Под нормами защищенности подразумеваются обязательная для исполнения документация, в которой определяются подходы к проведению оценки уровня существующей безопасности. Кроме того, в данных документах устанавливаются определенные правила, установленные для сохранности систем в целом.

Стандарты информационной безопасности направлены на осуществление определенных функций, в частности:

• на выработку определенных терминологий и понятий, применяемых в области защищенности данных;
• формирование шкалы, необходимой для измерения уровня защищенности;
• проведение согласованной оценки продуктов;
• значительное повышение совместимости продуктов, которые применяются для защищенности;
• накопление сведений о лучших практиках установления устойчивого состояния;
• предоставление сведений о лучших практиках заинтересованным группам лиц, к примеру, производителям защищенности, экспертам в данной сфере, директорам, администраторам и любым прочим пользователям информационных систем;
• установление требований, направленных на обязательное исполнение отдельных стандартов, с приданием им юридической силы.

Международные стандарты безопасности

Международные стандарты устойчивости представляют собой совокупность практик и рекомендаций, направленных на внедрение систем, обеспечивающих защиту данных.

Один из международных образцов, BS 7799 направлен на формирование цели информационной защиты данных. Согласно данному сертификату, цель безопасности заключается в обеспечении бесперебойной работы компании, а также в способности предотвратить или свести к минимально возможному минимуму ущерб, полученный при нарушении установленных требований к устойчивости.

Еще один из основных международных образцов, ISO 27002, содержит в себе исчерпывающий перечень практических советов по информационной устойчивости. Данные советы подходят для тех сотрудников, которые в ходе осуществления своей трудовой деятельности отвечают за создание, реализацию и последующее обслуживание систем устойчивости таких технологий.

Международные стандарты информационной безопасности: ISO 27001

Под комплексом, представленным международными сертификатами, подразумевается совокупность определенных практик и рекомендаций, которые направлены на внедрение систем и оборудования средств технологической защиты.

Если принять во внимание определенные правила, установленные международным сертификатом ISO 27001 2013, защищенность рассматриваемых технологий должна быть представлена определенными признаками.

Данный ИСО позволяет провести разделение единой системы на четыре раздела. ИСО 27001 базирует на , который определяет основные требования, предъявляемые к менеджменту качества. Основываясь на нормах российской стандартизации, данные требования должны соблюдаться каждой организацией, которая желает продемонстрировать свою способность предоставлять продукцию, отвечающую запросам потребителей.

Наша компания поможет вам в . Стоимость такой услуги составляет 30000 рублей.

Международные стандарты безопасности: ИСО 17799

ISO 17799 был создан Международной организацией в 2000 году. В соответствии с его требованиями, при создании структуры устойчивости, которую принято считать эффективной, особое внимание необходимо уделять комплексному подходу, направленному на управление безопасности. Именно по этой причине в качестве элемента управления рассматриваются меры, направленные на обеспечение определенных требований, установленных для информации:

• ее конфиденциальность;
• достоверность информации;
• доступность;
• целостность предоставляемой информации.

Национальная система стандартов информационной безопасности

Национальная система стандартизации представлена совокупностью национальных сертификатов и общероссийских классификаторов. В данную структуру входят не только сами сертификаты, но и правила их разработки, последующего применения.

В Российской Федерации национальный сертификат может применяться на добровольной основе, вне зависимости от страны или места происхождения.

При этом существует правило, при котором подобная национальная система применяется только при наличии знака соответствия.

Российский ГОСТ Р ИСО 17799 определяет все образцы, направленные на обеспечение информационной защищенности, в качестве стандартов, направленных на сохранение конфиденциальности. Следовательно, к работе с такими технологиями могут допускаться только некоторые сотрудники, способными обеспечить целостность, доступность и защищенность информации.

ГОСТ Р ИСО 27001 - основной стандарт, содержащий в себе исчерпывающий перечень признаков, которыми должен обладать любой метод обеспечения защищенности каждой отдельно взятой информационной технологии.

Отечественные образцы ГОСТ ИСО МЭК 15408, составленные на основе международного ИСО в области соответствующих технологий, направлены на обеспечение сопоставимости результатов, полученных в результате проведения независимой оценки.

Удовлетворение представленных в этом ГОСТ ИСО РФ требований достигается путем установление единого перечня требований, которые могут быть предъявленные к определенным технологиям в данной сфере, а также к мерам доверия, используемым при оценке подобных технологий в ходе обеспечения их безопасности.

В Российской Федерации продукты в области технологий могут быть реализованы в нескольких видах:

• аппаратного обеспечения;
• программного обеспечения;
• программно-аппаратного обеспечения.

Результаты, полученные в процессе проведения оценки обеспечения в данной области соответствию российскому ИСО РФ, позволяют установить, удовлетворяют ли осматриваемые технологии установленным для них государственным требованиям по защищенности.

Как правило, российские сертификаты ГОСТ ИСО РФ используется:

• в качестве руководства по разработке продуктов технологий;
• в качестве руководства по состоянию технологической сохранности продуктов;
• в качестве оценки продуктов технологий при их приобретении.

Security Management Systems - Specification with guidance for use" (Системы - спецификации с руководством по использованию). На его базе был разработан стандарт ISO/IEC 27001:2005 " Information Technology . Security techniques . Information security management systems. Requirements ", на соответствие которому может проводиться сертификация .

В России на данный момент действуют стандарты ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью " ( аутентичный перевод ISO/IEC 17799:2000) и ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (перевод ISO/IEC 27001:2005). Несмотря на некоторые внутренние расхождения, связанные с разными версиями и особенностями перевода, наличие стандартов позволяет привести систему управления информационной безопасностью в соответствие их требованиям и, при необходимости, сертифицировать.

ГОСТ Р ИСО/МЭК 17799:2005 "Информационная технология. Практические правила управления информационной безопасностью"

Рассмотрим теперь содержание стандарта. Во введении указывается, что "информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности , доходности, соответствия законодательству и деловой репутации организации". Таким образом, можно говорить о том, что данный стандарт рассматривает вопросы информационной безопасности, в том числе, и с точки зрения экономического эффекта.

Указываются три группы факторов, которые необходимо учитывать при формировании требований в области информационной безопасности. Это:

• оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий;
• юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
• специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.

После того, как определены требования, идет этап выбора и внедрения мероприятий по , которые обеспечат снижение рисков до приемлемого уровня. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации, эффекта от снижения рисков и возможных убытков в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации. Возможный перечень мероприятий приводится в стандарте, но отмечается, что он может быть дополнен или сформирован самостоятельно исходя из потребностей организации.

Кратко перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается политики безопасности. Требуется, чтобы она была разработана, утверждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников. Политика периодически пересматривается, чтобы соответствовать текущему состоянию системы и выявленным рискам.

Следующий раздел затрагивает организационные вопросы, связанные с обеспечением информационной безопасности. Стандарт рекомендует создавать управляющие советы (с участием высшего руководства компании) для утверждения политики безопасности, назначения ответственных лиц, распределения обязанностей и координации внедрения мероприятий по управлению информационной безопасностью в организации. Также должен быть описан процесс получения разрешений на использование в организации средств обработки информации (в т.ч. нового программного обеспечения и аппаратуры), чтобы это не привело к возникновению проблем с безопасностью. Требуется определить и порядок взаимодействия с другими организациями по вопросам информационной безопасности, проведения консультаций с "внешними" специалистами, независимой проверки (аудита) информационной безопасности.

При предоставлении доступа к информационным системам специалистам сторонних организаций, необходимо особое внимание уделить вопросам безопасности. Должна быть проведена оценка рисков, связанных с разными типами доступа (физическим или логическим, т.е. удаленным) таких специалистов к различным ресурсам организации. Необходимость предоставления доступа должна быть обоснована, а в договоры со сторонними лицами и организациями должны быть включены требования, касающиеся соблюдения политики безопасности. Аналогичным образом предлагается поступать и в случае привлечения сторонних организаций к обработке информации (аутсорсинга).

Следующий раздел стандарта посвящен вопросам классификации и управления активами . Для обеспечения информационной безопасности организации необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владельцами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация:

• информационные активы (базы данных и файлы данных, системная документация и т.д.);
• активы программного обеспечения (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
• физические активы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
• услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).

Далее предлагается классифицировать информацию, чтобы определить ее приоритетность, необходимость и степень ее защиты. При этом, можно оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После этого предлагается разработать и внедрить процедуру маркировки при обработке информации. Для каждого уровня классификации следует определять процедуры маркировки для того, чтобы учесть следующие типы обработки информации:

• копирование;
• хранение;
• передачу по почте, факсом и электронной почтой;
• передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
• уничтожение.

Следующий раздел рассматривает вопросы безопасности, связанные с персоналом. Стандартом определяется, чтобы обязанности по соблюдению требований безопасности распределялись на стадии подбора персонала, включались в трудовые договоры и проводился их мониторинг в течение всего периода работы сотрудника. В частности, при приеме в постоянный штат, рекомендуется проводить проверку подлинности представляемых претендентом документов, полноту и точность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответственность сотрудников, нарушивших политику и процедуры безопасности организации. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы.

Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски. Кроме того, должен быть определен порядок информирования о нарушениях информационной безопасности , с которым необходимо ознакомить персонал. Аналогичная процедура должна задействоваться в случаях сбоев программного обеспечения. Подобные инциденты требуется регистрировать и проводить их анализ для выявления повторяющихся проблем.

Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды. Указывается, что "средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности , обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия". Кроме организации контроля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организации доступа посетителей. Необходимо также обеспечивать безопасность оборудования (включая и то, что используется вне организации), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. К этой же группе требований относится обеспечение защиты от сбоев электропитания и защиты кабельной сети. Также должен быть определен порядок технического обслуживания оборудования, учитывающий требования безопасности, и порядок безопасной утилизации или повторного использования оборудования. Например, списываемые носители данных, содержащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления данных.

С целью минимизации риска неавторизованного доступа или повреждения бумажных документов, носителей данных и средств обработки информации, рекомендуется внедрить политику "чистого стола" в отношении бумажных документов и сменных носителей данных, а также политику "чистого экрана" в отношении средств обработки информации. Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения.

Название очередного раздела стандарта - "Управление передачей данных и операционной деятельностью". В нем требуется, чтобы были установлены обязанности и процедуры, связанные с функционированием всех средств обработки информации. Например, должны контролироваться изменения конфигурации в средствах и системах обработки информации. Требуется реализовать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей.

Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения (ПО). Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.

Дополнительные риски возникают при привлечении сторонних подрядчиков для управления средствами обработки информации. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт.

Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие и перспективные планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы.

Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые "черви", "троянские кони" и логические бомбы . Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями.

