Jaké jsou standardy bezpečnosti informací? Gost r - národní standardy Ruské federace v oblasti informační bezpečnosti Ruské standardy informační bezpečnosti.

Bezpečnostními standardy se rozumí povinná dokumentace, která definuje přístupy k hodnocení úrovně stávající bezpečnosti. Kromě toho tyto dokumenty stanoví určitá pravidla stanovená pro bezpečnost systémů jako celku.

Normy informační bezpečnost jsou zaměřeny na plnění určitých funkcí, zejména:

  • vyvinout určité terminologie a koncepty používané v oblasti bezpečnosti dat;
  • vytvoření stupnice nezbytné pro měření úrovně bezpečnosti;
  • provádění dohodnutých hodnocení produktů;
  • výrazné zvýšení kompatibility produktů používaných pro zabezpečení;
  • hromadění informací o osvědčené postupy nastolení ustáleného stavu;
  • poskytování informací o osvědčených postupech zainteresovaným skupinám, například prodejcům zabezpečení, odborníkům na předmět, ředitelům, správcům a všem dalším uživatelům informační systémy;
  • stanovení požadavků směřujících k povinné implementaci určitých norem, které jim dává právní sílu.

Mezinárodní bezpečnostní standardy

Mezinárodní standardy udržitelnosti jsou souborem postupů a doporučení zaměřených na implementaci systémů, které zajišťují ochranu dat.

Jeden z mezinárodních standardů BS 7799 si klade za cíl formulovat cíl ochrany informačních dat.Účelem bezpečnosti je podle tohoto certifikátu zajištění plynulého chodu společnosti a také schopnost předcházet nebo na minimum snížit možné škody vyplývající z porušení stanovených požadavků na udržitelnost.

Další z hlavních mezinárodních norem, ISO 27002, obsahuje vyčerpávající seznam praktické rady o udržitelnosti informací. Tyto tipy jsou vhodné pro ty zaměstnance, kteří jsou v rámci své práce zodpovědní za tvorbu, implementaci a následnou údržbu systémů udržitelnosti pro takové technologie.

Mezinárodní standardy bezpečnosti informací: ISO 27001

Komplex reprezentovaný mezinárodními certifikáty znamená soubor určitých postupů a doporučení, které směřují k zavádění systémů a zařízení prostředků technologické ochrany.

Vezmeme-li v úvahu určitá pravidla stanovená mezinárodním certifikátem ISO 27001 2013, musí být bezpečnost daných technologií představována určitými vlastnostmi.

Tato ISO umožňuje oddělení jednotný systém do čtyř sekcí. Vychází se z normy ISO 27001, která definuje základní požadavky na řízení kvality. Na základě ruských standardizačních norem musí tyto požadavky splňovat každá organizace, která chce prokázat svou schopnost poskytovat produkty splňující potřeby zákazníků.

Naše společnost vám s tím pomůže. Náklady na takovou službu jsou 30 000 rublů.

Mezinárodní bezpečnostní normy: ISO 17799

ISO 17799 byla vytvořena mezinárodní organizací v roce 2000. V souladu s jeho požadavky musí být při vytváření rámce odolnosti, který je považován za účinný, věnována zvláštní pozornost integrovanému přístupu zaměřenému na řízení bezpečnosti. Z tohoto důvodu jsou opatření zaměřená na zajištění určitých požadavků stanovených pro informace považována za kontrolní prvek:

  • její důvěrnost;
  • spolehlivost informací;
  • dostupnost;
  • integritu poskytovaných informací.

Národní systém standardů informační bezpečnosti

Národní normalizační systém je reprezentován souborem národních certifikátů a celoruských klasifikátorů. V tato struktura zahrnuje nejen samotné certifikáty, ale i pravidla pro jejich vývoj a následnou aplikaci.

V Ruské federaci lze národní certifikát uplatnit dobrovolně bez ohledu na zemi nebo místo původu.

Zároveň existuje pravidlo, podle kterého se takový vnitrostátní systém použije pouze v případě, že existuje značka shody.

Ruská GOST R ISO 17799 definuje všechny vzorky zaměřené na zajištění bezpečnosti informací jako standardy zaměřené na zachování důvěrnosti. V důsledku toho mohou s takovými technologiemi pracovat pouze někteří zaměstnanci, kteří mohou zajistit integritu, dostupnost a bezpečnost informací.

GOST R ISO 27001 je hlavní norma obsahující vyčerpávající seznam vlastností, které musí mít jakákoli metoda zajištění bezpečnosti každé jednotlivé informační technologie.

Domácí vzorky GOST ISO IEC 15408, sestavené na základě mezinárodních ISO v oblasti příslušných technologií, jsou zaměřeny na zajištění srovnatelnosti výsledků získaných jako výsledek nezávislého posouzení.

Splnění požadavků uvedených v tomto GOST ISO RF je dosaženo založením jednotný seznam požadavky, které mohou být předloženy některým technologiím v této oblasti, jakož i opatřením důvěryhodnosti používaným při posuzování takových technologií v rámci zajišťování jejich bezpečnosti.

V Ruské federaci lze technologické produkty prodávat v několika formách:

  • Hardware;
  • software;
  • software a hardware.

Výsledky získané v procesu posuzování shody v této oblasti s ruskou ISO Ruské federace umožňují určit, zda kontrolované technologie splňují pro ně stanovené bezpečnostní požadavky státu.

Zpravidla se používají ruské certifikáty GOST ISO RF:

  • jako průvodce vývojem technologických produktů;
  • jako průvodce stavem technologické bezpečnosti výrobků;
  • jako posouzení technologických produktů při jejich nákupu.
Systémy řízení bezpečnosti – Specifikace s návodem k použití" (Systémy – specifikace s návodem k použití). Na jeho základě byla vyvinuta norma ISO/IEC 27001:2005 „Informační technologie". Bezpečnostní techniky. Systémy řízení bezpečnosti informací. Požadavky“, jejichž splnění lze certifikovat.

V Rusku dál tento moment Platí normy GOST R ISO/IEC 17799-2005 "Informační technologie. Praktická pravidla" řízení bezpečnosti informací"(autentický překlad ISO/IEC 17799:2000) a GOST R ISO/IEC 27001-2006 "Informační technologie. Metody a prostředky zajištění bezpečnosti. Systémy řízení bezpečnosti informací. Požadavky" (překlad ISO/IEC 27001:2005). Navzdory některým vnitřním nesrovnalostem spojeným s různými verzemi a funkcemi překladu nám přítomnost norem umožňuje přinést systém řízení bezpečnosti informací v souladu s jejich požadavky a v případě potřeby certifikovat.

GOST R ISO/IEC 17799:2005 "Informační technologie. Praktická pravidla pro řízení bezpečnosti informací"

Podívejme se nyní na obsah normy. V úvodu se uvádí, že „informace, procesy, které je podporují, informační systémy a síťová infrastruktura jsou základními aktivy organizace. Důvěrnost, integrita a dostupnost informací může významně přispět ke konkurenceschopnosti, likviditě, ziskovosti, dodržování předpisů a obchodní pověst organizace." Můžeme tedy říci, že tento standard zvažuje otázky bezpečnosti informací, a to i z hlediska ekonomického efektu.

Jsou uvedeny tři skupiny faktorů, které je třeba vzít v úvahu při vývoji požadavků v oblasti informační bezpečnosti. Tento:

  • hodnocení rizik organizace. Prostřednictvím hodnocení rizik jsou identifikovány hrozby pro majetek organizace, posouzení zranitelnosti relevantní aktiva a pravděpodobnost výskytu hrozeb, jakož i posouzení možných důsledků;
  • právní, zákonné, regulační a smluvní požadavky, které musí splňovat organizace, její obchodní partneři, dodavatelé a poskytovatelé služeb;
  • specifický soubor zásad, cílů a požadavků vypracovaných organizací ohledně zpracování informací.

Jakmile jsou požadavky stanoveny, začíná fáze výběru a realizace opatření, která zajistí snížení rizik na přijatelnou úroveň. Výběr událostí podle řízení bezpečnosti informací by měly vycházet z poměru nákladů na jejich realizaci, efektu snížení rizik a možných ztrát v případě narušení bezpečnosti. Je třeba vzít v úvahu i faktory, které nelze vyjádřit v penězích, jako je ztráta dobrého jména. Možný seznam činností je uveden ve standardu, ale je třeba poznamenat, že jej lze doplňovat nebo tvořit samostatně na základě potřeb organizace.

Stručně uveďme části normy a v nich navrhovaná opatření na ochranu informací. První skupina se týká bezpečnostní politiky. Požaduje se, aby byla vypracována, schválena vedením organizace, zveřejněna a dána na vědomí všem zaměstnancům. Měl by určovat postup pro práci s informačními zdroji organizace, povinnosti a odpovědnosti zaměstnanců. Zásady jsou pravidelně revidovány, aby odrážely aktuální stav systému a identifikovaná rizika.

Další část se zabývá organizačními otázkami souvisejícími s bezpečností informací. Norma doporučuje vytvářet řídící rady (za účasti vrcholového vedení společnosti), které schvalují bezpečnostní politiku, jmenují odpovědné osoby, rozdělení odpovědnosti a koordinace realizace činností pro řízení bezpečnosti informací V organizaci. Také by měl být popsán proces získání povolení k používání nástrojů pro zpracování informací (včetně nového softwaru a hardwaru) v organizaci, aby to nevedlo k bezpečnostním problémům. Je také nutné stanovit postup pro interakci s jinými organizacemi v otázkách bezpečnosti informací, konzultace s „externími“ specialisty a nezávislé ověřování (audit) bezpečnosti informací.

Při poskytování přístupu k informačním systémům specialistům z organizací třetích stran je třeba věnovat zvláštní pozornost otázkám bezpečnosti. Posouzení rizik spojených s odlišné typy přístup (fyzický nebo logický, tj. vzdálený) takových specialistů k různým zdrojům organizace. Potřeba poskytnout přístup musí být odůvodněná a smlouvy s třetími stranami a organizacemi musí obsahovat požadavky týkající se souladu s bezpečnostní politikou. Totéž se navrhuje v případě zapojení organizací třetích stran do zpracování informací (outsourcing).

Další část normy je věnována otázkám klasifikace a správa aktiv. Pro zajištění informační bezpečnosti organizace je nutné, aby všechna klíčová informační aktiva byla zaúčtována a přidělena odpovědným vlastníkům. Doporučujeme začít inventářem. Následující klasifikace je uvedena jako příklad:

  • informační majetek (databáze a datové soubory, systémové dokumentaci atd.);
  • softwarová aktiva (aplikační software, systémový software, vývojové nástroje a utility);
  • fyzický majetek (počítačové vybavení, komunikační zařízení, paměťová média, ostatní technické vybavení, nábytek, prostory);
  • služby (výpočetní a komunikační služby, zákl veřejné služby).

Dále se navrhuje klasifikovat informace za účelem určení jejich priority, nutnosti a stupně ochrany. Současně lze relevantní informace posuzovat s ohledem na to, jak kritické jsou pro organizaci například z hlediska zajištění její integrity a dostupnosti. Poté se navrhuje vyvinout a zavést postup označování při zpracování informací. Pro každou úroveň klasifikace by měly být definovány postupy označování, které je třeba vzít v úvahu následující typy zpracování informací:

Další část se zabývá bezpečnostními otázkami týkajícími se personálu. Norma určuje, že odpovědnosti za dodržování bezpečnostních požadavků jsou rozděleny ve fázi výběru personálu, zahrnuty do pracovních smluv a sledovány po celou dobu zaměstnání zaměstnance. Zejména při přijímání stálého zaměstnance se doporučuje zkontrolovat pravost dokumentů předložených uchazečem, úplnost a správnost životopisu a doporučení, která mu byla předložena. Doporučuje se, aby zaměstnanci podepsali dohodu o mlčenlivosti, v níž bude uvedeno, které informace jsou důvěrné nebo citlivé. Musí být stanovena disciplinární odpovědnost za zaměstnance, kteří porušují bezpečnostní zásady a postupy organizace. V případě potřeby by tato odpovědnost měla trvat určitou dobu po ukončení zaměstnání.

Uživatelé musí být vyškoleni bezpečnostní postupy a správné používání nástrojů pro zpracování informací k minimalizaci možných rizik. Navíc postup pro informování o narušení bezpečnosti informací, se kterým musí být personál seznámen. Obdobně by se mělo postupovat v případě selhání softwaru. Takové incidenty je třeba zaznamenávat a analyzovat, aby bylo možné identifikovat opakující se problémy.

Další část normy řeší otázky fyzické ochrany a ochrany životního prostředí. Uvádí se, že „prostředky pro zpracování kritických nebo důležitých servisních informací musí být umístěny v bezpečnostních zónách určených určitým bezpečnostní perimetr s vhodnými ochrannými bariérami a kontrolami proti vniknutí. Tyto prostory musí být fyzicky chráněny před neoprávněným přístupem, poškozením a nárazy." Kromě organizace kontroly vstupu do chráněných prostor musí být stanoven postup provádění prací v nich a případně postupy pro organizaci vstupu návštěvníků. nezbytné pro zajištění bezpečnosti zařízení (včetně , které se používá mimo organizaci) pro snížení rizika neoprávněného přístupu k datům a jejich ochranu před ztrátou nebo poškozením Do této skupiny požadavků patří také zajištění ochrany před výpadky napájení a kabelové sítě Musí být také definovány postupy Údržba zařízení, s ohledem na bezpečnostní požadavky a postupy pro bezpečnou likvidaci nebo opětovné použití zařízení. Například odpisová paměťová média obsahující důležitá informace, doporučuje se fyzicky zničit nebo přepsat bezpečným způsobem, spíše než používat standardní funkce pro mazání dat.

Aby se minimalizovalo riziko neoprávněného přístupu nebo poškození papírových dokumentů, paměťových médií a médií pro zpracování informací, doporučuje se zavést politiku „čistého stolu“ pro papírové dokumenty a vyměnitelná paměťová média a také politiku „čisté obrazovky“ pro zařízení na zpracování informací. Zařízení, informace nebo software mohou být odstraněny z prostor organizace pouze s příslušným povolením.

Název další části standardu je „Řízení přenosu dat a provozní činnosti“. Vyžaduje, aby byly stanoveny odpovědnosti a postupy spojené s provozem všech zařízení na zpracování informací. Musí být například řízeny změny konfigurace zařízení a systémů pro zpracování informací. Požaduje se zavést princip segregace odpovědnosti ve vztahu k řídícím funkcím, plnění určitých úkolů a oblastí.

Doporučuje se oddělit vývojové, testovací a produkční prostředí softwaru. Musí být definována a zdokumentována pravidla pro převod softwaru ze stavu vyvíjeného do stavu přijatého k provozu.

Další rizika vznikají při využívání externích dodavatelů ke správě zařízení pro zpracování informací. Taková rizika musí být identifikována předem a musí být přijata vhodná opatření řízení bezpečnosti informací dohodnuté se zhotovitelem a obsažené ve smlouvě.

