yönelik araçları ve yöntemleri tanımlayan bir standart; bağımsız güvenlik değerlendirmelerinin sonuçlarının karşılaştırılabileceği bir gereksinimler listesi içerir; bu da tüketicinin ürünlerin güvenliği konusunda karar vermesine olanak tanır. “Genel Kriterler”in uygulama kapsamı, bilginin yetkisiz erişime, değişikliğe veya sızıntıya karşı korunması ve donanım ve yazılım tarafından uygulanan diğer koruma yöntemleridir.
• GOST R ISO/IEC 17799 - “Bilgi teknolojileri. Bilgi güvenliği yönetimi için pratik kurallar.” ISO/IEC 17799:2005'in eklenmesiyle uluslararası standardın doğrudan uygulanması.
• GOST R ISO/IEC 27001 - “Bilgi teknolojileri. Güvenlik yöntemleri. Bilgi güvenliği yönetim sistemi. Gereksinimler". Uluslararası standardın doğrudan uygulaması ISO/IEC 27001:2005'tir.
• GOST R 51898-2002: Güvenlik hususları. Standartlara dahil edilme kuralları.

Rehber Dokümanlar

• RD SVT. NSD'ye karşı koruma. NSD'den bilgiye güvenlik göstergeleri - bilgi sistemlerinin güvenlik göstergelerinin bir tanımını ve güvenlik sınıfları için gereksinimleri içerir.

Ayrıca bakınız

• Bildirilmemiş yetenekler

Dış bağlantılar

• Uluslararası Bilgi Güvenliği Yönetim Standartları

Wikimedia Vakfı. 2010.

Verilerin saklanması ve aktarılması ihtiyacı herhangi bir işi yürütmenin ayrılmaz bir parçası olduğundan, bilgi güvenliğini sağlamanın önemini abartmak zordur.

Bilgi güvenliğinin çeşitli yöntemleri, saklandığı forma bağlıdır, ancak bu alanı sistemleştirmek ve kolaylaştırmak için bilgi güvenliği standartlarının oluşturulması gerekir, çünkü standardizasyon, sağlanan hizmetlerin değerlendirilmesinde kalitenin önemli bir belirleyicisidir.

Bilgi güvenliğinin herhangi bir hükmü, uluslararası ve devlet standartları dikkate alınmaksızın yalnızca bireysel değerlendirme ile gerçekleştirilemeyen kontrol ve doğrulamayı gerektirir.

Bilgi güvenliği standartlarının oluşumu, fonksiyonlarının ve sınırlarının net bir şekilde tanımlanmasından sonra gerçekleşir. Bilgi güvenliği, verilerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin sağlanmasıdır.

Bilgi güvenliğinin durumunu belirlemek için, güvenlik veya güvenlik açığı derecesini yüzde olarak ifade etmek mümkün olduğundan, niteliksel bir değerlendirme en uygunudur, ancak bu tam ve objektif bir tablo sunmaz.

Bilgi sistemlerinin güvenliğini değerlendirmek ve denetlemek için düzenleyici desteği gerektiren bir dizi talimat ve tavsiyeyi uygulayabilirsiniz.

Devlet ve uluslararası bilgi güvenliği standartları

Güvenlik durumunun izlenmesi ve değerlendirilmesi, devlet standartlarına (GOST, ISO) ve uluslararası standartlara (Iso, BT güvenliği için ortak kriterler) uygunluğu kontrol edilerek gerçekleştirilir.

Uluslararası Standardizasyon Örgütü (ISO) tarafından geliştirilen uluslararası standartlar seti, bilgi güvenliği sistemleri ve ekipmanlarının uygulanmasına yönelik bir dizi uygulama ve öneridir.

ISO 27000, 15'ten fazla hüküm içeren ve sıralı olarak numaralandırılmış, en uygulanabilir ve yaygın değerlendirme standartlarından biridir.

ISO 27000 standardizasyon değerlendirme kriterlerine göre bilgi güvenliği sadece bütünlüğü, gizliliği ve kullanılabilirliği değil aynı zamanda özgünlüğü, güvenilirliği, hata toleransı ve tanımlanabilirliğidir. Geleneksel olarak bu standartlar dizisi 4 bölüme ayrılabilir:

• terminolojiye genel bakış ve giriş, güvenlik alanında kullanılan terimlerin açıklanması;
• Bir bilgi güvenliği yönetim sistemi için zorunlu gereksinimler, sistemi yönetme yöntemlerinin ve araçlarının ayrıntılı bir açıklaması. Bu grubun ana standardı;
• denetim önerileri, güvenlik kontrolleri rehberliği;
• Bir bilgi güvenliği yönetim sisteminin uygulanması, geliştirilmesi ve iyileştirilmesi için uygulamalar öneren standartlar.