Должен быть определен порядок проведения вспомогательных операций, к которым относится резервное копирование программного обеспечения и данных 1В качестве примера, в лабораторной работе №10 рассматривается организация резервного копирования в Windows Server 2008. , регистрация событий и ошибок и, где необходимо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.

Для обеспечения безопасности информации в сетях и защиты поддерживающей инфраструктуры , требуется внедрение средств контроля безопасности и защита подключенных сервисов от неавторизованного доступа.

Особое внимание уделяется вопросам безопасности носителей информации различного типа: документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений. Рекомендуется установить порядок использования сменных носителей компьютерной информации (порядок контроля содержимого, хранения, уничтожения и т.д.). Как уже отмечалось выше, носители информации по окончании использования следует надежно и безопасно утилизировать.

С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации, и действовать в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Системная документация может содержать определенную важную информацию, поэтому тоже должна защищаться.

Процесс обмена информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству. В частности, должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем. Следует уделять внимание защите целостности информации, опубликованной электронным способом, например информации на Web-сайте. Также необходим соответствующий формализованный процесс авторизации прежде, чем такая информация будет сделана общедоступной.

Следующий раздел стандарта посвящен вопросам контроля доступа.

Требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения данных требований.

При использовании парольной аутентификации , необходимо осуществлять контроль в отношении паролей пользователей. В частности, пользователи должны подписывать документ о необходимости соблюдения полной конфиденциальности паролей. Требуется обеспечить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями (принудительная смена пароля после первого входа в систему и т.д.).

Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Особое внимание должно уделяться проверке подлинности удаленных пользователей. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации. Также должна контролироваться безопасность использования сетевых служб.

Многие сетевые и вычислительные устройства имеют встроенные средства удаленной диагностики и управления. Меры обеспечения безопасности должны распространяться и на эти средства.

В случае, когда сети используются совместно несколькими организациями, должны быть определены требования политики контроля доступа, учитывающие это обстоятельство. Также может потребоваться внедрение дополнительных мероприятий по управлению информационной безопасностью , чтобы ограничивать возможности пользователей по подсоединению.

На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам 2Пример организации разграничения доступа к файлам и папкам в Windows Server 2008, будет рассмотрен в лабораторной работе № 9. . Это относится к идентификации и аутентификации терминалов и пользователей. Рекомендуется, чтобы все пользователи имели уникальные идентификаторы, которые не должны содержать признаков уровня привилегии пользователя. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества 3Пример управления качеством паролей в ОС семейства Windows рассматривается в лабораторной работе №3. . Использование системных утилит должно быть ограничено и тщательным образом контролироваться.

Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия 4В качестве примера можно назвать пароли для входа "под принуждением". Если пользователь вводит такой пароль, система отображает процесс обычного входа пользователя, после чего имитируется сбой, чтобы нарушители не смогли получить доступ к данным. (если такое событие оценивается как вероятное). При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.

Терминалы, обслуживающие системы высокого риска, при размещении их в легкодоступных местах, должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Также может вводиться ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам.

На уровне приложений также необходимо применять меры обеспечения информационной безопасности. В частности, это может быть ограничение доступа для определенных категорий пользователей. Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой.

Для обнаружения отклонения от требований политики контроля доступа и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы. Результаты мониторинга следует регулярно анализировать. Журнал аудита может использоваться для расследования инцидентов, поэтому достаточно важной является правильная установка (синхронизация) компьютерных часов.

При использовании переносных устройств, например, ноутбуков, необходимо принимать специальные меры противодействия компрометации служебной информации. Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде.

Очередной раздел стандарта называется "Разработка и обслуживание систем". Уже на этапе разработки информационных систем необходимо обеспечить учет требований безопасности. А в процессе эксплуатации системы требуется предотвращать потери, модификацию или неправильное использование пользовательских данных. Для этого в прикладных системах рекомендуется предусмотреть подтверждение корректности ввода и вывода данных, контроль обработки данных в системе, аутентификацию сообщений, протоколирование действий пользователя.

Для обеспечения конфиденциальности, целостности и аутентификации данных могут быть использованы криптографические средства защиты.

Важную роль в процессе защиты информации играет обеспечение целостности программного обеспечения. Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений. Периодически возникает необходимость внести изменения в операционные системы. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Насколько возможно, готовые пакеты программ рекомендуется использовать без внесения изменений.

Связанным вопросом является противодействие "троянским" программам и использованию скрытых каналов утечки. Одним из методов противодействия является использование программного обеспечения, полученного от доверенных поставщиков, и контроль целостности системы .

В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо предусмотреть меры по контролю качества и правильности выполненных работ.

Следующий раздел стандарта посвящен вопросам управления непрерывностью бизнеса. На начальном этапе предполагается идентифицировать события, которые могут быть причиной прерывания бизнес-процессов (отказ оборудования, пожар и т.п.). При этом нужно провести оценку последствий, после чего разработать планы восстановления. Адекватность планов должна быть подтверждена тестированием, а сами они должны периодически пересматриваться, чтобы учитывать происходящие в системе изменения.

Заключительный раздел стандарта посвящен вопросам соответствия требованиям. В первую очередь, это касается соответствия системы и порядка ее эксплуатации требованиям законодательства. Сюда относятся вопросы соблюдения авторского права (в том числе, на программное обеспечение), защиты персональной информации (сотрудников, клиентов), предотвращения нецелевого использования средств обработки информации. При использовании криптографических средств защиты информации, они должны соответствовать действующему законодательству. Также должна быть досконально проработана процедура сбора доказательств на случай судебных разбирательств, связанных с инцидентами в области безопасности информационной системы.

Сами информационные системы должны соответствовать политике безопасности организации и используемым стандартам. Безопасность информационных систем необходимо регулярно анализировать и оценивать. В то же время, требуется соблюдать меры безопасности и при проведении аудита безопасности, чтобы это не привело к нежелательным последствиям (например, сбой критически важного сервера из-за проведения проверки).

Подводя итог можно отметить, что в стандарте рассмотрен широкий круг вопросов, связанных с обеспечением безопасности информационных систем. По ряду направлений даются практические рекомендации.

Требования к знаниям и умениям

Студент должен иметь представление:

• о роли Гостехкомиссии в обеспечении информационной безопасности в РФ;

• о документах по оценке защищенности автоматизированных систем в РФ.

Студент должен знать:

• основное содержание стандартов по оценке защищенности автоматизированных систем в РФ.

Студент должен уметь:

• определять классы защищенных систем по совокупности мер защиты.

Ключевой термин

Ключевой термин: Стандарты информационной безопасности в РФ.

Стандарты информационной безопасности в РФ разрабатываются в рамках Гостехкомиссии РФ.

Второстепенные термины

• Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ.

• Документы по оценке защищенности автоматизированных систем в РФ.

Структурная схема терминов

1.7.1 Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ

В Российской Федерации информационная безопасность обеспечивается соблюдение указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.

Наиболее общие документы были рассмотрены ранее при изучении правовых основ информационной безопасности. В РФ с точки зрения стандартизации положений в сфере информационной безопасности первостепенное значение имеют руководящие документы (РД) Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».

Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская руководящие документы, играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на «Общие критерии».

За 10 лет своего существования Гостехкомиссия разработала и довела до уровня национальных стандартов десятки документов, среди которых:

• Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии России 25.11.1994 г.);

• Руководящий документ «Автоматизированные системы (АС). Защита от несанкционированного доступа (НСД) к информации. Классификация АС и требования к защите информации» (Гостехкомиссия России, 1997);

• Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Концепция защиты средств вычислительной техники от НСД к информации» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Защита от НСД к информации. Термины и определения» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Средства вычислительной техники (СВТ). Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997 г.);

• Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.);

• Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2001г.).

1.7.2 Документы по оценке защищенности автоматизированных систем в РФ

Рассмотрим наиболее значимые из этих документов, определяющие критерии для оценки защищенности автоматизированных систем.

Устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Основой для разработки этого документа явилась «Оранжевая книга». Этот оценочный стандарт устанавливается семь классов защищенности СВТ от НСД к информации.

Самый низкий класс — седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

• Первая группа содержит только один седьмой класс, к которому относят все СВТ, неудовлетворяющие требованиям более высоких классов;

• Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

• Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

• Четвертая группа характеризуется верифицированной защитой и включает только первый класс.

устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

В документе определены девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

В таблице 2 приведены классы защищенности АС и требования для их обеспечения.

Таблица 1. Требования к защищенности автоматизированных систем

Подсистемы и требования	Классы
	3Б	3А	2Б	2А	1Д	1Г	1В	1Б	1А
1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему;	+	+	+	+	+	+	+	+	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;	—	—	—	+	—	+	+	+	+
к программам;	—	—	—	+	—	+	+	+	+
к томам, каталогам, файлам, записям, полям записей.	—	—	—	+	—	+	+	+	+
1.2. Управление потоками информации	—	—	—	+	—	—	+	+	+
2. Подсистема регистрации и учета 2.1. Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети);	+	+	+	+	+	+	+	+	+
выдачи печатных (графических) выходных документов;	—	+	—	+	—	+	+	+	+
запуска/завершения программ и процессов (заданий, задач);	—	—	—	+	—	+	+	+	+
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;	—	—	—	+	—	+	+	+	+
изменения полномочий субъектов доступа;	—	—	—	—	—	—	+	+	+
создаваемых защищаемых объектов доступа.	—	—	—	+	—	—	+	+	+
2.2. Учет носителей информации.	+	+	+	+	+	+	+	+	+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.	—	+	—	+	—	+	+	+	+
2.4. Сигнализация попыток нарушения защиты.	—	—	—	—	—	—	+	+	+
3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации.	—	—	—	+	—	—	—	+	+
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах.	—	—	—	—	—	—	—	—	+
3.3. Использование аттестованных (сертифицированных) криптографических средств.	—	—	—	+	—	—	—	+	+
4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации.	+	+	+	+	+	+	+	+	+
4.2. Физическая охрана средств вычислительной техники и носителей информации.	+	+	+	+	+	+	+	+	+
4.3. Наличие администратора (службы защиты) информации в АС.	—	—	—	+	—	—	+	+	+
4.4. Периодическое тестирование СЗИ НСД .	+	+	+	+	+	+	+	+	+
4.5. Наличие средств восстановления СЗИ НСД.	+	+	+	+	+	+	+	+	+
4.6. Использование сертифицированных средств защиты.	—	+	—	+	—	—	+	+	+

«-» нет требований к данному классу;

«+» есть требования к данному классу;

По существу в таблице 2 систематизированы минимальные требования, которым необходимо следовать, чтобы обеспечить конфиденциальность информации .

Требования по обеспечению целостность представлены отдельной подсистемой (номер 4).

Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ.