Pro zajištění potřebné kapacity pro zpracování a úložiště je nutné analyzovat současné požadavky na výkon a také předvídat budoucí. Tyto predikce musí brát v úvahu nové funkční a Požadavky na systém, stejně jako současné a budoucí plány rozvoje informačních technologií v organizaci. Požadavky a kritéria pro přijetí nových systémů musí být jasně definovány, odsouhlaseny, zdokumentovány a testovány.

Musí být přijata opatření k prevenci a detekci zavlečení škodlivého softwaru, jako jsou počítačové viry, síťoví červi, trojské koně a logické bomby. Je třeba poznamenat, že ochrana proti malwaru by měla být založena na pochopení bezpečnostních požadavků, vhodných kontrolách přístupu k systémům a správném řízení změn.

Musí být stanoven postup pro provádění pomocných operací, který zahrnuje zálohování softwaru a dat 1 Jako příklad laboratorní práce č. 10 zkoumá organizaci Rezervovat kopii PROTI Windows Server 2008. , protokolování událostí a chyb a v případě potřeby monitorování stavu hardwaru. Opatření redundance pro každý jednotlivý systém by měla být pravidelně testována, aby bylo zajištěno, že splňují požadavky plánů kontinuity provozu.

Zajistit bezpečnost informací na sítích a chránit podpůrná infrastruktura, je nutné zavedení finančních prostředků bezpečnostní kontrola a ochranu připojených služeb před neoprávněným přístupem.

Zvláštní pozornost je věnována otázkám bezpečnosti médií různé typy: dokumenty, počítačová paměťová média (pásky, disky, kazety), vstupní/výstupní data a systémová dokumentace před poškozením. Doporučuje se vytvořit postup pro používání vyměnitelných médií informace o počítači(postup pro kontrolu obsahu, uložení, zničení atd.). Jak je uvedeno výše, paměťová média by měla být po použití bezpečně a bezpečně zlikvidována.

Aby byla zajištěna ochrana informací před neoprávněným zveřejněním nebo zneužitím, je nutné stanovit postupy pro zpracování a uchovávání informací. Tyto postupy by měly být navrženy s ohledem kategorizace informace a jednání ve vztahu k dokumentům, výpočetním systémům, sítím, přenosným počítačům, mobilní komunikaci, poště, hlasové poště, hlasové komunikaci obecně, multimediálním zařízením, používání faxu a jakýmkoli dalším důležitým předmětům, jako jsou formuláře, šeky a účty. Systémová dokumentace mohou obsahovat určité důležité informace, a proto musí být také chráněny.

Proces výměny informací a softwaru mezi organizacemi musí být kontrolován a musí být v souladu s platnou legislativou. Zejména musí být zajištěna, stanovena bezpečnost nosičů informací při přenosu zásady použití E-mailem a elektronické kancelářské systémy. Je třeba dbát na ochranu integrity zveřejňovaných informací elektronicky, jako jsou informace na webu. Před zveřejněním těchto informací je rovněž vyžadován náležitý formalizovaný schvalovací proces.

Další část normy je věnována otázkám řízení přístupu.

Je požadováno, aby pravidla řízení přístupu a práva každého uživatele nebo skupiny uživatelů byly jasně definovány bezpečnostní politikou. Uživatelé a poskytovatelé služeb si musí být vědomi nutnosti dodržovat tyto požadavky.

Použitím ověřování heslem, je nutné mít nad uživatelskými hesly kontrolu. Uživatelé musí zejména podepsat dokument, kterým souhlasí se zachováním úplné důvěrnosti hesel. Je požadováno, aby byla zajištěna bezpečnost procesu získávání hesla pro uživatele a v případě jeho použití, aby uživatelé svá hesla spravovali (vynucená změna hesla po prvním přihlášení apod.).

Přístup k interním i externím síťovým službám musí být řízen. Uživatelé by měli mít přímý přístup pouze k těm službám, ke kterým mají oprávnění. Zvláštní pozornost je třeba věnovat ověřování vzdálených uživatelů. Na základě vyhodnocení rizik je důležité určit požadovanou úroveň ochrany pro výběr vhodné metody autentizace. Musí být sledována i bezpečnost používání síťových služeb.

Mnoho síťových a počítačových zařízení má vestavěné možnosti vzdálené diagnostiky a správy. I na tato zařízení se musí vztahovat bezpečnostní opatření.

Když jsou sítě sdíleny více organizacemi, musí být definovány požadavky na politiku řízení přístupu, aby se to vzalo v úvahu. Může být také nutné zavést dodatečná opatření řízení bezpečnosti informací omezit možnost připojení uživatelů.

Na úrovni operačního systému by měla být použita opatření pro zabezpečení informací k omezení přístupu k počítačovým zdrojům 2 Příklad organizace řízení přístupu k souborům a složkám ve Windows Server 2008 bude probrán v laboratorní práci č. 9.. Odkazuje to na identifikace a autentizace terminály a uživatelé. Doporučuje se, aby všichni uživatelé měli jedinečné identifikátory, které by neměly obsahovat žádné údaje o úrovni oprávnění uživatele. V systémech správa hesel musí být poskytnuty efektivní interaktivní schopnosti na podporu jejich požadované kvality 3 Příklad správy kvality hesel v OS Rodina Windows probráno v laboratorní práci č. 3.. Používání systémové nástroje musí být omezena a pečlivě kontrolována.

Je vhodné zajistit alarm pro případ, že by se uživatel mohl stát terčem násilí 4 Příkladem mohou být „nátlaková“ přihlašovací hesla. Pokud uživatel zadá takové heslo, systém zobrazí běžný proces přihlášení uživatele a poté simuluje selhání, aby zabránil útočníkům v přístupu k datům.(pokud je taková událost vyhodnocena jako pravděpodobná). Musí být definovány odpovědnosti a postupy pro reakci na takový poplach.

Terminály obsluhující vysoce rizikové systémy, pokud jsou umístěny na snadno přístupných místech, by měly být po určité době nečinnosti vypnuty, aby se zabránilo přístupu neoprávněných osob. Může být rovněž zavedeno omezení doby, po kterou se terminály mohou připojit k počítačovým službám.

Na aplikační úrovni je také třeba uplatňovat opatření pro bezpečnost informací. Zejména se může jednat o omezení přístupu pro určité kategorie uživatelů. Systémy, které zpracovávají důležité informace, musí být vybaveny vyhrazeným (izolovaným) výpočetním prostředím.

Monitorování systému je nezbytné pro zjištění odchylek od požadavků politiky řízení přístupu a poskytnutí důkazů v případě incidentu informační bezpečnosti. Výsledky monitorování by měly být pravidelně kontrolovány. Protokol auditu lze použít k vyšetřování incidentů, takže je docela důležitý správná instalace(synchronizace) počítačových hodin.

Při používání přenosných zařízení, jako jsou notebooky, je nutné přijmout zvláštní opatření, aby se zabránilo kompromitaci chráněných informací. Měly by být přijaty formální zásady, které řeší rizika spojená s prací s přenosnými zařízeními, zejména v nezabezpečeném prostředí.

Další část normy se nazývá „Vývoj a údržba systémů“. Už na jevišti vývoj informačních systémů je nutné zajistit, aby byly brány v úvahu bezpečnostní požadavky. A při provozu systému je nutné zabránit ztrátě, úpravě nebo zneužití uživatelských dat. Za tímto účelem se doporučuje, aby aplikační systémy poskytovaly potvrzení správnosti vstupu a výstupu dat, kontrolu zpracování dat v systém, autentizace zprávy, protokolování uživatelských akcí.

Pro zajištění důvěrnosti, integrity a autentizace dat Mohou být použita kryptografická bezpečnostní opatření.

Zajištění integrity softwaru hraje důležitou roli v procesu informační bezpečnosti. Pro minimalizaci škod na informačních systémech by měla být implementace změn přísně kontrolována. Čas od času je potřeba provést změny v operačních systémech. V těchto případech je nutné analyzovat a otestovat aplikační systémy, aby nedošlo k nepříznivému ovlivnění jejich funkčnosti a bezpečnosti. Pokud je to možné, hotové balíčky Doporučuje se používat programy bez jakýchkoliv změn.

Souvisejícím problémem je boj proti trojským koním a používání skrytých únikových kanálů. Jedním z protiopatření je použití softwaru získaného od důvěryhodných prodejců a monitoru integrita systému.

V případech, kdy se na vývoji softwaru podílí organizace třetí strany, je nutné zajistit opatření ke kontrole kvality a správnosti provedené práce.

Další část normy je věnována řízení kontinuity podnikání. V počáteční fázi má identifikovat události, které mohou způsobit přerušení obchodních procesů (porucha zařízení, požár atd.). V tomto případě je nutné vyhodnotit důsledky a následně vypracovat plány obnovy. Přiměřenost plánů musí být potvrzena testováním a samy o sobě musí být pravidelně revidovány, aby zohledňovaly změny, ke kterým v systému dochází.

Poslední část normy se zabývá otázkami souladu. Především se jedná o soulad systému a postupu při jeho provozování s právními požadavky. To zahrnuje otázky dodržování autorských práv (včetně softwaru), ochrany osobních údajů (zaměstnanců, klientů) a prevence zneužití nástrojů pro zpracování informací. Použitím kryptografickými prostředky ochrany informací, musí být v souladu s platnou legislativou. Důkladně by měl být propracován i postup shromažďování důkazů v případě soudních sporů souvisejících s incidenty v oblasti bezpečnosti informačních systémů.

Samotné informační systémy musí dodržovat bezpečnostní politiku organizace a používané normy. Bezpečnost informačních systémů musí být pravidelně analyzována a vyhodnocována. Zároveň je nutné při provádění bezpečnostního auditu dodržovat bezpečnostní opatření, aby nedocházelo k nežádoucím následkům (např. výpadek kritického serveru z důvodu auditu).

Shrneme-li, lze konstatovat, že norma řeší širokou škálu otázek souvisejících se zajištěním bezpečnosti informačních systémů. V řadě oblastí jsou uvedena praktická doporučení.

Požadavky na znalosti a dovednosti

Student musí mít představu:

  • o úloze Státní technické komise při zajišťování informační bezpečnosti v Ruské federaci;

  • o dokumentech o posuzování bezpečnosti automatizovaných systémů v Ruské federaci.

Student musí vědět:

  • hlavní obsah norem pro posuzování bezpečnosti automatizovaných systémů v Ruské federaci.

Student musí být schopen:

  • určit třídy chráněných systémů na základě souboru ochranných opatření.

Klíčový termín

Klíčový pojem: Standardy informační bezpečnosti v Ruské federaci.

Standardy bezpečnosti informací v Ruské federaci jsou vyvíjeny v rámci Státní technické komise Ruské federace.

Drobné termíny

  • Státní technická komise a její role při zajišťování informační bezpečnosti v Ruské federaci.

  • Dokumenty o hodnocení bezpečnosti automatizovaných systémů v Ruské federaci.

Strukturní diagram pojmů

1.7.1 Státní technická komise a její role při zajišťování informační bezpečnosti v Ruské federaci

V Ruské federaci je informační bezpečnost zajištěna dodržováním prezidentských dekretů, federálních zákonů, dekretů vlády Ruské federace, řídících dokumentů Státní technické komise Ruska a dalších regulačních dokumentů.

Nejběžnější dokumenty byly přezkoumány dříve při studiu právních základů informační bezpečnosti. V Ruské federaci mají z hlediska standardizace ustanovení v oblasti informační bezpečnosti prvořadý význam řídící dokumenty (RD) Státní technické komise Ruska, jejichž jedním z úkolů je „provádět jednotnou státní politiku v oblasti technické informační bezpečnosti.“

Státní technická komise Ruska je velmi aktivní při tvorbě pravidel a vydává pokyny, které hrají roli národních hodnotících standardů v oblasti informační bezpečnosti. Jako strategický směr se Státní technická komise Ruska rozhodla zaměřit se na „obecná kritéria“.

Za 10 let své existence Státní technická komise vypracovala a dovedla desítky dokumentů na úroveň národních norem, mezi které patří:

  • Řídicí dokument „Předpisy o certifikaci objektů informatizace podle požadavků informační bezpečnosti“ (Schváleno předsedou Státní technické komise Ruska dne 25. listopadu 1994);

  • Řídicí dokument „Automatizované systémy (AS). Ochrana před neoprávněným přístupem (UNA) k informacím. Klasifikace jaderných elektráren a požadavky na ochranu informací“ (Státní technická komise Ruska, 1997);

  • Průvodní dokument „Počítačové vybavení. Ochrana před neoprávněným přístupem k informacím. Indikátory bezpečnosti před neoprávněným přístupem k informacím“ (Státní technická komise Ruska, 1992);

  • Řídicí dokument „Koncepce ochrany počítačového vybavení před neoprávněným přístupem k informacím“ (Státní technická komise Ruska, 1992);

  • Průvodní dokument „Ochrana před neoprávněným přístupem k informacím. Termíny a definice“ (Státní technická komise Ruska, 1992);

  • Průvodní dokument „Výpočetní technika (CT). Firewally. Ochrana před neoprávněným přístupem k informacím. Indikátory bezpečnosti před neoprávněným přístupem k informacím“ (Státní technická komise Ruska, 1997);

  • Průvodní dokument „Ochrana před neoprávněným přístupem k informacím. Část 1. Software pro bezpečnost informací. Klasifikace podle úrovně kontroly nad absencí nedeklarovaných schopností“ (Státní technická komise Ruska, 1999);

  • Řídicí dokument „Zvláštní požadavky a doporučení pro technickou ochranu důvěrných informací“ (Státní technická komise Ruska, 2001).

1.7.2 Dokumenty o hodnocení bezpečnosti automatizovaných systémů v Ruské federaci

Podívejme se na nejvýznamnější z těchto dokumentů, které definují kritéria pro hodnocení bezpečnosti automatizovaných systémů.

Stanovuje klasifikaci elektronických zařízení podle stupně zabezpečení proti neoprávněnému přístupu k informacím na základě seznamu bezpečnostních indikátorů a souboru požadavků, které je popisují. Základem pro vývoj tohoto dokumentu byla Oranžová kniha. Tento standard hodnocení zavádí sedm tříd zabezpečení SVT před neoprávněným přístupem k informacím.

Nejnižší třída je sedmá, nejvyšší je první. Třídy jsou rozděleny do čtyř skupin, které se liší úrovní ochrany:

  • První skupina obsahuje pouze jednu sedmou třídu, která zahrnuje všechny SVT, které nesplňují požadavky vyšších tříd;

  • Druhá skupina vyznačuje se diskreční ochranou a obsahuje šestou a pátou třídu;

  • Třetí skupina vyznačuje se povinnou ochranou a obsahuje čtvrtou, třetí a druhou třídu;

  • Čtvrtá skupina vyznačuje se ověřenou ochranou a zahrnuje pouze první třídu.

stanoví klasifikaci automatizovaných systémů podléhajících ochraně před neoprávněným přístupem k informacím a požadavky na ochranu informací v automatizovaných systémech různých tříd.