Devlet bilgi güvenliği standartları, 30'dan fazla hükümden (GOST) oluşan bir dizi düzenleme ve belgeyi içerir.

Güvenlik değerlendirmesi için metodolojik yönergeler ve yönetim sistemi için gerekliliklerin bir listesini içeren GOST R ISO/IEC 15408 gibi çeşitli standartlar yalnızca genel değerlendirme kriterlerini oluşturmayı amaçlamaz. Spesifik olabilirler ve aynı zamanda pratik rehberlik de içerebilirler.

Deponun doğru organizasyonu ve işleyişinin düzenli olarak izlenmesi, mülkiyet şekline bakılmaksızın herhangi bir işletmenin mali refahını olumsuz yönde etkileyen emtia ve maddi varlıkların çalınmasını ortadan kaldırmaya yardımcı olacaktır.

Lansman sırasında depo otomasyon sistemi iki aşamadan daha geçer: dahili test ve veri doldurma. Bu hazırlıktan sonra sistem tam olarak çalışmaya başlar. Otomasyon hakkında daha fazlasını buradan okuyun.

Karşılıklı ilişki ve teknikler dizisi, genel hükümlerin geliştirilmesine ve uluslararası ve devlet standardizasyonlarının birleştirilmesine yol açmaktadır. Bu nedenle, Rusya Federasyonu'nun GOST'leri uluslararası ISO standartlarına eklemeler ve referanslar içermektedir.

Bu tür bir etkileşim, birleşik bir izleme ve değerlendirme sisteminin geliştirilmesine yardımcı olur ve bu da bu hükümlerin pratikte uygulanmasının, iş sonuçlarının objektif olarak değerlendirilmesinin ve genel olarak iyileştirmenin verimliliğini önemli ölçüde artırır.

Ulusal ve uluslararası standardizasyon sistemlerinin karşılaştırılması ve analizi

Bilgi güvenliğini sağlamaya ve kontrol etmeye yönelik Avrupa standardizasyon standartlarının sayısı, Rusya Federasyonu tarafından belirlenen yasal standartları önemli ölçüde aşmaktadır.

Ulusal devlet standartlarında hakim hükümler bilgilerin olası hacklenme, sızma ve kaybolma tehditlerinden korunmasına yöneliktir. Yabancı güvenlik sistemleri veri erişimi ve kimlik doğrulama standartlarının geliştirilmesinde uzmanlaşmıştır.

Sistemlerin kontrol ve denetiminin uygulanmasına ilişkin hükümlerde de farklılıklar bulunmaktadır. Ek olarak, Avrupa standardizasyonunun bilgi güvenliği yönetim sistemini uygulama ve hayata geçirme uygulaması yaşamın hemen hemen her alanında kendini göstermektedir ve Rusya Federasyonu standartları esas olarak maddi refahı korumayı amaçlamaktadır.

Bununla birlikte, sürekli güncellenen devlet standartları, yetkin bir bilgi güvenliği yönetim sistemi oluşturmak için gerekli minimum gereksinimleri içerir.

Veri iletimi için bilgi güvenliği standartları

İş yapmak, internet üzerinden veri depolamayı, değiş tokuş etmeyi ve iletmeyi içerir. Modern dünyada döviz işlemleri, ticari faaliyetler ve fon transferleri çoğunlukla çevrimiçi olarak gerçekleşmekte olup, bu faaliyetin bilgi güvenliğinin sağlanması ancak yetkin ve profesyonel bir yaklaşımın uygulanmasıyla mümkündür.

İnternette, verilerin güvenli bir şekilde saklanmasını ve iletilmesini sağlayan birçok standart, iyi bilinen anti-virüs koruma programları, finansal işlemler için özel protokoller ve daha pek çok şey vardır.

Bilgi teknolojilerinin ve sistemlerinin gelişme hızı o kadar büyüktür ki, bunların kullanımına yönelik protokollerin ve tek tip standartların oluşturulmasını önemli ölçüde geride bırakmaktadır.

Popüler güvenli veri aktarım protokollerinden biri, Amerikalı uzmanlar tarafından geliştirilen SSL'dir (Güvenli Soket Katmanı). Kriptografi kullanarak verileri korumanıza olanak tanır.