Всего выделяется пять показателей защищенности:

• управление доступом;

• контроль целостности;

На основании показателей защищенности определяются следующие пять классов защищенности МЭ:

• простейшие фильтрующие маршрутизаторы – 5 класс ;

• пакетные фильтры сетевого уровня – 4 класс ;

• простейшие МЭ прикладного уровня – 3 класс ;

• МЭ базового уровня – 2 класс ;

• продвинутые МЭ – 1 класс .

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию «Особой важности». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки «совершенно секретной» информации и т.п.

Согласно первому из них, устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.

Выводы по теме

1. В Российской Федерации информационная безопасность обеспечивается соблюдением Указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.

2. Стандартами в сфере информационной безопасности в РФ являются руководящие документы Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».

3. При разработке национальных стандартов Гостехкомиссия России ориентируется на «Общие критерии».

Руководящий документ «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации» устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Этот оценочный стандарт устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты.

Руководящий документ «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;

• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

• режим обработки данных в АС – коллективный или индивидуальный.

Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

• управление доступом;

• идентификация и аутентификация;

• регистрация событий и оповещение;

• контроль целостности;

• восстановление работоспособности.

Контрольные вопросы:

1. Сколько классов защищенности СВТ от НСД к информации устанавливает РД «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации»?

2. Название документа:
   Номер документа:	53113.1-2008
   Вид документа:	ГОСТ Р
   Принявший орган:	Росстандарт
   Статус:	Действующий
   Опубликован:
   Дата принятия:	18 декабря 2008
   Дата начала действия:	01 октября 2009
   Дата редакции:	01 октября 2018

   ГОСТ Р 53113.1-2008 Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения

   ГОСТ Р 53113.1-2008

   Группа Т00

   НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
   

   Информационная технология
   

   ЗАЩИТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, РЕАЛИЗУЕМЫХ С ИСПОЛЬЗОВАНИЕМ СКРЫТЫХ КАНАЛОВ
   

   Часть 1
   

   Общие положения
   

   Information technology. Protection of information technologies and automated systems against security threats posed by use of covert channels. Part 1. General principles

   
   ОКС 35.040

   Дата введения 2009-10-01

   Предисловие

   Предисловие

   1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Криптоком"
   

   2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии
   

   3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 531-ст
   

   4 ВВЕДЕН ВПЕРВЫЕ
   
   5 ПЕРЕИЗДАНИЕ. Октябрь 2018 г.
   
   
   Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
   
   

   Введение

   Развитие, внедрение и использование распределенных информационных систем и технологий, использование импортных программно-аппаратных платформ без конструкторской документации привели к появлению класса угроз информационной безопасности (ИБ), связанных с использованием так называемых скрытых информационных каналов, "невидимых" для традиционных средств защиты информации.
   
   Традиционные средства обеспечения ИБ такие, как средства разграничения доступа, межсетевые экраны, системы обнаружения вторжений, контролируют только информационные потоки, которые проходят по каналам, предназначенным для их передачи. Возможность обмена информацией вне этих рамок посредством скрытых каналов (СК) не учитывается.
   
   В системах, требующих обеспечения повышенного уровня доверия, должны учитываться угрозы безопасности, возникающие вследствие наличия возможности несанкционированного действия с помощью СК.
   
   Опасность СК для информационных технологий (ИТ) и автоматизированных систем (АС) и других активов организации связана с отсутствием контроля средствами защиты информационных потоков, что может привести к утечке информации, нарушить целостность информационных ресурсов и программного обеспечения в компьютерных системах или создать иные препятствия по реализации ИТ.
   
   Для обеспечения защиты информации, обрабатываемой в АС, необходимо выявлять и нейтрализовывать все возможные информационные каналы несанкционированного действия - как традиционные, так и скрытые.
   
   Настоящий стандарт входит в серию взаимосвязанных стандартов, объединенных общим наименованием "Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов", включающий в себя:
   
   - общие положения;
   
   - рекомендации по организации защиты информации, ИТ и АС от атак с использованием СК.
   
   В общих положениях определены задачи, решаемые при проведении анализа СК, описана классификация СК и приведена классификация активов по степени опасности атак с использованием СК.
   
   Существенным моментом защищенности систем ИТ и АС является доверие к системам защиты. Обеспечение доверия осуществляется путем глубокого анализа или экспертизы программно-аппаратных продуктов с точки зрения их защищенности. Во многих случаях этот анализ затруднен в силу отсутствия исходных данных для его проведения, то есть исходных кодов, конструкторской и тестовой документации, в результате чего создаются угрозы информационным ресурсам, которые могут быть реализованы с помощью неизвестных программно-аппаратных систем и через интерфейсы взаимодействующих программно-аппаратных продуктов.
   
   Требования доверия к безопасности информации установлены в ГОСТ Р ИСО/МЭК 15408-3 , в соответствии с которым для систем с оценочным уровнем доверия (ОУД), начиная с ОУД5, предусмотрено проведение обязательного анализа СК. При использовании аппаратно-программных продуктов иностранных производителей в условиях отсутствия на них конструкторской, тестовой документации и исходных кодов невозможно гарантировать отсутствие в них потенциально вредоносных компонентов, включенных специально или возникших случайно (например, программной уязвимости). Таким образом, требование анализа СК в Российской Федерации является необходимым условием безопасного функционирования систем, обрабатывающих ценную информацию или использующих импортное аппаратно-программное обеспечение, в том числе и для систем с ОУД ниже ОУД5.
   
   В рекомендациях по организации защиты информации, ИТ и АС от атак с использованием СК определен порядок поиска СК и противодействия СК.
   
   Настоящий стандарт разработан в развитие ГОСТ Р ИСО/МЭК 15408-3 , ГОСТ Р ИСО/МЭК 27002 (в части мероприятий по противодействию угрозам ИБ, реализуемым с использованием СК) и .
   
   

   1 Область применения

   Настоящий стандарт устанавливает классификацию СК и определяет задачи, решаемые при проведении анализа СК, что является необходимой составляющей для определения дальнейшего порядка организации защиты информации от атак с использованием СК, а также устанавливает порядок проведения анализа СК для продуктов и систем ИТ и АС, результаты которого используются при оценке доверия к мерам защиты информационных систем и ИТ.
   
   Настоящий стандарт предназначен для заказчиков, разработчиков и пользователей ИТ при формировании ими требований к разработке, приобретению и применению продуктов и систем ИТ, которые предназначены для обработки, хранения или передачи информации, подлежащей защите в соответствии с требованиями нормативных документов или требованиями, устанавливаемыми собственником информации. Настоящий стандарт предназначен также для органов сертификации и испытательных лабораторий при проведении оценки безопасности и сертификации безопасности ИТ и АС, а также для аналитических подразделений и служб безопасности для сопоставления угроз ценным информационным активам с потенциальной возможностью ущерба через СК.
   
   

   2 Нормативные ссылки

   В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
   
   ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности
   
   ГОСТ Р ИСО/МЭК 27002 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности
   
   Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
   
   

   3 Термины и определения

   В настоящем стандарте применены следующие термины с соответствующими определениями:
   

   3.1 автоматизированная система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
   

   3.2 агент нарушителя: Лицо, программное, программно-аппаратное или аппаратное средство, действующие в интересах нарушителя.
   

   3.3 активы (assets): Все, что имеет ценность для организации и находится в ее распоряжении.
   
   Примечание - К активам организации могут относиться:
   
   - вычислительные, телекоммуникационные и прочие ресурсы;
   
   - информационные активы, в т.ч. различные виды информации на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;
   
   - продукты и услуги, предоставляемые сторонним организациям.
   
   

   3.4 блокирование доступа (к информации): Прекращение или затруднение доступа законных пользователей к информации.
   

   3.5 вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информацию или ресурсы информационной системы.
   

   3.6 глубина анализа скрытого канала: Степень варьирования применяемых средств по сложности для идентификации скрытого канала и его характеристик.
   

   3.7 доверие (assurance): Основание для уверенности в том, что объект соответствует целям безопасности.
   

   3.8 идентификация скрытого канала: Выявление возможности существования скрытого канала и определение его места в классификации.
   

   3.9 информация ограниченного доступа: Вид сведений, доступ к которым ограничен и разглашение которых может нанести ущерб интересам других лиц, общества и государства.
   

   3.10 информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
   

   3.11 информационная система: Организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
   
   Примечание - Информационные системы предназначены для хранения, обработки, поиска, распространения, передачи и предоставления информации.
   
   

   3.12 информационная технология: Приемы, способы и методы применения средств вычислительной техники при выполнении функций сбора, хранения, обработки, передачи и использования данных.
   

   3.13 информационный объект: Элемент программы, содержащий фрагменты информации, циркулирующей в программе.
   
   Примечание - В зависимости от языка программирования в качестве информационных объектов могут выступать переменные, массивы, записи, таблицы, файлы, фрагменты оперативной памяти и т.п.
   
   

   3.14 информационный поток (information flow): Процесс взаимодействия источника информации и ее получателя.
   
   Примечание - Информационный поток может быть разрешенным и неразрешенным. Информационный поток между объектами X и Y существует, если средняя взаимная информация I (X, Y) больше 0. Математическая модель информационного потока может определяться как конечный автомат, в котором источник сообщения посылает входное слово на вход автомата, а получатель сообщения видит выходную последовательность автомата.
   
   

   3.15 исчерпывающий анализ скрытых каналов (exhaustive covert channel analysis): Анализ, при котором требуется представление дополнительного свидетельства, показывающего, что план идентификации скрытых каналов достаточен для утверждения того, что были испробованы все возможные пути исследования скрытых каналов.
   

   3.16 ключ: Конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.
   

   3.17 коммуникационный канал: Совокупность носителей информации, доставляющих сообщение от источника к приемнику.
   

   3.18 критически важные объекты: Объекты, нарушение или прекращение функционирования которых приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению или разрушению экономики страны, субъекта или административно-территориальной единицы или к существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях длительный период времени.
   

   3.19 механизм передачи информации: Реализованный способ передачи информации от отправителя к получателю.
   

   3.20 модификация информации: Целенаправленное изменение формы представления и содержания информации.
   

   3.21 нарушитель безопасности информации (adversary): Физическое лицо (субъект), случайно или преднамеренно совершившее действия, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах.
   

   3.22 несанкционированный доступ к информации (unauthorized access to information): Доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
   
   Примечание - Доступ к объекту подразумевает и доступ к содержащейся в нем информации.
   
   

   3.23 объект (object): Пассивный компонент системы, хранящий, принимающий или передающий информацию.
   

   3.24 оценка опасности: Определение степени возможного деструктивного воздействия.
   

   3.25 оценочный уровень доверия (evaluation assurance level): Пакет компонентов доверия, представляющий некоторое положение на предопределенной в нем шкале доверия.
   
   Примечание - Пакет компонентов доверия определяется в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3 .
   
   

   3.26 пароль доступа (password): Идентификатор субъекта доступа, который является его (субъекта) секретом.
   