Mezi definující vlastnosti, podle kterých jsou reproduktory seskupeny do různých tříd, patří:

Dokument definuje devět tříd zabezpečení AS před neoprávněným přístupem k informacím. Každá třída se vyznačuje určitým minimálním souborem požadavků na ochranu. Třídy jsou rozděleny do tří skupin, které se liší charakteristikou zpracování informací v AS.

V rámci každé skupiny je dodržována hierarchie požadavků na ochranu v závislosti na hodnotě a důvěrnosti informací a následně na hierarchii tříd zabezpečení AS.

V tabulce 2 jsou uvedeny bezpečnostní třídy reproduktorů a požadavky na jejich zajištění.

Tabulka 1. Bezpečnostní požadavky na automatizované systémy

Subsystémy a požadavky

Třídy

3B

3A

2B

2A

1D

1G

1B

1B

1A

1. Subsystém řízení přístupu

1.1. Identifikace, autentizace a řízení přístupu subjektů:

do systému;

+

+

+

+

+

+

+

+

+

k terminálům, počítačům, uzlům počítačové sítě, komunikačním kanálům, externím počítačovým zařízením;

+

+

+

+

+

k programům;

+

+

+

+

+

na svazky, adresáře, soubory, záznamy, pole záznamů.

+

+

+

+

+

1.2. Řízení toku informací

+

+

+

+

2. Registrační a účetní subsystém

2.1. Registrace a účetnictví:

vstup/výstup přístupových subjektů do/ze systému (síťový uzel);

+

+

+

+

+

+

+

+

+

vydávání tištěných (grafických) výstupních dokumentů;

+

+

+

+

+

+

spouštění/ukončování programů a procesů (úkoly, úkoly);

+

+

+

+

+

přístup k programům subjektů přístupu k terminálům, počítačům, uzlům počítačové sítě, komunikačním kanálům, externím počítačovým zařízením, programům, svazkům, adresářům, souborům, záznamům, záznamovým polím;

+

+

+

+

+

změny v pravomocích subjektů přístupu;

+

+

+

vytvořené objekty chráněného přístupu.

+

+

+

+

2.2. Účtování paměťových médií.

+

+

+

+

+

+

+

+

+

2.3. Čištění (vynulování, depersonalizace) uvolněných oblastí paměti RAM počítače a externích úložných zařízení.

+

+

+

+

+

+

2.4. Signalizační pokusy o narušení bezpečnosti.

+

+

+

3. Kryptografický subsystém

3.1. Šifrování důvěrných informací.

+

+

+

3.2. Šifrování informací patřících různým přístupovým subjektům (skupinám subjektů) pomocí různých klíčů.

+

3.3. Použití certifikovaných (certifikovaných) kryptografických nástrojů.

+

+

+

4. Integritní subsystém

4.1. Zajištění integrity softwaru a zpracovávaných informací.

+

+

+

+

+

+

+

+

+

4.2. Fyzické zabezpečení počítačového vybavení a paměťových médií.

+

+

+

+

+

+

+

+

+

4.3. Dostupnost správce informací (služby ochrany) v AS.

+

+

+

+

4.4. Periodické testování systému ochrany informací NSD.

+

+

+

+

+

+

+

+

+

4.5. Dostupnost prostředků pro obnovu informačních a datových zařízení NSD.

+

+

+

+

+

+

+

+

+

4.6. Používání certifikovaných ochranných prostředků.

+

+

+

+

+

„-“ pro tuto třídu nejsou žádné požadavky;

„+“ jsou požadavky pro tuto třídu;

Tabulka 2 jako taková kodifikuje minimální požadavky, které je třeba dodržovat, aby bylo zajištěno důvěrnost informací.

Bezpečnostní požadavky integrita reprezentovaný samostatným subsystémem (číslo 4).

Průvodní dokument “SVT. Firewally. Ochrana před neoprávněným přístupem k informacím. Indikátory zabezpečení před neoprávněným přístupem k informacím“ je hlavním dokumentem pro analýzu systému vnější perimetrické ochrany firemní síť. Tento dokument určuje bezpečnostní indikátory firewallů (FW). Každý bezpečnostní indikátor je souborem bezpečnostních požadavků, které charakterizují konkrétní oblast provozu ME.

Existuje celkem pět bezpečnostních indikátorů:

  • Řízení přístupu;

  • kontrola integrity;

Na základě bezpečnostních indikátorů je určeno následujících pět bezpečnostních tříd ME:

  • nejjednodušší filtrovací routery – 5. třída;

  • paketové filtry síťové vrstvy – 4. třída;

  • nejjednodušší ME aplikační úrovně - 3. třída;

  • Základní úroveň ME – 2. stupeň;

  • pokročilý JÁ – 1 třída.

ME první bezpečnostní třídy lze použít v systémech třídy 1A, které zpracovávají „Speciálně důležité“ informace. Druhá bezpečnostní třída ME odpovídá bezpečnostní třídě AS 1B, určené pro zpracování „přísně tajných“ informací apod.

Podle prvního z nich je stanoveno devět tříd zabezpečení AS před neoprávněným přístupem k informacím.

Každá třída se vyznačuje určitým minimálním souborem požadavků na ochranu. Třídy jsou rozděleny do tří skupin, které se liší charakteristikou zpracování informací v AS. V rámci každé skupiny je dodržována hierarchie požadavků na ochranu v závislosti na hodnotě (důvěrnosti) informací a následně i hierarchie bezpečnostních tříd AS.

Třetí skupina klasifikuje systémy, ve kterých pracuje jeden uživatel a má přístup ke všem informacím v systému umístěným na médiích stejného stupně utajení. Skupina obsahuje dvě třídy - 3B a 3A.

Druhá skupina klasifikuje AS, ve kterých mají uživatelé stejná přístupová práva (oprávnění) ke všem informacím AS zpracovávaným a (nebo) uloženým na médiích s různou úrovní důvěrnosti. Skupina obsahuje dvě třídy – 2B a 2A.

První skupina klasifikuje víceuživatelský AS, ve kterém se současně zpracovávají a (nebo) ukládají informace různé úrovně důvěrnosti a ne všichni uživatelé mají právo přístupu ke všem informacím AS. Skupina obsahuje pět tříd – 1D, 1G, 1B, 1B a 1A.

Závěry k tématu

  1. V Ruské federaci je informační bezpečnost zajištěna dodržováním prezidentských dekretů, federálních zákonů, dekretů vlády Ruské federace, řídících dokumentů Státní technické komise Ruska a dalších regulačních dokumentů.

  2. Standardy v oblasti informační bezpečnosti v Ruské federaci jsou řídícími dokumenty Státní technické komise Ruska, jejímž jedním z úkolů je „provádění jednotné státní politiky v oblasti technické informační bezpečnosti“.

  3. Při vývoji národních norem se Státní technická komise Ruska řídí „Všeobecnými kritérii“.

    4. Průvodní dokument “SVT. Ochrana před neoprávněným přístupem k informacím. Ukazatele zabezpečení před neoprávněným přístupem k informacím" stanoví klasifikaci elektronických zařízení podle stupně zabezpečení proti neoprávněnému přístupu k informacím na základě seznamu bezpečnostních ukazatelů a souboru požadavků, které je popisují. Tento hodnotící standard stanoví sedm tříd zabezpečení elektronických zařízení od nepřístupných informací po informace. Nejnižší třída je sedmá, nejvyšší je první. Třídy jsou rozděleny do čtyř skupin, lišících se úrovní ochrany.

    Průvodní dokument „AS. Ochrana před neoprávněným přístupem k informacím. Klasifikace JE a požadavky na ochranu informací" stanoví klasifikaci automatizovaných systémů podléhajících ochraně před neoprávněným přístupem k informacím a požadavky na ochranu informací v automatizovaných systémech různých tříd. Mezi definující vlastnosti, podle kterých jsou reproduktory seskupeny do různých tříd, patří:

  • přítomnost informací s různou úrovní důvěrnosti v AS;

  • úroveň oprávnění subjektů přístupu AS k přístupu k důvěrným informacím;

  • způsob zpracování dat v AS - kolektivní nebo individuální.

    Průvodní dokument “SVT. Firewally. Ochrana před neoprávněným přístupem k informacím. Indikátory zabezpečení před neoprávněným přístupem k informacím“ je hlavním dokumentem pro analýzu systému ochrany pro vnější perimetr podnikové sítě. Tento dokument definuje bezpečnostní indikátory firewallů. Každý bezpečnostní indikátor je souborem bezpečnostních požadavků, které charakterizují konkrétní oblast provozu ME. Existuje celkem pět bezpečnostních indikátorů:

  • Řízení přístupu;

  • identifikace a ověřování;

  • registrace a upozornění na události;

  • kontrola integrity;

  • obnovení výkonu.

Kontrolní otázky:

  1. Kolik tříd zabezpečení SVT z neshody s informacemi stanoví SVT RD. Ochrana před neoprávněným přístupem k informacím. Ukazatele zabezpečení před neoprávněným přístupem k informacím?

  2. Název dokumentu:
    Číslo dokumentu: 53113.1-2008
    Typ dokumentu: GOST R
    Přijímající autorita: Rosstandart
    Postavení: Aktivní
    Publikováno:
    Datum přijetí: 18. prosince 2008
    Datum zahájení: 1. října 2009
    Datum kontroly: 1. října 2018

    GOST R 53113.1-2008 Informační technologie (IT). Ochrana informačních technologií a automatizovaných systémů před hrozbami informační bezpečnosti implementovanými pomocí skrytých kanálů. Část 1. Obecná ustanovení

    GOST R 53113.1-2008

    Skupina T00

    NÁRODNÍ STANDARD RUSKÉ FEDERACE

    Informační technologie

    OCHRANA INFORMAČNÍCH TECHNOLOGIÍ A AUTOMATIZOVANÝCH SYSTÉMŮ PŘED HROZBAMI INFORMAČNÍ BEZPEČNOSTI POMOCÍ SKRYTÝCH KANÁLŮ

    Část 1

    Obecná ustanovení

    Informační technologie. Ochrana informačních technologií a automatizovaných systémů před bezpečnostními hrozbami, které představuje používání skrytých kanálů. Část 1. Obecné zásady


    OKS 35,040

    Datum zavedení 2009-10-01

    Předmluva

    Předmluva

    1 VYVINUTO společností s ručením omezeným "Cryptocom"

    2 PŘEDSTAVENO Federální agenturou pro technický předpis a metrologie

    3 SCHVÁLENO A NABYLO V ÚČINNOST nařízením Spolkové agentury pro technickou regulaci a metrologii ze dne 18. prosince 2008 N 531-st

    4 POPRVÉ PŘEDSTAVENO

    5 REPUBLIKACE. října 2018


    Pravidla pro aplikaci této normy jsou stanovena vČlánek 26 federálního zákona ze dne 29. června 2015 N 162-FZ „O standardizaci v Ruské federaci“. Informace o změnách tohoto standardu jsou zveřejňovány v ročním (k 1. lednu běžného roku) informačním indexu „Národní standardy“ a oficiální znění změn a dodatků je zveřejňováno v měsíčním informačním indexu „Národní standardy“. V případě revize (náhrady) nebo zrušení tohoto standardu bude odpovídající upozornění zveřejněno v příštím vydání měsíčního informačního indexu „Národní standardy“. Relevantní informace, upozornění a texty jsou také zveřejněny ve veřejném informačním systému - na oficiálních stránkách Federální agentury pro technickou regulaci a metrologii na internetu (www.gost.ru)

    Úvod

    Vývoj, implementace a používání distribuovaných informačních systémů a technologií, používání importovaných softwarových a hardwarových platforem bez projektové dokumentace vedly ke vzniku třídy hrozeb informační bezpečnosti (IS) spojených s využíváním tzv. skrytých informačních kanálů. , „neviditelný“ pro tradiční prostředky informační bezpečnosti.

    Tradiční nástroje zabezpečení informací, jako jsou nástroje pro řízení přístupu, firewally a systémy detekce narušení, řídí pouze toky informací, které procházejí kanály určenými k jejich přenosu. Možnost výměny informací mimo tento rámec prostřednictvím skrytých kanálů (CC) se nebere v úvahu.

    V systémech, které vyžadují zvýšenou úroveň důvěry, je třeba vzít v úvahu bezpečnostní hrozby vyplývající z možnosti neoprávněné akce pomocí CS.

    Nebezpečí IC pro informační technologie (IT) a automatizované systémy (AS) a další aktiva organizace je spojeno s nedostatkem kontroly pomocí ochrany informačních toků, což může vést k úniku informací, narušení integrity informačních zdrojů a software v počítačových systémech, nebo vytvářet jiné překážky pro implementaci IT.

    Pro zajištění ochrany informací zpracovávaných v automatizovaném systému je nutné identifikovat a neutralizovat všechny možné informační kanály neoprávněného jednání – tradiční i skryté.

    Tato norma je součástí řady vzájemně souvisejících norem, sjednocených společným názvem "Informační technologie. Ochrana informačních technologií a automatizovaných systémů před hrozbami informační bezpečnosti implementovanými pomocí skrytých kanálů", včetně:

    - obecná ustanovení;

    - doporučení pro organizaci ochrany informací, IT a AS před útoky pomocí CS.

    Obecná ustanovení vymezují úkoly, které je třeba řešit při analýze bezpečnostního systému, popisují klasifikaci bezpečnostního systému a poskytují klasifikaci majetku podle stupně nebezpečnosti útoků pomocí bezpečnostního systému.

    Základním aspektem bezpečnosti IT a AS systémů je důvěra v bezpečnostní systémy. Zajištění důvěry se provádí pomocí hloubkové analýzy nebo zkoumání softwarových a hardwarových produktů z hlediska jejich bezpečnosti. V mnoha případech je tato analýza obtížná kvůli nedostatku zdrojových dat pro její implementaci, tedy zdrojových kódů, návrhové a testovací dokumentace, což má za následek ohrožení informačních zdrojů, které lze implementovat pomocí neznámých softwarových a hardwarových systémů a prostřednictvím rozhraní. interagujících softwarových a hardwarových produktů.

    Požadavky na důvěru v bezpečnost informací jsou stanoveny v GOST R ISO/IEC 15408-3, podle kterého se pro systémy s odhadovanou úrovní spolehlivosti (EAL), počínaje EAL5, poskytuje povinná analýza IC. Při použití hardwarových a softwarových produktů od zahraničních výrobců bez návrhu, testovací dokumentace a zdrojových kódů nelze zaručit absenci potenciálně škodlivých komponent zahrnutých záměrně nebo náhodně vzniklých (například zranitelnost softwaru). Požadavek na analýzu IC v Ruské federaci je tedy nezbytnou podmínkou pro bezpečný provoz systémů, které zpracovávají cenné informace nebo využívají importovaný hardware a software, včetně systémů s EAL pod EAL5.

