Ushbu bo'limda GOST R axborot xavfsizligi sohasidagi Rossiya Federatsiyasi milliy standartlarining umumiy ma'lumotlari va matnlari keltirilgan.

So'nggi yillarda ishlab chiqilgan va ishlab chiqish rejalashtirilgan zamonaviy GOSTlarning joriy ro'yxati. No ROSS RU.0001.01BI00 (Rossiya FSTEC) axborot xavfsizligi talablariga muvofiq axborot xavfsizligi vositalarini sertifikatlash tizimi. ROSSIYA FEDERATSIYASI DAVLAT STANDARTI. Ma'lumotlarni himoya qilish. XAVFSIZLIK BAJARISHDA AVTOMATLANGAN TIZIMLARNI YARATISH TARTIBI. Umumiy holat. Moskva ROSSIYA FEDERATSIYASI DAVLAT STANDARTI. Kompyuter jihozlari. Axborotga ruxsatsiz kirishdan himoya qilish. Umumiy texnik talablar. Kiritilgan sana 1996-01-01 Rossiya Federatsiyasining milliy standarti. Ma'lumotlarni himoya qilish. Asosiy atamalar va ta'riflar. Axborotni himoya qilish. Asosiy atamalar va ta'riflar. Joriy sanasi 2008-02-01 ROSSIYA FEDERATSIYASI DAVLAT STANDARTI. MA'LUMOTLARNI HIMOYA. STANDARTLAR TIZIMI. ASOSIY QOIDALAR (AXBOROT XAVFSIZLIGI. STANDARTLAR TIZIMI. ASOSIY PRINSİPLAR) ROSSIYA FEDERATSIYASI DAVLAT STANDARTI. Ma'lumotlarni himoya qilish. KOMPYUTER VIRUSLARI MAVJUDLIGI UCHUN DASTURLARNI SINOV. Model qo'llanma (Axborot xavfsizligi. Kompyuter viruslari mavjudligini dasturiy ta'minotni tekshirish. Qo'llanma namunasi). Axborot texnologiyalari. Yashirin kanallar yordamida amalga oshiriladigan axborot xavfsizligi tahdidlaridan axborot texnologiyalari va avtomatlashtirilgan tizimlarni himoya qilish. 1-qism. Umumiy qoidalar Axborot texnologiyalari. Yashirin kanallar yordamida amalga oshiriladigan axborot xavfsizligi tahdidlaridan axborot texnologiyalari va avtomatlashtirilgan tizimlarni himoya qilish. 2-qism. Yashirin kanallardan foydalangan holda axborot, axborot texnologiyalari va avtomatlashtirilgan tizimlarni hujumlardan himoya qilishni tashkil etish bo'yicha tavsiyalar. Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Xavfsizlik profillari va xavfsizlik vazifalarini ishlab chiqish bo'yicha qo'llanma Avtomatik identifikatsiya. Biometrik identifikatsiya. Biometrikada ishlash testlari va test hisobotlari. 3-qism. Turli xil biometrik usullarni sinovdan o'tkazish xususiyatlari Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot texnologiyalari xavfsizligini baholash metodologiyasi GOST R ISO/IEC 15408-1-2008 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot texnologiyalari xavfsizligini baholash mezonlari. 1-qism. Kirish va umumiy model (Axborot texnologiyalari. Xavfsizlik texnikasi. AT xavfsizligini baholash mezonlari. 1-qism. Kirish va umumiy model) GOST R ISO/IEC 15408-2-2008 - Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot texnologiyalari xavfsizligini baholash mezonlari. 2-qism. Funktsional xavfsizlik talablari (Axborot texnologiyalari. Xavfsizlik texnikasi. AT xavfsizligini baholash mezonlari. 2-qism. Xavfsizlik funktsional talablari) GOST R ISO/IEC 15408-3-2008 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot texnologiyalari xavfsizligini baholash mezonlari. 3-qism. Xavfsizlik kafolati talablari (Axborot texnologiyalari. Xavfsizlik texnikasi. AT xavfsizligini baholash mezonlari. 3-qism. Xavfsizlik kafolati talablari) GOST R 53109-2008 Umumiy aloqa tarmog'ining axborot xavfsizligini ta'minlash tizimi. Axborot xavfsizligi aloqa tashkiloti pasporti. Umumiy aloqa tarmog'ining axborot xavfsizligini ta'minlash tizimi. Axborot xavfsizligini ta'minlovchi tashkilotning pasporti. Kuchga kirish sanasi: 30.09.2009. GOST R 53114-2008 Axborotni muhofaza qilish. Tashkilotda axborot xavfsizligini ta'minlash. Asosiy atamalar va ta'riflar. Axborotni himoya qilish. Tashkilotlarda axborot xavfsizligini ta'minlash. Asosiy atamalar va ta'riflar. Kuchga kirish sanasi: 30.09.2009. GOST R 53112-2008 Axborotni muhofaza qilish. Soxta elektromagnit nurlanish va shovqin parametrlarini o'lchash uchun komplekslar. Texnik talablar va sinov usullari. Axborotni himoya qilish. Yon elektromagnit nurlanish va qabul qilish parametrlarini o'lchash uchun qurilmalar. Texnik talablar va sinov usullari. Kuchga kirish sanasi: 30.09.2009. GOST R 53115-2008 Axborotni muhofaza qilish. Axborotni qayta ishlashning texnik vositalarini ruxsatsiz kirishdan himoya qilish talablariga muvofiqligini tekshirish. Usul va vositalar. Axborotni himoya qilish. Texnik ma'lumotlarni qayta ishlash vositalarining ruxsatsiz kirishni himoya qilish talablariga muvofiqligini sinovdan o'tkazish. Usul va texnikalar. Kuchga kirish sanasi: 30.09.2009. GOST R 53113.2-2009 Axborot texnologiyalari. Yashirin kanallar yordamida amalga oshiriladigan axborot xavfsizligi tahdidlaridan axborot texnologiyalari va avtomatlashtirilgan tizimlarni himoya qilish. 2-qism. Yashirin kanallardan foydalangan holda axborot, axborot texnologiyalari va avtomatlashtirilgan tizimlarni hujumlardan himoya qilishni tashkil etish bo'yicha tavsiyalar. Axborot texnologiyalari. Yashirin kanallardan foydalanish natijasida yuzaga keladigan xavfsizlik tahdidlaridan axborot texnologiyalari va avtomatlashtirilgan tizimlarni himoya qilish. 2-qism. Axborot, axborot texnologiyalari va avtomatlashtirilgan tizimlarni yashirin kanal hujumlaridan himoya qilish bo'yicha tavsiyalar. Kuchga kirish sanasi: 12/01/2009. GOST R ISO/IEC TO 19791-2008 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Avtomatlashtirilgan tizimlarning xavfsizligini baholash. Axborot texnologiyalari. Xavfsizlik texnikasi. Operatsion tizimlarning xavfsizligini baholash. Kuchga kirish sanasi: 30.09.2009. GOST R 53131-2008 Axborotni muhofaza qilish. Axborot va telekommunikatsiya texnologiyalari xavfsizligi funktsiyalari va mexanizmlari uchun ofatlarni tiklash xizmatlari bo'yicha tavsiyalar. Umumiy holat. Axborotni himoya qilish. Axborot-kommunikatsiya texnologiyalari xavfsizlik funktsiyalari va mexanizmlarini tiklash xizmatlari bo'yicha ko'rsatmalar. General. Kuchga kirish sanasi: 30.09.2009. GOST R 54581-2011 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. AT xavfsizligiga ishonch asoslari. 1-qism: Umumiy ko'rinish va asoslar. Axborot texnologiyalari. Xavfsizlik texnikasi. IT xavfsizligini ta'minlash uchun asos. 1-qism. Umumiy ko'rinish va asos. Kuchga kirish sanasi: 07.01.2012. GOST R ISO/IEC 27033-1-2011 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Tarmoq xavfsizligi. 1-qism: Umumiy ko'rinish va tushunchalar. Axborot texnologiyalari. Xavfsizlik texnikasi. Tarmoq xavfsizligi. 1-qism. Umumiy ko'rinish va tushunchalar. Kuchga kirish sanasi: 01/01/2012. GOST R ISO/IEC 27006-2008 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligini boshqarish tizimlarining auditi va sertifikatsiyasini amalga oshiruvchi organlarga qo'yiladigan talablar. Axborot texnologiyalari. Xavfsizlik texnikasi. Axborot xavfsizligini boshqarish tizimlarining auditi va sertifikatsiyasini ta'minlovchi organlarga qo'yiladigan talablar. Kuchga kirish sanasi: 30.09.2009. GOST R ISO/IEC 27004-2011 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligini boshqarish. O'lchovlar. Axborot texnologiyalari. Xavfsizlik texnikasi. Axborot xavfsizligini boshqarish. O'lchov. Kuchga kirish sanasi: 01/01/2012. GOST R ISO/IEC 27005-2010 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligi risklarini boshqarish. Axborot texnologiyalari. Xavfsizlik texnikasi. Axborot xavfsizligi risklarini boshqarish. Kuchga kirish sanasi: 12.01.2011. GOST R ISO/IEC 31010-2011 Xatarlarni boshqarish. Risklarni baholash usullari (Riskni boshqarish. Risklarni baholash usullari). Kuchga kirish sanasi: 12.01.2012 GOST R ISO 31000-2010 Xatarlarni boshqarish. Risklarni boshqarish tamoyillari va ko'rsatmalari. Kuchga kirish sanasi: 31.08.2011 GOST 28147-89 Axborotni qayta ishlash tizimlari. Kriptografik himoya. Kriptografik konvertatsiya qilish algoritmi. Kuchga kirish sanasi: 30.06.1990. GOST R ISO/IEC 27013-2014 “Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. ISO/IEC 27001 va ISO/IEC 20000-1 dan birgalikda foydalanish bo'yicha yo'riqnoma - 2015 yil 1 sentyabrdan kuchga kiradi. GOST R ISO/IEC 27033-3-2014 “Tarmoq xavfsizligi. 3-qism. Malumot tarmog'i stsenariylari. Tahdidlar, dizayn usullari va boshqaruv masalalari” – 2015 yil 1 noyabrdan kuchga kiradi GOST R ISO/IEC 27037-2014 “Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Raqamli dalillarni aniqlash, to'plash, qidirish va saqlash bo'yicha ko'rsatmalar - 2015 yil 1 noyabrdan kuchga kiradi. GOST R ISO/IEC 27002-2012 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligini boshqarish normalari va qoidalari to'plami. Axborot texnologiyalari. Xavfsizlik texnikasi. Axborot xavfsizligini boshqarish bo'yicha amaliyot kodeksi. Kuchga kirish sanasi: 01/01/2014. OKS kodi 35.040. GOST R 56939-2016 Axborotni muhofaza qilish. Xavfsiz dasturiy ta'minotni ishlab chiqish. Umumiy talablar (Axborotni himoya qilish. Xavfsiz dasturiy ta'minotni ishlab chiqish. Umumiy talablar). Kuchga kirish sanasi: 06/01/2017. GOST R 51583-2014 Axborotni muhofaza qilish. Xavfsiz dizayndagi avtomatlashtirilgan tizimlarni yaratish tartibi. Umumiy holat. Axborotni himoya qilish. Himoyalangan operatsion tizimni shakllantirish ketma-ketligi. General. 09/01/2014 GOST R 7.0.97-2016 Axborot, kutubxona va nashriyot standartlari tizimi. Tashkiliy va ma'muriy hujjatlar. Hujjatlarni tayyorlashga qo'yiladigan talablar (Axborot, kutubxonachilik va nashriyot bo'yicha standartlar tizimi. Tashkiliy-ma'muriy hujjatlar. Hujjatlarni taqdim etishga qo'yiladigan talablar). Kuchga kirish sanasi: 07.01.2017. OKS kodi 01.140.20. GOST R 57580.1-2017 Moliyaviy (bank) operatsiyalarining xavfsizligi. Moliyaviy tashkilotlarning ma'lumotlarini himoya qilish. Tashkiliy-texnik tadbirlarning asosiy tarkibi - Moliyaviy (bank) operatsiyalarini ta'minlash. Moliyaviy tashkilotlarning axborot himoyasi. Tashkiliy-texnik chora-tadbirlarning asosiy majmuasi. GOST R ISO 22301-2014 Biznes uzluksizligini boshqarish tizimlari. Umumiy talablar - Biznes uzluksizligini boshqarish tizimlari. Talablar. GOST R ISO 22313-2015 Biznes uzluksizligini boshqarish. Amalga oshirish bo'yicha qo'llanma - Biznesning uzluksizligini boshqarish tizimlari. Amalga oshirish uchun ko'rsatma. GOST R ISO/IEC 27031-2012 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot-kommunikatsiya texnologiyalarining biznes uzluksizligiga tayyorligi bo‘yicha qo‘llanma – Axborot texnologiyalari. Xavfsizlik texnikasi. Axborot-kommunikatsiya texnologiyalarining biznesning uzluksizligiga tayyorligi bo'yicha ko'rsatmalar. GOST R IEC 61508-1-2012 Elektr, elektron, dasturlashtiriladigan elektron xavfsizlik bilan bog'liq tizimlarning funktsional xavfsizligi. 1-qism. Umumiy talablar. Elektr, elektron, dasturlashtiriladigan elektron xavfsizlik bilan bog'liq tizimlarning funktsional xavfsizligi. 1-qism. Umumiy talablar. Joriy sanasi 2013-08-01. GOST R IEC 61508-2-2012 Elektr, elektron, dasturlashtiriladigan elektron xavfsizlik bilan bog'liq tizimlarning funktsional xavfsizligi. 2-qism. Tizim talablari. Elektr, elektron, dasturlashtiriladigan elektron xavfsizlik bilan bog'liq tizimlarning funktsional xavfsizligi. 2-qism. Tizimlarga qo'yiladigan talablar. Joriy sanasi 2013-08-01. GOST R IEC 61508-3-2012 ELEKTR, ELEKTRON, PROGRAMLANILGAN ELEKTRON, XAVFSIZLIK BILAN TIZIMLARNING FUNKSIONAL XAVFSIZLIGI. Dasturiy ta'minot talablari. IEC 61508-3:2010 Elektr/elektron/dasturlashtiriladigan elektron xavfsizlik bilan bog'liq tizimlarning funktsional xavfsizligi - 3-qism: Dasturiy ta'minot talablari (IDT). GOST R IEC 61508-4-2012 ELEKTR, ELEKTRON, dasturlashtiriladigan elektron, XAVFSIZLIK BILAN TIZIMLARNING FUNKSIONAL XAVFSIZLIGI 4-qism atamalar va ta'riflar. Elektr, elektron, dasturlashtiriladigan elektron xavfsizlik bilan bog'liq tizimlarning funktsional xavfsizligi. 4-qism. Atamalar va ta'riflar. Joriy sanasi 2013-08-01. . GOST R IEC 61508-6-2012 Elektr, elektron, dasturlashtiriladigan elektron xavfsizlik bilan bog'liq tizimlarning funktsional xavfsizligi. 6-qism. GOST R IEC 61508-2 va GOST R IEC 61508-3 dan foydalanish bo'yicha ko'rsatmalar. IEC 61508-6: 2010. Elektr / elektron / dasturlashtiriladigan elektron xavfsizlik bilan bog'liq tizimlarning funktsional xavfsizligi - 6-qism: IEC 61508-2 va IEC 61508-3 (IDT) ni qo'llash bo'yicha ko'rsatmalar. GOST R IEC 61508-7-2012 Elektr tizimlarining funktsional xavfsizligi, Xavfsizlik bilan bog'liq elektr, elektron, dasturlashtiriladigan elektron tizimlarning funktsional xavfsizligi. 7-qism. Usul va vositalar. Elektr elektron dasturlashtiriladigan elektron xavfsizlik bilan bog'liq tizimlarning funktsional xavfsizligi. 7-qism. Texnika va chora-tadbirlar. Joriy sanasi 2013-08-01. GOST R 53647.6-2012. Biznesning uzluksizligini boshqarish. Ma'lumotlar himoyasini ta'minlash uchun shaxsiy ma'lumotlarni boshqarish tizimiga qo'yiladigan talablar

Nomi:

Ma'lumotlarni himoya qilish. Tashkilotda axborot xavfsizligini ta'minlash.