   3.27 персональные данные: Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
   
   Примечание - В качестве персональных данных могут использоваться фамилия, имя, отчество, год, месяц, дата и место рождения субъекта персональных данных, а также адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
   
   

   3.28 политика безопасности информации (information security policy): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
   

   3.29 продукт (product): Совокупность программных, программно-аппаратных и/или аппаратных средств информационных технологий, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.
   

   3.30 пропускная способность скрытого канала (covert channel capacity): Количество информации, которое может быть передано по скрытому каналу в единицу времени или относительно какой-либо другой шкалы измерения.
   

   3.31 система (system): Специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации.
   

   3.32 систематический анализ скрытых каналов (systematic covert channel analysis): Анализ, при котором разработчик системы информационных технологий и автоматизированных систем должен идентифицировать скрытые каналы структурированным и повторяемым образом в противоположность идентификации скрытых каналов частным методом, применимым для конкретной ситуации.
   
   Примечание - Идентификация скрытых каналов осуществляется, как правило, в соответствии с планом обеспечения безопасности.
   
   

   3.33 скрытый канал (covert channel): Непредусмотренный разработчиком системы информационных технологий и автоматизированных систем коммуникационный канал, который может быть применен для нарушения политики безопасности.
   

   3.34 среда передачи: Физическая реализация процесса передачи информации.
   

   3.35 субъект (subject): Активный компонент системы, обычно представленный в виде пользователя, процесса или устройства, которые могут явиться причинами потока информации от объекта к объекту или изменения состояния системы.
   

   3.36 угроза безопасности (threat): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.
   

   3.37 уполномоченный пользователь (authorised user): Пользователь, которому в соответствии с политикой безопасности разрешено выполнять какую-либо операцию.
   

   3.38 ущерб: Отрицательные последствия, возникающие вследствие причинения вреда активам.
   

   3.39 уязвимость: Свойство системы, которое можно использовать для нарушения информационной безопасности системы информационных технологий и автоматизированных систем.
   
   

   4 Общие положения

   4.1 Настоящий стандарт определяет следующий порядок действий по определению степени опасности СК для активов организации, выявлению и противодействию СК:
   
   - проведение классификации активов в зависимости от степени опасности атак с использованием СК с учетом возможных угроз безопасности активам;
   
   - определение необходимой глубины анализа СК в зависимости от типа активов;
   
   - проведение анализа СК, включающее в себя выполнение следующих задач:
   
   идентификация (выявление) СК,
   
   оценка пропускной способности СК и оценка опасности, которую несет их скрытое функционирование;
   
   - мероприятия по защите от угроз, реализуемых с использованием СК, и включающие в себя выполнение следующих задач:
   
   принятие решений о внедрении защитных мер для противодействия указанным угрозам безопасности,
   
   противодействие реализации СК вплоть до его уничтожения.
   

   4.2 Классификация защищаемых активов в зависимости от степени опасности атак с использованием СК приведена в разделе 7.
   

   4.3 Глубину анализа СК определяют ценностью активов, то есть ущербом, который может быть причинен в результате реализации угроз безопасности, реализуемых с использованием СК, то есть рисков, возникающих вследствие наличия этих угроз. Классификация таких угроз приведена в разделе 6.
   

   4.4 Идентификация СК определяет субъекты (источник и получателя), между которыми потенциально может существовать СК, параметры, при манипулировании которыми происходит передача информации, параметры, за счет вариации которых происходит чтение информации, среду передачи информации, логические условия, при которых возможна передача информации. Идентификация СК может проводиться как при разработке системы путем исследования потенциальных каналов утечки или каналов воздействия, так и в режиме эксплуатации системы путем наблюдения признаков, идентифицирующих наличие СК. В последнем случае СК выявляются с помощью наблюдения за параметрами системы. В документации по безопасности информации должно быть отражено, какие классы СК могут быть выявлены с помощью используемой системы наблюдения.
   

   4.5 Оценку пропускной способности идентифицированных СК проводят формальными, техническими методами или методами моделирования.
   

   4.6 При принятии решений о внедрении защитных мер для противодействия угрозам безопасности, реализуемым с использованием СК, необходимо учитывать возможный риск нанесения ущерба активам организации, который связан в том числе с пропускной способностью СК.
   

   4.7 Противодействие опасным СК может осуществляться с помощью следующих средств и методов:
   
   - построение архитектуры ИТ или АС, позволяющей перекрыть СК или сделать их пропускную способность настолько низкой, что каналы становятся неопасными. Этот метод применяется на этапе проектирования ИТ или АС;
   
   - использование технических средств, позволяющих перекрывать СК или снижать их пропускную способность ниже заданного уровня;
   
   - использование программно-технических средств, позволяющих выявлять работу опасных СК в процессе эксплуатации системы. Выявление признаков работы СК может позволить блокировать их воздействие на информационные ресурсы;
   
   - применение организационно-технических мер, позволяющих ликвидировать СК или уменьшить их пропускную способность до безопасного значения.
   
   

   5 Классификация скрытых каналов

   5.1 СК по механизму передачи информации подразделяют на:
   
   - СК по памяти;
   
   - СК по времени;
   
   - скрытые статистические каналы.
   

   5.2 СК по памяти основаны на наличии памяти, в которую передающий субъект записывает информацию, а принимающий - считывает ее.
   
   Скрытость каналов по памяти определяется тем, что сторонний наблюдатель не знает того места в памяти, где записана скрываемая информация.
   
   СК по памяти предполагают использование ресурсов памяти, однако способ использования памяти не учитывается разработчиками системы защиты и поэтому не может выявляться используемыми средствами защиты.
   

   5.3 СК по времени предполагают, что передающий информацию субъект модулирует с помощью передаваемой информации некоторый изменяющийся во времени процесс, а субъект, принимающий информацию, в состоянии демодулировать передаваемый сигнал, наблюдая несущий информацию процесс во времени. Например, в многозадачной операционной системе (ОС) центральный процессор является разделяемым информационно-вычислительным ресурсом для прикладных программ. Модулируя время занятости процессора, приложения могут передавать друг другу нелегальные данные.
   

   5.4 Скрытый статистический канал использует для передачи информации изменение параметров распределений вероятностей любых характеристик системы, которые могут рассматриваться как случайные и описываться вероятностно-статистическими моделями.
   
   Скрытость таких каналов основана на том, что получатель информации имеет меньшую неопределенность в определении параметров распределений наблюдаемых характеристик системы, чем наблюдатель, не имеющий знаний о структуре СК.
   
   Например, появление реальной, но маловероятной комбинации в присланном пакете в заданный промежуток времени может означать сигнал к сбою в компьютерной системе.
   

   5.5 СК по памяти, в свою очередь, подразделяют на:
   
   - СК, основанные на сокрытии информации в структурированных данных;
   
   - СК, основанные на сокрытии информации в неструктурированных данных.
   

   5.6 СК, основанные на сокрытии информации в структурированных данных, используют встраивание данных в информационные объекты с формально описанной структурой и формальными правилами обработки. Например, внутренний формат файлов, используемых современными текстовыми процессами, содержит ряд полей, не отображаемых при редактировании файла, поэтому они могут быть использованы для вставки скрытой информации.
   

   5.7 СК, основанные на сокрытии информации в неструктурированных данных, используют встраивание данных в информационные объекты без учета формально описанной структуры (например, запись скрытой информации в наименее значимые биты изображения, не приводящая к видимым искажениям изображения).
   

   5.8 СК по пропускной способности подразделяют на:
   
   - канал с низкой пропускной способностью;
   
   - канал с высокой пропускной способностью.
   

   5.9 СК является каналом с низкой пропускной способностью, если его пропускной способности достаточно для передачи ценных информационных объектов минимального объема (например, криптографические ключи, пароли) или команд за промежуток времени, на протяжении которого данная передача является актуальной.
   

   5.10 СК является каналом с высокой пропускной способностью, если его пропускная способность позволяет передавать информационные объекты среднего и большого размера (например, текстовые файлы, изображения, базы данных) за промежуток времени, на протяжении которого данные информационные объекты являются ценными.
   
   Для решения сложных задач может использоваться комбинация СК, опирающихся на различные механизмы передачи.
   
   

   6 Классификация угроз безопасности, реализуемых с использованием скрытых каналов

   6.1 Угрозы безопасности, которые могут быть реализованы с помощью СК, включают в себя:
   
   - внедрение вредоносных программ и данных;
   
   - подачу злоумышленником команд агенту для выполнения;
   
   - утечку криптографических ключей или паролей;
   
   - утечку отдельных информационных объектов.
   

   6.2 Реализация данных угроз может привести к:
   
   - нарушению конфиденциальности информационных активов;
   
   - нарушению работоспособности ИТ и АС;
   
   - блокированию доступа к ресурсам;
   
   - нарушению целостности данных и ПО.
   

   6.3 Системами, наиболее подверженными атакам с использованием СК, являются:
   
   - многопользовательские распределенные системы;
   
   - системы с выходом в глобальные сети;
   
   - системы, использующие криптографические средства защиты;
   
   - системы, использующие многоуровневую (мандатную) политику разграничения доступа;
   
   - системы, программно-аппаратные агенты в которых не могут быть обнаружены (в связи с использованием программного и аппаратного обеспечения с недоступным исходным кодом и в связи с отсутствием конструкторской документации).
   

   6.4 Взаимосвязь угроз, реализуемых с помощью СК, с типами СК в зависимости от их пропускной способности приведена в таблице 1.
   
   
   Таблица 1 - Взаимосвязь угроз, реализуемых с помощью скрытых каналов, с типами скрытых каналов в зависимости от их пропускной способности
   

   	Тип скрытых каналов
   	Скрытые каналы с низкой пропускной способностью	Скрытые каналы с высокой пропускной способностью
   Внедрение вредоносных программ и данных
   Подача злоумышленником команд агенту для выполнения
   Утечка криптографических ключей или паролей
   Утечка отдельных информационных объектов
   Примечание - знак "+" - означает, что имеется связь угрозы с соответствующим типом скрытого канала; знак "-" - означает, что связи не существует.

   7 Классификация активов по степени опасности атак с использованием скрытых каналов

   7.1 В зависимости от степени опасности атак с использованием СК защищаемые активы организации подразделяют на следующие классы:
   
   1-й класс - активы, содержащие информацию, степень подверженности которой атакам, реализуемым с использованием СК, определяет собственник.
   
   2-й класс - активы, содержащие информацию ограниченного доступа или персональные данные и обрабатываемые в системах, имеющих технические интерфейсы с открытыми сетями или компьютерными системами общего доступа, а также компьютерными системами, не предполагающими защиту от утечки по техническим каналам.
   
   3-й класс - активы, содержащие сведения, составляющие государственную тайну.
   