    Doporučení pro organizaci ochrany informací, IT a AS před útoky pomocí CS definují postup pro vyhledávání CS a boj proti CS.

    Tato norma byla vyvinuta jako vývoj GOST R ISO/IEC 15408-3, GOST R ISO/IEC 27002 (ohledně opatření proti hrozbám bezpečnosti informací implementovaných pomocí bezpečnostních systémů) a.

    1 oblast použití

    Tato norma stanoví klasifikaci bezpečnostního systému a vymezuje úkoly, které je třeba řešit při analýze bezpečnostního systému, která je nezbytnou součástí pro stanovení dalšího postupu při organizaci ochrany informací před útoky pomocí systému, a také stanoví postup provádění analýzy bezpečnostního systému pro produkty a systémy IT a AS, jejíž výsledky jsou využívány při hodnocení důvěry v informační systémy a opatření ochrany IT.

    Tato norma je určena zákazníkům, vývojářům a uživatelům IT, protože formulují požadavky na vývoj, akvizici a používání IT produktů a systémů, které jsou určeny ke zpracování, ukládání nebo přenosu informací, které podléhají ochraně v souladu s požadavky regulačních dokumenty nebo požadavky stanovené vlastníkem informací. Tato norma je určena také certifikačním orgánům a zkušebním laboratořím při provádění bezpečnostních hodnocení a certifikaci bezpečnosti IT a AS, dále analytickým útvarům a bezpečnostním službám pro porovnávání hrozeb pro cenná informační aktiva s potenciálem poškození bezpečnostním systémem.

    2 Normativní odkazy

    Tato norma používá normativní odkazy na následující normy:

    GOST R ISO/IEC 15408-3 Informační technologie. Metody a prostředky zajištění bezpečnosti. Kritéria pro hodnocení bezpečnosti informačních technologií. Část 3: Součásti bezpečnostní důvěry

    GOST R ISO/IEC 27002 Informační technologie. Metody a prostředky zajištění bezpečnosti. Soubor norem a pravidel pro řízení bezpečnosti informací

    Poznámka - Při používání této normy je vhodné ověřit si platnost referenčních norem ve veřejném informačním systému - na oficiálních stránkách Spolkové agentury pro technickou regulaci a metrologii na internetu nebo pomocí ročního informačního indexu "Národní normy" , který byl zveřejněn k 1. lednu běžného roku, a o vydáních měsíčního informačního indexu „Národní standardy“ pro aktuální rok. Pokud je nahrazena referenční norma, na kterou je uveden nedatovaný odkaz, doporučuje se použít aktuální verzi této normy s přihlédnutím ke všem změnám, které byly v ní provedeny. tato verze Změny. Pokud je nahrazena datovaná referenční norma, doporučuje se použít verzi této normy s rokem schválení (přijetí) uvedeným výše. Pokud je po schválení této normy provedena změna v odkazované normě, na kterou je uveden datovaný odkaz, ovlivňující odkazované ustanovení, doporučuje se, aby bylo toto ustanovení aplikováno bez ohledu na tato změna. Pokud je referenční norma zrušena bez náhrady, pak se ustanovení, ve kterém je na ni uveden odkaz, doporučuje použít v části, která nemá vliv na tento odkaz.

    3 Termíny a definice

    V této normě se používají následující termíny s odpovídajícími definicemi:

    3.1 automatizovaný systém: Systém tvořený personálem a souborem automatizačních nástrojů pro jejich činnost, implementující informační technologie pro výkon nainstalované funkce.

    3.2 agent pachatele: Osoba, software, firmware popř Hardware jedná v zájmu pachatele.

    3.3 aktiva(aktiva): Cokoli, co má pro organizaci hodnotu a je v jejím vlastnictví.

    Poznámka: Majetek organizace může zahrnovat:

    - výpočetní, telekomunikační a jiné zdroje;

    - informační majetek vč. různé typy informací v následujících fázích jejich životní cyklus: generování (tvorba), zpracování, ukládání, přenos, ničení;

    - produkty a služby poskytované třetím stranám.

    3.4 blokování přístupu (k informacím): Ukončení nebo zamezení přístupu legitimních uživatelů k informacím.

    3.5 malware: Program určený k poskytování neoprávněného přístupu a (nebo) ovlivnění informací nebo zdrojů informačního systému.

    3.6 hloubka analýzy skrytého kanálu: Míra variace ve složitosti prostředků použitých k identifikaci skrytého kanálu a jeho charakteristik.

    3.7 důvěra assurance: Základ pro jistotu, že objekt splňuje bezpečnostní cíle.

    3.8 skrytá identifikace kanálu: Identifikace možnosti existence skrytého kanálu a určení jeho místa v klasifikaci.

    3.9 omezené informace: Druh informací, ke kterým je omezený přístup a jejichž zveřejnění může poškodit zájmy jiných osob, společnosti a státu.

    3.10 Informační bezpečnost(bezpečnost informací): Všechny aspekty související s definováním, dosahováním a udržováním důvěrnosti, integrity, dostupnosti, nepopiratelnosti, odpovědnosti, pravosti a spolehlivosti informací nebo prostředků jejich zpracování.

    3.11 Informační systém: Organizačně uspořádaný soubor dokumentů (souborů dokumentů) a informačních technologií, včetně využití výpočetní techniky a komunikací, které realizují informační procesy.

    Poznámka - Informační systémy jsou navrženy tak, aby uchovávaly, zpracovávaly, vyhledávaly, distribuovaly, přenášely a poskytovaly informace.

    3.12 informační technologie: Techniky, metody a metody využití výpočetní techniky při výkonu funkcí shromažďování, ukládání, zpracování, přenosu a používání dat.

    3.13 informační objekt: Prvek programu obsahující informace obíhající v programu.

    Poznámka – V závislosti na programovacím jazyce mohou proměnné, pole, záznamy, tabulky, soubory, fragmenty fungovat jako informační objekty paměť s náhodným přístupem a tak dále.

    3.14 informační tok informační tok: Proces interakce mezi zdrojem informace a jejím příjemcem.

    Poznámka - Tok informací může být povolen nebo neoprávněný. Informační tok mezi objekty X a Y existuje, pokud je průměrná vzájemná informace I (X, Y) větší než 0. Matematický model Informační tok lze definovat jako konečný stroj, ve kterém zdroj zprávy posílá vstupní slovo na vstup stroje a příjemce zprávy vidí výstupní sekvenci stroje.

    3.15 komplexní analýza skrytých kanálů Vyčerpávající analýza skrytých kanálů: Analýza, která vyžaduje předložení dalších důkazů prokazujících, že plán identifikace skrytého kanálu je dostatečný k tomu, aby bylo možné stanovit, že všechna možná vyšetřování skrytých kanálů byla vyzkoušena.

    3.16 klíč: Specifický tajný stav některých parametrů algoritmu transformace kryptografických dat zajišťující výběr jedné transformace z množiny všech možných transformací pro daný algoritmus.

    3.17 komunikační kanál: Sada informačních nosičů, které doručují zprávu od zdroje k příjemci.

    3.18 kritické objekty: Objekty, jejichž narušení nebo zastavení provozu vede ke ztrátě kontroly, zničení infrastruktury, nevratné negativní změně nebo zničení ekonomiky země, subjektu nebo administrativně-územního celku nebo k výraznému zhoršení bezpečnosti života obyvatelstvo žijící na těchto územích po dlouhou dobu.

    3.19 mechanismus přenosu informací: Implementovaný způsob přenosu informací od odesílatele k příjemci.

    3.20 úprava informací:Účelová změna formy prezentace a obsahu informací.

    3.21 narušitel informační bezpečnosti(protivník): Individuální(subjekt), který se náhodně nebo úmyslně dopustil jednání, které má za následek narušení bezpečnosti informací při zpracování technickými prostředky v informačních systémech.

    3.22 neoprávněný přístup k informacím(neoprávněný přístup k informacím): Přístup k informacím nebo jednání s informacemi, které porušují pravidla řízení přístupu pomocí standardních prostředků poskytovaných výpočetní technikou nebo automatizovanými systémy.

    Poznámka – Přístup k objektu zahrnuje také přístup k informacím v něm obsaženým.

    3.23 objekt(objekt): Pasivní součást systému, která ukládá, přijímá nebo vysílá informace.

    3.24 hodnocení nebezpečnosti: Stanovení míry možného destruktivního dopadu.

    3.25 odhadovaná úroveň důvěry evaluační úroveň jistoty: Balíček prvků jistoty představující určitou pozici na předem definované škále jistoty.

    Poznámka - Balíček důvěryhodných komponent je určen v souladu s požadavky GOST R ISO/IEC 15408-3.

    3.26 přístupové heslo(heslo): Identifikátor přístupového subjektu, který je jeho (subjektovým) tajemstvím.

    3.27 Osobní informace: Jakékoli informace týkající se fyzické osoby identifikované nebo určené na základě takových informací (předmět osobních údajů).

    Poznámka - Příjmení, jméno, rodokmen, rok, měsíc, datum a místo narození subjektu osobních údajů, dále adresa, rodinný, sociální, majetkový stav, vzdělání, povolání, příjem a další údaje lze použít jako osobní data.

    3.28 politika bezpečnosti informací Politika bezpečnosti informací: Soubor zdokumentovaných pravidel, postupů, praktik nebo směrnic v oblasti bezpečnosti informací, kterými se řídí činnosti organizace.

    3.29 produkt(produkt): Sada softwaru, firmwaru a/nebo hardwaru informačních technologií, která poskytuje specifické funkce a je určena k přímému použití nebo začlenění do různých systémů.

    3.30 kapacita skrytého kanálu Kapacita skrytého kanálu: Množství informací, které lze přenést přes skrytý kanál za jednotku času nebo ve vztahu k nějaké jiné škále měření.

    3.31 Systém(systém): Specifické provedení informační technologie se specifickým účelem a provozními podmínkami.

    3.32 systematická analýza skrytých kanálů systematická analýza skrytých kanálů: Analýza, ve které musí návrhář informační technologie a systému automatizovaných systémů identifikovat skryté kanály strukturovaným a opakovatelným způsobem, na rozdíl od identifikace skrytých kanálů konkrétní metodou použitelnou v konkrétní situaci.

    POZNÁMKA Skryté kanály jsou obvykle identifikovány v souladu s bezpečnostním plánem.

    3.33 skrytý kanál(skrytý kanál): Komunikační kanál nezamýšlený vývojářem informační technologie a systému automatizovaných systémů, který lze použít k porušení bezpečnostní politiky.

    3.34 přenosové médium: Fyzická realizace procesu přenosu informací.

    3.35 předmět(předmět): Aktivní součást systému, obvykle reprezentovaná uživatelem, procesem nebo zařízením, která může způsobit tok informací od objektu k objektu nebo změnit stav systému.

    3.36 bezpečnostní hrozba(hrozba): Soubor podmínek a faktorů, které vytvářejí potenciální nebo skutečné nebezpečí spojené s únikem informací a/nebo neoprávněnými a/nebo neúmyslnými dopady na ně.

    3.37 oprávněného uživatele(autorizovaný uživatel): Uživatel, který je oprávněn bezpečnostní politikou provést operaci.

    3.38 poškození: Negativní důsledky vyplývající z poškození majetku.

    3.39 zranitelnost: Vlastnost systému, kterou lze použít k narušení informační bezpečnosti systému informačních technologií a automatizovaných systémů.

    4 Obecná ustanovení

    4.1 Tato norma definuje následující postup pro stanovení stupně nebezpečí systému pro aktiva organizace, identifikaci systému a boj proti němu:

    - klasifikace aktiv v závislosti na stupni nebezpečnosti útoků pomocí CS s přihlédnutím k možným bezpečnostním hrozbám pro aktiva;

    - stanovení požadované hloubky analýzy pojistného systému v závislosti na typu aktiv;

    - provedení analýzy systému řízení kvality, která zahrnuje provádění následujících úkolů:

    identifikace (detekce) SC,

    posouzení kapacity SC a posouzení nebezpečí, které představuje jejich skryté fungování;

    - opatření na ochranu před hrozbami realizovaná pomocí bezpečnostního systému, včetně provádění následujících úkolů:

    rozhodování o provedení ochranných opatření k boji proti specifikovaným bezpečnostním hrozbám,

    odpor k realizaci IC až do jeho zničení.

    4.2 Klasifikace chráněného majetku v závislosti na stupni nebezpečnosti útoků pomocí CC je uvedena v části 7.

    4.3 Hloubka analýzy bezpečnostního systému je dána hodnotou aktiv, tj. škodami, které mohou být způsobeny v důsledku implementace bezpečnostních hrozeb realizovaných pomocí bezpečnostního systému, tedy riziky vyplývajícími z přítomnost těchto hrozeb. Klasifikace těchto hrozeb je uvedena v části 6.

    4.4 Identifikace CS určuje subjekty (zdroj a příjemce), mezi kterými může CS potenciálně existovat, parametry, při manipulaci se informace přenášejí, parametry, kvůli jejichž obměně se informace čte, médium přenosu informací , logické podmínky, za kterých jsou informace přenášeny. Identifikaci SC lze provádět jak během vývoje systému zkoumáním potenciálních únikových kanálů nebo expozičních kanálů, tak během provozu systému pozorováním značek identifikujících přítomnost SC. V druhém případě jsou SC identifikovány sledováním parametrů systému. Dokumentace o bezpečnosti informací by měla odrážet, které třídy bezpečnostních systémů lze identifikovat pomocí použitého sledovacího systému.

    4.5 Kapacita identifikovaných SC se posuzuje pomocí formálních, technických nebo modelovacích metod.

    4.6 Při rozhodování o implementaci ochranných opatření proti bezpečnostním hrozbám realizovaným pomocí CS je nutné vzít v úvahu možné riziko poškození majetku organizace, které je také spojeno s propustností CS.

    4.7 Boj proti nebezpečným SC lze provádět pomocí následujících prostředků a metod:

    - vytvoření architektury IT nebo AS, která vám umožní zablokovat IC nebo snížit jejich propustnost tak, že se kanály stanou neškodnými. Tato metoda se používá ve fázi návrhu IT nebo AS;

    - použití technických prostředků, které umožňují blokovat SC nebo snížit jejich propustnost pod danou úroveň;

    - použití softwarových a hardwarových nástrojů, které umožňují identifikovat provoz nebezpečných SC při provozu systému. Identifikace znaků provozu IC může umožnit zablokovat jejich dopad na informační zdroje;

    - aplikace organizačních a technických opatření k odstranění SC nebo snížení jejich kapacity na bezpečnou hodnotu.

    5 Klasifikace skrytých kanálů

    5.1 CS podle mechanismu přenosu informací se dělí na:

    - SC z paměti;

    - SC podle času;

    - skryté statistické kanály.

    5.2 Systémy založené na paměti jsou založeny na přítomnosti paměti, do které vysílající subjekt zapisuje informace a přijímající subjekt je čte.