Yaroqli

Kirish sanasi:

Bekor qilish sanasi:

O'rniga:

Matn GOST R 53114-2008 Axborotni himoya qilish. Tashkilotda axborot xavfsizligini ta'minlash. Asosiy atamalar va ta'riflar

FEDERAL TEXNIK TARMOQLASH VA METROLOGIYA AGENTLIGI

MILLIY

STANDART

RUS

FEDERATSIYA

Ma'lumotlarni himoya qilish

TASHKILOTDA AXBOROT XAVFSIZLIGINI TA'MINLASH

Asosiy atamalar va ta'riflar

Rasmiy nashr

Oteidartenform

GOST R 53114-2008

Muqaddima

Rossiya Federatsiyasida standartlashtirishning maqsadlari va tamoyillari "Texnik jihatdan tartibga solish to'g'risida" 2002 yil 27 dekabrdagi 184-FZ-sonli Federal qonuni bilan belgilanadi va Rossiya Federatsiyasining milliy standartlarini qo'llash qoidalari GOST R 1.0-2004 "Standartlashtirish" dir. Rossiya Federatsiyasida. Asosiy qoidalar »

Standart ma'lumotlar

1 "Texnik va eksport nazorati federal xizmatining Texnik axborot xavfsizligi muammolari davlat ilmiy-tadqiqot sinov instituti" Federal davlat muassasasi (FGU "Rossiya GNIIII PTZI FSTEC"), "Kristall" ilmiy-ishlab chiqarish kompaniyasi" mas'uliyati cheklangan jamiyati tomonidan ishlab chiqilgan. (OOO NPF "Kristal")

2 Texnik jihatdan tartibga solish va metrologiya federal agentligining Texnik tartibga solish va standartlashtirish bo'limi tomonidan joriy etilgan.

3 Texnik jihatdan tartibga solish va metrologiya federal agentligining 2008 yil 18 dekabrdagi 532-son buyrug'i bilan tasdiqlangan va kuchga kirgan.

4 8BIRINCHI MARTA HAYDALANILDI

Ushbu standartga kiritilgan o'zgartirishlar to'g'risidagi ma'lumotlar har yili nashr etiladigan "Milliy standartlar" axborot indeksida e'lon qilinadi va o'zgartirishlar va qo'shimchalar matni oylik nashr etiladigan "Milliy standartlar" axborot indeksida e'lon qilinadi. Ushbu standart qayta ko'rib chiqilgan (almashtirilgan) yoki bekor qilingan taqdirda, tegishli bildirishnoma har oy nashr etiladigan "Milliy standartlar" axborot indeksida e'lon qilinadi. Tegishli ma'lumotlar, bildirishnomalar va matnlar ommaviy axborot tizimida - Internetdagi Texnik tartibga solish va metrologiya federal agentligining rasmiy veb-saytida ham joylashtirilgan.

© Sgandartinform.2009

Ushbu standartni Texnik jihatdan tartibga solish va metrologiya bo'yicha federal agentlikning ruxsatisiz to'liq yoki qisman ko'paytirish, takrorlash yoki rasmiy nashr sifatida tarqatish mumkin emas.

GOST R 53114-2008

1 qo'llash sohasi................................................. ...... 1

3 Atamalar va ta'riflar................................................. ...... ..2

3.1 Umumiy tushunchalar................................................. .... .....2

3.2 Axborotni muhofaza qilish ob'ektiga tegishli shartlar...................................... ...4

3.3 Axborot xavfsizligiga tahdidlar bilan bog'liq atamalar................................7

3.4 Tashkiliy axborot xavfsizligini boshqarish bilan bog'liq atamalar......8

3.5 Tashkilotning axborot xavfsizligini nazorat qilish va baholash bilan bog'liq shartlar. ... 8

3.6 Axborot xavfsizligini nazorat qilish bilan bog'liq shartlar

tashkilotlar................................................................. ....... .........9

Alifbo tartibida atamalar ko'rsatkichi................................................. .....11

A ilova (ma'lumot uchun) Umumiy texnik tushunchalarning atamalari va ta'riflari.......................................13

B ilova (ma'lumot uchun) Tashkilotda axborot xavfsizligi sohasidagi asosiy tushunchalarning o'zaro bog'liqligi...................................... ...................15

Bibliografiya................................................. .........16

GOST R 53114-2008

Kirish

Ushbu standartda belgilangan atamalar ushbu bilim sohasidagi tushunchalar tizimini aks ettiruvchi tizimli tartibda joylashtirilgan.

Har bir kontseptsiya uchun bitta standartlashtirilgan atama mavjud.

Terminologik maqolada kvadrat qavslar mavjudligi uning umumiy atama elementlariga ega bo'lgan ikkita atamani o'z ichiga olganligini anglatadi. Bu atamalar alfavit indeksida alohida keltirilgan.

Qavslar ichiga olingan atama qismi standartlashtirish hujjatlarida atama qo‘llanilganda olib qo‘yilishi mumkin, atamaning qavs ichiga kiritilmagan qismi esa uning qisqa shaklini tashkil qiladi. Standartlashtirilgan atamalardan keyin ularning qisqacha shakllari nuqta-vergul bilan ajratilgan va qisqartmalar bilan ifodalangan.

Berilgan ta'riflar, agar kerak bo'lsa, ularga xossalarni kiritish orqali o'zgartirilishi mumkin. ularda qo'llanilgan atamalarning ma'nolarini ochib berish, belgilangan tushuncha doirasiga kiruvchi ob'ektlarni ko'rsatish.

O'zgartirishlar ushbu standartda belgilangan tushunchalarning ko'lami va mazmuniga ta'sir qilmasligi kerak.

Standartlashtirilgan atamalar qalin shrift bilan yoziladi, ularning qisqa shakllari matnda va alifbo indeksida, shu jumladan qisqartmalarda. - yorug'lik, va sinonimlar - kursiv.

Ushbu standartning asosiy qismi matnini tushunish uchun zarur bo'lgan umumiy texnik tushunchalarning atamalari va ta'riflari A ilovasida keltirilgan.

GOST R 53114-2008

ROSSIYA FEDERATSIYASI MILLIY STANDARTI

Ma'lumotlarni himoya qilish

AXBOROT XAVFSIZLIGINI TA’MINLASH 8 TASHKILOT

Asosiy atamalar va ta'riflar

Axborotni himoya qilish. Tashkilotda axborot xavfsizligini ta'minlash.

Asosiy atamalar va ta'riflar

Joriy sanasi - 2009-10-01

1 foydalanish sohasi

Ushbu standart tashkilotda axborot xavfsizligi sohasida standartlashtirish ishlarini olib borishda foydalaniladigan asosiy atamalarni belgilaydi.

Ushbu standartda belgilangan atamalar me'yoriy hujjatlar, huquqiy, texnik va tashkiliy-ma'muriy hujjatlar, ilmiy, o'quv va ma'lumotnoma adabiyotlarida foydalanish uchun tavsiya etiladi.

Ushbu standart GOST 34.003 bilan birgalikda qo'llaniladi. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Ushbu standartda keltirilgan shartlar Rossiya Federatsiyasining 2002 yil 27 dekabrdagi M"184*FZ "Texnik reglament" Federal qonuni qoidalariga mos keladi |3]. Rossiya Federatsiyasining 2006 yil 27 iyuldagi 149-FZ-sonli "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" Federal qonuni. Rossiya Federatsiyasining 2006 yil 27 iyuldagi 152-FZ-sonli "Shaxsiy ma'lumotlar to'g'risida" Federal qonuni. Rossiya Federatsiyasi Prezidentining 2000 yil 9 sentyabrdagi Pr -1895 yildagi qarori bilan tasdiqlangan Rossiya Federatsiyasining axborot xavfsizligi doktrinalari.

2 Normativ havolalar

GOST R 22.0.02-94 Favqulodda vaziyatlarda xavfsizlik. Asosiy tushunchalarning atamalari va ta'riflari

GOST R ISO 9000-2001 Sifat menejmenti tizimlari. Asoslar va lug'at

GOST R ISO 9001-2008 Sifat menejmenti tizimlari. Talablar

GOST R IS0 14001-2007 Atrof-muhitni boshqarish tizimlari. Foydalanish bo'yicha talablar va ko'rsatmalar

GOST R ISO/IEC 13335-1-2006 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. 1-qism. Axborot va telekommunikatsiya texnologiyalari xavfsizligini boshqarish tushunchasi va modellari

GOST R ISO/IEC 27001-2006 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligini boshqarish tizimlari. Talablar

GOST R 50922-2006 Axborotni muhofaza qilish. Asosiy atamalar va ta'riflar

GOST R 51275-2006 Axborotni muhofaza qilish. Axborot obyekti. Axborotga ta'sir qiluvchi omillar. Umumiy holat

GOST R 51897-2002 Risklarni boshqarish. Shartlar va ta'riflar

Rasmiy nashr

GOST R 53114-2008

GOST R51898-2003 Xavfsizlik jihatlari. Standartlarga kiritish qoidalari GOST R 52069.0-2003 Axborotni muhofaza qilish. Standartlar tizimi. GOST 34.003-90 ning asosiy qoidalari Axborot texnologiyalari. Avtomatlashtirilgan tizimlar uchun standartlar to'plami. Avtomatlashtirilgan tizimlar. Shartlar va ta'riflar

GOST 19781-90 Axborotni qayta ishlash tizimlari uchun dasturiy ta'minot. Shartlar va ta'riflar

Eslatma - Ushbu standartdan foydalanganda, ommaviy axborot tizimida - Internetdagi Texnik tartibga solish va metrologiya federal agentligining rasmiy veb-saytida yoki har yili e'lon qilinadigan "Milliy" ma'lumotlar indeksiga muvofiq ma'lumotnoma standartlarining haqiqiyligini tekshirish tavsiya etiladi. "Standartlar" joriy yilning 1 yanvar holatiga e'lon qilingan va joriy yilda nashr etilgan tegishli oylik ma'lumotlar ko'rsatkichlariga muvofiq. Agar mos yozuvlar standarti almashtirilsa (o'zgartirilsa), unda ushbu standartdan foydalanganda siz almashtirilgan (o'zgartirilgan) standartga amal qilishingiz kerak. Agar mos yozuvlar standarti almashtirilmasdan bekor qilinsa, unga havola berilgan qoida ushbu havolaga ta'sir qilmaydigan qismga nisbatan qo'llaniladi.

3 Atamalar va ta'riflar

3.1 Umumiy tushunchalar

axborot xavfsizligi [ma'lumotlar]: axborotning [ma'lumotlarning] maxfiyligi, mavjudligi va yaxlitligi ta'minlangan xavfsizlik holati.

[GOST R 50922-2006. 2.4.5-band]

axborot texnologiyalari xavfsizligi: axborot texnologiyalari xavfsizligi holati. qayta ishlash uchun foydalaniladigan ma'lumotlarning xavfsizligini ta'minlaydi. va u amalga oshirilayotgan axborot tizimining axborot xavfsizligi.

[R 50.1.056-2006. 2.4.5-band]

axborot sohasi: Axborot, axborot infratuzilmasi, sub'ektlari yig'indisi. ma'lumotlarni to'plash, shakllantirish, tarqatish va ulardan foydalanishni, shuningdek, ushbu holatda yuzaga keladigan ijtimoiy munosabatlarni tartibga solish tizimlarini amalga oshirish.

3.1.4 Axborot infratuzilmasi: iste'molchilarga axborot resurslaridan foydalanish imkoniyatini beruvchi axborotlashtirish ob'ektlari majmui.

Axborotlashtirish ob'ekti - ma'lum bir axborot texnologiyalariga muvofiq foydalaniladigan axborot resurslari, asboblari va axborotni qayta ishlash tizimlari, shuningdek, ushbu vositalar va tizimlar o'rnatilgan yordamchi ob'ektlar, binolar yoki inshootlar (binolar, inshootlar, texnik vositalar) yoki maxfiy muzokaralar olib borish uchun mo'ljallangan binolar va inshootlar.

[GOST R 51275-2006. 3.1-band]

3.1.6 Tashkilotning aktivlari: Hammasi. o'z maqsadlariga erishish manfaatlarida tashkilot uchun qimmatli bo'lgan va uning ixtiyorida bo'lgan narsa.

Eslatma: Tashkilotning aktivlari quyidagilarni o'z ichiga olishi mumkin:

Axborot aktivlari, shu jumladan, axborot tizimida (xizmat ko'rsatish, boshqaruv, tahliliy, biznes va boshqalar) hayotiy tsiklning barcha bosqichlarida (hosil qilish, saqlash, qayta ishlash, uzatish, yo'q qilish) aylanadigan turli xil ma'lumotlar turlari:

Resurslar (moliyaviy, insoniy, hisoblash, axborot, telekommunikatsiya va boshqalar):

Jarayonlar (texnologik, axborot va boshqalar);

Ishlab chiqarilgan mahsulotlar yoki taqdim etilgan xizmatlar.

GOST R 53114-2008

Axborotni qayta ishlash tizimining resursi: ma'lum vaqt oralig'ida ma'lumotlarni qayta ishlash jarayoniga ajratilishi mumkin bo'lgan axborotni qayta ishlash tizimining ob'ekti.

Eslatma - Asosiy resurslar protsessorlar, asosiy xotira maydonlari, ma'lumotlar to'plamidir. periferik qurilmalar, dasturlar.

[GOST 19781-90. 93-band)

3.1.8 Axborot jarayoni: Yaratish, to'plash, qayta ishlash, to'plash, saqlash, qidirish jarayoni. axborotni tarqatish va undan foydalanish.

axborot texnologiyalari; AT: Jarayonlar, qidirish, to'plash, saqlash, qayta ishlash, ta'minlash usullari. axborotni tarqatish va bunday jarayonlar va usullarni amalga oshirish usullari. [Rossiya Federatsiyasining 2002 yil 27 dekabrdagi 184-FZ-sonli Federal qonuni. 2-modda. 2-band)]

avtomatlashtirilgan tizimni texnik ta'minlash; AESni texnik qo'llab-quvvatlash: AESni ishlatishda foydalaniladigan barcha texnik vositalar yig'indisi.

[GOST R 34.003-90. 2.5-band]

avtomatlashtirilgan tizim dasturiy ta'minoti; AS dasturiy ta'minoti: disk raskadrovka, ishlash va AS funksionalligini sinab ko'rish uchun mo'ljallangan saqlash vositalari va dasturiy hujjatlardagi dasturlar to'plami.

[GOST R 34.003-90. 2.7-band]

avtomatlashtirilgan tizimni axborot bilan ta'minlash; ASni axborot bilan ta'minlash: ASda foydalaniladigan ma'lumotlarning hajmi, joylashishi va mavjudligi shakllari bo'yicha hujjatlar shakllari, tasniflagichlar, normativ-huquqiy baza va amalga oshirilgan echimlar to'plami.

[GOST R 34.003-90. 2.8-band]

3.1.13 xizmat; xizmat: iste'molchining ehtiyojlarini qondirish uchun ijrochining faoliyati natijasi.

Eslatma - 8 tashkilot, jismoniy shaxs yoki jarayon xizmat ko'rsatuvchisi (iste'molchisi) sifatida harakat qilishi mumkin.

3.1.14 Axborot texnologiyalari xizmatlari: AT xizmatlari: Axborotning funktsional imkoniyatlari to'plami va. oxirgi foydalanuvchilarga xizmat sifatida taqdim etilgan axborot bo'lmagan texnologiya.

Izoh AT xizmatlariga misollar xabar almashish, biznes ilovalari, fayl va chop etish xizmatlari, tarmoq xizmatlari va boshqalarni o'z ichiga oladi.

3.1.15 muhim axborot infratuzilmasi tizimi; asosiy axborot infratuzilmasi tizimi: FIAC: muhim ob'ekt yoki jarayonni boshqaradigan yoki axborot bilan ta'minlaydigan yoki jamiyat va fuqarolarni rasmiy ravishda xabardor qilish uchun foydalaniladigan axborotni boshqarish yoki axborot telekommunikatsiya tizimi, ularning faoliyati buzilgan yoki to'xtatilgan (buzg'unchi ta'sir natijasida). axborot ta'siri, shuningdek, muvaffaqiyatsizliklar yoki muvaffaqiyatsizliklar) sezilarli salbiy oqibatlarga olib keladigan favqulodda vaziyatga olib kelishi mumkin.