   7.2 Кроме того, существует особый класс активов, которые уязвимы с точки зрения угроз, реализуемых с использованием СК с низкой пропускной способностью. К этой группе относятся:
   
   Класс А - активы, связанные с функционированием критически важных объектов. Например, передача команды, способной инициализировать деструктивное воздействие на объект такого типа, может быть осуществлена по СК с низкой пропускной способностью.
   
   Класс Б - активы, содержащие ключевую/парольную информацию, в том числе ключи криптографических систем защиты информации и пароли доступа к иным активам. Например, утечка ключевой/парольной информации по СК может поставить под угрозу функционирование всей информационной системы.
   
   

   Библиография

   	Руководящий документ. Гостехкомиссия России
   Ключевые слова: скрытые каналы, анализ скрытых каналов, классификация скрытых каналов, атаки с использованием скрытых каналов, угрозы безопасности, реализуемые с использованием скрытых каналов, классификация активов по степени опасности атак с использованием скрытых каналов

   
   
   Электронный текст документа
   подготовлен АО "Кодекс" и сверен по:
   официальное издание
   М.: Стандартинформ, 2018

   ГОСТ Р 53113.1-2008 Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения

   Название документа:
   Номер документа:	53113.1-2008
   Вид документа:	ГОСТ Р
   Принявший орган:	Росстандарт
   Статус:	Действующий
   Опубликован:	Официальное издание. М.: Стандартинформ, 2018 год
   Дата принятия:	18 декабря 2008
   Дата начала действия:	01 октября 2009
   Дата редакции:	01 октября 2018

   ГОСТ Р 53113.1-2008 Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения

   Наименование:

   Защита информации. Обеспечение информационной безопасности в организации.

   Действует

   Дата введения:

   Дата отмены:

   Заменен на:

   Текст ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

   ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

   НАЦИОНАЛЬНЫЙ

   СТАНДАРТ

   РОССИЙСКОЙ

   ФЕДЕРАЦИИ

   Защита информации

   ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ

   Основные термины и определения

   Издание официальное

   
   

   Отеидартенформ

   ГОСТ Р 53114-2008

   Предисловие

   Цели и принципы стандартизации а Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации -ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения »

   Сведения о стандарте

   1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»), Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл»)

   2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

   3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. № 532-ст

   4 8ВЕДЕН ВПЕРВЫЕ

   Информация об изменениях к настоящему стандарту публикуется е ежегодно издаваемом информационном указателе «Национальные стандартыж а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

   © Сгандартинформ.2009

   Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

   ГОСТ Р 53114-2008

   1 Область применения...................................................1

   3 Термины и определения................................................2

   3.1 Общие понятия....................................................2

   3.2 Термины, относящиеся к объекту защиты информации..........................4

   3.3 Термины, относящиеся к угрозам безопасности информации......................7

   3.4 Термины, относящиеся к менеджменту информационной безопасности организации.......8

   3.5 Термины, относящиеся к контролю и оценке информационной безопасности организации. ... 8

   3.6 Термины, относящиеся к средствам обеспечения информационной безопасности

   организации........................................................9

   Алфавитный указатель терминов...........................................11

   Приложение А (справочное) Термины и определения общетехнических понятий.............13

   Приложение Б (справочное) Взаимосвязь основных понятий в области обеспечения информационной безопасности в организации...............................15

   Библиография........................................................16

   ГОСТ Р 53114-2008

   Введение

   Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

   Для каждого понятия установлен один стандартизованный термин.

   Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно.

   Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

   Приведенные определения можно при необходимости изменять, вводя в них производные признаки. раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

   Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

   Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры. - светлым, а синонимы - курсивом.

   Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.

   ГОСТ Р 53114-2008

   НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

   Защита информации

   ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 8 ОРГАНИЗАЦИИ

   Основные термины и определения

   Protection of information. Information security provision In organization.

   Basic terms and definitions

   Дата введения - 2009-10-01

   1 Область применения

   Настоящий стандарт устанавливает основные термины, применяемые при проведении работ по стандартизации в области обеспечения информационной безопасности в организации.

   Термины, установленные настоящим стандартом, рекомендуется использовать в нормативных документах, правовой, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

   Настоящий стандарт применяется совместно с ГОСТ 34.003. ГОСТ 19781. ГОСТ Р 22.0.02. ГОСТ Р 51897. ГОСТ Р 50922. ГОСТ Р 51898, ГОСТ Р 52069.0. ГОСТ Р 51275. ГОСТ Р ИСО 9000. ГОСТ Р ИСО 9001. ГОСТ Р ИС014001. ГОСТ Р ИСО/ МЭК 27001. ГОСТ Р ИСО/МЭК13335-1. . (2J.

   Термины, приведенные в настоящем стандарте, соответствуют положениям Федерального Закона Российской Федерации от 27 декабря 2002 г. М»184*ФЗ «Отехническом регулировании» |3]. Федерального Закона Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации» . Федерального Закона Российской Федерации от 27 июля 2006 г. No 152-ФЗ «О персонал ьных данных» . Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации от 9 сентября 2000 г. Пр -1895 .

   2 Нормативные ссылки

   ГОСТ Р 22.0.02-94 Безопасность в чрезвычайных ситуациях. Термины и определения основных понятий

   ГОСТ Р ИСО 9000-2001 Системы менеджмента качества. Основные положения и словарь

   ГОСТ Р ИСО 9001-2008 Системы менеджмента качества. Требования

   ГОСТ Р ИС0 14001-2007 Системы экологического менеджмента. Требования и руководство по применению

   ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

   ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

   ГОСТ Р 50922-2006 Защита информации. Основные термины и определения

   ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

   ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения

   Издание официальное

   ГОСТ Р 53114-2008

   ГОСТ Р51898-2003 Аспекты безопасности. Правила включения в стандарты ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

   ГОСТ 19781-90 Обеспечение систем обработки информации программное. Термины и определения

   Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться замененным (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссыпка на него, применяется а части, не затрагивающей эту ссылку.

   3 Термины и определения

   3.1 Общие понятия

   безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

   [ГОСТ Р 50922-2006. пункт 2.4.5]

   безопасность информационной технологии: Состояние защищенности информационной технологии. при котором обеспечиваются безопасность информации, для обработки которой она применяется. и информационная безопасность информационной системы, в которой она реализована.

   [Р 50.1.056-2006. пункт 2.4.5]

   информационная сфера: Совокупность информации, информационной инфраструктуры, субъектов. осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

   3.1.4 информационная инфраструктура: Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам.

   объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средствих обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

   [ГОСТ Р 51275-2006. пункт 3.1]

   3.1.6 активы организации: Все. что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.

   Примечание - К активам организации могут относиться:

   Информационные активы, в том числе различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и т.д.) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение):

   Ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и прочие):

   Процессы (технологические, информационные и пр.);

   Выпускаемая продукция иГили оказываемые услуги.

   ГОСТ Р 53114-2008

   ресурс системы обработки информации: Средство системы обработки информации, которое может быть выделено процессу обработки данных на определенный интервал времени.

   Примечание - Основными ресурсами являются процессоры, области основной памяти, наборы данных. периферийные устройства, программы.

   [ГОСТ 19781-90. пункт 93)

   3.1.8 информационный процесс: Процесс создания, сбора, обработки, накопления, хранения, поиска. распространения и использования информации.

   информационная технология; ИТ: Процессы, методы поиска, сбора, хранения, обработки, предоставления. распространения информации и способы осуществления таких процессов и методов. [Федеральный Закон Российской Федерации от 27 декабря 2002 г. №184-ФЗ. статья 2. пункт 2)]

   техническое обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех технических средств, используемых при функционировании АС.

   [ГОСТ Р 34.003-90. пункт 2.5]

   программное обеспечение автоматизированной системы; программное обеспечение АС: Совокупность программ на носителях данных и программных документов, предназначенных для отладки, функционирования и проверки работоспособности АС.

   [ГОСТ Р 34.003-90. пункт 2.7]

   информационное обеспечение автоматизированной системы; информационное обеспечение АС: Совокупность форм документов, классификаторов, нормативной базы и реализованных решений по объемам, размещению иформам существования информации, применяемой в АС при ее функционировании.

   [ГОСТ Р 34.003-90. пункт 2.8]

   3.1.13 услуга; сервис: Результат деятельности исполнителя по удовлетворению потребности потребителя.

   Примечание - 8 качестве исполнителя (потребителя) услуги может выступать организация, физическое лицо или процесс.

   3.1.14 услуги информационных технологий: услуги ИТ: Совокупность функциональных возможностей информационных и. возможно, неинформационных технологий, предоставляемая конечным пользователям в качестве услуги.

   Примечание - Примерами услуг ИТ могут служить передача сообщений, бизнес-приложения, сервисы файлов и печати, сетевые сервисы и т.д.

   3.1.15 критически важная система информационной инфраструктуры; ключевая система информационной инфраструктуры: КСИИ: Информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление или информационное обеспечение критическим объектом или процессом, или используется для официального информирования общества и граждан, нарушение или прерывание функционирования которой (в результате деструктивных информационных воздействий, а также сбоев или отказов) может привести к чрезвычайной ситуации со значительными негативными последствиями.

   3.1.18 критический объект: Объект или процесс, нарушение непрерывности функционирования которого может нанести значительный ущерб.

   ГОСТ Р 53114-2008

   Примечание - Ущерб может быть нанесен имуществу физических или юридических лиц. государственному или муниципальному имуществу, окружающей среде, в также выражаться а причинении вреда жизни или здоровью граждан.

   информационная система персональных данных: Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

   персональные данные: Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя. отчество, год. месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

   3.1.19 автоматизированная система в защищенном исполнении; АС в защищенном исполнении: Автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации.

   3.2 Термины, относящиеся к объекту защиты информации

   3.2.1 информационная безопасность организации; ИВ организации: Состояние защищенности интересов организации в условиях угроз в информационной сфере.

   Примечание - Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры организации. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.

   объект защиты информации: Информация или носитель информации, или информационный процесс. которую(ый) необходимо защищать е соответствии с целью защиты информации.

   [ГОСТ Р 50922-2006. пункт 2.5.1]

   3.2.3 защищаемый процесс (информационной технологии): Процесс, используемый е информационной технологии для обработки защищаемой информации с требуемым уровнем ее защищенности.

   3.2.4 нарушение информационной безопасности организации: нарушение ИВ организации: Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) а отношении активов организации, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах, вызывающее негативные последствия (ущерб/вред) для организации.

   чрезвычайная ситуация; непредвиденная ситуация; ЧС: Обстановка на определенной территории или акватории, сложившаяся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, которые могут поелечь или повлекли за собой человеческие жертвы, ущерб здоровью людей или окружающей природной среде, значительные материальные потери и нарушение условий жизнедеятельности людей.

   Примечание - Различают чрезвычайные ситуации по характеру источника (природные, техногенные, биолого-социальные и военные) и по масштабам (локальные, местные, территориальные, региональные, федеральные и трансграничные).