    Skrytí paměťových kanálů je dáno tím, že vnější pozorovatel nezná místo v paměti, kde je skrytá informace zaznamenána.

    Systémy založené na paměti zahrnují použití paměťových zdrojů, ale způsob, jakým je paměť využívána, neberou vývojáři bezpečnostních systémů v úvahu, a proto jej použité bezpečnostní nástroje nemohou detekovat.

    5.3 CS v čase předpokládají, že subjekt vysílající informace moduluje pomocí přenášených informací nějaký časově proměnný proces a subjekt přijímající informace je schopen demodulovat vysílaný signál sledováním procesu nesoucího informace v čase. Například v multitaskingu operační systém(OS) procesor je sdílený informační a výpočetní zdroj pro aplikační programy. Modulací času CPU si mohou aplikace mezi sebou přenášet nelegální data.

    5.4 Skrytý statistický kanál využívá k přenosu informací změny parametrů rozdělení pravděpodobnosti jakýchkoli charakteristik systému, které lze považovat za náhodné a popsané pravděpodobnostními statistickými modely.

    Utajení takových kanálů je založeno na skutečnosti, že příjemce informace má menší nejistotu při určování parametrů rozložení sledovaných charakteristik systému než pozorovatel, který nemá znalosti o struktuře sociální sítě.

    Například výskyt skutečné, ale nepravděpodobné kombinace v odeslaném paketu v daném časovém období může signalizovat selhání v počítačovém systému.

    5.5 CS z paměti se zase dělí na:

    - SC založená na skrývání informací ve strukturovaných datech;

    - SC založené na skrývání informací v nestrukturovaných datech.

    5.6 SC založené na skrývání informací ve strukturovaných datech využívají vkládání dat do informačních objektů s formálně popsanou strukturou a formálními pravidly zpracování. Například interní formát souboru používaný moderními textovými procesory obsahuje řadu polí, která se při úpravách souboru nezobrazují, takže je lze použít k vložení skrytých informací.

    5.7 SC založené na skrývání informací v nestrukturovaných datech využívají vkládání dat do informačních objektů, aniž by zohledňovaly formálně popsanou strukturu (například zápis skrytých informací do nejméně významných bitů obrazu, což nevede k viditelnému zkreslení obrazu).

    5.8 SC podle propustnosti se dělí na:

    - kanál s nízkou šířkou pásma;

    - vysokokapacitní kanál.

    5.9 CS je kanál s nízkou šířkou pásma, pokud jeho kapacita postačuje k přenosu cenných informačních objektů o minimálním objemu (například kryptografických klíčů, hesel) nebo příkazů po dobu, během níž tento převod je relevantní.

    5.10 CS je vysokokapacitní kanál, pokud jeho kapacita umožňuje přenos středně velkých a velkých informačních objektů (např. textové soubory, obrázky, databáze) po dobu, po kterou jsou tyto informační objekty cenné.

    K řešení složitých problémů lze použít kombinaci SC založených na různých přenosových mechanismech.

    6 Klasifikace bezpečnostních hrozeb realizovaných pomocí skrytých kanálů

    6.1 Bezpečnostní hrozby, které lze implementovat pomocí CS, zahrnují:

    - implementace malware a data;

    - útočník vydává příkazy agentovi k provedení;

    - únik kryptografických klíčů nebo hesel;

    - únik jednotlivých informačních objektů.

    6.2 Implementace těchto hrozeb může vést k:

    - porušení důvěrnosti informačních aktiv;

    - narušení funkčnosti IT a AS;

    - blokování přístupu ke zdrojům;

    - porušení integrity dat a softwaru.

    6.3 Systémy, které jsou nejvíce náchylné k útokům pomocí CS, jsou:

    - distribuované systémy pro více uživatelů;

    - systémy s přístupem do globálních sítí;

    - systémy využívající kryptografická bezpečnostní opatření;

    - systémy, které používají víceúrovňovou (povinnou) politiku řízení přístupu;

    - systémy, ve kterých nelze detekovat softwarové a hardwarové agenty (z důvodu použití softwaru a hardwaru s nepřístupným zdrojovým kódem a z důvodu chybějící projektové dokumentace).

    6.4 Vztah mezi hrozbami implementovanými pomocí CS a typy CS v závislosti na jejich propustnosti je uveden v tabulce 1.


    Tabulka 1 – Vztah mezi hrozbami realizovanými prostřednictvím skrytých kanálů a typy skrytých kanálů v závislosti na jejich kapacitě

    Typ skrytých kanálů

    Skryté kanály s nízkou šířkou pásma

    Skryté kanály s velkou šířkou pásma

    Injekce malwaru a dat

    Útočník odesílá příkazy agentovi k provedení

    Únik kryptografických klíčů nebo hesel

    Únik jednotlivých informačních objektů

    Poznámka - znaménko „+“ znamená, že existuje spojení mezi hrozbou a odpovídajícím typem skrytého kanálu; znak "-" znamená, že spojení neexistuje.

    7 Klasifikace aktiv podle stupně nebezpečnosti útoků pomocí skrytých kanálů

    7.1 V závislosti na stupni nebezpečnosti útoků pomocí CS jsou chráněná aktiva organizace rozdělena do následujících tříd:

    1. třída - aktiva obsahující informace, jejichž míru náchylnosti k útokům realizovaným pomocí automatizovaného systému určuje vlastník.

    2. třída - aktiva obsahující informace s omezeným přístupem nebo osobní údaje a zpracovávaná v systémech, které mají technická rozhraní otevřené sítě nebo počítačové systémy veřejný přístup, stejně jako počítačové systémy, které neposkytují ochranu proti úniku přes technické kanály.

    3. třída - majetek obsahující informace představující státní tajemství.

    7.2 Kromě toho existuje zvláštní třída aktiv, která jsou zranitelná vůči hrozbám prováděným pomocí bezpečnostních systémů s nízkou šířkou pásma. Tato skupina zahrnuje:

    Třída A - aktiva související s provozem kritických zařízení. Například přenos příkazu schopného inicializovat destruktivní účinek na objekt tohoto typu může být prováděn prostřednictvím CS s nízkou propustností.

    Třída B - aktiva obsahující informace o klíči/heslu, včetně klíčů systémů ochrany kryptografických informací a hesel pro přístup k dalším aktivům. Například únik informací o klíči/heslu přes pojišťovací systém může ohrozit fungování celého informačního systému.

    Bibliografie

    Průvodní dokument.
    Státní technická komise Ruska

    Klíčová slova: skryté kanály, analýza skrytých kanálů, klasifikace skrytých kanálů, útoky pomocí skrytých kanálů, bezpečnostní hrozby implementované pomocí skrytých kanálů, klasifikace aktiv podle stupně nebezpečnosti útoků pomocí skrytých kanálů



    Text elektronického dokumentu
    připravené společností Kodeks JSC a ověřené proti:
    oficiální publikace
    M.: Standartinform, 2018

    GOST R 53113.1-2008 Informační technologie (IT). Ochrana informačních technologií a automatizovaných systémů před hrozbami informační bezpečnosti implementovanými pomocí skrytých kanálů. Část 1. Obecná ustanovení

    Název dokumentu:
    Číslo dokumentu: 53113.1-2008
    Typ dokumentu: GOST R
    Přijímající autorita: Rosstandart
    Postavení: Aktivní
    Publikováno: Oficiální publikace. M.: Standartinform, 2018
    Datum přijetí: 18. prosince 2008
    Datum zahájení: 1. října 2009
    Datum kontroly: 1. října 2018

    GOST R 53113.1-2008 Informační technologie (IT). Ochrana informačních technologií a automatizovaných systémů před hrozbami informační bezpečnosti implementovanými pomocí skrytých kanálů. Část 1. Obecná ustanovení

    Název:

    Ochrana dat. Zajištění bezpečnosti informací v organizaci.

    Platný

    Datum představení:

    Datum zrušení:

    Nahrazen:

    Text GOST R 53114-2008 Ochrana informací. Zajištění bezpečnosti informací v organizaci. Základní pojmy a definice

    FEDERÁLNÍ AGENTURA PRO TECHNICKOU REGULACI A METROLOGII

    NÁRODNÍ

    STANDARD

    RUŠTINA

    FEDERACE

    Ochrana dat

    ZAJIŠTĚNÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI

    Základní pojmy a definice

    Oficiální publikace


    Oteidartenform

    GOST R 53114-2008

    Předmluva

    Cíle a zásady normalizace v Ruské federaci jsou stanoveny federálním zákonem č. 184-FZ ze dne 27. prosince 2002 „O technickém předpisu“ a pravidla pro uplatňování národních norem Ruské federace jsou GOST R 1.0-2004 „Standardizace“. v Ruské federaci. Základní ustanovení »

    Standardní informace

    1 VYVINUTO federální státní institucí „Státní výzkumný zkušební ústav pro problémy bezpečnosti technických informací Federální služby pro technickou a exportní kontrolu“ (FGU „GNIIII PTZI FSTEC of Russia“), společnost s ručením omezeným „Výzkumná a výrobní společnost „Kristall“ (OOO NPF "Crystal")

    2 PŘEDSTAVENO odborem technické regulace a normalizace Spolkové agentury pro technickou regulaci a metrologii

    3 SCHVÁLENO A NABYLO V ÚČINNOST nařízením Spolkové agentury pro technickou regulaci a metrologii ze dne 18. prosince 2008 č. 532-st

    4 8 POPRVÉ V ŘÍZENÍ

    Informace o změnách tohoto standardu jsou zveřejňovány v každoročně vydávaném informačním indexu „Národní standardy“ a text změn a dodatků je zveřejňován v měsíčním zveřejňovaném informačním indexu „Národní standardy“. V případě revize (náhrady) nebo zrušení tohoto standardu bude odpovídající upozornění zveřejněno v měsíčním vydávaném informačním indexu „Národní standardy“. Relevantní informace, oznámení a texty jsou také zveřejněny ve veřejném informačním systému - na oficiálních stránkách Spolkové agentury pro technickou regulaci a metrologii na internetu

    © Sgandartinform.2009

    Tato norma nemůže být zcela nebo částečně reprodukována, replikována nebo distribuována jako oficiální publikace bez povolení Federální agentury pro technickou regulaci a metrologii.

    GOST R 53114-2008

    1 oblast použití ................................................ ... ....1

    3 Pojmy a definice ................................................................ ..... 2

    3.1 Obecné pojmy ................................................ ........2

    3.2 Pojmy související s předmětem ochrany informací................................................ ...4

    3.3 Pojmy související s hrozbami informační bezpečnosti................................................7

    3.4 Pojmy související s řízením informační bezpečnosti organizace......8

    3.5 Pojmy související s kontrolou a hodnocením informační bezpečnosti organizace. ... 8

    3.6 Termíny související s kontrolami bezpečnosti informací

    organizace................................................. ...........9

    Abecední rejstřík pojmů ................................................ .....11

    Dodatek A (pro referenci) Termíny a definice obecných technických pojmů................................13

    Příloha B (pro referenci) Vzájemný vztah základních pojmů v oblasti informační bezpečnosti v organizaci............................................ ......................15

    Bibliografie................................................. ........16

    GOST R 53114-2008

    Úvod

    Termíny stanovené tímto standardem jsou uspořádány v systematickém pořadí, které odráží systém pojmů v této oblasti znalostí.

    Pro každý pojem existuje jeden standardizovaný termín.

    Přítomnost hranatých závorek v terminologickém článku znamená, že obsahuje dva termíny, které mají společné termínové prvky. Tyto pojmy jsou uvedeny samostatně v abecedním rejstříku.

    Část termínu uzavřená v závorkách může být při použití termínu v normalizačních dokumentech vynechána, zatímco část termínu neuvedená v závorkách tvoří jeho zkrácenou formu. Za standardizovanými termíny následují jejich krátké formy, oddělené středníky, reprezentované zkratkami.

    Uvedené definice lze v případě potřeby změnit zavedením odvozených charakteristik. odhalující významy pojmů v nich použitých, označující objekty zahrnuté do rozsahu definovaného pojmu.

    Změny nesmí ovlivnit rozsah a obsah pojmů definovaných v této normě.

    Standardizované pojmy jsou psány tučně, jejich zkrácené formy jsou v textu a v abecedním rejstříku včetně zkratek. - světlo a synonyma - kurzíva.

    Termíny a definice obecných technických pojmů nezbytných pro pochopení textu hlavní části této normy jsou uvedeny v dodatku A.

    GOST R 53114-2008

    NÁRODNÍ STANDARD RUSKÉ FEDERACE

    Ochrana dat

    ZAJIŠTĚNÍ INFORMAČNÍ BEZPEČNOSTI 8 ORGANIZACE

    Základní pojmy a definice

    Ochrana informací. Zajištění bezpečnosti informací v organizaci.

    Základní pojmy a definice

    Datum zavedení - 2009-10-01

    1 oblast použití

    Tato norma stanoví základní pojmy používané při provádění standardizačních prací v oblasti informační bezpečnosti v organizaci.

    Termíny stanovené touto normou jsou doporučeny pro použití v regulačních dokumentech, právní, technické a organizační a administrativní dokumentaci, vědecké, vzdělávací a referenční literatuře.

    Tato norma se používá ve spojení s GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

    Podmínky uvedené v této normě jsou v souladu s ustanoveními federálního zákona Ruské federace ze dne 27. prosince 2002 M"184*FZ "Technický předpis" |3]. Federální zákon Ruské federace ze dne 27. července 2006 č. 149-FZ „O informacích, informačních technologiích a ochraně informací“. Federální zákon Ruské federace ze dne 27. července 2006 č. 152-FZ „O osobních údajích“. Doktríny informační bezpečnosti Ruské federace, schválené prezidentem Ruské federace dne 9. září 2000 Pr -1895.

    2 Normativní odkazy

    GOST R 22.0.02-94 Bezpečnost v nouzových situacích. Pojmy a definice základních pojmů

    GOST R ISO 9000-2001 Systémy managementu jakosti. Základy a slovní zásoba

    GOST R ISO 9001-2008 Systémy managementu jakosti. Požadavky

    GOST R IS0 14001-2007 Systémy environmentálního managementu. Požadavky a návod k použití

    GOST R ISO/IEC 13335-1-2006 Informační technologie. Metody a prostředky zajištění bezpečnosti. Část 1. Koncepce a modely řízení bezpečnosti informačních a telekomunikačních technologií

    GOST R ISO/IEC 27001-2006 Informační technologie. Metody a prostředky zajištění bezpečnosti. Systémy řízení bezpečnosti informací. Požadavky

    GOST R 50922-2006 Ochrana informací. Základní pojmy a definice

    GOST R 51275-2006 Ochrana informací. Informační objekt. Faktory ovlivňující informace. Obecná ustanovení

    GOST R 51897-2002 Řízení rizik. Termíny a definice

    Oficiální publikace

    GOST R 53114-2008

    GOST R51898-2003 Bezpečnostní aspekty. Pravidla pro zahrnutí do norem GOST R 52069.0-2003 Ochrana informací. Systém norem. Základní ustanovení GOST 34.003-90 Informační technologie. Soubor standardů pro automatizované systémy. Automatizované systémy. Termíny a definice

    GOST 19781-90 Software pro systémy zpracování informací. Termíny a definice

    Poznámka - Při používání této normy je vhodné ověřit si platnost referenčních norem ve veřejném informačním systému - na oficiálních stránkách Spolkové agentury pro technickou regulaci a metrologii na internetu nebo podle každoročně vydávaného informačního indexu „Národní Standardy“, který byl zveřejněn k 1. lednu běžného roku a podle příslušných měsíčních informačních indexů zveřejněných v aktuálním roce. Pokud je referenční standard nahrazen (změněn), pak byste se při používání tohoto standardu měli řídit nahrazeným (změněným) standardem. Pokud je referenční norma zrušena bez náhrady, pak se ustanovení, ve kterém je na ni uveden odkaz, vztahuje na část, která tento odkaz neovlivňuje.