3.1.18 Muhim ob'ekt: Operatsion uzluksizligining buzilishi katta zarar etkazishi mumkin bo'lgan ob'ekt yoki jarayon.

GOST R 53114-2008

Eslatma - Jismoniy yoki yuridik shaxslarning mol-mulkiga zarar yetkazilishi mumkin. davlat yoki kommunal mulk, atrof-muhit, shuningdek fuqarolarning hayoti yoki sog'lig'iga zarar etkazish.

shaxsiy ma'lumotlarning axborot tizimi - ma'lumotlar bazasida mavjud bo'lgan shaxsiy ma'lumotlar, shuningdek, avtomatlashtirish vositalaridan foydalangan holda yoki bunday vositalardan foydalanmasdan bunday shaxsiy ma'lumotlarni qayta ishlash imkonini beruvchi axborot texnologiyalari va texnik vositalar to'plami bo'lgan axborot tizimi.

shaxsiy ma'lumotlar: Bunday ma'lumotlar asosida aniqlangan yoki aniqlangan jismoniy shaxsga tegishli har qanday ma'lumot (shaxsiy ma'lumotlarning predmeti), shu jumladan uning familiyasi, ismi. otasining ismi, yil oyi, tug'ilgan sanasi va joyi, manzili, oilasi, ijtimoiy, mulkiy ahvoli, ma'lumoti, kasbi, daromadi, boshqa ma'lumotlar.

3.1.19 Himoyalangan dizayndagi avtomatlashtirilgan tizim; Himoyalangan dizayndagi AS: Axborotni muhofaza qilish bo'yicha standartlar va/yoki me'yoriy hujjatlar talablariga muvofiq belgilangan funktsiyalarni bajarish uchun axborot texnologiyalarini joriy qiluvchi avtomatlashtirilgan tizim.

3.2 Axborotni muhofaza qilish ob'ektiga tegishli atamalar

3.2.1 Tashkilotning axborot xavfsizligi; Tashkiliy razvedka: axborot sohasidagi tahdidlar sharoitida tashkilot manfaatlarini himoya qilish holati.

Eslatma - Xavfsizlik axborot xavfsizligi xususiyatlari majmuasini ta'minlash orqali erishiladi - maxfiylik, yaxlitlik, axborot aktivlari va tashkilot infratuzilmasi mavjudligi. Axborot xavfsizligi xususiyatlarining ustuvorligi axborot aktivlarining tashkilot manfaatlari (maqsadlari) uchun ahamiyati bilan belgilanadi.

axborotni muhofaza qilish ob'ekti: Axborot yoki axborot tashuvchisi yoki axborot jarayoni. axborotni himoya qilish maqsadiga muvofiq himoya qilinishi kerak.

[GOST R 50922-2006. 2.5.1-band]

3.2.3 Himoyalangan jarayon (axborot texnologiyalari): Axborot texnologiyalari tomonidan himoyalangan axborotni zarur xavfsizlik darajasi bilan qayta ishlash uchun foydalaniladigan jarayon.

3.2.4 Tashkilotning axborot xavfsizligini buzish: tashkilotning axborot xavfsizligini buzish: jismoniy shaxsning (sub'ektning, ob'ektning) tashkilot mulkiga nisbatan tasodifiy yoki qasddan noqonuniy xatti-harakati, buning oqibati axborot xavfsizligini buzish hisoblanadi. u tashkilot uchun salbiy oqibatlarga (zarar/zarar) olib keladigan axborot tizimlarida texnik vositalar bilan qayta ishlanadi.

favqulodda holat; kutilmagan vaziyat; Favqulodda vaziyat - avariya, xavfli tabiiy hodisa, falokat, tabiiy yoki boshqa ofat natijasida ma'lum bir hududda yoki akvatoriyada yuzaga kelgan, odamlarning qurbon bo'lishiga yoki odamlarning qurbon bo'lishiga, odamlarning sog'lig'iga zarar yetkazilishiga olib keladigan vaziyat. yoki atrof-muhit, katta moddiy yo'qotishlar va odamlarning yashash sharoitlarini buzish.

Eslatma - Favqulodda vaziyatlar manbaning tabiati (tabiiy, texnogen, biologik-ijtimoiy va harbiy) va miqyosi (mahalliy, mahalliy, hududiy, mintaqaviy, federal va transchegaraviy) bo'yicha farqlanadi.

(GOST R 22.0.02-94. 2.1.1-modda)

GOST R 53114-2008

3.2.6

xavfli vaziyat: odamlar, mulk yoki atrof-muhit xavf ostida bo'lgan holatlar.

(GOST R 51898-2003. 3.6-band)

3.2.7

axborot xavfsizligi hodisasi: operatsiyalar yoki axborot xavfsizligini buzishi mumkin bo'lgan har qanday kutilmagan yoki istalmagan hodisa.

Eslatma - Axborot xavfsizligi hodisalari:

Xizmatlar, uskunalar yoki qurilmalarning yo'qolishi:

Tizimdagi nosozliklar yoki ortiqcha yuklanishlar:

Foydalanuvchi xatolari.

Jismoniy himoya choralarini buzish:

Tizimlardagi nazoratsiz o'zgarishlar.

Dasturiy ta'minot va apparatdagi nosozliklar:

Kirish qoidalarini buzish.

(GOST R ISO/IEC 27001 -2006. 3.6-modda)

3.2.8 hodisa: Muayyan holatlar to'plamining paydo bo'lishi yoki mavjudligi.

Eslatmalar

1 Hodisaning tabiati, ehtimoli va oqibatlari to'liq ma'lum bo'lmasligi mumkin.

2 Hodisa bir yoki bir necha marta sodir bo'lishi mumkin.

3 Hodisa bilan bog'liq ehtimolini taxmin qilish mumkin.

4 Voqea bir yoki bir nechta holatlarning ro'y bermasligidan iborat bo'lishi mumkin.

5 Ba'zida oldindan aytib bo'lmaydigan voqea "hodisalar" deb ataladi.

6 Hech qanday yo'qotish sodir bo'lmagan hodisa ba'zan hodisa (hodisalar), xavfli holat, vaziyatlarning xavfli birikmasi va boshqalarning zaruriy sharti deb ataladi.

3.2.9 risk: noaniqliklarning maqsadlarga erishish jarayoniga ta'siri.

Eslatmalar

1 Maqsadlar turli jihatlarga ega bo'lishi mumkin: moliyaviy, sog'liq, xavfsizlik va ekologik jihatlar va turli darajalarda belgilanishi mumkin: strategik darajada, tashkiliy darajada, loyiha, mahsulot va jarayon darajasida.

3 Risk ko'pincha hodisa yoki vaziyatning o'zgarishi oqibatlari va ularning ehtimoli kombinatsiyasi sifatida ifodalanadi.

3.2.10

Riskni baholash: xavfni aniqlash, xavf tahlili va xavfni aniqlashni birlashtirgan jarayon.

(GOST R ISO/IEC 13335-1 -2006, 2.21-band]

3.2.11 axborot xavfsizligi xavfini baholash (tashkilot); axborot xavfsizligi xavfini baholash (tashkilot): tashkilotning axborot xavfsizligi xavfi darajasini aniqlash, tahlil qilish va maqbulligini aniqlashning umumiy jarayoni.

3.2.12 Xatarlarni aniqlash: Xatarlarni aniqlash, tan olish va tavsiflash jarayoni.

Eslatmalar

1 Xavflarni identifikatsiyalash xavf manbalarini, hodisalarni va ularning sabablarini, shuningdek, mumkin bo'lgan oqibatlarini aniqlashni o'z ichiga oladi.

2-Izoh Xatarlarni identifikatsiyalash statistik ma'lumotlar, nazariy tahlillar, asosli fikrlar va ekspert xulosalari hamda manfaatdor tomonlarning ehtiyojlarini o'z ichiga olishi mumkin.

GOST R 53114-2008

risklarni tahlil qilish: xavf manbalarini aniqlash va xavf miqdorini aniqlash uchun ma'lumotlardan tizimli foydalanish.

(GOST R ISO/IEC 27001-2006. 3.11-modda)

3.2.14 Tavakkalchilikning maqbulligini aniqlash: Xatar darajasining maqbulligini yoki tolerantligini aniqlash uchun xavf tahlili natijalarini xavf mezonlari bilan solishtirish jarayoni.

Izoh Xavf darajasining maqbulligini aniqlash davolanish to'g'risida qaror qabul qilishga yordam beradi

3.2.15 Tashkilotning axborot xavfsizligi xavfini bartaraf etish; Tashkilotning axborot xavfsizligi xavfini davolash: tashkilotning axborot xavfsizligi xavflarini boshqarish bo'yicha chora-tadbirlarni ishlab chiqish va/yoki tanlash va amalga oshirish jarayoni.

Eslatmalar

1 Xavfni davolash quyidagilarni o'z ichiga olishi mumkin:

Sharoit yaratadigan faoliyatni boshlamaslik yoki davom ettirmaslik to'g'risida qaror qabul qilish orqali xavfdan qochish

Xavfni keltirib chiqaradigan yoki oshiradigan faoliyatni boshlash yoki davom ettirishga qaror qilish orqali imkoniyat izlash;

Xavf manbasini yo'q qilish:

Xavfning tabiati va hajmidagi o'zgarishlar:

O'zgaruvchan oqibatlar;

Boshqa tomon yoki tomonlar bilan xavfni bo'lishish.

Ongli qaror natijasida ham, "sukut bo'yicha" ham xavfning davom etishi.

2 Salbiy oqibatlarga olib keladigan xavfni davolash usullari ba'zan yumshatish, bartaraf etish, oldini olish deb ataladi. kamaytirish, bostirish va xavfni tuzatish.

3.2.16 Xatarlarni boshqarish: Xatarlarga nisbatan tashkilot faoliyatini boshqarish va nazorat qilish bo'yicha muvofiqlashtirilgan harakatlar.

3.2.17 tashkilotning axborot xavfsizligi uchun xavf manbai; tashkiliy axborot xavfsizligi xavfi manbai: xavfni keltirib chiqarishi mumkin bo'lgan ob'ekt yoki harakat.

Eslatmalar

1 Ob'ekt, shaxs yoki tashkilot o'rtasida xavf manbai bilan o'zaro ta'sir bo'lmasa, xavf yo'q.

2 Risk manbai moddiy yoki nomoddiy bo'lishi mumkin.

3.2.18 axborot xavfsizligi siyosati (tashkilot); Axborot xavfsizligi siyosati (tashkilot): Axborot xavfsizligi qoidalari, protseduralari, amaliyotlari yoki tashkilot faoliyatini boshqaradigan ko'rsatmalarning rasmiy bayonoti.

Eslatma - Siyosatlar o'z ichiga olishi kerak.

Xavfsizlik siyosatining predmeti, asosiy maqsad va vazifalari:

Xavfsizlik siyosatini qo'llash shartlari va mumkin bo'lgan cheklovlar:

Xavfsizlik siyosatini amalga oshirish va umuman tashkilotning axborot xavfsizligi rejimini tashkil etish bo'yicha tashkilot rahbariyatining pozitsiyasining tavsifi.

Huquq va majburiyatlari, shuningdek, tashkilotning xavfsizlik siyosatiga rioya qilish uchun xodimlarning javobgarlik darajasi.

Xavfsizlik siyosati buzilgan taqdirda favqulodda tartib-qoidalar

3.2.19 axborot xavfsizligi maqsadi (tashkilot); IS (tashkilot) maqsadi: IS (tashkilot) siyosatida belgilangan talablarga muvofiq tashkilotning axborot xavfsizligini ta'minlashning oldindan belgilangan natijasi.

Izoh - Axborot xavfsizligini ta'minlash natijasi ma'lumotlarning mumkin bo'lgan chiqishi va (yoki) ma'lumotlarga ruxsatsiz va qasddan ta'sir qilish natijasida axborot egasiga zarar yetkazilishining oldini olish bo'lishi mumkin.

3.2.20 Tashkilotda axborot xavfsizligi bo'yicha hujjatlar tizimi; Tashkilotdagi axborot xavfsizligi hujjatlari tizimi: maqsadli yo'nalish bilan birlashtirilgan hujjatlarning tartiblangan to'plami. kelib chiqishi, maqsadi, turi, faoliyat doirasi, ularni loyihalash uchun yagona talablar va axborot xavfsizligini ta'minlash bo'yicha tashkilot faoliyatini tartibga solish asosida o'zaro bog'langan.

GOST R 53114-2008

3.3 Axborot xavfsizligi tahdidlari bilan bog'liq atamalar

3.3.1 Tashkilotning axborot xavfsizligiga tahdid; Tashkilot uchun axborot xavfsizligiga tahdid: tashkilotning axborot xavfsizligini buzish xavfini tug'diradigan, tashkilot uchun salbiy oqibatlarga (zarar/zarar) olib keladigan yoki keltirishi mumkin bo'lgan omillar va shartlar to'plami.

Eslatmalar

1 Axborot xavfsizligiga tahdidni amalga oshirish (namoyon qilish) shakli - bu bir yoki bir nechta o'zaro bog'liq axborot xavfsizligi hodisalari va axborot xavfsizligi intsidentlarining kelib chiqishi. tashkilotning himoyalangan ob'ekt (ob'ektlari)ning axborot xavfsizligi xususiyatlarining buzilishiga olib keladigan.

2 Tahdid tahdid ob'ekti, tahdid manbai va tahdidning namoyon bo'lishi bilan tavsiflanadi.

tahdid (axborot xavfsizligi): Axborot xavfsizligi buzilishining potentsial yoki haqiqiy xavfini yaratadigan shartlar va omillar to'plami.

[GOST R 50922-2006. 2.6.1-band]

3.3.3 tahdid (axborot xavfsizligi) modeli: Axborot xavfsizligi tahdidlarining xususiyatlari yoki xususiyatlarini fizik, matematik, tavsifiy ifodalash.

Eslatma - maxsus me'yoriy hujjat axborot xavfsizligi tahdidlarining xususiyatlari yoki xususiyatlarini tavsiflovchi ifodalash turi bo'lishi mumkin.

zaiflik (axborot tizimining); buzilish: axborot tizimining unda qayta ishlangan axborot xavfsizligiga tahdidlarni amalga oshirishga imkon beradigan mulki.

Eslatmalar

1 Axborot tizimida qayta ishlangan xavfsizlikka tahdidni amalga oshirish sharti axborot tizimidagi kamchilik yoki zaiflik bo'lishi mumkin.

2 Agar zaiflik tahdidga mos keladigan bo'lsa, unda xavf mavjud.

[GOST R 50922-2006. 2.6.4-band]

3.3.5 tashkilotning axborot xavfsizligini buzuvchi; tashkilotning axborot xavfsizligini buzuvchisi: Tasodifan yoki qasddan sodir etgan xatti-harakatning natijasi tashkilotning axborot xavfsizligini buzish bo'lgan jismoniy yoki mantiqiy shaxs.

3.3.6 Ruxsatsiz kirish: Axborotga yoki avtomatlashtirilgan axborot tizimining resurslariga kirish huquqini (yoki) belgilangan qoidalarini buzgan holda amalga oshirilgan kirish.

Eslatmalar

1 Ruxsatsiz kirish qasddan yoki qasddan bo'lishi mumkin.

2 Axborotni qayta ishlash jarayonlari, avtomatlashtirilgan axborot tizimiga xizmat ko‘rsatish va dasturga o‘zgartirishlar kiritish uchun axborot va axborot tizimi resurslariga kirish huquqi va qoidalari belgilanadi. texnik va axborot resurslari, shuningdek ular haqida ma'lumot olish.

3.3.7 Tarmoq hujumi: Axborotga ruxsatsiz kirish, unga yoki avtomatlashtirilgan axborot tizimining resurslariga ta'sir ko'rsatish tahdidlarini amalga oshirishga qaratilgan dasturiy va (yoki) apparat vositalaridan va tarmoq protokolidan foydalangan holda harakatlar.