   (ГОСТ Р 22.0.02-94. статья 2.1.1)

   ГОСТ Р 53114-2008

   3.2.6

   опасная ситуация: Обстоятельства, в которых люди, имущество илиокружающая среда подвергаются опасности.

   (ГОСТ Р 51898-2003. пункт 3.6)

   3.2.7

   инцидент информационной безопасности: Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

   Примечание - Инцидентами информационной безопасности являются:

   Утрата услуг, оборудования или устройств:

   Системные сбои или перегрузки:

   Ошибки пользователей.

   Нарушение физических мер защиты:

   Неконтролируемые изменения систем.

   Сбои программного обеспечения и отказы технических средств:

   Нарушение правил доступа.

   (ГОСТ Р ИСО/МЭК 27001 -2006. статья 3.6)

   3.2.8 событие: Возникновение или наличие определенной совокупности обстоятельств.

   Примечания

   1 Характер, вероятность и последствия события могут быть не полностью известны.

   2 Событие может возникать один или несколько раз.

   3 вероятность, связанная с событием, может быть оценена.

   4 Событие может состоять из невозникновения одного или нескольких обстоятельств.

   5 непредсказуемое событие иногда называют «инцидентом».

   6 Событие, при котором не происходит никаких потерь, иногда называют предпосылкой к происшествию (инциденту], опасным состоянием, опасным стечением обстоятельств и тд.

   3.2.9 риск: Влияние неопределенностей на процесс достижения поставленных целей.

   Примечания

   1 Цели могут иметь различные аспекты: финансовые, аспекты, связанные со здоровьем, безопасностью и внешней средой, и могут устанавливаться не разных уровнях: на стратегическом уровне, в масштабах организации, на уровне проекта, продукта и процесса.

   3 Риск часто выражается в терминах комбинации последствий события или изменения обстоятельств и их вероятности.

   3.2.10

   оценка риска: Процесс, объединяющий идентификацию риска, анализ риска и их количественную оценку.

   (ГОСТ Р ИСО/МЭК 13335-1 -2006, пункт 2.21 ]

   3.2.11 оценка риска информационной безопасности (организации); оценка риска ИБ (организации): Общий процесс идентификации, анализа и определения приемлемости уровня риска информационной безопасности организации.

   3.2.12 идентификация риска: Процесс обнаружения, распознавания и описания рисков.

   Примечания

   1 Идентификация риска включает в себя идентификацию источников риска, событий и их причин, а твкже их возможных последствий.

   2 Идентификация риска может включать в себя статистические данные, теоретический анализ, обоснованные точки зрения и экспертные заключения и потребности заинтересованных сторон.

   ГОСТ Р 53114-2008

   анализ риска: Систематическое использование информации для определения источников риска и количественной оценки риска.

   {ГОСТ Р ИСО/МЭК 27001-2006. статья 3.11)

   3.2.14 определение приемлемости уровня риска: Процесс сравнения результатов анализа риска с критериями риска с целью определения приемлемости или допустимости уровня риска.

   Примечание - Определение приемлемости уровня риска помогает принять решения об обработке

   3.2.15 обработка риска информационной безопасности организации; обработка риска ИБоргани-эации: Процесс разработки и/или отбора и внедрения мер управления рисками информационной безо» ласности организации.

   Примечания

   1 Обработка риска может включать в себя:

   Избежание риска путем принятия решения не начинать или не продолжать действия, создающие условия

   Лоиск благоприятной возможности путем принятия решения начать или продолжать действия, могущие создать или увеличить риск;

   Устранение источника риска:

   Изменение характера и величины риска:

   Изменение последствий;

   Разделение риска с другой стороной или сторонами.

   Сохранение риска как в результате сознательного решения, так и «по умолчанию».

   2 Обработки риска с негативными последствиями иногда называют смягчением, устранением, предотвращением. снижением, подавлением и коррекцией риска.

   3.2.16 управление рисками: Координированные действия по направлению и контролю над деятельностью организации в связи с рисками.

   3.2.17 источник риска информационной безопасности организации; источник риска ИБ организации: Объект или действие, способное вызвать [создать) риск.

   Примечания

   1 Риск отсутствует при отсутствии взаимодействия объекта, лице или организации с источником риска.

   2 Источник риска может быть материальным или нематериальным.

   3.2.18 политика информационной безопасности (организации); политика ИБ (организации): Формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация всвоей деятельности.

   Примечание - Политики должны содержать.

   Предмет, основные цели и задачи политики безопасности:

   Условия применения политики безопасности и возможные ограничения:

   Описание позиции руководства организации в отношении выполнения политики безопасности и организации режима информационной безопасности организации в целом.

   Права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности организации.

   Порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности

   3.2.19 цель информационной безопасности (организации); цель ИБ (организации): Заранее намеченный результат обеспечения информационной безопасности организации в соответствии с установленными требованиями в политике ИБ (организации).

   Примечание - Результатом обеспечения ИБ может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

   3.2.20 система документов по информационной безопасности в организации; система документов по ИБ в организации: Объединенная целевой направленностью упорядоченная совокупность документов. взаимосвязанных по признакам происхождения, назначения, вида, сферы деятельности, единых требований к их оформлению и регламентирующих в организации деятельность по обеспечению информационной безопасности.

   ГОСТ Р 53114-2008

   3.3 Термины, относящиеся к угрозам безопасности информации

   3.3.1 угроза информационной безопасности организации; угроза ИБ организации: Совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации.

   Примечания

   1 Формой реализации (проявления) угрозы ИБ является нвсгупление одного или нескольких взаимосвязанных событий ИБ и инцидентов ИБ. приводящвго(их)к нарушений свойств информационной безопасности объекта (ов)защиты организации.

   2 Угроза характеризуется наличием объекта угрозы, источника угрозы и проявления угрозы.

   угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

   [ГОСТ Р 50922-2006. пункт 2.6.1]

   3.3.3 модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

   Примечание - видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

   уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

   Примечания

   1 Условием реализации угрозы безопасности, обрабатываемой в системе информации, может бытьнедос-таток или слабое место в информационной системе.

   2 Если уязвимость соответствует угрозе, то существует риск.

   [ГОСТ Р 50922-2006. пункт 2.6.4]

   3.3.5 нарушитель информационной безопасности организации; нарушитель ИБ организации: Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации.

   3.3.6 несанкционированный доступ: Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый снарушенивм установленных прави(или)правил доступа.

   Примечания

   1 Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.

   2 Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных. технических и информационных ресурсов, в также получения информации о них.

   3.3.7 сетевая атака: Действия с применением программных и (или) технических средств и с использованием сетевого протокола, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной информационной системы.

   Применение - Сетевой протокол - совокупность семантических и синтаксических правил, определяющих взаимодействие программ управления сетью, находящейся в одной ЭВМ. с одноименными программами, находящимися в другой ЭВМ.

   3.3.8 блокирование доступа (к информации): Прекращение или затруднение доступа к информации лиц. имеющих на это право (законных пользователей).

   3.3.9 атака «отказ в обслуживании»: Сетевая атака, приводящая к блокированию информационных процессов в автоматизированной системе.

   3.3.10 утечка информации: Неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками.

   3.3.11 разглашение информации: Несанкционированное доведение защищаемой информации до лиц. не имеющих права доступа кэтой информации.

   ГОСТ Р 53114-2008

   перехват (информации): Неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

   (Р 50.1.053-2005, пункт 3.2.5]

   информативный сигнал: Сигнал, по параметрам которого может быть определена защищаемая информация.

   [Р 50.1.05S-2005. пункт 3.2.6]

   3.3.14 кедекларированные возможности: Функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации. которые могут привести к снижению или нарушению свойств безопасности информации.

   3.3.15 побочные электромагнитные излучения и наводки: Электромагнитные излучения технических средств обработки информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

   3.4 Термины, относящиеся к менеджменту информационной безопасности организации

   3.4.1 менеджмент информационной безопасности организации; менеджмент Иб организации; Скоординированные действия по руководству и управлению организацией в части обеспечения ее информационной безопасности в соответствии с изменяющимися условиями внутренней и внешней среды организации.

   3.4.2 менеджмент риска информационной безопасности организации; менеджмент риска ИБ организации: Скоординированные действия по руководству и управлению организацией в отношении риска ИБ с целью его минимизации.

   Примечание - Основными процессами менеджмента риска являются установление контекста, оценка риска, обработка и принятие риска, мониторинг и пересмотр риска.

   система менеджмента информационной безопасности; СМИБ: Часть общей системы менеджмента. основанная на использовании методов оценки биэнес-риское для разработки, внедрения, функционирования. мониторинга, анализа, поддержки и улучшения информационной безопасности.

   Примечание - Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

   [ГОСТ Р ИСО/МЭК 27001 -2006. пункт 3.7]

   3.4.4 роль информационной безопасности в организации; роль ИБ в организации: Совокупность определенных функций и задач обеспечения информационной безопасности организации, устанавливающих допустимое взаимодействие между субъектом и объектом в организации.

   Примечания

   1 К субъектам относятся лица из числа руководителей организации, ее персонал или инициируемые от их имени процессы по выполнению действий над объектами

   2 Объектами могут быть техническое, программное, программно-техническое средство, информационный ресурс, над которыми выполняются действия.

   3.4.5 служба информационной безопасности организации: Организационно-техническая структура системы менеджмента информационной безопасности организации, реализующая решение определенной задачи, направленной на противодействие угрозам информационной безопасности организации.

   3.5 Термины, относящиеся к контролю и оценке информационной безопасности организации

   3.5.1 контроль обеспечения информационной безопасности организации; контроль обеспечения ИБ организации: Проверка соответствия обеспечения информационной безопасности в организации.

   ГОСТ Р 53114-2008

   3.5.2 мониторинг информационной безопасности организации; мониторинг ИБ организации: Пос* тоянное наблюдение за процессом обеспечения информационной безопасности в организации с целью установить его соответствие требованиям по информационной безопасности.

   3.5.3 аудит информационной безопасности организации; аудит ИБорганизации: Систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обес* печению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности, а также допускающий возможность формирования профессионально* го аудиторского суждения о состоянии информационной безопасности организации.

   3.5.4 свидетельства (доказательства) аудита информационной безопасности организации; сеи-детельства аудита ИБ организации: Записи, изложение фактов или другая информация, которые имеют отношение к критериям аудита информационной безопасности организации и могут быть проверены.

   Примечание - Свидетельстве дудите информационной безопасности могут быть качественными или количественными.

   3.5.5 оценка соответствия информационной безопасности организации установленным требо* ваниям; оценка соответствия ИБорганизации установленным требованиям: Деятельность, сеязаннаяс прямым или косвенным определением выполнения или невыполнения в организации установленных требований информационной безопасности.