Bu protokolün avantajı, örneğin veri alışverişinden hemen önce doğrulama ve kimlik doğrulama olanağıdır. Ancak bu standartların kullanımı girişimciler için zorunlu olmadığından veri aktarımında bu tür sistemlerin kullanılması tavsiye niteliğindedir.

Bir LLC açmak için işletmenin bir tüzüğüne ihtiyacınız vardır. Rusya Federasyonu mevzuatına uygun olarak geliştirilen bir prosedür. Kendiniz yazabilir, standart bir örneği kılavuz olarak alabilir veya yazacak uzmanlarla iletişime geçebilirsiniz.

Bireysel girişimci olarak kendi işini geliştirmeyi planlayan istekli bir işadamı, başvuruyu doldururken OKVED'e uygun ekonomik faaliyet kodunu belirtmelidir. Ayrıntılar burada.

Güvenli işlem ve operasyonların gerçekleştirilmesi için ticari ve ticari işlemler yapılırken risklerin en aza indirilmesine olanak tanıyan SET (Güvenlik Elektronik İşlemi) iletim protokolü geliştirildi. Bu protokol, Visa ve Master Card ödeme sistemleri için bir standart olup, ödeme sistemi güvenlik mekanizmasının kullanılmasına olanak sağlar.

İnternet kaynaklarını standartlaştıran komiteler gönüllülük esasına dayalı olduğundan yürüttükleri faaliyetler yasal ve zorunlu değildir.

Ancak modern dünyada internetteki dolandırıcılık küresel sorunlardan biri olarak kabul edilmektedir, bu nedenle özel teknolojiler kullanılmadan ve standartlaştırılmadan bilgi güvenliğini sağlamak imkansızdır.

Güvenlik Yönetim Sistemleri - Kullanım kılavuzlu spesifikasyon" (Sistemler - kullanım kılavuzlu spesifikasyonlar). Temel olarak, ISO/IEC 27001:2005 "Bilgi Teknolojisi" standardı geliştirildi. Güvenlik teknikleri. Bilgi güvenliği yönetim sistemleri. Sertifikasyonun gerçekleştirilebileceği uygunluk için gereklilikler".

Rusya'da şu anda GOST R ISO/IEC 17799-2005 "Bilgi teknolojisi" standartları yürürlüktedir. bilgi güvenliği yönetimi"(ISO/IEC 17799:2000'in orijinal çevirisi) ve GOST R ISO/IEC 27001-2006 "Bilgi teknolojisi. Güvenliği sağlamanın yöntemleri ve araçları. Bilgi güvenliği yönetim sistemleri. Gereksinimler" (ISO/IEC 27001:2005 çevirisi). Farklı sürümler ve çeviri özellikleriyle ilgili bazı iç farklılıklara rağmen, standartların varlığı sistemi bilgi güvenliği yönetimi gereksinimlerine uygun olarak ve gerekiyorsa belgelendirecektir.

GOST R ISO/IEC 17799:2005 "Bilgi teknolojisi. Bilgi güvenliği yönetimi için pratik kurallar"

Şimdi standardın içeriğine bakalım. Giriş bölümünde "bilgi, onu destekleyen süreçler, bilgi sistemleri ve ağ altyapısı bir kuruluşun temel varlıklarıdır. Bilginin gizliliği, bütünlüğü ve kullanılabilirliği, rekabet gücüne, likiditeye, kârlılığa, uyumluluğa ve erişilebilirliğe önemli ölçüde katkıda bulunabilir." ticari itibar Dolayısıyla bu standardın, ekonomik etki açısından da dahil olmak üzere bilgi güvenliği konularını ele aldığını söyleyebiliriz.

Bilgi güvenliği alanında gereksinimler geliştirilirken dikkate alınması gereken üç grup faktör belirtilmektedir. Bu:

• organizasyon risk değerlendirmesi. Risk değerlendirmesi sayesinde kurumun varlıklarına yönelik tehditler tespit edilir, güvenlik açığı değerlendirmesi ilgili varlıklar ve tehditlerin meydana gelme olasılığı ile olası sonuçların değerlendirilmesi;
• kuruluş, ticari ortakları, yüklenicileri ve hizmet sağlayıcıları tarafından karşılanması gereken yasal, yasal, düzenleyici ve sözleşmeye dayalı gereklilikler;
• bilginin işlenmesine ilişkin olarak bir kuruluş tarafından geliştirilen belirli bir dizi ilke, amaç ve gereksinim.