Ilova - Tarmoq protokoli - bu bitta kompyuterda joylashgan tarmoqni boshqarish dasturlarining o'zaro ta'sirini belgilovchi semantik va sintaktik qoidalar to'plami. boshqa kompyuterda joylashgan bir xil nomdagi dasturlar bilan.

3.3.8 (Axborotga) kirishni bloklash: shaxslarning ma'lumotlariga kirishni to'xtatish yoki qiyinchilik. qilish huquqiga ega (qonuniy foydalanuvchilar).

3.3.9 Xizmat hujumini rad etish: avtomatlashtirilgan tizimda axborot jarayonlarini blokirovka qilishga olib keladigan tarmoq hujumi.

3.3.10 Axborotning chiqib ketishi: Himoyalangan axborotning oshkor etilishi natijasida nazoratsiz tarqatilishi, axborotga ruxsatsiz kirish va himoyalangan axborotni xorijiy razvedka xizmatlari tomonidan olish.

3.3.11 Axborotni oshkor qilish: Himoyalangan axborotni shaxslarga ruxsatsiz yetkazish. ushbu ma'lumotlarga kirish huquqiga ega emas.

GOST R 53114-2008

ushlash (ma'lumot): axborot signallarini aniqlaydigan, qabul qiladigan va qayta ishlaydigan texnik vositalardan foydalangan holda axborotni noqonuniy olish.

(R 50.1.053-2005, 3.2.5-band]

informatsion signal: Parametrlari himoyalangan ma'lumotni aniqlash uchun ishlatilishi mumkin bo'lgan signal.

[R 50.1.05S-2005. 3.2.6-band]

3.3.14 e'lon qilingan imkoniyatlar: Ta'riflanmagan yoki hujjatlarda tavsiflanganlarga mos kelmaydigan kompyuter texnikasi va dasturiy ta'minotining funktsional imkoniyatlari. axborot xavfsizligi xususiyatlarining pasayishi yoki buzilishiga olib kelishi mumkin.

3.3.15 Soxta elektromagnit nurlanish va interferensiya: texnik ma'lumotlarni qayta ishlash uskunasidan nojo'ya ta'sir sifatida paydo bo'ladigan va ularning elektr va magnit davrlarida ta'sir qiluvchi elektr signallari natijasida kelib chiqadigan elektromagnit nurlanish, shuningdek, ushbu signallarning o'tkazgich liniyalari, inshootlari va quvvatlariga elektromagnit shovqinlari. sxemalar.

3.4 Tashkiliy axborot xavfsizligini boshqarish bilan bog'liq shartlar

3.4.1 Tashkilotning axborot xavfsizligini boshqarish; axborot xavfsizligi tashkilotini boshqarish; Tashkilotning ichki va tashqi muhitining o'zgaruvchan sharoitlariga muvofiq uning axborot xavfsizligini ta'minlash nuqtai nazaridan tashkilot rahbariyati va boshqaruvi uchun muvofiqlashtirilgan harakatlar.

3.4.2 Tashkilotning axborot xavfsizligi risklarini boshqarish; Tashkilotning axborot xavfsizligi xavfini boshqarish: Axborot xavfsizligi xavfini minimallashtirish uchun tashkilotni boshqarish va boshqarish bo'yicha muvofiqlashtirilgan harakatlar.

Izoh Xatarlarni boshqarishning asosiy jarayonlari kontekstni belgilash, xavfni baholash, xavfni davolash va qabul qilish, xavfni kuzatish va ko'rib chiqishdan iborat.

axborot xavfsizligini boshqarish tizimi; AXBT: umumiy boshqaruv tizimining bir qismi. ishlab chiqish, amalga oshirish va ishlatish uchun bioenergiya xavfini baholash usullaridan foydalanishga asoslangan. axborot xavfsizligini monitoring qilish, tahlil qilish, qo‘llab-quvvatlash va takomillashtirish.

Izoh Boshqaruv tizimi tashkiliy tuzilma, siyosat, rejalashtirish faoliyati, mas'uliyat, amaliyot, protseduralar, jarayonlar va resurslarni o'z ichiga oladi.

[GOST R ISO/IEC 27001 -2006. 3.7-band]

3.4.4 Tashkilotda axborot xavfsizligining roli; Tashkilotda axborot xavfsizligining roli: Tashkilotdagi sub'ekt va ob'ekt o'rtasida maqbul o'zaro aloqani o'rnatadigan tashkilotning axborot xavfsizligini ta'minlash bo'yicha aniq funktsiyalar va vazifalar to'plami.

Eslatmalar

1 Tashkilot rahbarlari, uning xodimlari yoki ularning nomidan ob'ektlarda harakatlarni amalga oshirish uchun boshlangan jarayonlar sub'ektlari tarkibiga kiradi.

2 Ob'ektlar apparat, dasturiy ta'minot, dasturiy ta'minot va texnik vositalar yoki harakatlar bajariladigan axborot resursi bo'lishi mumkin.

3.4.5 Tashkilotning axborot xavfsizligi xizmati: Tashkilotning axborot xavfsizligiga tahdidlarga qarshi kurashishga qaratilgan muayyan vazifani hal qilishni amalga oshiradigan tashkilotning axborot xavfsizligini boshqarish tizimining tashkiliy-texnik tuzilmasi.

3.5 Tashkilotning axborot xavfsizligini monitoring qilish va baholash bilan bog'liq shartlar

3.5.1 Tashkilotning axborot xavfsizligini ta'minlash ustidan nazorat; tashkilotning axborot xavfsizligini ta'minlashni nazorat qilish: tashkilotda axborot xavfsizligini ta'minlashning muvofiqligini tekshirish.

GOST R 53114-2008

3.5.2 tashkilotning axborot xavfsizligini monitoring qilish; Tashkilotning axborot xavfsizligi monitoringi: Tashkilotdagi axborot xavfsizligini ta'minlash jarayonini uning axborot xavfsizligi talablariga muvofiqligini aniqlash uchun doimiy monitoring qilish.

3.5.3 Tashkilotning axborot xavfsizligi auditi; Axborot xavfsizligi tashkilotining auditi - bu tashkilotning axborot xavfsizligini ta'minlash bo'yicha faoliyati to'g'risida dalillarni olishning tizimli, mustaqil va hujjatlashtirilgan jarayoni va tashkilotda axborot xavfsizligi mezonlariga rioya qilish darajasini aniqlash, shuningdek, professional auditni shakllantirish imkoniyatini beradi. tashkilotning axborot xavfsizligi holati to'g'risidagi qaror.

3.5.4 tashkilotning axborot xavfsizligi auditining dalillari (dalillari); Tashkiliy axborot xavfsizligi auditi ma'lumotlari: Tashkilotning axborot xavfsizligi auditi mezonlariga mos keladigan va tekshirilishi mumkin bo'lgan yozuvlar, faktlar bayonotlari yoki boshqa ma'lumotlar.

Izoh Axborot xavfsizligi dalillari sifat yoki miqdoriy bo'lishi mumkin.

3.5.5 Tashkilotning axborot xavfsizligini belgilangan talablarga muvofiqligini baholash; tashkilotning axborot xavfsizligini belgilangan talablarga muvofiqligini baholash: Tashkilotda belgilangan axborot xavfsizligi talablariga muvofiqligini yoki mos kelmasligini bevosita yoki bilvosita aniqlash bilan bog'liq faoliyat.

3.5.6 tashkilotning axborot xavfsizligini tekshirish mezoni; axborot xavfsizligi tashkilotining audit mezoni: tashkilotning axborot xavfsizligi sohasidagi faoliyati bilan bog'liq bo'lgan amaldagi me'yoriy hujjatlarning tamoyillari, qoidalari, talablari va ko'rsatkichlari*.

Ilova - Axborot xavfsizligini tekshirish mezonlari axborot xavfsizligi auditi dalillarini ular bilan solishtirish uchun ishlatiladi.

3.5.7 Xavfsiz dizayndagi avtomatlashtirilgan tizimni sertifikatlash: Himoyalangan ma'lumotlarni qayta ishlashning avtomatlashtirilgan tizimining belgilangan funktsiyalarini axborot sohasidagi standartlar va / yoki me'yoriy hujjatlar talablariga muvofiqligini har tomonlama tekshirish jarayoni. muhofaza qilish va uning ma'lum bir axborotlashtirish ob'ektida himoyalangan ma'lumotlarni qayta ishlash funktsiyasini bajarishga muvofiqligi to'g'risidagi hujjatlarni tayyorlash.

3.5.8 tashkilotning axborot xavfsizligini ta'minlash mezoni; tashkilotning axborot xavfsizligi mezoni: tashkilotning axborot xavfsizligi maqsadlariga (maqsadlariga) erishish darajasi baholanadigan ko'rsatkich.

3.5.9 axborot xavfsizligi samaradorligi; Axborot xavfsizligi samaradorligi: erishilgan natija va ma'lum darajadagi axborot xavfsizligini ta'minlash uchun foydalaniladigan resurslar o'rtasidagi bog'liqlik.

3.6 Tashkilotning axborot xavfsizligi nazorati bilan bog'liq shartlar

3.6.1 tashkilotning axborot xavfsizligini ta'minlash; tashkilotning axborot xavfsizligini ta'minlash: tashkilotning axborot xavfsizligiga ichki va tashqi tahdidlarni bartaraf etishga (zararsizlantirish, ularga qarshi kurashish) yoki bunday tahdidlarning mumkin bo'lgan amalga oshirilishidan zararni minimallashtirishga qaratilgan faoliyat.

3.6.2 xavfsizlik chorasi; Xavfsizlik nazorati: xavfni boshqarish uchun o'rnatilgan amaliyot, protsedura yoki mexanizm.

3.6.3 axborot xavfsizligini ta'minlash bo'yicha chora-tadbirlar; Axborot xavfsizligini ta'minlash choralari - axborot xavfsizligini ta'minlash usullari va vositalarini ishlab chiqish va (yoki) amaliy qo'llashga qaratilgan harakatlar majmui.

3.6.4. axborot xavfsizligini ta'minlash bo'yicha tashkiliy chora-tadbirlar; Axborot xavfsizligini ta'minlash bo'yicha tashkiliy chora-tadbirlar: axborotlashtirish ob'ektidan foydalanish shartlari va ish rejimlariga vaqtinchalik, hududiy, fazoviy, huquqiy, uslubiy va boshqa cheklovlar o'rnatishni nazarda tutuvchi axborot xavfsizligini ta'minlash chora-tadbirlari.

3.6.5 axborot xavfsizligini ta'minlashning texnik vositalari; axborot xavfsizligi texnik vositalari: kriptografik bo'lmagan usullardan foydalangan holda tashkilotning axborot xavfsizligini ta'minlash uchun foydalaniladigan uskunalar.

Eslatma - Bunday uskunalar himoyalangan ob'ektga o'rnatilgan va/yoki avtonom (himoyalangan ob'ektdan mustaqil) ishlaydigan apparat va dasturiy ta'minot bilan ifodalanishi mumkin.

GOST R 53114-2008

3.5.6 tajovuzni aniqlash vositasi, hujumni aniqlash vositasi: Kompyuter tizimi yoki tarmog'ida sodir bo'layotgan hodisalarni kuzatish jarayonini avtomatlashtiradigan, shuningdek, axborot xavfsizligi hodisasi belgilarini qidirishda ushbu hodisalarni mustaqil ravishda tahlil qiladigan dasturiy yoki dasturiy-apparat vositasi.

3.6.7 Ruxsatsiz kirishdan himoya qilish vositalari: Ruxsatsiz kirishning oldini olish yoki sezilarli darajada to'sqinlik qilish uchun mo'ljallangan dasturiy ta'minot, apparat yoki dasturiy ta'minot va apparat vositalari.

GOST R 53114-2008

Alifbo tartibida atamalar indeksi

tashkilot aktivlari 3.1.6

xavf tahlili 3.2.13

Himoyalangan 3.1.19 versiyasida dinamiklar

xizmat ko'rsatishni rad etish hujumi 3.3.9

tarmoq hujumi 3.3.7

himoyalangan versiyada avtomatlashtirilgan tizimni sertifikatlash 3.5.7

tashkilot axborot xavfsizligi auditi 3.5.3

tashkilot axborot xavfsizligi auditi 3.5.3

xavfsizlik (ma'lumotlar) 3.1.1

axborot xavfsizligi 3.1.1

axborot texnologiyalari xavfsizligi 3.1.2

tashkilotning axborot xavfsizligi 3.2.1

kirishni bloklash (axborotga) 3.3.8

3.3.4 buzilishi

e'lon qilinmagan imkoniyatlar 3.3.14

shaxsiy ma'lumotlar 3.1.18

ruxsatsiz kirish 3.3.6

Tashkiliy axborot xavfsizligi 3.2.1

xavfni aniqlash 3.2.12

axborot infratuzilmasi 3.1.4

axborot xavfsizligi hodisasi 3.2.7

tashkiliy axborot xavfsizligi xavfi manbai 3.2.17

tashkilotning axborot xavfsizligi uchun xavf manbai 3.2.17

tashkilotning axborot xavfsizligini nazorat qilish 3.5.1

tashkilotning axborot xavfsizligini nazorat qilish 3.5.1

tashkilotning axborot xavfsizligini ta'minlash mezonlari 3.5.8

tashkiliy AT auditi mezoni 3.5.6

tashkilot axborot xavfsizligi auditi mezoni 3.5.6

tashkilotning axborot xavfsizligini ta'minlash mezoni 3.5.8

tashkilotning axborot xavfsizligini boshqarish 3.4.1

tashkilotning axborot xavfsizligini boshqarish 3.4.1

tashkilotning axborot xavfsizligi risklarini boshqarish 3.4.2

tashkilotning axborot xavfsizligi risklarini boshqarish 3.4.2

xavfsizlik chorasi 3.6.2

xavfsizlik chorasi 3.6.2

axborot xavfsizligi chora-tadbirlari 3.6.3

tashkiliy axborot xavfsizligi chora-tadbirlari 3.6.4

axborot xavfsizligi chora-tadbirlari 3.6.3

tashkiliy axborot xavfsizligi chora-tadbirlari 3.4.6

tahdid modeli (axborot xavfsizligi) 3.3.3

tashkilotning axborot xavfsizligi monitoringi 3.5.2

tashkilotning axborot xavfsizligi monitoringi 3.5.2

tashkilotning axborot xavfsizligini buzish 3.2.4

tashkilotning axborot xavfsizligini buzish 3.2.4

tashkilot axborot xavfsizligini buzuvchi 3.3.5

tashkilotning axborot xavfsizligini buzuvchi 3.3.5

avtomatlashtirilgan tizim ma'lumotlarini qo'llab-quvvatlash 3.1.12

avtomatlashtirilgan tizim dasturiy ta'minoti 3.1.11

avtomatlashtirilgan tizimni texnik ta'minlash 3.1.10

AS axborotni qo'llab-quvvatlash 3.1.12

AC dasturiy ta'minoti 3.1.11

AC texnik yordami 3.1.10

tashkilotning axborot xavfsizligini ta'minlash 3.6.1

tashkilotning axborot xavfsizligini ta'minlash 3.6.1

tashkilotning axborot xavfsizligi xavfini davolash 3.2.15

GOST R 53114-2008

tashkilotning axborot xavfsizligi xavfini boshqarish 3.2.1S

axborotni himoya qilish ob'ekti 3.2.2

axborotlashtirish obyekti 3.1.5

muhim ob'ekt 3.1.16

xavfning maqbul darajasini aniqlash 3.2.14

xavfni baholash 3.2.10

xavflarni baholash I6 (tashkilotlar) 3.2.11

axborot xavfsizligi xavfini baholash (tashkilot) 3.2.11

tashkilotning ISning belgilangan talablarga muvofiqligini baholash 3.5.5

tashkilotning axborot xavfsizligini belgilangan talablarga muvofiqligini baholash 3.5.5