    3 Termíny a definice

    3.1 Obecné pojmy

    security of information [data]: Stav bezpečnosti informací [data], ve kterém je zajištěna jejich [jejich] důvěrnost, dostupnost a integrita.

    [GOST R 50922-2006. odstavec 2.4.5]

    bezpečnost informačních technologií: Stav bezpečnosti informačních technologií. která zajišťuje bezpečnost informací, pro které se používá ke zpracování. a informační bezpečnost informačního systému, ve kterém je implementován.

    [R 50.1.056-2006. odstavec 2.4.5]

    informační sféra: Souhrn informací, informační infrastruktura, subjekty. provádění shromažďování, vytváření, šíření a využívání informací, jakož i systémy pro regulaci společenských vztahů, které v tomto případě vznikají.

    3.1.4 informační infrastruktura: Soubor objektů informatizace, který poskytuje spotřebitelům přístup k informačním zdrojům.

    objekt informatizace: Soubor informačních zdrojů, nástrojů a systémů zpracování informací používaných v souladu s danou informační technologií, dále podpůrná zařízení, prostory nebo zařízení (budovy, stavby, technické prostředky), ve kterých jsou tyto nástroje a systémy instalovány, popř. prostory a zařízení určené k vedení důvěrných jednání.

    [GOST R 51275-2006. odstavec 3.1]

    3.1.6 aktiva organizace: Vše. co má pro organizaci hodnotu v zájmu dosažení jejích cílů a co má k dispozici.

    Poznámka: Majetek organizace může zahrnovat:

    Informační aktiva, včetně různých typů informací obíhajících v informačním systému (servisní, řídící, analytické, obchodní atd.) ve všech fázích životního cyklu (vytváření, ukládání, zpracování, přenos, ničení):

    Zdroje (finanční, lidské, výpočetní, informační, telekomunikační a další):

    Procesy (technologické, informační atd.);

    Vyrobené produkty nebo poskytované služby.

    GOST R 53114-2008

    Systémový zdroj zpracování informací: Zařízení systému zpracování informací, které lze přidělit procesu zpracování dat na určitý časový interval.

    Poznámka - Hlavními zdroji jsou procesory, oblasti hlavní paměti, datové sady. periferní zařízení, programy.

    [GOST 19781-90. odstavec 93)

    3.1.8 informační proces: Proces tvorby, sběru, zpracování, shromažďování, ukládání, vyhledávání. šíření a využívání informací.

    informační technologie; IT: Procesy, metody vyhledávání, shromažďování, ukládání, zpracování, poskytování. šíření informací a způsoby provádění takových procesů a metod. [ Federální zákon Ruské federace ze dne 27. prosince 2002 č. 184-FZ. článek 2. odstavec 2)]

    technická podpora automatizovaný systém; Technická podpora JE: Souhrn všech technických prostředků používaných při provozu JE.

    [GOST R 34.003-90. odstavec 2.5]

    Automatizovaný systémový software; AS software: Soubor programů na paměťových médiích a programových dokumentů určených k ladění, obsluze a testování funkčnosti AS.

    [GOST R 34.003-90. odstavec 2.7]

    informační podpora automatizovaného systému; Informační podpora AS: Soubor formulářů dokumentů, klasifikátorů, regulačního rámce a implementovaných řešení objemu, umístění a forem existence informací používaných v AS při jeho provozu.

    [GOST R 34.003-90. odstavec 2.8]

    3.1.13 služba; služba: Výsledek činnosti výkonného umělce k uspokojení potřeb spotřebitele.

    Poznámka - 8 organizace, jednotlivec nebo proces může vystupovat jako poskytovatel (spotřebitel) služby.

    3.1.14 služby informačních technologií: IT služby: Soubor funkčních schopností informačních a. případně neinformační technologie poskytované koncovým uživatelům jako služba.

    POZNÁMKA Příklady služeb IT zahrnují zasílání zpráv, obchodní aplikace, souborové a tiskové služby, síťové služby atd.

    3.1.15 systém kritické informační infrastruktury; systém klíčové informační infrastruktury: FIAC: Informační management nebo informační telekomunikační systém, který řídí nebo poskytuje informace kritickému objektu nebo procesu, nebo slouží k oficiálnímu informování společnosti a občanů, jehož narušení nebo přerušení fungování (v důsledku destruktivní informační vlivy, stejně jako poruchy či poruchy) mohou vést k mimořádné události s významnými negativními důsledky.

    3.1.18 kritický objekt: Objekt nebo proces, jehož narušení kontinuity provozu by mohlo způsobit značné škody.

    GOST R 53114-2008

    Poznámka - Škoda může být způsobena na majetku fyzických osob popř právnické osoby. státní nebo obecní majetek, životní prostředí, jakož i poškozování života nebo zdraví občanů.

    informační systém osobních údajů: Informační systém, který je souborem osobních údajů obsažených v databázi, jakož i informačních technologií a technických prostředků, které umožňují zpracování těchto osobních údajů pomocí nástrojů automatizace nebo bez použití těchto nástrojů.

    osobní údaje: Jakékoli informace týkající se fyzické osoby identifikované nebo určené na základě těchto informací (předmět osobních údajů), včetně jejího příjmení, jména. patronymum, roč měsíc, datum a místo narození, adresa, rodina, sociální, majetkové poměry, vzdělání, profese, příjem, další údaje.

    3.1.19 automatizovaný systém v chráněném vzoru; AS v chráněném provedení: Automatizovaný systém, který implementuje informační technologie k provádění zavedených funkcí v souladu s požadavky norem a/nebo regulačních dokumentů o ochraně informací.

    3.2 Pojmy související s předmětem ochrany informací

    3.2.1 informační bezpečnost organizace; Organizační zpravodajství: Stav ochrany zájmů organizace tváří v tvář hrozbám v informační sféře.

    Poznámka - Bezpečnost je dosažena zajištěním souboru vlastností zabezpečení informací - důvěrnost, integrita, dostupnost informačních aktiv a infrastruktura organizace. Priorita vlastností informační bezpečnosti je dána významem informačních aktiv pro zájmy (cíle) organizace.

    předmět ochrany informace: Informační nebo informační nosič, případně informační proces. které musí být chráněny v souladu s účelem ochrany informací.

    [GOST R 50922-2006. odstavec 2.5.1]

    3.2.3 chráněný proces (informační technologie): Proces používaný informačními technologiemi ke zpracování chráněných informací s požadovanou úrovní jejich zabezpečení.

    3.2.4 porušení informační bezpečnosti organizace: porušení informační bezpečnosti organizace: Náhodné nebo úmyslné protiprávní jednání jednotlivce (subjektu, objektu) ve vztahu k majetku organizace, jehož důsledkem je porušení bezpečnosti informací, kdy je zpracováván technickými prostředky v informačních systémech, což má negativní důsledky (poškození/poškození) pro organizaci.

    nouzový; nepředvídaná situace; Mimořádná situace: Situace na určitém území nebo vodní ploše, která vznikla v důsledku havárie, nebezpečného přírodního jevu, katastrofy, přírodní nebo jiné katastrofy, která může mít za následek ztráty na životech nebo lidské oběti, poškození lidského zdraví. nebo životní prostředí, značné materiální ztráty a narušení životních podmínek lidí.

    Poznámka - Nouzové situace se rozlišují podle povahy zdroje (přírodní, člověkem způsobené, biologicko-sociální a vojenské) a podle rozsahu (místní, místní, územní, regionální, federální a přeshraniční).

    (GOST R 22.0.02-94. Článek 2.1.1)

    GOST R 53114-2008

    3.2.6

    nebezpečná situace: Okolnosti, za kterých jsou ohroženi lidé, majetek nebo životní prostředí.

    (GOST R 51898-2003. odstavec 3.6)

    3.2.7

    incident zabezpečení informací: Jakákoli neočekávaná nebo nechtěná událost, která může narušit provoz nebo bezpečnost informací.

    Poznámka – Incidenty zabezpečení informací jsou:

    Ztráta služeb, vybavení nebo zařízení:

    Selhání nebo přetížení systému:

    Uživatelské chyby.

    Porušení opatření fyzické ochrany:

    Nekontrolované změny systémů.

    Selhání softwaru a selhání hardwaru:

    Porušení pravidel přístupu.

    (GOST R ISO/IEC 27001 -2006. Článek 3.6)

    3.2.8 událost: Výskyt nebo přítomnost určitého souboru okolností.

    Poznámky

    1 Povaha, pravděpodobnost a důsledky události nemusí být zcela známy.

    2 Událost může nastat jednou nebo vícekrát.

    3 Pravděpodobnost spojená s událostí lze odhadnout.

    4 Událost může spočívat v tom, že nenastane jedna nebo více okolností.

    5 Nepředvídatelná událost se někdy nazývá „incident“.

    6 Událost, při které nedochází ke ztrátám, se někdy nazývá předpokladem incidentu (incidentu), nebezpečným stavem, nebezpečnou kombinací okolností atd.

    3.2.9 riziko: Vliv nejistot na proces dosahování cílů.

    Poznámky

    1 Cíle mohou mít různé aspekty: finanční, zdravotní, bezpečnostní a environmentální a nemusí být stanoveny různé úrovně: na strategické úrovni, napříč organizací, na úrovni projektu, produktu a procesu.

    3 Riziko je často vyjádřeno jako kombinace důsledků události nebo změny okolností a jejich pravděpodobnosti.

    3.2.10

    Risk Assessment: Proces, který kombinuje identifikaci rizik, analýzu rizik a kvantifikaci rizik.

    (GOST R ISO/IEC 13335-1-2006, odstavec 2.21 ]

    3.2.11 posouzení rizik bezpečnosti informací (organizace); hodnocení rizika informační bezpečnosti (organizace): Celkový proces identifikace, analýzy a stanovení přijatelnosti úrovně rizika informační bezpečnosti organizace.

    3.2.12 identifikace rizik: Proces zjišťování, rozpoznávání a popisu rizik.

    Poznámky

    1 Identifikace rizik zahrnuje identifikaci zdrojů rizik, událostí a jejich příčin, jakož i jejich možných následků.

    POZNÁMKA 2 Identifikace rizik může zahrnovat statistická data, teoretickou analýzu, informované názory a expertní názory a potřeby zúčastněných stran.

    GOST R 53114-2008

    analýza rizik: Systematické využívání informací k identifikaci zdrojů rizik a kvantifikaci rizik.

    (GOST R ISO/IEC 27001-2006. Článek 3.11)

    3.2.14 Stanovení přijatelnosti rizika: Proces porovnávání výsledků analýzy rizika s kritérii rizika za účelem stanovení přijatelnosti nebo tolerovatelnosti úrovně rizika.

    POZNÁMKA Stanovení přijatelnosti úrovně rizika pomáhá při rozhodování o léčbě

    3.2.15 zvládání rizika informační bezpečnosti organizace; Zacházení s riziky bezpečnosti informací v organizaci: Proces vývoje a/nebo výběru a implementace opatření pro řízení rizik bezpečnosti informací v organizaci.

    Poznámky

    1 Léčba rizik může zahrnovat:

    Vyhýbání se riziku tím, že se rozhodnete nezahajovat nebo nepokračovat v činnostech, které vytvářejí podmínky

    Hledání příležitosti tím, že se rozhodnete zahájit nebo pokračovat v činnostech, které mohou vytvářet nebo zvyšovat riziko;

    Odstranění zdroje rizika:

    Změny v povaze a velikosti rizika:

    Měnící se důsledky;

    Sdílení rizika s jinou stranou nebo stranami.

    Přetrvávání rizika jak v důsledku vědomého rozhodnutí, tak „standardně“.

    2 Léčba rizik s negativními důsledky se někdy nazývá zmírnění, eliminace, prevence. snížení, potlačení a korekci rizika.

    3.2.16 řízení rizik: Koordinované akce k řízení a kontrole činností organizace ve vztahu k rizikům.

    3.2.17 zdroj rizika pro informační bezpečnost organizace; zdroj rizika zabezpečení informací organizace: Objekt nebo akce, která může způsobit [vytvořit) riziko.

    Poznámky

    1 Neexistuje žádné riziko, pokud neexistuje interakce mezi objektem, osobou nebo organizací se zdrojem rizika.

    2 Zdroj rizika může být hmotný nebo nehmotný.

    3.2.18 politika bezpečnosti informací (organizace); Politika bezpečnosti informací (organizace): Formální prohlášení o pravidlech, postupech, postupech nebo směrnicích bezpečnosti informací, kterými se řídí činnosti organizace.

    Poznámka – Zásady musí obsahovat.

    Předmět, hlavní cíle a cíle bezpečnostní politiky:

    Podmínky pro uplatnění bezpečnostní politiky a případná omezení:

    Popis pozice vedení organizace k implementaci bezpečnostní politiky a organizaci režimu informační bezpečnosti organizace jako celku.

    Práva a povinnosti a také míra odpovědnosti zaměstnanců za dodržování bezpečnostní politiky organizace.

    Nouzové postupy v případě porušení bezpečnostní politiky

    3.2.19 cíl informační bezpečnosti (organizace); Cíl IS (organizace): Předem stanovený výsledek zajištění informační bezpečnosti organizace v souladu se stanovenými požadavky v politice IS (organizace).

    Poznámka - Výsledkem zajištění bezpečnosti informací může být zamezení poškození vlastníka informací z důvodu možného úniku informací a (nebo) neoprávněného a neúmyslného ovlivnění informací.

    3.2.20 systém dokumentů o bezpečnosti informací v organizaci; systém dokumentů bezpečnosti informací v organizaci: uspořádaný soubor dokumentů sjednocený cílovou orientací. vzájemně propojeny na základě původu, účelu, druhu, rozsahu činnosti, jednotných požadavků na jejich konstrukci a regulující činnost organizace k zajištění bezpečnosti informací.