Gereksinimlerin belirlenmesinin ardından riskin kabul edilebilir düzeye indirilmesini sağlayacak önlemlerin seçilmesi ve uygulanması aşamasına geçilir. Etkinliklerin seçimi bilgi güvenliği yönetimi bunların uygulanmasının maliyetinin oranına, riskleri azaltma etkisine ve güvenlik ihlali durumunda olası kayıplara dayanmalıdır. İtibar kaybı gibi parayla ifade edilemeyen faktörlerin de dikkate alınması gerekir. Standartta olası bir faaliyet listesi verilmiş ancak kuruluşun ihtiyaçlarına göre bağımsız olarak eklenebileceği veya oluşturulabileceği belirtilmektedir.

Standardın bölümlerini ve bunlarda önerilen bilgi koruma önlemlerini kısaca listeleyelim. Birinci grup güvenlik politikasıyla ilgilidir. Geliştirilmesi, kurum yönetimi tarafından onaylanması, yayınlanması ve tüm çalışanların dikkatine sunulması gerekmektedir. Kuruluşun bilgi kaynaklarıyla çalışma prosedürünü, çalışanların görev ve sorumluluklarını belirlemelidir. Politika, sistemin mevcut durumunu ve belirlenen riskleri yansıtacak şekilde periyodik olarak gözden geçirilir.

Bir sonraki bölümde bilgi güvenliğiyle ilgili organizasyonel konular ele alınmaktadır. Standart, güvenlik politikasının onaylanması, sorumlu kişilerin atanması, sorumlulukların dağıtımı tedbirlerin uygulanmasının koordinasyonu ve koordinasyonu bilgi güvenliği yönetimi Organizasyonda. Kuruluşta bilgi işlem araçlarının (yeni yazılım ve donanım dahil) kullanılmasına yönelik izin alma sürecinin de güvenlik sorunlarına yol açmaması için açıklanması gerekir. Bilgi güvenliği konularında diğer kuruluşlarla etkileşim, “harici” uzmanlarla istişareler ve bilgi güvenliğinin bağımsız olarak doğrulanması (denetim) prosedürünün belirlenmesi de gereklidir.

Üçüncü taraf kuruluşların uzmanlarına bilgi sistemlerine erişim sağlarken güvenlik konularına özel dikkat gösterilmelidir. Bu tür uzmanların çeşitli kurumsal kaynaklara farklı erişim türleriyle (fiziksel veya mantıksal, yani uzaktan) ilişkili risklerin bir değerlendirmesi yapılmalıdır. Erişim sağlama ihtiyacı gerekçelendirilmeli ve üçüncü taraf ve kuruluşlarla yapılan sözleşmeler güvenlik politikasına uyumla ilgili gereklilikleri içermelidir. Üçüncü taraf kuruluşların bilgi işlemeye (dış kaynak kullanımı) dahil edilmesi durumunda da aynısının yapılması önerilmektedir.

Standardın bir sonraki bölümü sınıflandırma konularına ayrılmıştır ve varlık Yönetimi. Bir kuruluşun bilgi güvenliğini sağlamak için tüm önemli bilgi varlıklarının muhasebeleştirilmesi ve sorumlu sahiplere atanması gerekir. Bir envanterle başlamanızı öneririz. Örnek olarak aşağıdaki sınıflandırma verilmiştir:

• bilgi varlıkları (veritabanları ve veri dosyaları, sistem dokümantasyonu vesaire.);
• yazılım varlıkları (uygulama yazılımı, sistem yazılımı, geliştirme araçları ve yardımcı programlar);
• fiziksel varlıklar (bilgisayar ekipmanı, iletişim ekipmanı, depolama ortamı, diğer teknik ekipman, mobilyalar, binalar);
• hizmetler (bilgi işlem ve iletişim hizmetleri, temel yardımcı programlar).

Daha sonra, önceliğini, gerekliliğini ve koruma derecesini belirlemek için bilgilerin sınıflandırılması önerilmektedir. Aynı zamanda ilgili bilgiler, örneğin bütünlüğünün ve kullanılabilirliğinin sağlanması açısından kuruluş için ne kadar kritik olduğu dikkate alınarak değerlendirilebilir. Bundan sonra bilgilerin işlenmesinde bir etiketleme prosedürünün geliştirilmesi ve uygulanması önerilmektedir. Aşağıdaki bilgi işleme türlerine uyum sağlamak amacıyla her sınıflandırma düzeyi için etiketleme prosedürleri tanımlanmalıdır:

• kopyalama;
• depolamak;
• posta, faks ve e-posta yoluyla iletim;
• cep telefonu, sesli posta, telesekreterler dahil ses iletimi;
• yıkım.