ushlash (ma'lumot) 3.3.12

IS siyosati (tashkiloti) 3.2.18

axborot xavfsizligi siyosati (tashkilot) 3.2.18

jarayon (axborot texnologiyalari) himoyalangan 3.2.3

axborot jarayoni 3.1.8

axborotni oshkor qilish 3.3.11

axborotni qayta ishlash tizimining resursi 3.1.7

tashkilotda axborot xavfsizligining roli 3.4.4

axborot xavfsizligining tashkilotdagi roli 8 3.4.4

tashkilotning IS auditining sertifikatlari (dalillari) 3.5.4

tashkilotning axborot xavfsizligi auditining dalillari (dalillari) 3.5.4

xizmat 3.1.13

axborot signali 3.3.13

xavfsiz avtomatlashtirilgan tizim 3.1.19

Tashkilotda axborot xavfsizligi hujjat tizimi 3.2.20

tashkilotda axborot xavfsizligi bo'yicha hujjatlar tizimi 3.2.20

asosiy axborot infratuzilmasi tizimi 3.1.15

muhim axborot infratuzilmasi tizimi 3.1.15

axborot xavfsizligini boshqarish tizimi 3.4.3

shaxsiy ma'lumotlarning axborot tizimi 3.1.17

kutilmagan vaziyat 3.2.5

xavfli vaziyat 3.2.6

favqulodda vaziyat 3.2.5

tashkilotning axborot xavfsizligi xizmati 3.4.6

hodisa 3.2.8

ruxsatsiz kirishdan himoya qilish 3.6.7

texnik axborot xavfsizligi vositasi 3.6.5

texnik axborot xavfsizligi vositasi 3.6.5

Hujumni aniqlash vositasi 3.6.6

Intrusionni aniqlash vositasi 3.6.6

axborot sohasi 3.1.3

axborot texnologiyalari 3.1.9

tahdid (axborot xavfsizligi) 3.3.2

tashkilotning axborot xavfsizligiga tahdid 3.3.1

tashkilotning axborot xavfsizligiga tahdid 3.3.1

risklarni boshqarish 3.2.16

xizmat 3.1.13

axborot texnologiyalari xizmatlari 3.1.14

AT xizmatlari 3.1.14

ma'lumotlarning sizib chiqishi 3.3.10

zaiflik (axborot tizimi) 3.3.4

IS maqsadi (tashkiloti) 3.2.19

axborot xavfsizligi maqsadi (tashkilot) 3.2.19

elektromagnit nurlanish va yon shovqin 3.3.15

IS samaradorligi 3.5.9

axborot xavfsizligi samaradorligi 3.5.9

GOST R 53114-2008

A ilova (ma'lumotnoma)

Umumiy texnik tushunchalarning atamalari va ta'riflari

tashkilot: mas'uliyat, vakolatlar va munosabatlar taqsimoti bilan ishchilar va zarur resurslar guruhi.

(GOST R ISO 9000-2001, 3.3.1-band]

Eslatmalar

1 Tashkilotlarga quyidagilar kiradi: kompaniya, korporatsiya, firma, korxona, muassasa, xayriya tashkiloti, chakana savdo korxonasi, uyushma. shuningdek, ularning bo'linmalari yoki ularning kombinatsiyasi.

2 Tarqatish odatda buyurtma qilinadi.

3 Tashkilot davlat yoki xususiy bo'lishi mumkin.

A.2 biznes: foyda keltiradigan iqtisodiy faoliyat; daromad keltiradigan va boyish manbai bo'lgan har qanday faoliyat turi.

A.Z biznes jarayoni: Tashkilotning iqtisodiy faoliyatida qo'llaniladigan jarayonlar.

ma'lumot: taqdim etish shaklidan qat'i nazar, ma'lumotlar (xabarlar, ma'lumotlar).

aktivlar: hammasi. tashkilot uchun nima muhim. (GOST R ISO/IEC13335-1-2006, 2.2-band()

A.6 resurslar: Jarayonni bajarish jarayonida foydalaniladigan yoki iste'mol qilinadigan aktivlar (tashkilot). Eslatmalar

1 Resurslar tarkibiga xodimlar, asbob-uskunalar, asosiy vositalar, asboblar va energiya, suv, yoqilg'i va aloqa tarmoqlari infratuzilmasi kabi kommunal xizmatlar kabi turli xil ob'ektlar kiradi.

2 Resurslar qayta ishlatilishi mumkin, qayta tiklanadigan yoki iste'mol qilinadigan bo'lishi mumkin.

A.7 xavf: ob'ektning boshqa ob'ektlarga zarar etkazish yoki zarar etkazish qobiliyatini tavsiflovchi xususiyati. A.8 favqulodda hodisa: Favqulodda vaziyatga olib keladigan hodisa.

A.9 zarar: Jismoniy zarar yoki inson salomatligiga zarar yoki mulk yoki atrof-muhitga zarar yetkazish.

A. 10 tahdid: yaxlitlik va mavjudlikning buzilishiga olib kelishi mumkin bo'lgan shartlar va omillar to'plami. maxfiylik.

A.11 zaiflik: Ba'zi oqibatlarga olib kelishi mumkin bo'lgan xavf manbasining ta'siriga sezgirlikni keltirib chiqaradigan ob'ektning ichki xususiyatlari.

A. 12 hujum: axborot tizimining xavfsizlik tizimini yengishga urinish.

Eslatmalar - Hujumning "muvaffaqiyati" darajasi mudofaa tizimining zaifligi va samaradorligiga bog'liq.

A.13 boshqaruv: Tashkilotni boshqarish va boshqarish bo'yicha muvofiqlashtirilgan faoliyat

A.14 biznes (uzluksizlik) boshqaruvi: muvofiqlashtirilgan boshqaruv va nazorat faoliyati

tashkilotning biznes jarayonlari.

A. 15 rol: sub'ekt va faoliyat ob'ekti o'rtasida maqbul o'zaro aloqani o'rnatadigan tashkilot faoliyati uchun oldindan belgilangan qoidalar va protseduralar to'plami.

Axborot egasi: Axborotni mustaqil ravishda yaratgan yoki qonun yoki shartnoma asosida har qanday mezon bilan belgilanadigan ma'lumotlarga kirishga ruxsat berish yoki cheklash huquqini olgan shaxs.

GOST R 53114-2008

infratuzilma: Tashkilotning ishlashi uchun zarur bo'lgan binolar, uskunalar va yordamchi xizmatlarning yig'indisi.

[GOST R ISO 9000-2001. 3.3.3-band]

A.18 audit: auditorlik dalillarini olish va kelishilgan audit mezonlari qanchalik bajarilganligini aniqlash uchun ularni xolisona baholashning tizimli, mustaqil va hujjatlashtirilgan jarayoni.

Eslatmalar

1 Birinchi tomon auditi deb ataladigan ichki auditlar tashkilotning o'zi yoki uning nomidan boshqa tashkilot tomonidan ichki maqsadlar uchun amalga oshiriladi. Ichki audit natijalari muvofiqlik deklaratsiyasi uchun asos bo'lishi mumkin. Ko'p hollarda, ayniqsa, kichik korxonalarda auditni mutaxassislar (tekshirilayotgan faoliyat uchun javobgar bo'lmagan shaxslar) amalga oshirishi kerak.

Izoh 2 Tashqi auditga ikkinchi tomon auditi va uchinchi tomon auditi deb ataladigan audit kiradi. Ikkinchi tomon tekshiruvlari, masalan, korxona faoliyatidan manfaatdor tomonlar tomonidan amalga oshiriladi.

iste'molchilar yoki ularning nomidan boshqalar. Uchinchi tomon auditlari tashqi mustaqil tashkilotlar tomonidan amalga oshiriladi. Ushbu tashkilotlar talablarga, masalan, GOST R ISO 9001 va GOST R ISO 14001 talablariga muvofiqligini sertifikatlash yoki ro'yxatdan o'tkazishni amalga oshiradilar.

3 Bir vaqtning o'zida amalga oshiriladigan sifat menejmenti tizimlari va atrof-muhitni boshqarish tizimlarining auditi "kompleks audit" deb ataladi.

4 Agar tekshirilayotgan tashkilotning auditi bir vaqtning o'zida bir nechta tashkilot tomonidan amalga oshirilsa, bunday audit "qo'shma audit" deb ataladi.

A.19 monitoring: Ob'ektni tizimli yoki uzluksiz monitoring qilish, uning parametrlarini nazorat qilish va / yoki o'lchashni ta'minlash, shuningdek parametrlarning o'zgaruvchanligini bashorat qilish va tuzatish va profilaktika choralarining zarurligi va tarkibi to'g'risida qaror qabul qilish uchun tahlil qilish.

Muvofiqlik deklaratsiyasi: Mahsulotning texnik reglament talablariga muvofiqligini tasdiqlash shakli.

A.21 texnologiya: Ob'ektiv faoliyatning o'zaro bog'liq usullari, usullari, usullari tizimi. A.22

hujjat: aniqlanishi mumkin bo'lgan tafsilotlar bilan moddiy tashuvchida yozilgan ma'lumotlar.

[GOST R 52069.0-2003. 3.18-band]

A.23 Axborotni qayta ishlash: Axborotda amalga oshiriladigan yig'ish, to'plash, kiritish, chiqarish, qabul qilish, uzatish, qayd etish, saqlash, ro'yxatga olish, yo'q qilish, o'zgartirish, ko'rsatish operatsiyalari majmui.

GOST R 53114-2008

B ilova (ma'lumot uchun)

Tashkilotda axborot xavfsizligi sohasidagi asosiy tushunchalarning munosabati

Asosiy tushunchalar o'rtasidagi munosabat B.1-rasmda ko'rsatilgan.

B.1-rasm - asosiy tushunchalar orasidagi munosabat

GOST R 53114-2008

Bibliografiya

(1] R 50.1.053-2005

(2]PS0.1.056-2005

Axborot texnologiyalari. Texnik axborot xavfsizligi sohasidagi asosiy atamalar va ta'riflar Texnik axborot xavfsizligi. Asosiy atamalar va ta'riflar

Texnik jihatdan tartibga solish to'g'risida

Axborot, axborot texnologiyalari va axborotni muhofaza qilish haqida

Shaxsiy ma'lumotlar haqida

Rossiya Federatsiyasining Axborot xavfsizligi doktrinasi

UDC 351.864.1:004:006.354 OKS 35.020 LLP

Kalit so'zlar: axborot, axborot xavfsizligi, tashkilotdagi axborot xavfsizligi, axborot xavfsizligiga tahdidlar, axborot xavfsizligi mezonlari

Muharrir V.N. Cops soya Texnik muharriri V.N. Prusakova Tuzatuvchi V.E. Nestorovo Kompyuter dasturi I.A. NapeikinoO

11/06/2009 da ishga qabul qilish uchun topshirildi. Imzolangan muhr 12/01/2009. Format 60"84 Ofset qog'oz. Arial shrift. Ofset bosib chiqarish. Usp. pech l. 2.32. Uch.-tahrir. l. 1.90. Tijorat 373 »kz. Zak. 626

FSUE "STANDARTINFORM*. 123995 Moskva. Anor por.. 4. info@goslmlo gi

Kompyuterda FSUE "STANDARTINFORM" ga kiritilgan.

"STANDARTINFORM*" FDU filialida chop etilgan - turi. "Moskva printeri". 105062 Moskva. Lyalin yo'li.. 6.