    GOST R 53114-2008

    3.3 Pojmy související s hrozbami bezpečnosti informací

    3.3.1 ohrožení informační bezpečnosti organizace; hrozba informační bezpečnosti pro organizaci: Soubor faktorů a podmínek, které vytvářejí nebezpečí narušení informační bezpečnosti organizace, které způsobují nebo mohou způsobit organizaci negativní důsledky (poškození/poškození).

    Poznámky

    1 Formou implementace (projevem) hrozby informační bezpečnosti je propuknutí jedné nebo více vzájemně souvisejících událostí informační bezpečnosti a incidentů informační bezpečnosti. vedoucí k narušení vlastností informační bezpečnosti chráněných objektů organizace.

    2 Hrozbu charakterizuje přítomnost předmětu ohrožení, zdroj ohrožení a projev ohrožení.

    hrozba (bezpečnost informací): Soubor podmínek a faktorů, které vytvářejí potenciální nebo skutečné nebezpečí narušení bezpečnosti informací.

    [GOST R 50922-2006. odstavec 2.6.1]

    3.3.3 model ohrožení (bezpečnost informací): Fyzické, matematické, popisné znázornění vlastností nebo charakteristik ohrožení bezpečnosti informací.

    Poznámka – zvláštní regulační dokument může být typem popisné reprezentace vlastností nebo charakteristik hrozeb informační bezpečnosti.

    zranitelnost (informačního systému); porušení: Vlastnost informačního systému, která umožňuje realizovat ohrožení bezpečnosti informací v něm zpracovávaných.

    Poznámky

    1 Podmínkou realizace bezpečnostní hrozby zpracovávané v informačním systému může být nedostatek nebo slabina informačního systému.

    2 Pokud se zranitelnost shoduje s hrozbou, existuje riziko.

    [GOST R 50922-2006. odstavec 2.6.4]

    3.3.5 narušitel informační bezpečnosti organizace; narušitel informační bezpečnosti organizace: Jednotlivec nebo logický subjekt, který se náhodně nebo úmyslně dopustil jednání, jehož důsledkem je porušení informační bezpečnosti organizace.

    3.3.6 neoprávněný přístup: Přístup k informacím nebo ke zdrojům automatizovaného informačního systému, prováděný v rozporu se stanovenými přístupovými právy (nebo) pravidly.

    Poznámky

    1 Neoprávněný přístup může být úmyslný nebo neúmyslný.

    2 Pro procesy zpracování informací, údržbu automatizovaného informačního systému a změny softwaru jsou stanovena práva a pravidla pro přístup k informacím a zdrojům informačního systému. technické a informační zdroje, jakož i získávání informací o nich.

    3.3.7 síťový útok: Akce využívající software a (nebo) hardware a využívající síťový protokol, zaměřené na realizaci hrozeb neoprávněného přístupu k informacím, ovlivňování je nebo zdrojů automatizovaného informačního systému.

    Aplikace - Síťový protokol - soubor sémantických a pravidla syntaxe, které určují interakci programů pro správu sítě umístěných na stejném počítači. se stejnojmennými programy umístěnými na jiném počítači.

    3.3.8 blokování přístupu (k informacím): Ukončení nebo ztížení přístupu osob k informacím. k tomu oprávněni (oprávnění uživatelé).

    3.3.9 Útok odmítnutí služby: Síťový útok vedoucí k zablokování informační procesy v automatizovaném systému.

    3.3.10 únik informací: nekontrolované šíření chráněných informací v důsledku jejich prozrazení, neoprávněného přístupu k informacím a přijímání chráněných informací cizími zpravodajskými službami.

    3.3.11 zpřístupnění informací: Neoprávněné sdělování chráněných informací osobám. nemá oprávnění k přístupu k těmto informacím.

    GOST R 53114-2008

    zachycování (informací): Nelegální příjem informací pomocí technického prostředku, který detekuje, přijímá a zpracovává informační signály.

    (R 50.1.053-2005, odstavec 3.2.5]

    informativní signál: Signál, jehož parametry lze použít k určení chráněné informace.

    [R 50.1.05S-2005. odstavec 3.2.6]

    3.3.14 deklarované schopnosti: Funkčnost počítačový hardware a software, které nejsou popsány nebo neodpovídají těm, které jsou popsány v dokumentaci. což může vést ke snížení nebo narušení bezpečnostních vlastností informací.

    3.3.15 rušivé elektromagnetické záření a interference: Elektromagnetická radiace technické prostředky zpracování informací, vznikající jako vedlejší efekt a způsobené elektrickými signály působícími v jejich elektrických a magnetických obvodech, jakož i elektromagnetickým rušením těchto signálů na vodivých vedeních, konstrukcích a silových obvodech.

    3.4 Pojmy související s řízením informační bezpečnosti organizace

    3.4.1 řízení informační bezpečnosti organizace; řízení organizace bezpečnosti informací; Koordinované akce k vedení a řízení organizace z hlediska zajištění její informační bezpečnosti v souladu s měnícími se podmínkami vnitřního a vnějšího prostředí organizace.

    3.4.2 řízení rizik informační bezpečnosti organizace; řízení rizik informační bezpečnosti organizace: Koordinované akce pro vedení a řízení organizace ve vztahu k riziku informační bezpečnosti za účelem jeho minimalizace.

    POZNÁMKA Základními procesy řízení rizik jsou nastavení kontextu, posouzení rizika, ošetření a přijetí rizika, monitorování a přezkoumání rizika.

    Systém řízení bezpečnosti informací; ISMS: Součást celkového systému řízení. založené na použití metod hodnocení bioenergetických rizik pro vývoj, implementaci a provoz. monitorování, analýza, podpora a zlepšování bezpečnosti informací.

    POZNÁMKA Systém managementu zahrnuje organizační strukturu, zásady, plánovací činnosti, odpovědnosti, praktiky, postupy, procesy a zdroje.

    [GOST R ISO/IEC 27001 -2006. odstavec 3.7]

    3.4.4 role informační bezpečnosti v organizaci; role informační bezpečnosti v organizaci: Soubor specifických funkcí a úkolů pro zajištění informační bezpečnosti organizace, které vytvářejí přijatelnou interakci mezi subjektem a objektem v organizaci.

    Poznámky

    1 Subjekty zahrnují osoby z řad manažerů organizace, jejích zaměstnanců nebo procesů zahájených jejich jménem za účelem provádění akcí na objektech

    2 Objekty mohou být hardware, software, software a hardware nebo informační zdroj, na kterém se provádějí akce.

    3.4.5 Služba informační bezpečnosti organizace: Organizační a technická struktura systému řízení bezpečnosti informací organizace, která implementuje řešení konkrétního úkolu zaměřeného na boj proti hrozbám informační bezpečnosti organizace.

    3.5 Pojmy související s monitorováním a hodnocením informační bezpečnosti organizace

    3.5.1 kontrola zajištění informační bezpečnosti organizace; kontrola zajištění bezpečnosti informací v organizaci: Kontrola souladu zajištění bezpečnosti informací v organizaci.

    GOST R 53114-2008

    3.5.2 sledování informační bezpečnosti organizace; Monitorování informační bezpečnosti organizace: Neustálé monitorování procesu informační bezpečnosti v organizaci za účelem zjištění jeho souladu s požadavky na informační bezpečnost.

    3.5.3 audit informační bezpečnosti organizace; audit organizace informační bezpečnosti: Systematický, nezávislý a dokumentovaný proces získávání důkazů o činnostech organizace k zajištění bezpečnosti informací a stanovení stupně plnění kritérií bezpečnosti informací v organizaci, jakož i umožnění vytvoření odborného auditu úsudek o stavu informační bezpečnosti organizace.

    3.5.4 důkazy (důkazy) auditu informační bezpečnosti organizace; Údaje z auditu bezpečnosti informací v organizaci: Záznamy, prohlášení o faktech nebo jiné informace, které jsou relevantní pro kritéria auditu bezpečnosti informací organizace a lze je ověřit.

    POZNÁMKA Důkazy o bezpečnosti informací mohou být kvalitativní nebo kvantitativní.

    3.5.5 posouzení souladu informační bezpečnosti organizace se stanovenými požadavky; posouzení souladu informační bezpečnosti organizace se stanovenými požadavky: Činnosti spojené s přímým nebo nepřímým stanovením souladu nebo nesouladu se stanovenými požadavky na bezpečnost informací v organizaci.

    3.5.6 kritérium pro audit informační bezpečnosti organizace; Kritérium auditu organizace pro bezpečnost informací: Soubor zásad, ustanovení, požadavků a ukazatelů aktuálních regulačních dokumentů* souvisejících s činnostmi organizace v oblasti informační bezpečnosti.

    Aplikace – Kritéria auditu bezpečnosti informací se používají k porovnání důkazů auditu bezpečnosti informací s nimi.

    3.5.7 certifikace automatizovaného systému v bezpečném provedení: Proces komplexního ověřování výkonu stanovených funkcí automatizovaného systému pro zpracování chráněných informací pro soulad s požadavky norem a/nebo regulačních dokumentů v oblasti informací ochrany a přípravy podkladů o jejím souladu s výkonem funkce zpracování chráněných informací na konkrétním zařízení informatizace.

    3.5.8 kritérium pro zajištění informační bezpečnosti organizace; kritérium informační bezpečnosti organizace: Ukazatel, na jehož základě se posuzuje stupeň dosažení cíle (cílů) informační bezpečnosti organizace.

    3.5.9 účinnost informační bezpečnosti; účinnost informační bezpečnosti: Vztah mezi dosaženým výsledkem a použitými zdroji k zajištění dané úrovně informační bezpečnosti.

    3.6 Termíny související s kontrolami bezpečnosti informací v organizaci

    3.6.1 zajištění informační bezpečnosti organizace; zajišťování informační bezpečnosti organizace: Činnosti zaměřené na eliminaci (neutralizaci, čelení) vnitřním a vnějším hrozbám pro informační bezpečnost organizace nebo minimalizaci škod z možné implementace takových hrozeb.

    3.6.2 bezpečnostní opatření; bezpečnostní kontrola: Zavedená praxe, postup nebo mechanismus pro zvládání rizik.

    3.6.3 opatření k zajištění bezpečnosti informací; opatření pro bezpečnost informací: Soubor akcí zaměřených na vývoj a/nebo praktickou aplikaci metod a prostředků k zajištění bezpečnosti informací.

    3.6.4 organizační opatření k zajištění bezpečnosti informací; organizační opatření k zajištění informační bezpečnosti: Opatření k zajištění informační bezpečnosti, zajišťující stanovení dočasných, územních, prostorových, právních, metodických a jiných omezení podmínek užívání a provozních režimů objektu informatizace.

    3.6.5 technické prostředky k zajištění bezpečnosti informací; technické prostředky informační bezpečnosti: Zařízení sloužící k zajištění informační bezpečnosti organizace pomocí nekryptografických metod.

    Poznámka - Takové zařízení může představovat hardware a software zabudovaný do chráněného objektu a/nebo fungující autonomně (nezávisle na chráněném objektu).

    GOST R 53114-2008

    3.5.6 nástroj pro detekci narušení, nástroj pro detekci útoků: Softwarový nebo softwarově-hardwarový nástroj, který automatizuje proces monitorování událostí vyskytujících se v počítačovém systému nebo síti a také tyto události nezávisle analyzuje při hledání známek incidentu v oblasti bezpečnosti informací.

    3.6.7 prostředky ochrany proti neoprávněnému přístupu: Software, hardware nebo software a hardware navržený tak, aby zabránil neoprávněnému přístupu nebo mu výrazně bránil.

    GOST R 53114-2008

    Abecední rejstřík pojmů

    majetek organizace 3.1.6

    analýza rizik 3.2.13

    Reproduktory v chráněné verzi 3.1.19

    útok odmítnutí služby 3.3.9

    síťový útok 3.3.7

    certifikace automatizovaného systému v chráněné verzi 3.5.7

    audit informační bezpečnosti organizace 3.5.3

    audit informační bezpečnosti organizace 3.5.3

    zabezpečení (údaje) 3.1.1

    informační bezpečnost 3.1.1

    bezpečnost informačních technologií 3.1.2

    informační bezpečnost organizace 3.2.1

    blokování přístupu (k informacím) 3.3.8

    porušení 3.3.4

    nedeklarované schopnosti 3.3.14

    osobní údaje 3.1.18

    neoprávněný přístup 3.3.6

    Organizační informační bezpečnost 3.2.1

    identifikace rizik 3.2.12

    informační infrastruktura 3.1.4

    incident bezpečnosti informací 3.2.7

    zdroj rizika informační bezpečnosti organizace 3.2.17

    zdroj rizik pro informační bezpečnost organizace 3.2.17

    kontrola informační bezpečnosti organizace 3.5.1

    kontrola nad informační bezpečností organizace 3.5.1

    kritéria pro zajištění informační bezpečnosti organizace 3.5.8

    Kritérium auditu organizačního IS 3.5.6

    Kritérium auditu bezpečnosti informací organizace 3.5.6

    kritérium pro zajištění informační bezpečnosti organizace 3.5.8

    řízení informační bezpečnosti organizace 3.4.1

    řízení informační bezpečnosti organizace 3.4.1

    řízení rizik bezpečnosti informací organizace 3.4.2

    řízení rizik bezpečnosti informací organizace 3.4.2

    bezpečnostní opatření 3.6.2

    bezpečnostní opatření 3.6.2

    opatření pro bezpečnost informací 3.6.3

    organizační opatření informační bezpečnosti 3.6.4

    opatření pro bezpečnost informací 3.6.3

    organizační opatření informační bezpečnosti 3.4.6

    model hrozby (bezpečnost informací) 3.3.3

    monitorování bezpečnosti informací organizace 3.5.2

    monitorování informační bezpečnosti organizace 3.5.2

    narušení informační bezpečnosti organizace 3.2.4

    narušení informační bezpečnosti organizace 3.2.4

    organizace narušitel informační bezpečnosti 3.3.5

    narušitel informační bezpečnosti organizace 3.3.5

    podpora automatizovaného informačního systému 3.1.12

    software automatizovaného systému 3.1.11

    technická podpora automatizovaného systému 3.1.10

    Informační podpora AS 3.1.12

    AC software 3.1.11

    Technická podpora AC 3.1.10

    zajištění informační bezpečnosti organizace 3.6.1

    zajištění informační bezpečnosti organizace 3.6.1

    zacházení s riziky bezpečnosti informací organizace 3.2.15

    GOST R 53114-2008

    řízení rizika informační bezpečnosti organizace 3.2.1S

    objekt ochrany informací 3.2.2

    objekt informatizace 3.1.5

    kritický objekt 3.1.16

    stanovení přijatelné míry rizika 3.2.14

    hodnocení rizik 3.2.10

    hodnocení rizik I6 (organizace) 3.2.11

    hodnocení rizik bezpečnosti informací (organizace) 3.2.11

    posouzení souladu IS organizace se stanovenými požadavky 3.5.5

    posouzení souladu informační bezpečnosti organizace se stanovenými požadavky 3.5.5