Bir sonraki bölüm personelle ilgili güvenlik konularını ele almaktadır. Standart, güvenlik gerekliliklerine uyum konusundaki sorumlulukların personel seçimi aşamasında dağıtıldığını, iş sözleşmelerine dahil edildiğini ve çalışanın tüm çalışma süresi boyunca izlendiğini belirlemektedir. Özellikle daimi bir çalışanı işe alırken, başvuru sahibi tarafından sunulan belgelerin doğruluğunun, özgeçmişin eksiksizliği ve doğruluğunun ve kendisine sunulan tavsiyelerin kontrol edilmesi önerilir. Çalışanların hangi bilgilerin gizli veya hassas olduğunu belirten bir gizlilik sözleşmesi imzalamaları önerilir. Kurumun güvenlik politika ve prosedürlerini ihlal eden çalışanların disiplin sorumluluğu belirlenmelidir. Gerektiğinde bu sorumluluk işten ayrıldıktan sonra da belirli bir süre devam etmelidir.

Kullanıcıların eğitilmesi gerekiyor güvenlik prosedürleri ve olası riskleri en aza indirmek için bilgi işleme araçlarının doğru kullanımı. Ayrıca bilgilendirme prosedürü bilgi güvenliği ihlalleri, personele aşina olması gerekir. Yazılım arızalarında da benzer bir prosedür izlenmelidir. Tekrar eden sorunları tespit etmek için bu tür olayların kaydedilmesi ve analiz edilmesi gerekir.

Standardın bir sonraki bölümü fiziksel ve çevresel koruma konularını ele almaktadır. “Kritik veya önemli hizmet bilgilerinin işlenmesine yönelik araçların, belirli bir kurum tarafından belirlenen güvenlik bölgelerinde bulunması gerektiği belirtiliyor. güvenlik çevresi uygun koruyucu bariyerler ve izinsiz giriş kontrolleri ile. Bu alanların fiziki olarak izinsiz erişimden, hasardan ve darbeden korunması gerekmektedir." Korunan alanlara erişim kontrolünün düzenlenmesinin yanı sıra, buralarda çalışma yapılmasına ilişkin prosedür ve gerekiyorsa ziyaretçi erişiminin düzenlenmesine ilişkin prosedürler de belirlenmelidir. Verilere yetkisiz erişim riskini azaltmak ve bunları kayıp veya hasardan korumak için ekipmanın (kuruluş dışında kullanılanlar dahil) güvenliğini sağlamak için gerekli olan gereksinimler, aynı zamanda elektrik kesintilerine karşı koruma ve kablo ağı korumasını da içerir. Güvenlik gerekliliklerini dikkate alan ekipmanın bakımına yönelik bir prosedür ve ekipmanın güvenli bir şekilde imha edilmesi veya yeniden kullanılmasına yönelik prosedürler de tanımlanmalıdır. Örneğin, hassas bilgiler içeren tek kullanımlık depolama ortamlarının güvenli bir şekilde fiziksel olarak imha edilmesi veya üzerine yazılması önerilir. standart veri silme işlevlerini kullanmak yerine.

Kağıt belgelere, depolama ortamlarına ve bilgi işleme ortamlarına yetkisiz erişim veya bunlara zarar verme riskini en aza indirmek amacıyla, kağıt belgeler ve çıkarılabilir depolama ortamları için bir "temiz masa" politikasının yanı sıra kağıt belgeler ve çıkarılabilir depolama ortamları için bir "temiz ekran" politikasının uygulanması tavsiye edilir. bilgi işleme ekipmanı. Ekipman, bilgi veya yazılım, yalnızca uygun izin alınarak kuruluşun tesislerinden çıkarılabilir.

Standardın bir sonraki bölümünün başlığı “Veri aktarımı ve operasyonel faaliyetlerin yönetimi”dir. Tüm bilgi işlem tesislerinin işleyişine ilişkin sorumlulukların ve prosedürlerin oluşturulmasını gerektirir. Örneğin bilgi işlem tesis ve sistemlerindeki konfigürasyon değişiklikleri kontrol edilmelidir. Yönetim fonksiyonları, belirli görev ve alanların yerine getirilmesi ile ilgili sorumlulukların ayrılığı ilkesinin uygulanması gerekmektedir.

Yazılımın geliştirme, test etme ve üretim ortamlarının ayrılması önerilir. Yazılımın geliştirilme durumundan işletmeye kabul edilmiş duruma aktarılmasına ilişkin kurallar tanımlanmalı ve belgelenmelidir.