• GOST 22731-77 Ma'lumotlarni uzatish tizimlari, yarim dupleks ma'lumot almashish uchun asosiy rejimda ma'lumotlar havolasini boshqarish protseduralari
• GOST 26525-85 Ma'lumotlarni qayta ishlash tizimlari. Foydalanish ko'rsatkichlari
• GOST 27771-88 Ma'lumotlar terminali uskunalari va ma'lumotlar kanalini tugatish uskunalari o'rtasidagi interfeysdagi protsessual xususiyatlar. Umumiy talablar va standartlar
• GOST 28082-89 Axborotni qayta ishlash tizimlari. Ma'lumotlarni ketma-ket uzatishda xatolarni aniqlash usullari
• GOST 28270-89 Axborotni qayta ishlash tizimlari. Ma'lumot almashish uchun ma'lumotlar tavsifi fayl spetsifikatsiyasi
• GOST R 43.2.11-2014 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator tili. Xabar formatlarida matnli ma'lumotlarning tizimli taqdimoti
• GOST R 43.2.8-2014 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator tili. Texnik faoliyat uchun xabar formatlari
• GOST R 43.4.1-2011 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. “Inson-axborot” tizimi
• GOST R 53633.10-2015 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati xaritasi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Tashkilot boshqaruvi. Tashkiliy risklarni boshqarish
• GOST R 53633.11-2015 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati diagrammasi (eTOM) parchalanish va jarayon tavsifi. eTOM 2-darajali jarayonlari. Tashkilot boshqaruvi. Tashkiliy samaradorlikni boshqarish
• GOST R 53633.4-2015 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati xaritasi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Asosiy faoliyat. Xizmatni boshqarish va ishlatish
• GOST R 53633.7-2015 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati xaritasi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Strategiya, infratuzilma va mahsulot. Rivojlanish va resurslarni boshqarish
• GOST R 53633.9-2015 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati xaritasi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Tashkilot boshqaruvi. Tashkilotni rejalashtirish va rivojlantirish strategiyasi
• GOST R 55767-2013 Axborot texnologiyalari. Yevropa AKT kompetentsiyasi asosi 2.0. 1-qism. Sanoatning barcha tarmoqlari uchun AKT mutaxassislari uchun umumiy Yevropa vakolat doirasi
• GOST R 55768-2013 Axborot texnologiyalari. Ochiq Grid tizimining modeli. Asosiy qoidalar
• GOST R 56093-2014 Axborotni muhofaza qilish. Xavfsiz dizayndagi avtomatlashtirilgan tizimlar. Qasddan kuch elektromagnit ta'sirlarni aniqlash uchun vositalar. Umumiy talablar
• GOST R 56115-2014 Axborotni muhofaza qilish. Xavfsiz dizayndagi avtomatlashtirilgan tizimlar. Qasddan elektromagnit ta'sirlardan himoya qilish vositalari. Umumiy talablar
• GOST R 56545-2015 Axborotni muhofaza qilish. Axborot tizimlarining zaif tomonlari. Zaifliklarni tavsiflash qoidalari
• GOST R 56546-2015 Axborotni muhofaza qilish. Axborot tizimlarining zaif tomonlari. Axborot tizimining zaif tomonlarini tasniflash
• GOST IEC 60950-21-2013 Axborot texnologiyalari uskunalari. Xavfsizlik talablari. 21-qism. Masofaviy quvvat manbai
• GOST IEC 60950-22-2013 Axborot texnologiyalari uskunalari. Xavfsizlik talablari. 22-qism. Ochiq havoda o'rnatish uchun mo'ljallangan uskunalar
• GOST R 51583-2014 Axborotni muhofaza qilish. Xavfsiz dizayndagi avtomatlashtirilgan tizimlarni yaratish tartibi. Umumiy holat
• GOST R 55766-2013 Axborot texnologiyalari. Yevropa AKT kompetentsiyasi asosi 2.0. 3-qism. Elektron CFni yaratish - uslubiy asoslar va ekspert tajribasini birlashtirish
• GOST R 55248-2012 Elektr xavfsizligi. Axborot-kommunikatsiya texnologiyalari tarmoqlariga ulangan uskunalar uchun interfeyslarni tasniflash
• GOST R 43.0.11-2014 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Texnik faoliyatda ma'lumotlar bazalari
• GOST R 56174-2014 Axborot texnologiyalari. Ochiq Grid muhiti xizmatlari arxitekturasi. Shartlar va ta'riflar
• GOST IEC 61606-4-2014 Audio va audiovizual uskunalar. Raqamli audio uskunasining komponentlari. Ovoz xususiyatlarini o'lchashning asosiy usullari. 4-qism. Shaxsiy kompyuter
• GOST R 43.2.5-2011 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator tili. Grammatika
• GOST R 53633.5-2012 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati xaritasi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Strategiya, infratuzilma va mahsulot. Marketing va mahsulot taklifini boshqarish
• GOST R 53633.6-2012 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati xaritasi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Strategiya, infratuzilma va mahsulot. Xizmatni rivojlantirish va boshqarish
• GOST R 53633.8-2012 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati xaritasi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Strategiya, infratuzilma va mahsulot. Ta'minot zanjirini rivojlantirish va boshqarish
• GOST R 43.0.7-2011 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Gibrid-intellektuallashtirilgan inson-axborot o'zaro ta'siri. Umumiy holat
• GOST R 43.2.6-2011 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator tili. Morfologiya
• GOST R 53633.14-2016 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i - kengaytirilgan aloqa tashkiloti operatsion tizimi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Tashkilot boshqaruvi. Manfaatdor tomonlar va tashqi aloqalarni boshqarish
• GOST R 56938-2016 Axborotni muhofaza qilish. Virtualizatsiya texnologiyalaridan foydalanganda axborotni himoya qilish. Umumiy holat
• GOST R 56939-2016 Axborotni muhofaza qilish. Xavfsiz dasturiy ta'minotni ishlab chiqish. Umumiy talablar
• GOST R ISO/IEC 17963-2016 Boshqaruv uchun veb-xizmatlarning spetsifikatsiyasi (WS boshqaruvi)
• GOST R 43.0.6-2011 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Tabiiy intellektuallashgan inson va axborot o'zaro ta'siri. Umumiy holat
• GOST R 54817-2011 Sham alangasi natijasida tasodifiy audio, video, axborot texnologiyalari va aloqa vositalarini yoqish
• GOST R IEC 60950-23-2011 Axborot texnologiyalari uskunalari. Xavfsizlik talablari. 23-qism. Katta hajmdagi ma'lumotlarni saqlash uchun uskunalar
• GOST R IEC 62018-2011 Axborot texnologiyalari uskunalarining energiya sarfi. O'lchash usullari
• GOST R 53538-2009 Keng polosali kirish davrlari uchun mis o'tkazgichli ko'p juftli kabellar. Umumiy texnik talablar
• GOST R 53633.0-2009 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti faoliyatining kengaytirilgan sxemasi (eTOM). Biznes jarayonlarining umumiy tuzilishi
• GOST R 53633.1-2009 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti faoliyatining kengaytirilgan sxemasi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Asosiy faoliyat. Yetkazib beruvchilar va hamkorlar bilan munosabatlarni boshqarish
• GOST R 53633.2-2009 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti faoliyatining kengaytirilgan sxemasi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Asosiy faoliyat. Resurslarni boshqarish va operatsiya
• GOST R 53633.3-2009 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti faoliyatining kengaytirilgan sxemasi (eTOM). Jarayonlarning parchalanishi va tavsifi. eTOM 2-darajali jarayonlari. Asosiy faoliyat. Mijozlar bilan munosabatlarni boshqarish
• GOST R ISO/IEC 20000-2-2010 Axborot texnologiyalari. Xizmatni boshqarish. 2-qism: Amaliyot kodeksi
• GOST R 43.0.3-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Texnik faoliyatda peshin texnologiyasi. Umumiy holat
• GOST R 43.0.4-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Texnik faoliyatdagi ma'lumotlar. Umumiy holat
• GOST R 43.0.5-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Texnik faoliyatda axborot almashinuv jarayonlari. Umumiy holat
• GOST R 43.2.1-2007 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator tili. Umumiy holat
• GOST R 43.2.2-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator tili. Foydalanishning umumiy qoidalari
• GOST R 43.2.3-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator tili. Ikonik komponentlarning turlari va xususiyatlari
• GOST R 43.2.4-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator tili. Belgi komponentlarining sintaktikasi
• GOST R 52919-2008 Axborot texnologiyalari. Jismoniy himoya qilish usullari va vositalari. Yong'inga chidamliligini tasniflash va sinov usullari. Ma'lumotlar xonalari va konteynerlar
• GOST R 53114-2008 Axborotni muhofaza qilish. Tashkilotda axborot xavfsizligini ta'minlash. Asosiy atamalar va ta'riflar
• GOST R 53245-2008 Axborot texnologiyalari. Strukturaviy kabel tizimlari. Tizimning asosiy komponentlarini o'rnatish. Sinov usullari
• GOST R 53246-2008 Axborot texnologiyalari. Strukturaviy kabel tizimlari. Tizimning asosiy komponentlarini loyihalash. Umumiy talablar
• GOST R IEC 60990-2010 Sensorli oqim va himoya o'tkazgich oqimini o'lchash usullari
• GOST 33707-2016 Axborot texnologiyalari. Lug'at
• GOST R 57392-2017 Axborot texnologiyalari. Xizmatni boshqarish. 10-qism. Asosiy tushunchalar va terminologiya
• GOST R 43.0.13-2017 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Mutaxassislarni yo'naltirilgan tayyorlash
• GOST R 43.0.8-2017 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Sun'iy intelektuallashtirilgan inson va axborot o'zaro ta'siri. Umumiy holat
• GOST R 43.0.9-2017 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Axborot resurslari
• GOST R 43.2.7-2017 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator tili. Sintaksis
• GOST R ISO/IEC 38500-2017 Axborot texnologiyalari. Tashkilotda strategik AT boshqaruvi
• GOST R 43.0.10-2017 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Texnik axborotni yaratishda axborot ob'ektlari, ob'ektga yo'naltirilgan loyihalash
• GOST R 53633.21-2017 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti faoliyatining kengaytirilgan sxemasi (eTOM). Jarayonlarning parchalanishi va tavsifi. Asosiy faoliyat. Xizmatlarni boshqarish va ulardan foydalanish. eTOM 3-darajali jarayonlari. 1.1.2.1-jarayon - SM&O jarayonlarini qo'llab-quvvatlash va mavjudligi
• GOST R 57875-2017 Telekommunikatsiyalar. Telekommunikatsiya markazlarida ulanish sxemalari va topraklama
• GOST R 53633.22-2017 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti faoliyatining kengaytirilgan sxemasi (eTOM). Jarayonlarning parchalanishi va tavsifi. Asosiy faoliyat. Xizmatlarni boshqarish va ulardan foydalanish. eTOM 3-darajali jarayonlari. Jarayon 1.1.2.2 - Xizmatlarni sozlash va faollashtirish

Xalqaro standartlar

• BS 7799-1: 2005 - Britaniya standarti BS 7799 birinchi qismi. BS 7799 1-qism - Axborot xavfsizligini boshqarish bo'yicha amaliyot kodeksi qurish uchun zarur bo'lgan 127 ta boshqaruvni tavsiflaydi. axborot xavfsizligini boshqarish tizimlari tashkilotning ushbu sohadagi eng yaxshi jahon tajribasi (eng yaxshi amaliyoti) namunalari asosida aniqlangan (ISMS). Ushbu hujjat AXBTni yaratish uchun amaliy qo'llanma bo'lib xizmat qiladi
• BS 7799-2: 2005 - Britaniya standarti BS 7799 standartning ikkinchi qismidir. BS 7799 2-qism - Axborot xavfsizligini boshqarish - axborot xavfsizligini boshqarish tizimlari uchun spetsifikatsiya AXBT spetsifikatsiyasini belgilaydi. Standartning ikkinchi qismi tashkilotning AXBTni rasmiy sertifikatlash tartibida mezon sifatida foydalaniladi.
• BS 7799-3: 2006 - Britaniya standarti BS 7799 standartning uchinchi qismi. Axborot xavfsizligi risklarini boshqarishda yangi standart
• ISO/IEC 17799:2005 - "Axborot texnologiyalari - Xavfsizlik texnologiyalari - Axborot xavfsizligini boshqarish amaliyoti". BS 7799-1:2005 asosidagi xalqaro standart.
• ISO/IEC 27000 - Lug'at va ta'riflar.
• ISO/IEC 27001:2005 - "Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligini boshqarish tizimlari - Talablar". BS 7799-2:2005 asosidagi xalqaro standart.
• ISO/IEC 27002 - Hozir: ISO/IEC 17799:2005. “Axborot texnologiyalari – Xavfsizlik texnologiyalari – Axborot xavfsizligini boshqarishning amaliy qoidalari”. Chiqarilgan sana: 2007 yil.
• ISO/IEC 27005 - Endi: BS 7799-3: 2006 - Axborot xavfsizligi risklarini boshqarish bo'yicha qo'llanma.
• Germaniya axborot xavfsizligi agentligi. IT bazasini himoya qilish bo'yicha qo'llanma - standart xavfsizlik choralari.

Rossiya Federatsiyasining davlat (milliy) standartlari

• GOST R 50922-2006 - Axborotni himoya qilish. Asosiy atamalar va ta'riflar.
• R 50.1.053-2005 - Axborot texnologiyalari. Texnik axborot xavfsizligi sohasidagi asosiy atamalar va ta'riflar.
• GOST R 51188-98 - Axborotni himoya qilish. Kompyuter viruslari uchun test dasturlari. Model qo'llanma.
• GOST R 51275-2006 - Axborotni himoya qilish. Axborot obyekti. Axborotga ta'sir qiluvchi omillar. Umumiy holat.
• GOST R ISO/IEC 15408-1-2008 - Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot texnologiyalari xavfsizligini baholash mezonlari. 1-qism. Kirish va umumiy model.
• GOST R ISO/IEC 15408-2-2008 - Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot texnologiyalari xavfsizligini baholash mezonlari. 2-qism. Funktsional xavfsizlik talablari.
• GOST R ISO/IEC 15408-3-2008 - Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot texnologiyalari xavfsizligini baholash mezonlari. 3-qism. Xavfsizlikni ta'minlash talablari.
• GOST R ISO/IEC 15408 - "Axborot texnologiyalari xavfsizligini baholashning umumiy mezonlari" - axborot mahsulotlari va tizimlarining xavfsizligini baholash vositalari va usullarini belgilaydigan standart; unda xavfsizlikni mustaqil baholash natijalarini solishtirish mumkin bo'lgan talablar ro'yxati mavjud - bu iste'molchiga mahsulot xavfsizligi to'g'risida qaror qabul qilish imkonini beradi. “Umumiy mezonlar”ni qoʻllash doirasi axborotni ruxsatsiz kirish, oʻzgartirish yoki sizib chiqib ketishdan himoya qilish hamda apparat va dasturiy taʼminot tomonidan amalga oshiriladigan boshqa himoya usullaridan iborat.
• GOST R ISO/IEC 17799 - “Axborot texnologiyalari. Axborot xavfsizligini boshqarishning amaliy qoidalari”. ISO/IEC 17799:2005 qo'shilishi bilan xalqaro standartni bevosita qo'llash.
• GOST R ISO/IEC 27001 - “Axborot texnologiyalari. Xavfsizlik usullari. Axborot xavfsizligini boshqarish tizimi. Talablar". Xalqaro standartning bevosita qo'llanilishi ISO/IEC 27001:2005 hisoblanadi.
• GOST R 51898-2002: Xavfsizlik jihatlari. Standartlarga kiritish qoidalari.

Yo'naltiruvchi hujjatlar

• RD SVT. NSD dan himoya. NSD dan axborotgacha xavfsizlik ko'rsatkichlari - axborot tizimlarining xavfsizlik ko'rsatkichlari tavsifi va xavfsizlik sinflariga qo'yiladigan talablarni o'z ichiga oladi.

Shuningdek qarang

• E'lon qilinmagan qobiliyatlar

Tashqi havolalar

• Axborot xavfsizligini boshqarishning xalqaro standartlari

Wikimedia fondi. 2010 yil.

Axborot xavfsizligini ta'minlashning ahamiyatini ortiqcha baholash qiyin, chunki ma'lumotlarni saqlash va uzatish zarurati har qanday biznesni yuritishning ajralmas qismi hisoblanadi.

Axborot xavfsizligini ta'minlashning turli usullari u saqlanadigan shaklga bog'liq, ammo bu sohani tizimlashtirish va tartibga solish uchun axborot xavfsizligi standartlarini o'rnatish kerak, chunki standartlashtirish taqdim etilayotgan xizmatlarni baholashda sifatning muhim omili hisoblanadi.

Axborot xavfsizligini har qanday ta'minlash xalqaro va davlat standartlarini hisobga olmagan holda faqat individual baholash yo'li bilan amalga oshirilmaydigan nazorat va tekshirishni talab qiladi.

Axborot xavfsizligi standartlarini shakllantirish uning funktsiyalari va chegaralarini aniq belgilab olgandan keyin sodir bo'ladi. Axborot xavfsizligi - bu ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini ta'minlash.

Axborot xavfsizligi holatini aniqlash uchun sifatli baholash eng ko'p qo'llaniladi, chunki xavfsizlik yoki zaiflik darajasini foiz sifatida ifodalash mumkin, ammo bu to'liq va ob'ektiv tasvirni bermaydi.

Axborot tizimlarining xavfsizligini baholash va tekshirish uchun siz tartibga soluvchi yordamni nazarda tutadigan bir qator ko'rsatmalar va tavsiyalarni qo'llashingiz mumkin.

Axborot xavfsizligining davlat va xalqaro standartlari

Xavfsizlik holatini monitoring qilish va baholash ularning davlat standartlari (GOST, ISO) va xalqaro standartlarga (Iso, IT xavfsizligining umumiy mezonlari) muvofiqligini tekshirish orqali amalga oshiriladi.

Xalqaro standartlashtirish tashkiloti (ISO) tomonidan ishlab chiqilgan xalqaro standartlar majmui axborot xavfsizligi tizimlari va uskunalarini joriy qilish bo'yicha amaliyot va tavsiyalar to'plamidir.

ISO 27000 eng qo'llaniladigan va keng tarqalgan baholash standartlaridan biri bo'lib, 15 dan ortiq qoidalarni o'z ichiga oladi va ketma-ket raqamlangan.

ISO 27000 standartlashtirishni baholash mezonlariga ko'ra, axborot xavfsizligi nafaqat uning yaxlitligi, maxfiyligi va mavjudligi, balki haqiqiyligi, ishonchliligi, xatolarga chidamliligi va identifikatsiya qilinishidir. An'anaviy ravishda ushbu standartlar seriyasini 4 bo'limga bo'lish mumkin:

• terminologiyaga umumiy nuqtai va kirish, xavfsizlik sohasida qo‘llaniladigan atamalarning tavsifi;
• axborot xavfsizligini boshqarish tizimiga qo'yiladigan majburiy talablar, tizimni boshqarish usullari va vositalarining batafsil tavsifi. Ushbu guruhning asosiy standarti;
• audit bo'yicha tavsiyalar, xavfsizlikni nazorat qilish bo'yicha ko'rsatmalar;
• axborot xavfsizligini boshqarish tizimini joriy etish, ishlab chiqish va takomillashtirish amaliyotlarini tavsiya etuvchi standartlar.

Axborot xavfsizligining davlat standartlari 30 dan ortiq qoidalardan (GOST) tashkil topgan bir qator normativ-huquqiy hujjatlar va hujjatlarni o'z ichiga oladi.

Turli standartlar nafaqat umumiy baholash mezonlarini belgilashga qaratilgan, masalan, GOST R ISO/IEC 15408, xavfsizlikni baholash bo'yicha uslubiy ko'rsatmalar va boshqaruv tizimiga qo'yiladigan talablar ro'yxati. Ular aniq bo'lishi mumkin va amaliy ko'rsatmalarni ham o'z ichiga olishi mumkin.

Omborni to'g'ri tashkil etish va uning ishlashini muntazam nazorat qilish mulkchilik shaklidan qat'i nazar, har qanday korxonaning moliyaviy farovonligiga salbiy ta'sir ko'rsatadigan tovar va moddiy boyliklarning o'g'irlanishini bartaraf etishga yordam beradi.

Ishga tushirish vaqtida omborni avtomatlashtirish tizimi yana ikki bosqichdan o'tadi: ichki sinov va ma'lumotlarni to'ldirish. Bunday tayyorgarlikdan so'ng tizim to'liq ishga tushadi. Avtomatlashtirish haqida ko'proq ma'lumotni bu erda o'qing.

O'zaro bog'liqlik va texnikalar majmuasi umumiy qoidalarni ishlab chiqishga va xalqaro va davlat standartlashtirishni birlashtirishga olib keladi. Shunday qilib, Rossiya Federatsiyasining GOSTlarida xalqaro ISO standartlariga qo'shimchalar va havolalar mavjud.