   3.5.6 критерий аудита информационной безопасности организации; критерий аудита ИБорганиза-ции: Совокупность принципов, положений, требований и показателей действующих нормативных доку* ментов, относящихся к деятельности организации в области информационной безопасности.

   Применение - Критерии аудите информационной безопасности используют для сопоставления с ними свидетельств аудита информационной безопасности.

   3.5.7 аттестация автоматизированной системы в защищенном исполнении: Процесс комплексной проверки выполнения заданных функций автоматизированной системы по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнению функции по обработке защищаемой информации на конкретном объекте информатизации.

   3.5.8 критерий обеспечения информационной безопасности организации; критерий обеспечения ИБ организации: Показатель, на основании которого оценивается степень достижения цели (целей) информационной безопасности организации.

   3.5.9 эффективность обеспечения информационной безопасности; эффективность обеспечения ИБ: Связь между достигнутым результатом и использованными ресурсами для обеспечения заданного уровня информационной безопасности.

   3.6 Термины, относящиеся к средствам обеспечения информационной безопасности организации

   3.6.1 обеспечение информационной безопасности организации; обеспечение ИБ организации: Деятельность, направленная на устранение (нейтрализацию, парирование) внутреннихи внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз.

   3.6.2 мера безопасности; мера обеспечения безопасности: Сложившаяся практика, процедура или механизм обработки риска.

   3.6.3 меры обеспечения информационной безопасности; меры обеспечения ИБ: Совокупность действий, направпенкых на разработку и/или практическое применение способов и средств обеспечения информационной безопасности.

   3.6.4 организационные меры обеспечения информационной безопасности; организационные меры обеспечения ИБ: Меры обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

   3.6.5 техническое средство обеспечения информационной безопасности; техническое средство обеспечения ИБ: Оборудование, используемое для обеспечения информационной безопасности организации некриптографическими методами.

   Примечание - Такое оборудование может быть представлено техническими и программно-техническими средствами, встроенными в объект защиты и/или функционирующими автономно (независимо от объекта защиты).

   ГОСТ Р 53114-2008

   3.5.6 средство обнаружения вторжений, средство обнаружения атак: Программное или программно-техническое средство, которое автоматизирует процесс контроля событий, протекающих в компьютерной системе или сети, а также самостоятельно анализирует эти события в поисках признаков инцидента информационной безопасности.

   3.6.7 средство защиты от несанкционированного доступа: Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.

   ГОСТ Р 53114-2008

   Алфавитный указатель терминов

   активы организации 3.1.6

   анализ риске 3.2.13

   АС в защищенном исполнении 3.1.19

   атака «отказ в обслуживании» 3.3.9

   атака сетевая 3.3.7

   аттестация автоматизированной системы в защищенном исполнении 3.5.7

   аудит ИБ организации 3.5.3

   аудит информационной безопасности организации 3.5.3

   безопасность {данных] 3.1.1

   безопасность информации 3.1.1

   безопасность информационной технологии 3.1.2

   безопасность организации информационная 3.2.1

   блокирование доступа {к информации) 3.3.8

   брешь 3.3.4

   возможности недекларированные 3.3.14

   данные персональные 3.1.18

   доступ несанкционированный 3.3.6

   ИБ организации 3.2.1

   идентификацияриска 3.2.12

   инфраструктура информационная 3.1.4

   инцидент информационной безопасности 3.2.7

   источник риска ИБ организации 3.2.17

   источник риска информационной безопасности организации 3.2.17

   контроль обеспечения ИБ организации 3.5.1

   контроль обеспечения информационной безопасности организации 3.5.1

   критерии обеспечения ИБ организации 3.5.8

   критерий аудите ИБ организации 3.5.6

   критерий аудита информационной безопасности организации 3.5.6

   критерий обеспечения информационной безопасности организации 3.5.8

   менеджмент ИБ организации 3.4.1

   менеджмент информационной безопасности организации 3.4.1

   менеджмент риска ИБ организации 3.4.2

   менеджмент риска информационной безопасности организации 3.4.2

   мера безопасности 3.6.2

   мера обеспечения безопасности 3.6.2

   меры обеспечения ИБ 3.6.3

   меры обеспечения ИБ организационные 3.6.4

   меры обеспечения информационной безопасности 3.6.3

   меры обеспечения информационной безопасности организационные 3.4.6

   модель угроз (безопасности информации) 3.3.3

   мониторинг ИБ организации 3.5.2

   мониторинг информационной безопасности организации 3.5.2

   нарушение ИБ организации 3.2.4

   нарушение информационной безопасности организации 3.2.4

   нарушитель ИБ организации 3.3.5

   нарушитель информационной безопасности организации 3.3.5

   обеспечение автоматизированной системы информационное 3.1.12

   обеспечение автоматизированной системы программное 3.1.11

   обеспечение автоматизированной системы техническое 3.1.10

   обеспечение АС информационное 3.1.12

   обеспечение АС программное 3.1.11

   обеспечение АС техническое 3.1.10

   обеспечение ИБ организации 3.6.1

   обеспечение информационной безопасности организации 3.6.1

   обработка риска ИБ организации 3.2.15

   ГОСТ Р 53114-2008

   обработке риска информационной безопасности организации 3.2.1S

   объект защиты информации 3.2.2

   объект информатизации 3.1.5

   объект критический 3.1.16

   определение приемлемости уровня риска 3.2.14

   оценка риска 3.2.10

   оценка риске И6 (организации) 3.2.11

   оценка риска информационной безопасности (организации) 3.2.11

   оценке соответствия ИБ организации установленным требованиям 3.5.5

   оценка соответствия информационной безопасности организации установленным требованиям 3.5.5

   перехват (информации) 3.3.12

   политика ИБ (организации) 3.2.18

   политика информационной безопасности (организации) 3.2.18

   процесс (информационной технологии)защищаемый 3.2.3

   процесс информационный 3.1.8

   разглашение информации 3.3.11

   ресурс системы обработки информации 3.1.7

   роль ИБ а организации 3.4.4

   роль информационной безопасности 8 организации 3.4.4

   свидетельства (доказательства) аудита ИБ организации 3.5.4

   свидетельства (докаэательства)аудита информационной безопасности организации 3.5.4

   сервис 3.1.13

   сигнал информативный 3.3.13

   система в защищенном исполнении автоматизированная 3.1.19

   система документов по ИБ в организации 3.2.20

   система документов по информационной безопасности в организации 3.2.20

   системе информационной инфраструктуры ключевая 3.1.15

   система информационной инфраструктуры критически важная 3.1.15

   система менеджмента информационной безопасности 3.4.3

   система персональныхданных информационная 3.1.17

   ситуация непредвиденная 3.2.5

   ситуация опасная 3.2.6

   ситуация чрезвычайная 3.2.5

   служба информационной безопасности организации 3.4.6

   событие 3.2.8

   средство защиты от несанкционированного доступа 3.6.7

   средство обеспечения ИБ техническое 3.6.5

   средство обеспечения информационной безопасности техническое 3.6.5

   средство обнаружения атак 3.6.6

   средство обнаружения вторжений 3.6.6

   сфера информационная 3.1.3

   технология информационная 3.1.9

   угроза (безопасности информации) 3.3.2

   угроза ИБ организации 3.3.1

   угроза информационной безопасности организации 3.3.1

   управление рисками 3.2.16

   услуга 3.1.13

   услуги информационных технологий 3.1.14

   услугиИТ 3.1.14

   утечка информации 3.3.10

   уязвимость (информационной системы) 3.3.4

   цель ИБ (организации) 3.2.19

   цель информационной безопасности (организации) 3.2.19

   электромагнитные излучения и наводки побочные 3.3.15

   эффективность обеспечения ИБ 3.5.9

   эффективность обеспечения информационной безопасности 3.5.9

   ГОСТ Р 53114-2008

   Приложение А (справочное)

   Термины и определения общетехнических понятий

   организация: Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

   (ГОСТ Р ИСО 9000-2001, пункт 3.3.1]

   Примечания

   1 К организации относятся: компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, вссоцивция. в также их подразделения или комбинация из них.

   2 Распределение обычно бывает упорядоченным.

   3 Организация может быть государственной или частной.

   А.2 бизнес: Экономическая деятельность, дающая прибыль; любой вид деятельности, приносящий доход, являющийся источником обогащения.

   А.З бизнес-процесс: Процессы, используемые в экономической деятельности организации.

   информация: Сведения (сообщения, данные) независимо от формы их представления.

   активы: Все. что имеет ценность для организации. (ГОСТ Р ИСО/МЭК13335-1-2006, пункт 2.2(

   А.6 ресурсы: Активы (организации), которые используются или потребляются в ходе выполнения процесса. Примечания

   1 Ресурсы могут включать в себя такие разнообразные объекты, как персонал, оборудование, основные средства, инструменты, в также коммунальные услуги: анергию, воду, топливо и инфраструктуру сетей связи.

   2 Ресурсы могут быть многократно используемыми, возобновляемыми или расходуемыми.

   А.7 опасность: Свойство объекта, характеризующее его способность наносить ущерб или вред другим объектам. А.8 чрезвычайное событие: Событие, приводящее к чрезвычайной ситуации.

   А.9 ущерб: Физическое повреждение или нанесение вреда здоровью людей либо нанесение вреда имуществу или окружающей среде.

   А. 10 угроза: Совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности. конфиденциальности.

   А.11 уязвимость: Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию.

   А. 12 атака: Попытка преодоления системы защиты информационной системы.

   Примечания - Степень «успеха» атаки зависит от уязвимости и эффективности системы защиты.

   А.13 менеджмент: Скоординированная деятельность по руководству и управлению организацией

   А.14 менеджмент (непрерывности) бизнеса: Скоординированная деятельность по руководству и управлению

   бизнес-процессами организации.

   А. 15 роль: Заранее определенная совокупность правил и процедур деятельности организации, устанавливающих допустимое взаимодействие между субъектом и объектом деятельности.

   обладатель информации: Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

   ГОСТ Р 53114-2008

   инфраструктуре: Совокупность зданий, оборудования и служб обеспечения, необходимых для функционирования организации.

   [ГОСТ Р ИСО 9000-2001. пункт 3.3.3]

   А.18 аудит: Систематический независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудите.

   Примечания

   1 Внутренние аудиты, называемые аудитами первой стороны, проводит для внутренних целей сама организация или от ее имени другая организация. Результаты внутреннего аудита могут служитьоснованием для декларации о соответствии. Во многих случаях, особенно на малых предприятиях, аудит должен проводиться специалистами (людьми, не несущими ответственности зв проверяемую деятельность).

   2 Внешние аудиты включают аудиты, называемые аудитами второй стороны и аудитами третьей стороны. Аудиты второй стороны проводят стороны, заинтересованные в деятельности предприятия, например.

   потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации. Эти организации проводят сертификацию или регистрацию на соответствие требованиям, например, требованиям ГОСТ Р ИСО 9001 и ГОСТ Р ИСО 14001.

   3 Аудит систем менеджмента качества и экологического менеджмента, проводимый одновременно, называют «комплексным аудитом».

   4 Если вудит проверяемой организации проводят одновременно несколько организаций, то такой аудит называют «совместным аудитом».

   А.19 мониторинг: Систематическое или непрерывное наблюдение за объектом с обеспечением контроля и/или измерения его параметров, в также проведение анализа с целью предсказания изменчивости параметров и принятия решения о необходимости и составе корректирующих и предупреждающих действий.

   декларирование соответствия: Форма подтверждения соответствия продукции требованиям технических регламентов.

   А.21 технология: Системе взаимосвязанных методов, способов, приемов предметной деятельности. А.22

   документ: Зафиксированная на материальном носителе информацияс реквизитами, позволяющими ее идентифицировать.

   [ГОСТ Р 52069.0-2003. пункт 3.18]

   А.23 обработка информации: Совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения, осуществляемых над информацией.

   ГОСТ Р 53114-2008

   Приложение Б (справочное)

   Взаимосвязь основных понятий в области обеспечения информационной безопасности в организации

   Взаимосвязь основных понятий приведена на рисунке Б.1.

   
   

   Рисунок Б.1 - взаимосвязь основных понятий

   ГОСТ Р 53114-2008

   Библиография

   (1] Р 50.1.053-2005

   (2] PS0.1.056-2005

   Информационные технологии. Основные термины и определения в области технической защиты информации Техническая защита информации. Основные термины и определения

   О техническом регулировании

   Об информации, информационных технологиях и защите информации

   О персональных данных

   Доктрине информационной безопасности Российской Федерации

   УДК 351.864.1:004:006.354 ОКС 35.020 ТОО

   Ключевые слова: информация, защита информации, информационная безопасность в организации, угрозы безопасности информации, критерии безопасности информации

   Редактор В.Н. Копы сое Технический редактор В.Н. Прусакова Корректор В.Е. Несторово Компьютерная оерстка И.А. НапеикиноО

   Сдано в набор 06.11.2009. Подписано е печать 01.12.2009. Формат 60 »84Бумага офсетная. Гарнитура Ариал. Печать офсетная. Усп. печ. л. 2.32. Уч.-иэд. л. 1.90. Тираж 373 »кз. Зак. 626

   ФГУП «СТАНДАРТИНФОРМ*. 123995 Москва. Гранатный пор.. 4. info@goslmlo ги

   Набрано во ФГУП «СТАНДАРТИНФОРМ» на ПЭВМ.

   Отпечатано а филиале ФГУП «СТАНДАРТИНФОРМ* - тип. «Московский печатник». 105062 Москва. Лялин пер.. 6.

   • ГОСТ 22731-77 Системы передачи данных процедуры управления звеном передачи данных в основном режиме для полудуплексного обмена информацией
   • ГОСТ 26525-85 Системы обработки данных. Показатели использования
   • ГОСТ 27771-88 Процедурные характеристики на стыке между оконечным оборудованием данных и аппаратурой окончания канала данных. Общие требования и нормы
   • ГОСТ 28082-89 Системы обработки информации. Методы обнаружения ошибок при последовательной передаче данных
   • ГОСТ 28270-89 Системы обработки информации. Спецификация файла описания данных для обмена информацией
   • ГОСТ Р 43.2.11-2014 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Структурированное представление текстовых сведений в форматах сообщений
   • ГОСТ Р 43.2.8-2014 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Форматы сообщений для технической деятельности
   • ГОСТ Р 43.4.1-2011 Информационное обеспечение техники и операторской деятельности. Система «человек-информация»
   • ГОСТ Р 53633.10-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление рисками организации
   • ГОСТ Р 53633.11-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM).Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление эффективностью организации
   • ГОСТ Р 53633.4-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление и эксплуатация услуг
   • ГОСТ Р 53633.7-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Разработка и управление ресурсами
   • ГОСТ Р 53633.9-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Планирование стратегии и развития организации
   • ГОСТ Р 55767-2013 Информационная технология. Европейская рамка ИКТ-компетенций 2.0. Часть 1. Общая европейская рамка компетенций ИКТ-специалистов для всех секторов индустрии
   • ГОСТ Р 55768-2013 Информационная технология. Модель открытой Грид-системы. Основные положения
   • ГОСТ Р 56093-2014 Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования
   • ГОСТ Р 56115-2014 Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования
   • ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
   • ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем
   • ГОСТ IEC 60950-21-2013 Оборудование информационных технологий. Требования безопасности. Часть 21. Удаленное электропитание
   • ГОСТ IEC 60950-22-2013 Оборудование информационных технологий. Требования безопасности. Часть 22. Оборудование, предназначенное для установки на открытом воздухе
   • ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
   • ГОСТ Р 55766-2013 Информационная технология. Европейская рамка ИКТ-компетенций 2.0. Часть 3. Создание e-CF - соединение методологических основ и опыта экспертов
   • ГОСТ Р 55248-2012 Электробезопасность. Классификация интерфейсов для оборудования, подсоединяемого к сетям информационных и коммуникационных технологий
   • ГОСТ Р 43.0.11-2014 Информационное обеспечение техники и операторской деятельности. Базы данных в технической деятельности
   • ГОСТ Р 56174-2014 Информационные технологии. Архитектура служб открытой Грид-среды. Термины и определения
   • ГОСТ IEC 61606-4-2014 Аудио- и аудиовизуальное оборудование. Компоненты цифровой аудиоаппаратуры. Основные методы измерений звуковых характеристик. Часть 4. Персональный компьютер
   • ГОСТ Р 43.2.5-2011 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Грамматика
   • ГОСТ Р 53633.5-2012 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Управление маркетингом и предложением продукта
   • ГОСТ Р 53633.6-2012 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Разработка и управление услугами
   • ГОСТ Р 53633.8-2012 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Разработка и управление цепочками поставок
   • ГОСТ Р 43.0.7-2011 Информационное обеспечение техники и операторской деятельности. Гибридно-интеллектуализированное человекоинформационное взаимодействие. Общие положения
   • ГОСТ Р 43.2.6-2011 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Морфология
   • ГОСТ Р 53633.14-2016 Информационные технологии. Сеть управления электросвязью расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление отношениями с заинтересованными сторонами и внешними связями
   • ГОСТ Р 56938-2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения
   • ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования
   • ГОСТ Р ИСО/МЭК 17963-2016 Спецификация веб-служб для управления (WS-management)
   • ГОСТ Р 43.0.6-2011 Информационное обеспечение техники и операторской деятельности. Естественно-интеллектуализированное человекоинфомационное взаимодействие. Общие положения
   • ГОСТ Р 54817-2011 Воспламенение аудио-, видеоаппаратуры, оборудования информационных технологий и связи, случайно возникшее от пламени свечи
   • ГОСТ Р МЭК 60950-23-2011 Оборудование информационных технологий. Требования безопасности. Часть 23. Оборудование для хранения больших объемов данных
   • ГОСТ Р МЭК 62018-2011 Потребление энергии оборудованием информационных технологий. Методы измерения
   • ГОСТ Р 53538-2009 Многопарные кабели с медными жилами для цепей широкополосного доступа. Общие технические требования
   • ГОСТ Р 53633.0-2009 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Общая структура бизнес-процессов
   • ГОСТ Р 53633.1-2009 Информационная технология. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление взаимоотношениями с поставщиками и партнерами
   • ГОСТ Р 53633.2-2009 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление и эксплуатация ресурсов
   • ГОСТ Р 53633.3-2009 Информационная технология. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление взаимоотношениями с клиентами
   • ГОСТ Р ИСО/МЭК 20000-2-2010 Информационная технология. Менеджмент услуг. Часть 2. Кодекс практической деятельности
   • ГОСТ Р 43.0.3-2009 Информационное обеспечение техники и операторской деятельности. Ноон-технология в технической деятельности. Общие положения
   • ГОСТ Р 43.0.4-2009 Информационное обеспечение техники и операторской деятельности. Информация в технической деятельности. Общие положения
   • ГОСТ Р 43.0.5-2009 Информационное обеспечение техники и операторской деятельности. Процессы информационно-обменные в технической деятельности. Общие положения
   • ГОСТ Р 43.2.1-2007 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Общие положения
   • ГОСТ Р 43.2.2-2009 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Общие положения по применению
   • ГОСТ Р 43.2.3-2009 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Виды и свойства знаковых компонентов
   • ГОСТ Р 43.2.4-2009 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Cинтактика знаковых компонентов
   • ГОСТ Р 52919-2008 Информационная технология. Методы и средства физической защиты. Классификация и методы испытаний на огнестойкость. Комнаты и контейнеры данных
   • ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения
   • ГОСТ Р 53245-2008 Информационные технологии. Системы кабельные структурированные. Монтаж основных узлов системы. Методы испытания
   • ГОСТ Р 53246-2008 Информационные технологии. Системы кабельные структурированные. Проектирование основных узлов системы. Общие требования
   • ГОСТ Р МЭК 60990-2010 Методы измерения тока прикосновения и тока защитного проводника
   • ГОСТ 33707-2016 Информационные технологии. Словарь
   • ГОСТ Р 57392-2017 Информационные технологии. Управление услугами. Часть 10. Основные понятия и терминология
   • ГОСТ Р 43.0.13-2017 Информационное обеспечение техники и операторской деятельности. Направленная подготовка специалистов
   • ГОСТ Р 43.0.8-2017 Информационное обеспечение техники и операторской деятельности. Искусственно-интеллектуализированное человекоинформационное взаимодействие. Общие положения
   • ГОСТ Р 43.0.9-2017 Информационное обеспечение техники и операторской деятельности. Информационные ресурсы
   • ГОСТ Р 43.2.7-2017 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Синтаксис
   • ГОСТ Р ИСО/МЭК 38500-2017 Информационные технологии. Стратегическое управление ИТ в организации
   • ГОСТ Р 43.0.10-2017 Информационное обеспечение техники и операторской деятельности. Информационные объекты, объектно-ориентированное проектирование в создании технической информации
   • ГОСТ Р 53633.21-2017 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (еТОМ). Декомпозиция и описания процессов. Основная деятельность. Управление и эксплуатация услуг. Процессы уровня 3 eTOM. Процесс 1.1.2.1 - Поддержка и обеспечение готовности процессов SM&O
   • ГОСТ Р 57875-2017 Телекоммуникации. Схемы соединения и заземление в телекоммуникационных центрах
   • ГОСТ Р 53633.22-2017 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (еТОМ). Декомпозиция и описания процессов. Основная деятельность. Управление и эксплуатация услуг. Процессы уровня 3 eTOM. Процесс 1.1.2.2 - Конфигурирование и активация услуг