Bilgi işleme tesislerini yönetmek için üçüncü taraf yüklenicileri kullanırken ek riskler ortaya çıkar. Bu tür riskler önceden belirlenmeli ve uygun önlemler alınmalıdır. bilgi güvenliği yönetimi yüklenici ile anlaşılarak sözleşmeye dahil edilmiştir.

Gerekli işleme ve depolama kapasitesini sağlamak için mevcut performans gereksinimlerinin analiz edilmesinin yanı sıra gelecekteki performans gereksinimlerinin de tahmin edilmesi gerekir. Bu tahminler, yeni işlevsel ve sistem gereksinimlerinin yanı sıra kuruluşta bilgi teknolojisinin geliştirilmesine yönelik mevcut ve gelecekteki planları da dikkate almalıdır. Yeni sistemlerin benimsenmesine ilişkin gereksinimler ve kriterler açıkça tanımlanmalı, üzerinde anlaşmaya varılmalı, belgelenmeli ve test edilmelidir.

Bilgisayar virüsleri, ağ solucanları, Truva atları ve benzeri kötü amaçlı yazılımların girişini önlemek ve tespit etmek için önlemler alınmalıdır. mantık bombaları. Kötü amaçlı yazılımlara karşı korumanın, güvenlik gereksinimlerinin, uygun sistem erişim kontrollerinin ve uygun değişiklik yönetiminin anlaşılmasına dayanması gerektiği belirtilmektedir.

Yazılım ve verilerin yedeklenmesini içeren yardımcı işlemlerin gerçekleştirilmesine ilişkin prosedür belirlenmelidir 1 Örnek olarak 10 numaralı laboratuvar, Windows Server 2008'de yedeklemelerin düzenlenmesine bakıyor. Olayların ve hataların günlüğe kaydedilmesi ve gerektiğinde donanım durumunun izlenmesi. Her bir sistem için yedekleme düzenlemeleri, iş sürekliliği planlarının gerekliliklerini karşıladıklarından emin olmak için düzenli olarak test edilmelidir.

Ağlardaki bilgilerin güvenliğinin sağlanması ve korunması destekleyici altyapı fonların devreye sokulması gerekiyor güvenlik kontrolü ve bağlı hizmetlerin yetkisiz erişime karşı korunması.

Çeşitli depolama ortamı türlerinin güvenliğine özellikle dikkat edilir: belgeler, bilgisayar depolama ortamları (bantlar, diskler, kasetler), giriş/çıkış verileri ve sistem belgelerinin hasara karşı korunması. Çıkarılabilir bilgisayar depolama ortamının kullanımına ilişkin bir prosedür oluşturulması önerilir (içerik kontrolü, depolama, imha prosedürü vb.). Yukarıda belirtildiği gibi, depolama ortamları kullanımdan sonra güvenli ve emniyetli bir şekilde atılmalıdır.

Bilgilerin izinsiz ifşa edilmeye veya kötüye kullanılmaya karşı korunmasını sağlamak için, bilgilerin işlenmesi ve saklanmasına ilişkin prosedürlerin oluşturulması gerekmektedir. Bu prosedürler dikkate alınarak tasarlanmalıdır. sınıflandırma Bilgi ve belgeler, bilgi işlem sistemleri, ağlar, dizüstü bilgisayarlar, mobil iletişim, posta, sesli posta, genel olarak sesli iletişim, multimedya cihazları, faks kullanımı ve formlar, çekler ve faturalar gibi diğer önemli nesnelerle ilgili olarak hareket eder. Sistem dokümantasyonu bazı önemli bilgiler içerebilir ve bu nedenle de korunmalıdır.

Kuruluşlar arasında bilgi ve yazılım alışverişi süreci kontrol edilmeli ve mevcut mevzuata uygun olmalıdır. Özellikle bilgi taşıyıcılarının iletim sırasında güvenliği sağlanmalı, belirlenmelidir. kullanım politikası e-posta ve elektronik ofis sistemleri. Bir Web sitesinde yer alan bilgiler gibi elektronik ortamda yayınlanan bilgilerin bütünlüğünün korunmasına dikkat edilmelidir. Bu tür bilgilerin kamuya açık hale getirilmesinden önce uygun bir resmileştirilmiş yetkilendirme süreci de gereklidir.

Standardın bir sonraki bölümü erişim kontrolü konularına ayrılmıştır.