Bunday o'zaro hamkorlik monitoring va baholashning yagona tizimini ishlab chiqishga yordam beradi, bu esa, o'z navbatida, ushbu qoidalarni amalda qo'llash samaradorligini sezilarli darajada oshiradi, ish natijalarini ob'ektiv baholash va umuman takomillashtirish.

Milliy va xalqaro standartlashtirish tizimlarini taqqoslash va tahlil qilish

Axborot xavfsizligini ta'minlash va nazorat qilish bo'yicha Evropa standartlashtirish standartlari soni Rossiya Federatsiyasi tomonidan belgilangan huquqiy standartlardan sezilarli darajada oshadi.

Milliy davlat standartlarida axborotni mumkin bo'lgan xakerlik, sizib chiqish va yo'qotish tahdidlaridan himoya qilish bo'yicha qoidalar ustunlik qiladi. Xorijiy xavfsizlik tizimlari ma'lumotlarga kirish va autentifikatsiya qilish standartlarini ishlab chiqishga ixtisoslashgan.

Tizimlarning nazorati va auditini amalga oshirish bilan bog'liq qoidalarda ham farqlar mavjud. Bundan tashqari, Evropa standartlashtirishning axborot xavfsizligini boshqarish tizimini qo'llash va amalga oshirish amaliyoti hayotning deyarli barcha sohalarida namoyon bo'ladi va Rossiya Federatsiyasi standartlari asosan moddiy farovonlikni saqlashga qaratilgan.

Shu bilan birga, doimiy yangilanadigan davlat standartlari axborot xavfsizligini boshqarishning vakolatli tizimini yaratish uchun zarur bo'lgan minimal talablarni o'z ichiga oladi.

Ma'lumotlarni uzatish uchun axborot xavfsizligi standartlari

Biznes yuritish Internet orqali ma'lumotlarni saqlash, almashish va uzatishni o'z ichiga oladi. Zamonaviy dunyoda valyuta operatsiyalari, tijorat faoliyati va pul o'tkazmalari ko'pincha onlayn rejimda amalga oshiriladi va bu faoliyatning axborot xavfsizligini faqat malakali va professional yondashuvni qo'llash orqali ta'minlash mumkin.

Internetda ma'lumotlarni xavfsiz saqlash va uzatishni ta'minlaydigan ko'plab standartlar, taniqli virusga qarshi himoya dasturlari, moliyaviy operatsiyalar uchun maxsus protokollar va boshqalar mavjud.

Axborot texnologiyalari va tizimlarining rivojlanish tezligi shunchalik kattaki, u protokollar va ulardan foydalanishning yagona standartlarini yaratishdan sezilarli darajada ustundir.

Mashhur xavfsiz ma'lumotlarni uzatish protokollaridan biri amerikalik mutaxassislar tomonidan ishlab chiqilgan SSL (Secure Socket Layer) hisoblanadi. Bu kriptografiya yordamida ma'lumotlarni himoya qilish imkonini beradi.

Ushbu protokolning afzalligi, masalan, ma'lumotlar almashinuvidan oldin tekshirish va autentifikatsiya qilish imkoniyatidir. Biroq, ma'lumotlarni uzatishda bunday tizimlardan foydalanish juda tavsiya etiladi, chunki ushbu standartlardan foydalanish tadbirkorlar uchun majburiy emas.

MChJ ochish uchun sizga korxona ustavi kerak. Rossiya Federatsiyasi qonunchiligiga muvofiq ishlab chiqilayotgan tartib. Siz uni o'zingiz yozishingiz, qo'llanma sifatida standart namunani olishingiz yoki uni yozadigan mutaxassislarga murojaat qilishingiz mumkin.

Yakka tartibdagi tadbirkor sifatida o'z biznesini rivojlantirishni rejalashtirayotgan ishbilarmon arizani to'ldirishda OKVEDga muvofiq iqtisodiy faoliyat kodini ko'rsatishi kerak. Tafsilotlar bu yerda.

Xavfsiz tranzaktsiyalar va operatsiyalarni amalga oshirish uchun SET (Security Electronic Transaction) uzatish protokoli ishlab chiqildi, bu tijorat va savdo operatsiyalarini amalga oshirishda xavflarni minimallashtirish imkonini beradi. Ushbu protokol Visa va Master Card toʻlov tizimlari uchun standart boʻlib, toʻlov tizimining xavfsizlik mexanizmidan foydalanish imkonini beradi.

Internet-resurslarni standartlashtiruvchi qo'mitalar ixtiyoriydir, shuning uchun ular amalga oshiradigan faoliyat qonuniy va majburiy emas.

Biroq, zamonaviy dunyoda Internetdagi firibgarlik global muammolardan biri sifatida tan olingan, shuning uchun maxsus texnologiyalardan foydalanmasdan va ularni standartlashtirishsiz axborot xavfsizligini ta'minlash mumkin emas;

Xavfsizlikni boshqarish tizimlari - Foydalanish bo'yicha qo'llanma bilan spetsifikatsiya" (Tizimlar - foydalanish bo'yicha qo'llanma). Uning asosida ISO/IEC 27001:2005 "Axborot texnologiyalari" standarti ishlab chiqilgan. Xavfsizlik texnikasi. Axborot xavfsizligini boshqarish tizimlari. Talablar", muvofiqligi uchun sertifikatlash amalga oshirilishi mumkin.

Rossiyada GOST R ISO/IEC 17799-2005 "Amaliy qoidalar" amal qiladi axborot xavfsizligini boshqarish"(ISO/IEC 17799:2000 ning haqiqiy tarjimasi) va GOST R ISO/IEC 27001-2006 "Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligini boshqarish tizimlari. Talablar" (ISO/IEC 27001:2005 tarjimasi). Turli versiyalar va tarjima xususiyatlari bilan bog'liq ba'zi ichki nomuvofiqliklarga qaramay, standartlarning mavjudligi bizga tizimni olib kelish imkonini beradi. axborot xavfsizligini boshqarish ularning talablariga muvofiq va zarur hollarda sertifikatlash.

GOST R ISO/IEC 17799:2005 "Axborot texnologiyalari. Axborot xavfsizligini boshqarishning amaliy qoidalari"

Keling, standartning mazmunini ko'rib chiqaylik. Muqaddimada aytilishicha, “axborot, uni qo‘llab-quvvatlovchi jarayonlar, axborot tizimlari va tarmoq infratuzilmasi tashkilotning muhim aktivlari bo‘lib, ma’lumotlarning maxfiyligi, yaxlitligi va mavjudligi raqobatbardoshlik, likvidlik, rentabellik, muvofiqlik va talablarga javob berishiga sezilarli hissa qo‘shishi mumkin. ishbilarmonlik obro'si Shunday qilib, aytishimiz mumkinki, ushbu standart axborot xavfsizligi masalalarini, shu jumladan iqtisodiy samaradorlik nuqtai nazaridan ham ko'rib chiqadi.

Axborot xavfsizligi sohasidagi talablarni ishlab chiqishda hisobga olinishi kerak bo'lgan uchta omil guruhi ko'rsatilgan. Bu:

• tashkilot xavfini baholash. Xatarlarni baholash orqali tashkilot aktivlariga tahdidlar aniqlanadi, zaiflikni baholash tegishli aktivlar va tahdidlarning yuzaga kelish ehtimoli, shuningdek, yuzaga kelishi mumkin bo'lgan oqibatlarni baholash;
• tashkilot, uning savdo hamkorlari, pudratchilar va xizmat ko'rsatuvchi provayderlar tomonidan bajarilishi kerak bo'lgan huquqiy, qonuniy, normativ va shartnoma talablari;
• axborotni qayta ishlash bo'yicha tashkilot tomonidan ishlab chiqilgan muayyan tamoyillar, maqsadlar va talablar to'plami.

Talablar aniqlangandan so'ng, xavfni maqbul darajaga kamaytirishni ta'minlaydigan chora-tadbirlarni tanlash va amalga oshirish bosqichi boshlanadi. Hodisalarni tanlash axborot xavfsizligini boshqarish ularni amalga oshirish xarajatlarining nisbati, xavfsizlik buzilgan taqdirda xavf va mumkin bo'lgan yo'qotishlarni kamaytirish samarasiga asoslanishi kerak. Pul bilan ifodalab bo'lmaydigan omillar, masalan, obro'ning yo'qolishi ham hisobga olinishi kerak. Faoliyatlarning mumkin bo'lgan ro'yxati standartda keltirilgan, ammo uni tashkilot ehtiyojlaridan kelib chiqqan holda mustaqil ravishda to'ldirish yoki shakllantirish mumkinligi qayd etilgan.

Keling, standartning bo'limlari va ularda taklif qilingan axborotni himoya qilish choralarini qisqacha sanab o'tamiz. Birinchi guruh xavfsizlik siyosatiga tegishli. Uni ishlab chiqish, tashkilot rahbariyati tomonidan tasdiqlash, nashr etish va barcha xodimlar e'tiboriga etkazish talab qilinadi. U tashkilotning axborot resurslari bilan ishlash tartibini, xodimlarning majburiyatlari va majburiyatlarini belgilashi kerak. Tizimning joriy holatini va aniqlangan xavflarni aks ettirish uchun siyosat vaqti-vaqti bilan ko'rib chiqiladi.

Keyingi bo'limda axborot xavfsizligi bilan bog'liq tashkiliy masalalar ko'rib chiqiladi. Standart xavfsizlik siyosatini tasdiqlash, mas'ul shaxslarni tayinlash uchun boshqaruv kengashlarini (kompaniyaning yuqori rahbariyati ishtirokida) yaratishni tavsiya qiladi. mas'uliyatni taqsimlash uchun chora-tadbirlarni amalga oshirishni muvofiqlashtirish axborot xavfsizligini boshqarish Tashkilotda. Tashkilotda axborotni qayta ishlash vositalaridan (shu jumladan, yangi dasturiy ta'minot va apparat vositalaridan) foydalanishga ruxsat olish jarayoni ham xavfsizlik muammolariga olib kelmasligi uchun tavsiflanishi kerak. Shuningdek, axborot xavfsizligi masalalari bo'yicha boshqa tashkilotlar bilan o'zaro hamkorlik qilish, "tashqi" mutaxassislar bilan maslahatlashish va axborot xavfsizligini mustaqil tekshirish (audit) tartibini belgilash kerak.

Uchinchi tomon tashkilotlari mutaxassislariga axborot tizimlariga kirishni ta'minlashda xavfsizlik masalalariga alohida e'tibor berilishi kerak. Bunday mutaxassislarning turli xil tashkiliy resurslarga kirishning har xil turlari (jismoniy yoki mantiqiy, ya'ni masofaviy) bilan bog'liq xavflarni baholashni amalga oshirish kerak. Kirishni ta'minlash zarurati asosli bo'lishi kerak va uchinchi shaxslar va tashkilotlar bilan tuzilgan shartnomalar xavfsizlik siyosatiga rioya qilish bo'yicha talablarni o'z ichiga olishi kerak. Axborotni qayta ishlashga (autsorsing) uchinchi tomon tashkilotlarini jalb qilishda ham xuddi shunday qilish taklif etiladi.

Standartning keyingi bo'limi tasniflash masalalariga bag'ishlangan va aktivlar boshqaruvi. Tashkilotning axborot xavfsizligini ta'minlash uchun barcha asosiy axborot aktivlari hisobga olinishi va mas'ul egalariga berilishi kerak. Biz inventarizatsiyadan boshlashni taklif qilamiz. Quyidagi tasnif misol sifatida keltirilgan:

• axborot aktivlari (ma'lumotlar bazalari va ma'lumotlar fayllari, tizim hujjatlari va hokazo.);
• dasturiy ta'minot aktivlari (dasturiy ta'minot, tizim dasturiy ta'minoti, ishlab chiqish vositalari va yordamchi dasturlar);
• jismoniy aktivlar (kompyuter uskunalari, aloqa uskunalari, saqlash vositalari, boshqa texnik jihozlar, mebellar, binolar);
• xizmatlar (hisoblash va aloqa xizmatlari, asosiy kommunal xizmatlar).

Keyinchalik, uning ustuvorligi, zarurligi va himoyalanish darajasini aniqlash uchun ma'lumotlarni tasniflash taklif etiladi. Shu bilan birga, tegishli ma'lumotlar tashkilot uchun qanchalik muhimligini hisobga olgan holda, masalan, uning yaxlitligi va mavjudligini ta'minlash nuqtai nazaridan baholanishi mumkin. Shundan so'ng, axborotni qayta ishlashda yorliqlash tartibini ishlab chiqish va amalga oshirish taklif etiladi. Axborotni qayta ishlashning quyidagi turlarini hisobga olish uchun har bir tasniflash darajasi uchun yorliqlash tartiblari belgilanishi kerak:

• nusxa ko'chirish;
• saqlash;
• pochta, faks va elektron pochta orqali uzatish;
• ovozli uzatish, shu jumladan mobil telefon, ovozli pochta, javob berish mashinalari;
• halokat.

Keyingi bo'limda xodimlar bilan bog'liq xavfsizlik masalalari ko'rib chiqiladi. Standart xavfsizlik talablariga rioya qilish bo'yicha mas'uliyat xodimlarni tanlash bosqichida taqsimlanishini, mehnat shartnomalariga kiritilishini va xodimning butun faoliyati davomida nazorat qilinishini belgilaydi. Xususan, doimiy xodimni ishga qabul qilishda murojaat etuvchi tomonidan taqdim etilgan hujjatlarning haqiqiyligini, rezyumening to‘liqligi va to‘g‘riligini, unga taqdim etilgan tavsiyalarni tekshirish tavsiya etiladi. Xodimlarga qanday ma'lumotlar maxfiy yoki nozik ekanligini ko'rsatuvchi maxfiylik shartnomasini imzolash tavsiya etiladi. Tashkilotning xavfsizlik siyosati va tartiblarini buzgan xodimlar uchun intizomiy javobgarlik belgilanishi kerak. Zarur bo'lganda, bu mas'uliyat ishdan bo'shatilgandan keyin ham ma'lum muddat davom etishi kerak.

Foydalanuvchilar o'qitilishi kerak xavfsizlik tartib-qoidalari va mumkin bo'lgan xavflarni minimallashtirish uchun axborotni qayta ishlash vositalaridan to'g'ri foydalanish. Bundan tashqari, haqida ma'lumot berish tartibi axborot xavfsizligini buzish, bu xodimlarga tanish bo'lishi kerak. Dasturiy ta'minotning nosozliklari holatlarida shunga o'xshash protsedura bajarilishi kerak. Takroriy muammolarni aniqlash uchun bunday hodisalarni qayd etish va tahlil qilish kerak.

Standartning keyingi bo'limi jismoniy va atrof-muhitni muhofaza qilish masalalariga bag'ishlangan. Ta'kidlanishicha, "muhim yoki muhim xizmat ma'lumotlarini qayta ishlash vositalari ma'lum bir tashkilot tomonidan belgilangan xavfsizlik zonalarida joylashgan bo'lishi kerak. xavfsizlik perimetri tegishli himoya to'siqlari va kirishni boshqarish vositalari bilan. Bu hududlar ruxsat etilmagan kirish, shikastlanish va ta’sirlardan jismonan himoyalangan bo‘lishi kerak.” Muhofaza qilinadigan hududlarga kirishni nazorat qilishni tashkil etish bilan bir qatorda ularda ishlarni bajarish tartibi va zarur hollarda tashrif buyuruvchilarning kirishini tashkil etish tartiblari ham belgilanishi kerak. ma'lumotlarga ruxsatsiz kirish xavfini kamaytirish va uni yo'qotish yoki shikastlanishdan himoya qilish uchun uskunalarning xavfsizligini ta'minlash uchun zarur (shu jumladan, tashkilotdan tashqarida ishlatiladigan). Xavfsizlik talablarini inobatga olgan uskunaga texnik xizmat ko'rsatish tartibi ham belgilanishi kerak va uskunani xavfsiz utilizatsiya qilish yoki qayta ishlatish tartiblari, masalan, nozik ma'lumotlarni o'z ichiga olgan bir martalik saqlash vositalarini xavfsiz tarzda yo'q qilish yoki ustiga yozish tavsiya etiladi. standart ma'lumotlarni o'chirish funktsiyalaridan foydalanish o'rniga.

Qog'oz hujjatlarga, saqlash vositalariga va axborotni qayta ishlash vositalariga ruxsatsiz kirish yoki shikastlanish xavfini minimallashtirish uchun qog'oz hujjatlar va olinadigan saqlash vositalari uchun "toza stol" siyosatini, shuningdek, "toza ekran" siyosatini amalga oshirish tavsiya etiladi. axborotni qayta ishlash uskunalari. Uskunalar, ma'lumotlar yoki dasturiy ta'minot tashkilotning binolaridan faqat tegishli ruxsatnoma bilan olib tashlanishi mumkin.

Standartning keyingi bo'limining nomi "Ma'lumotlarni uzatish va operatsion faoliyatni boshqarish". U barcha axborotni qayta ishlash vositalarining ishlashi bilan bog'liq mas'uliyat va tartiblarni belgilashni talab qiladi. Masalan, axborotni qayta ishlash vositalari va tizimlarida konfiguratsiya o'zgarishlarini nazorat qilish kerak. Boshqaruv funktsiyalariga, muayyan vazifalar va sohalarni bajarishga nisbatan mas'uliyatni taqsimlash tamoyilini amalga oshirish talab etiladi.

Dasturiy ta'minotni ishlab chiqish, sinovdan o'tkazish va ishlab chiqarish muhitini ajratish tavsiya etiladi. Dasturiy ta'minotni ishlab chiqilayotgan holatdan foydalanishga qabul qilingan holatiga o'tkazish qoidalari aniqlanishi va hujjatlashtirilishi kerak.

Axborotni qayta ishlash vositalarini boshqarish uchun uchinchi tomon pudratchilaridan foydalanishda qo'shimcha xavflar yuzaga keladi. Bunday xavflarni oldindan aniqlash va tegishli choralar ko'rish kerak axborot xavfsizligini boshqarish pudratchi bilan kelishilgan va shartnomaga kiritilgan.

Kerakli qayta ishlash va saqlash hajmini ta'minlash uchun joriy ishlash talablarini tahlil qilish, shuningdek, kelajakni prognoz qilish kerak. Ushbu prognozlar yangi funktsional va tizim talablarini, shuningdek, tashkilotda axborot texnologiyalarini rivojlantirishning joriy va istiqbolli rejalarini hisobga olishi kerak. Yangi tizimlarni qabul qilish talablari va mezonlari aniq belgilangan, kelishilgan, hujjatlashtirilgan va sinovdan o'tgan bo'lishi kerak.

Kompyuter viruslari, tarmoq qurtlari, troyan otlari va boshqalar kabi zararli dasturlarning kirib kelishining oldini olish va aniqlash choralarini ko'rish kerak. mantiqiy bombalar. Ta'kidlanishicha, zararli dasturlardan himoyalanish xavfsizlik talablari, tegishli tizimga kirishni boshqarish va o'zgarishlarni to'g'ri boshqarishni tushunishga asoslangan bo'lishi kerak.

Dasturiy ta'minot va ma'lumotlarning zaxira nusxasini o'z ichiga olgan yordamchi operatsiyalarni bajarish tartibi aniqlanishi kerak 1 Misol tariqasida, №10 laboratoriya Windows Server 2008 da zaxira nusxalarini tashkil qilishni ko'rib chiqadi. hodisalar va xatolarni qayd qilish va kerak bo'lganda apparat holatini kuzatish. Har bir alohida tizim uchun ishdan bo'shatish bo'yicha tartiblar doimiy ravishda biznesning uzluksizligi rejalari talablariga javob berishini ta'minlash uchun sinovdan o'tkazilishi kerak.

Tarmoqlardagi ma'lumotlar xavfsizligini ta'minlash va himoya qilish qo'llab-quvvatlovchi infratuzilma, mablag'larni joriy etish talab etiladi xavfsizlik nazorati va ulangan xizmatlarni ruxsatsiz kirishdan himoya qilish.

Har xil turdagi saqlash vositalarining xavfsizligiga alohida e'tibor beriladi: hujjatlar, kompyuterni saqlash vositalari (lentalar, disklar, kassetalar), kirish / chiqish ma'lumotlari va tizim hujjatlarini shikastlanishdan. Kompyuterning olinadigan saqlash vositalaridan foydalanish tartibini belgilash tavsiya etiladi (kontentni nazorat qilish, saqlash, yo'q qilish va boshqalar). Yuqorida ta'kidlab o'tilganidek, saqlash vositalari foydalanishdan keyin xavfsiz va xavfsiz tarzda utilizatsiya qilinishi kerak.

Axborotni ruxsatsiz oshkor qilish yoki noto'g'ri foydalanishdan himoya qilishni ta'minlash uchun ma'lumotlarni qayta ishlash va saqlash tartiblarini belgilash zarur. Ushbu protseduralar hisobga olingan holda ishlab chiqilishi kerak turkumlash hujjatlar, hisoblash tizimlari, tarmoqlar, noutbuklar, mobil aloqalar, pochta, ovozli pochta, umuman ovozli aloqalar, multimedia qurilmalari, faksdan foydalanish va blankalar, cheklar va veksellar kabi boshqa muhim ob'ektlar bilan bog'liq ma'lumotlar va harakat. Tizim hujjatlari muayyan muhim ma'lumotlarni o'z ichiga olishi mumkin va shuning uchun ham himoyalangan bo'lishi kerak.

Tashkilotlar o'rtasida axborot va dasturiy ta'minot almashinuvi jarayoni nazorat qilinishi va amaldagi qonun hujjatlariga muvofiq bo'lishi kerak. Xususan, uzatish paytida axborot tashuvchilarning xavfsizligi ta'minlanishi, aniqlanishi kerak foydalanish siyosati elektron pochta va elektron ofis tizimlari. Veb-saytdagi ma'lumotlar kabi elektron shaklda chop etilgan ma'lumotlarning yaxlitligini himoya qilish uchun ehtiyot bo'lish kerak. Bunday ma'lumotlar ommaga taqdim etilishidan oldin tegishli rasmiylashtirilgan avtorizatsiya jarayoni ham talab qilinadi.

Standartning keyingi bo'limi kirishni boshqarish masalalariga bag'ishlangan.

Har bir foydalanuvchi yoki foydalanuvchilar guruhining kirishni boshqarish qoidalari va huquqlari xavfsizlik siyosatida aniq belgilanishi talab qilinadi. Foydalanuvchilar va xizmat ko'rsatuvchi provayderlar ushbu talablarga rioya qilish zarurligi to'g'risida xabardor qilinishi kerak.

Foydalanish parolni autentifikatsiya qilish, foydalanuvchi parollari ustidan nazoratni amalga oshirish kerak. Xususan, foydalanuvchilar parollarning to'liq maxfiyligini saqlashga rozilik beruvchi hujjatni imzolashlari kerak. Foydalanuvchi uchun parol olish jarayonining xavfsizligini ta'minlash va agar undan foydalanilgan bo'lsa, foydalanuvchilarning o'z parollarini boshqarishi uchun talab qilinadi (birinchi kirishdan keyin parolni majburiy o'zgartirish va h.k.).

Ichki va tashqi tarmoq xizmatlariga kirish nazorat qilinishi kerak. Foydalanuvchilarga faqat ruxsat berilgan xizmatlarga to'g'ridan-to'g'ri kirish huquqi berilishi kerak. Masofaviy foydalanuvchilarning autentifikatsiyasiga alohida e'tibor berilishi kerak. Xatarlarni baholash asosida tegishli autentifikatsiya usulini tanlash uchun zarur himoya darajasini aniqlash muhim ahamiyatga ega. Tarmoq xizmatlaridan foydalanish xavfsizligi ham nazorat qilinishi kerak.

Ko'pgina tarmoq va hisoblash qurilmalari o'rnatilgan masofaviy diagnostika va boshqaruv imkoniyatlariga ega. Ushbu ob'ektlar uchun xavfsizlik choralari ham qo'llanilishi kerak.

Tarmoqlar bir nechta tashkilotlar tomonidan birgalikda foydalanilganda, buni hisobga olish uchun kirishni boshqarish siyosati talablari aniqlanishi kerak. Bundan tashqari, qo'shimcha chora-tadbirlarni kiritish kerak bo'lishi mumkin axborot xavfsizligini boshqarish foydalanuvchilarning ulanish imkoniyatini cheklash.

Operatsion tizim darajasida kompyuter resurslariga kirishni cheklash uchun axborot xavfsizligi choralarini qo'llash kerak 2 Windows Server 2008 da fayl va papkalarga kirishni boshqarishni tashkil etish misoli 9-sonli laboratoriya ishida muhokama qilinadi.. ga ishora qiladi identifikatsiya va autentifikatsiya terminallar va foydalanuvchilar. Barcha foydalanuvchilarga noyob identifikatorlarga ega bo'lish tavsiya etiladi, ularda foydalanuvchi imtiyozlari darajasining hech qanday belgisi bo'lmasligi kerak. Tizimlarda parolni boshqarish ularning talab qilinadigan sifatini qo'llab-quvvatlash uchun samarali interaktiv imkoniyatlar taqdim etilishi kerak 3 Windows operatsion tizimlarida parol sifatini boshqarish misoli 3-sonli laboratoriya ishida muhokama qilinadi.. Tizim utilitalaridan foydalanish cheklangan va ehtiyotkorlik bilan nazorat qilinishi kerak.

Agar foydalanuvchi zo'ravonlik nishoniga aylansa, signal berish tavsiya etiladi 4 Bunga misol qilib "majburiy" kirish parollari bo'lishi mumkin. Agar foydalanuvchi bunday parolni kiritsa, tizim foydalanuvchining oddiy kirish jarayonini ko'rsatadi va keyin tajovuzkorlarning ma'lumotlarga kirishiga yo'l qo'ymaslik uchun muvaffaqiyatsizlikni simulyatsiya qiladi.(agar bunday hodisa ehtimoliy deb baholansa). Bunday signalga javob berish uchun javobgarlik va tartib-qoidalar belgilanishi kerak.

Yuqori xavfli tizimlarga xizmat ko'rsatadigan terminallar, oson kirish mumkin bo'lgan joylarda joylashgan bo'lsa, ruxsatsiz shaxslarning kirishiga yo'l qo'ymaslik uchun ma'lum vaqt davomida harakatsizlikdan keyin o'chirilishi kerak. Terminallarning kompyuter xizmatlariga ulanishi mumkin bo'lgan vaqt oralig'iga ham cheklov kiritilishi mumkin.

Axborot xavfsizligi choralari dastur darajasida ham qo'llanilishi kerak. Xususan, bu kirishni cheklash bo'lishi mumkin muayyan toifalar foydalanuvchilar. Muhim ma'lumotlarni qayta ishlaydigan tizimlar maxsus (izolyatsiya qilingan) hisoblash muhiti bilan ta'minlanishi kerak.

Tizimning monitoringi kirishni boshqarish siyosati talablaridan chetlanishlarni aniqlash va axborot xavfsizligi hodisasi yuz bergan taqdirda dalillarni taqdim etish uchun zarur. Monitoring natijalari muntazam ravishda ko'rib chiqilishi kerak. Audit jurnali hodisalarni tekshirish uchun ishlatilishi mumkin, shuning uchun kompyuter soatini to'g'ri sozlash (sinxronizatsiya) juda muhimdir.

Portativ qurilmalardan, masalan, noutbuklardan foydalanganda, mulkiy ma'lumotlarning buzilishiga qarshi kurashish uchun maxsus choralar ko'rish kerak. Portativ qurilmalar bilan ishlash bilan bog'liq xavflarni, xususan, himoyalanmagan muhitda ishlashga qaratilgan rasmiylashtirilgan siyosatlar qabul qilinishi kerak.

Standartning keyingi bo'limi "Tizimlarni ishlab chiqish va texnik xizmat ko'rsatish" deb ataladi. Allaqachon sahnada axborot tizimlarini rivojlantirish xavfsizlik talablari hisobga olinishini ta'minlash zarur. Va tizimning ishlashi davomida foydalanuvchi ma'lumotlarini yo'qotish, o'zgartirish yoki noto'g'ri ishlatishning oldini olish kerak. Buning uchun amaliy tizimlar ma'lumotlarni kiritish va chiqarishning to'g'riligini tasdiqlashni, ma'lumotlarni qayta ishlashni nazorat qilishni ta'minlash tavsiya etiladi. tizim, autentifikatsiya xabarlar, foydalanuvchi harakatlarini qayd qilish.

Maxfiylik, yaxlitlik va ma'lumotlarni autentifikatsiya qilish Kriptografik xavfsizlik choralaridan foydalanish mumkin.

Axborot xavfsizligini ta'minlash jarayonida dasturiy ta'minotning yaxlitligini ta'minlash muhim rol o'ynaydi. Axborot tizimlariga etkazilgan zararni minimallashtirish uchun o'zgarishlarni amalga oshirish qat'iy nazorat qilinishi kerak. Vaqti-vaqti bilan operatsion tizimlarga o'zgartirishlar kiritish zarurati tug'iladi. Bunday hollarda, ularning funksionalligi va xavfsizligiga salbiy ta'sir ko'rsatmasligi uchun dastur tizimlarini tahlil qilish va sinab ko'rish kerak. Imkon qadar tayyor dasturiy paketlardan o'zgartirishlarsiz foydalanish tavsiya etiladi.

Tegishli masala troyan otlariga qarshi kurashish va yashirin oqish kanallaridan foydalanishdir. Qarshi choralardan biri ishonchli ishlab chiqaruvchilar va monitorlardan olingan dasturiy ta'minotdan foydalanishdir tizim yaxlitligi.

Uchinchi tomon tashkiloti dasturiy ta'minotni ishlab chiqishda ishtirok etgan hollarda, bajarilgan ishlarning sifati va to'g'riligini nazorat qilish choralarini ko'rish kerak.

Standartning keyingi bo'limi biznesning uzluksizligini boshqarishga bag'ishlangan. Dastlabki bosqichda biznes jarayonlarining uzilishiga olib kelishi mumkin bo'lgan hodisalarni aniqlash kerak (uskunalar ishdan chiqishi, yong'in va boshqalar). Bunday holda, oqibatlarini baholash, keyin esa tiklanish rejalarini ishlab chiqish kerak. Rejalarning muvofiqligi test orqali tasdiqlanishi va tizimda sodir bo'layotgan o'zgarishlarni hisobga olgan holda ular vaqti-vaqti bilan qayta ko'rib chiqilishi kerak.

Standartning yakuniy qismida muvofiqlik masalalari ko'rib chiqiladi. Bu, birinchi navbatda, tizimning va uning ishlash tartibining qonuniy talablarga muvofiqligi bilan bog'liq. Bunga mualliflik huquqiga rioya qilish (shu jumladan dasturiy ta'minot), shaxsiy ma'lumotlarni (xodimlar, mijozlar) himoya qilish va axborotni qayta ishlash vositalaridan noto'g'ri foydalanishning oldini olish masalalari kiradi. Foydalanish kriptografik vositalar axborotni muhofaza qilish, ular amaldagi qonunchilikka mos kelishi kerak. Axborot tizimlari xavfsizligi sohasidagi hodisalar bilan bog‘liq sud ishlari bo‘yicha dalillarni to‘plash tartibi ham har tomonlama ishlab chiqilishi kerak.

Axborot tizimlarining o'zi kerak xavfsizlik siyosatiga rioya qilish tashkilot va foydalaniladigan standartlar. Axborot tizimlarining xavfsizligi muntazam ravishda tahlil qilinishi va baholanishi kerak. Shu bilan birga, nomaqbul oqibatlarga olib kelmasligi uchun xavfsizlik auditini o'tkazishda xavfsizlik choralariga rioya qilish kerak (masalan, audit tufayli muhim serverning ishlamay qolishi).

Xulosa qilib aytganda, standart axborot tizimlari xavfsizligini ta'minlash bilan bog'liq keng ko'lamli masalalarni o'z ichiga olganligini ta'kidlash mumkin. Bir qator sohalarda amaliy tavsiyalar berilgan.