Güvenlik politikası ile her kullanıcının veya kullanıcı grubunun erişim kontrol kurallarının ve haklarının açıkça tanımlanması gerekmektedir. Kullanıcılar ve hizmet sağlayıcılar bu gereksinimlere uymanın gerekliliği konusunda bilgilendirilmelidir.

Kullanma şifre kimlik doğrulaması, kullanıcı şifreleri üzerinde kontrol uygulamak gerekir. Özellikle kullanıcıların, şifrelerinin tam gizliliğini korumayı kabul eden bir belge imzalamaları gerekir. Kullanıcıya şifre alma sürecinin güvenliğinin sağlanması ve bu şifrenin kullanılması durumunda kullanıcıların şifrelerini yönetmeleri (ilk girişten sonra şifrenin zorunlu olarak değiştirilmesi vb.) sağlanması gerekmektedir.

Hem iç hem de dış ağ hizmetlerine erişim kontrol edilmelidir. Kullanıcılara yalnızca yetkilendirildikleri hizmetlere doğrudan erişim olanağı sağlanmalıdır. Uzak kullanıcıların kimliğinin doğrulanmasına özellikle dikkat edilmelidir. Risk değerlendirmesine dayanarak, uygun kimlik doğrulama yönteminin seçilebilmesi için gerekli koruma düzeyinin belirlenmesi önemlidir. Ağ hizmetlerinin kullanımının güvenliği de izlenmelidir.

Birçok ağ ve bilgi işlem aygıtında yerleşik uzaktan tanılama ve yönetim özellikleri bulunur. Güvenlik tedbirlerinin bu tesislere de uygulanması gerekiyor.

Ağlar birden fazla kuruluş tarafından paylaşıldığında, erişim kontrolü politikası gereksinimlerinin bunu hesaba katacak şekilde tanımlanması gerekir. için ek tedbirlerin getirilmesi de gerekli olabilir. bilgi güvenliği yönetimi kullanıcıların bağlanma yeteneğini sınırlamak için.

İşletim sistemi düzeyinde, bilgisayar kaynaklarına erişimi kısıtlamak için bilgi güvenliği önlemleri kullanılmalıdır 2 Windows Server 2008'deki dosya ve klasörlere erişim kontrolünün düzenlenmesine bir örnek, 9 numaralı laboratuvar çalışmasında tartışılacaktır.. Şunu ifade eder: tanımlama ve kimlik doğrulama Terminaller ve kullanıcılar. Tüm kullanıcıların, kullanıcının ayrıcalık düzeyine ilişkin herhangi bir gösterge içermemesi gereken benzersiz tanımlayıcılara sahip olması önerilir. Sistemlerde şifre yönetimi Gerekli kaliteyi desteklemek için etkili etkileşim yetenekleri sağlanmalıdır 3 Windows işletim sistemlerinde şifre kalitesi yönetiminin bir örneği, 3 numaralı laboratuvar çalışmasında tartışılmaktadır.. Sistem yardımcı programlarının kullanımı sınırlı olmalı ve dikkatle kontrol edilmelidir.

Kullanıcının şiddetin hedefi haline gelmesi ihtimaline karşı alarm verilmesi tavsiye edilir 4 Bunun bir örneği “zorlama” giriş şifreleridir. Kullanıcı böyle bir şifre girerse, sistem kullanıcının normal oturum açma sürecini görüntüler ve ardından saldırganların verilere erişmesini önlemek için bir başarısızlık simülasyonu yapar.(böyle bir olayın muhtemel olarak değerlendirilmesi halinde). Böyle bir alarma müdahale etmek için sorumluluklar ve prosedürler tanımlanmalıdır.

Yüksek riskli sistemlere hizmet veren terminaller, kolay erişilebilir lokasyonlarda bulunduğunda, yetkisiz kişilerin erişimini önlemek amacıyla belirli bir süre kullanılmadığında kapatılmalıdır. Terminallerin bilgisayar hizmetlerine bağlanmasına izin verilen süreye ilişkin bir kısıtlama da getirilebilir.

Bilgi güvenliği önlemlerinin uygulama düzeyinde de uygulanması gerekir. Özellikle bu, aşağıdakilere yönelik bir erişim kısıtlaması olabilir: belirli kategoriler kullanıcılar. Önemli bilgileri işleyen sistemlere özel (yalıtılmış) bir bilgi işlem ortamı sağlanmalıdır.

Erişim kontrolü politikası gerekliliklerinden sapmaları tespit etmek ve bir bilgi güvenliği olayı durumunda kanıt sağlamak için sistemin izlenmesi gereklidir. İzleme sonuçları düzenli olarak gözden geçirilmelidir. Denetim günlüğü olayları araştırmak için kullanılabilir, bu nedenle bilgisayar saatinin doğru ayarlanması (senkronizasyonu) oldukça önemlidir.

Dizüstü bilgisayarlar gibi taşınabilir aygıtları kullanırken, özel bilgilerin tehlikeye atılmasına karşı özel önlemlerin alınması gerekir. Özellikle güvenli olmayan ortamlarda taşınabilir cihazlarla çalışmanın getirdiği riskleri ele alan resmi politikalar benimsenmelidir.

Standardın bir sonraki bölümü “Sistemlerin geliştirilmesi ve bakımı” olarak adlandırılmaktadır. Zaten sahnede bilgi sistemleri geliştirme güvenlik gereksinimlerinin dikkate alındığından emin olmak gerekir. Sistemin çalışması sırasında da kullanıcı verilerinin kaybolmasının, değiştirilmesinin veya kötüye kullanılmasının önlenmesi gerekmektedir. Bu amaçla uygulama sistemlerinin veri giriş ve çıkışlarının doğruluğunun teyidini, veri işlemenin kontrolünü sağlaması önerilir. sistem, kimlik doğrulama mesajlar, kullanıcı eylemlerinin günlüğe kaydedilmesi.

Gizlilik, bütünlük ve güvenliği sağlamak için veri kimlik doğrulaması Kriptografik güvenlik önlemleri kullanılabilir.

Yazılım bütünlüğünün sağlanması bilgi güvenliği sürecinde önemli bir rol oynamaktadır. Bilgi sistemlerine verilen zararı en aza indirmek için değişikliklerin uygulanması sıkı bir şekilde kontrol edilmelidir. Zaman zaman işletim sistemlerinde değişiklik yapılmasına ihtiyaç duyulur. Bu durumlarda, uygulama sistemlerinin işlevselliği ve güvenliği üzerinde olumsuz bir etki olmadığından emin olmak için analiz edilmesi ve test edilmesi gerekir. Mümkün olduğunca hazır yazılım paketlerinin değişiklik yapılmadan kullanılması tavsiye edilir.

İlgili bir konu da Truva atlarına karşı mücadele ve gizli sızıntı kanallarının kullanılmasıdır. Karşı önlemlerden biri güvenilir satıcılardan alınan yazılımı kullanmak ve sistem bütünlüğü.

Yazılım geliştirmede üçüncü taraf bir kuruluşun yer aldığı durumlarda, yapılan işin kalitesini ve doğruluğunu kontrol edecek tedbirlerin sağlanması gerekir.

Standardın bir sonraki bölümü iş sürekliliği yönetimine ayrılmıştır. Başlangıç ​​aşamasında iş süreçlerinin kesintiye uğramasına neden olabilecek olayların (ekipman arızası, yangın vb.) tespit edilmesi gerekmektedir. Bu durumda sonuçları değerlendirmek ve ardından kurtarma planları geliştirmek gerekir. Planların yeterliliği testlerle teyit edilmeli ve sistemde meydana gelen değişiklikleri dikkate alacak şekilde periyodik olarak revize edilmelidir.

Standardın son bölümü uyumluluk konularını ele almaktadır. Her şeyden önce bu, sistemin ve çalışma prosedürünün yasal gerekliliklere uygunluğuyla ilgilidir. Bu, telif haklarına uyum (yazılım dahil), kişisel bilgilerin korunması (çalışanlar, müşteriler) ve bilgi işleme araçlarının kötüye kullanımının önlenmesi konularını içerir. Kullanma kriptografik araçlar Bilgi koruması, mevcut mevzuata uygun olmalıdır. Bilgi sistemi güvenliği alanındaki olaylarla ilgili dava durumunda delil toplama prosedürü de kapsamlı bir şekilde geliştirilmelidir.

Bilgi sistemlerinin kendileri güvenlik politikasına uymak kullanılan organizasyon ve standartlar. Bilgi sistemlerinin güvenliği düzenli olarak analiz edilmeli ve değerlendirilmelidir. Aynı zamanda, güvenlik denetimi yaparken, bunun istenmeyen sonuçlara (örneğin, kritik bir sunucunun denetim nedeniyle arızalanması) yol açmaması için güvenlik önlemlerine uymak gerekir.

Özetlemek gerekirse, standardın bilgi sistemlerinin güvenliğinin sağlanmasına ilişkin çok çeşitli konuları ele aldığı belirtilebilir. Bir dizi alanda pratik öneriler verilmektedir.