    odposlech (informace) 3.3.12

    Politika IS (organizace) 3.2.18

    politika bezpečnosti informací (organizace) 3.2.18

    chráněný proces (informační technologie) 3.2.3

    informační proces 3.1.8

    zpřístupnění informací 3.3.11

    zdroj systému zpracování informací 3.1.7

    role informační bezpečnosti v organizaci 3.4.4

    role informační bezpečnosti 8 v organizaci 3.4.4

    certifikáty (důkazy) auditu IS organizace 3.5.4

    důkaz (důkaz) o auditu bezpečnosti informací organizace 3.5.4

    servis 3.1.13

    informativní signál 3.3.13

    bezpečný automatizovaný systém 3.1.19

    dokumentový systém bezpečnosti informací v organizaci 3.2.20

    systém dokumentů o bezpečnosti informací v organizaci 3.2.20

    systém klíčové informační infrastruktury 3.1.15

    systém kritické informační infrastruktury 3.1.15

    systém řízení bezpečnosti informací 3.4.3

    informační systém osobních údajů 3.1.17

    nepředvídaná situace 3.2.5

    nebezpečná situace 3.2.6

    mimořádná situace 3.2.5

    služba informační bezpečnosti organizace 3.4.6

    akce 3.2.8

    ochrana proti neoprávněnému přístupu 3.6.7

    nástroj technické bezpečnosti informací 3.6.5

    nástroj technické bezpečnosti informací 3.6.5

    Nástroj pro detekci útoku 3.6.6

    Nástroj pro detekci narušení 3.6.6

    informační sféra 3.1.3

    informační technologie 3.1.9

    hrozba (bezpečnost informací) 3.3.2

    ohrožení informační bezpečnosti organizace 3.3.1

    ohrožení informační bezpečnosti organizace 3.3.1

    řízení rizik 3.2.16

    servis 3.1.13

    služby informačních technologií 3.1.14

    IT služby 3.1.14

    únik informací 3.3.10

    zranitelnost (informační systém) 3.3.4

    IS cíl (organizace) 3.2.19

    informační bezpečnost cíl (organizace) 3.2.19

    elektromagnetické záření a boční rušení 3.3.15

    Efektivita IS 3.5.9

    účinnost informační bezpečnosti 3.5.9

    GOST R 53114-2008

    Příloha A (odkaz)

    Termíny a definice obecných technických pojmů

    organizace: Skupina pracovníků a potřebných zdrojů s rozdělením odpovědností, pravomocí a vztahů.

    (GOST R ISO 9000-2001, odstavec 3.3.1]

    Poznámky

    1 Mezi organizace patří: společnost, korporace, firma, podnik, instituce, charitativní organizace, maloobchod, sdružení. stejně jako jejich pododdělení nebo jejich kombinace.

    2 Distribuce je obvykle objednána.

    3 Organizace může být veřejná nebo soukromá.

    A.2 podnikání: Ekonomická činnost, která produkuje zisk; jakýkoli druh činnosti, která vytváří příjem a je zdrojem obohacení.

    A.Z business process: Procesy používané v ekonomických činnostech organizace.

    informace: Informace (zprávy, data) bez ohledu na formu jejich prezentace.

    aktiva: Vše. co má pro organizaci hodnotu. (GOST R ISO/IEC13335-1-2006, odstavec 2.2(

    A.6 Zdroje: Aktiva (organizace), která se používají nebo spotřebovávají během provádění procesu. Poznámky

    1 Zdroje mohou zahrnovat různé položky, jako je personál, vybavení, dlouhodobý majetek, nástroje a veřejné služby, jako je energie, voda, palivo a infrastruktura komunikačních sítí.

    2 Zdroje mohou být opakovaně použitelné, obnovitelné nebo spotřebovatelné.

    A.7 nebezpečí: Vlastnost předmětu, která charakterizuje jeho schopnost způsobit poškození nebo poškození jiných předmětů. A.8 mimořádná událost: událost vedoucí k nouzové situaci.

    A.9 poškození: Fyzické poškození nebo poškození lidského zdraví nebo poškození majetku nebo životního prostředí.

    A. 10 hrozba: Soubor podmínek a faktorů, které mohou způsobit narušení integrity a dostupnosti. Soukromí.

    A.11 zranitelnost: Vnitřní vlastnosti objektu, které vytvářejí náchylnost k účinkům zdroje rizika, které mohou vést k nějakému důsledku.

    A. 12 útok: Pokus o překonání bezpečnostního systému informačního systému.

    Poznámky - Míra „úspěchu“ útoku závisí na zranitelnosti a účinnosti obranného systému.

    A.13 management: Koordinované činnosti pro směřování a řízení organizace

    A.14 obchodní (kontinuitní) řízení: Koordinované řídící a kontrolní činnosti

    obchodní procesy organizace.

    A. 15 role: Předem určený soubor pravidel a postupů pro činnosti organizace, které zavádějí přijatelnou interakci mezi subjektem a objektem činnosti.

    vlastník informací: Osoba, která nezávisle vytvořila informace nebo získala na základě zákona nebo dohody právo povolit nebo omezit přístup k informacím určeným jakýmkoli kritériem.

    GOST R 53114-2008

    infrastruktura: Souhrn budov, zařízení a podpůrných služeb nezbytných pro fungování organizace.

    [GOST R ISO 9000-2001. odstavec 3.3.3]

    A.18 audit: Systematický, nezávislý a zdokumentovaný proces získávání důkazních informací a jejich objektivního hodnocení s cílem určit, do jaké míry byla splněna dohodnutá kritéria auditu.

    Poznámky

    1 Interní audity, nazývané audity první strany, jsou prováděny pro interní účely samotnou organizací nebo jejím jménem jiná organizace. Výsledky interního auditu mohou sloužit jako podklad pro prohlášení o shodě. V mnoha případech, zejména v malých podnicích, musí audit provádět specialisté (osoby, které nejsou odpovědné za auditovanou činnost).

    POZNÁMKA 2 Externí audity zahrnují audity nazývané audity druhé strany a audity třetích stran. Audity druhé strany provádějí například strany zajímající se o činnost podniku.

    spotřebitelům nebo jiným jejich jménem. Audity třetích stran provádějí externí nezávislé organizace. Tyto organizace provádějí certifikaci nebo registraci pro shodu s požadavky, například požadavky GOST R ISO 9001 a GOST R ISO 14001.

    3 Souběžně prováděný audit systémů managementu kvality a environmentálního managementu se nazývá „komplexní audit“.

    4 Pokud audit auditované organizace provádí současně několik organizací, pak se takový audit nazývá „společný audit“.

    A.19 monitorování: Systematické nebo nepřetržité monitorování objektu, zajištění kontroly a/nebo měření jeho parametrů, jakož i provádění analýz k předpovídání variability parametrů a rozhodování o potřebě a složení nápravných a preventivních opatření.

    prohlášení o shodě: Formulář potvrzení o shodě výrobku s požadavky technických předpisů.

    Technologie A.21: Systém vzájemně propojených metod, metod, technik objektivní činnosti. A.22

    dokument: Informace zaznamenané na hmotném nosiči s podrobnostmi, které umožňují jejich identifikaci.

    [GOST R 52069.0-2003. odstavec 3.18]

    A.23 zpracování informací: Soubor operací shromažďování, shromažďování, vstupu, výstupu, příjmu, přenosu, záznamu, ukládání, registrace, ničení, transformace, zobrazení, prováděných s informacemi.

    GOST R 53114-2008

    Dodatek B (pro referenci)

    Vztah základních pojmů v oblasti informační bezpečnosti v organizaci

    Vztah mezi základními pojmy je znázorněn na obrázku B.1.


    Obrázek B.1 - vztah mezi základními pojmy

    GOST R 53114-2008

    Bibliografie

    (1] R 50.1.053-2005

    (2]PS0.1.056-2005

    Informační technologie. Základní pojmy a definice v oblasti technické informační bezpečnosti Technická ochrana informace. Základní pojmy a definice

    O technickém předpisu

    O informacích, informačních technologiích a ochraně informací

    O osobních údajích

    Doktrína informační bezpečnosti Ruské federace

    MDT 351.864.1:004:006.354 OKS 35.020 LLP

    Klíčová slova: informace, informační bezpečnost, informační bezpečnost v organizaci, ohrožení informační bezpečnosti, kritéria informační bezpečnosti

    Redaktor V.N. Cops soya Technický redaktor V.N. Prusakova korektor V.E. Nestorovo Počítačový software I.A. NapeikinoO

    Dodáno k náboru dne 11.06.2009. Podepsané razítko 12.1.2009. Formát 60" 84 ofsetový papír. Typ písma Arial. Ofsetový tisk. Usp. trouba l. 2.32. Uch.-ed. l. 1,90. Náklad 373 »kz. Zach. 626

    FSUE "STANDARTNÍ INFORMACE*. 123995 Moskva. Granátové jablko por.. 4. info@goslmlo gi

    Zadáno do FSUE "STANDARTINFORM" na PC.

    Vytištěno na pobočce FSUE "STANDARTINFORM* - typ. "Moskevská tiskárna". 105062 Moskva. Lyalinův pruh.. 6.

    • GOST 22731-77 Systémy přenosu dat, postupy řízení datových spojů v hlavním režimu pro poloduplexní výměnu informací
    • GOST 26525-85 Systémy zpracování dat. Metriky využití
    • GOST 27771-88 Procedurální charakteristiky na rozhraní mezi datovým koncovým zařízením a koncovým zařízením datového kanálu. Obecné požadavky a normy
    • GOST 28082-89 Systémy zpracování informací. Metody detekce chyb v sériovém přenosu dat
    • GOST 28270-89 Systémy zpracování informací. Popis dat Specifikace souboru pro výměnu informací
    • GOST R 43.2.11-2014 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Strukturovaná prezentace textových informací ve formátech zpráv
    • GOST R 43.2.8-2014 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Formáty zpráv pro technické činnosti
    • GOST R 43.4.1-2011 Informační podpora pro zařízení a činnosti operátora. "Člověk-informační" systém
    • GOST R 53633.10-2015 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Řízení organizace. Řízení organizačních rizik
    • GOST R 53633.11-2015 Informační technologie. Telekomunikační řídicí síť. Rozšířený diagram činnosti organizace komunikace (eTOM).Dekompozice a popisy procesů. Procesy eTOM úrovně 2. Řízení organizace. Řízení výkonnosti organizace
    • GOST R 53633.4-2015 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Primární činnost. Řízení a provoz služeb
    • GOST R 53633.7-2015 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Strategie, infrastruktura a produkt. Vývoj a řízení zdrojů
    • GOST R 53633.9-2015 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Řízení organizace. Strategie plánování a rozvoje organizace
    • GOST R 55767-2013 Informační technologie. Evropský rámec kompetencí ICT 2.0. Část 1. Společný evropský rámec kompetencí pro odborníky v oblasti ICT pro všechna průmyslová odvětví
    • GOST R 55768-2013 Informační technologie. Model otevřeného Grid systému. Základní ustanovení
    • GOST R 56093-2014 Ochrana informací. Automatizované systémy v bezpečném provedení. Prostředky pro detekci záměrných silových elektromagnetických vlivů. Obecné požadavky
    • GOST R 56115-2014 Ochrana informací. Automatizované systémy v bezpečném provedení. Prostředky ochrany před záměrnými silovými elektromagnetickými vlivy. Obecné požadavky
    • GOST R 56545-2015 Ochrana informací. Zranitelnosti informačních systémů. Pravidla pro popis zranitelností
    • GOST R 56546-2015 Ochrana informací. Zranitelnosti informačních systémů. Klasifikace zranitelností informačního systému
    • GOST IEC 60950-21-2013 Zařízení informačních technologií. Bezpečnostní požadavky. Část 21. Vzdálené napájení
    • GOST IEC 60950-22-2013 Zařízení informačních technologií. Bezpečnostní požadavky. Část 22. Zařízení určená pro venkovní instalaci
    • GOST R 51583-2014 Ochrana informací. Postup při vytváření automatizovaných systémů v bezpečném provedení. Obecná ustanovení
    • GOST R 55766-2013 Informační technologie. Evropský rámec kompetencí ICT 2.0. Část 3. Tvorba e-CF - spojení metodických základů a odborných zkušeností
    • GOST R 55248-2012 Elektrická bezpečnost. Klasifikace rozhraní pro zařízení připojená k sítím informačních a komunikačních technologií
    • GOST R 43.0.11-2014 Informační podpora pro zařízení a činnosti operátora. Databáze v technických činnostech
    • GOST R 56174-2014 Informační technologie. Architektura služeb otevřeného gridového prostředí. Termíny a definice
    • GOST IEC 61606-4-2014 Audio a audiovizuální zařízení. Komponenty digitálního audio zařízení. Základní metody měření zvukových charakteristik. Část 4. Osobní počítač
    • GOST R 43.2.5-2011 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Gramatika
    • GOST R 53633.5-2012 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Strategie, infrastruktura a produkt. Marketing a řízení nabídky produktů
    • GOST R 53633.6-2012 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Strategie, infrastruktura a produkt. Vývoj a správa služeb
    • GOST R 53633.8-2012 Informační technologie. Telekomunikační řídicí síť. Rozšířená mapa aktivit organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Strategie, infrastruktura a produkt. Rozvoj a řízení dodavatelského řetězce
    • GOST R 43.0.7-2011 Informační podpora pro zařízení a činnosti operátora. Hybridně-intelektualizovaná interakce člověk-informace. Obecná ustanovení
    • GOST R 43.2.6-2011 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Morfologie
    • GOST R 53633.14-2016 Informační technologie. Síť správy telekomunikací je rozšířený rámec provozu komunikační organizace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Řízení organizace. Řízení stakeholderů a vnějších vztahů
    • GOST R 56938-2016 Ochrana informací. Ochrana informací při použití virtualizačních technologií. Obecná ustanovení
    • GOST R 56939-2016 Ochrana informací. Bezpečný vývoj softwaru. Obecné požadavky
    • GOST R ISO/IEC 17963-2016 Specifikace webových služeb pro správu (WS-management)
    • GOST R 43.0.6-2011 Informační podpora pro zařízení a činnosti operátora. Přirozeně intelektualizovaná interakce člověk-informace. Obecná ustanovení
    • GOST R 54817-2011 Náhodné zapálení audio, video, informačních technologií a komunikačních zařízení způsobené plamenem svíčky
    • GOST R IEC 60950-23-2011 Zařízení informačních technologií. Bezpečnostní požadavky. Část 23. Zařízení pro ukládání velkých objemů dat
    • GOST R IEC 62018-2011 Spotřeba energie zařízení informačních technologií. Metody měření
    • GOST R 53538-2009 Vícepárové kabely s měděnými vodiči pro širokopásmové přístupové obvody. Všeobecné technické požadavky
    • GOST R 53633.0-2009 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Obecná struktura podnikových procesů
    • GOST R 53633.1-2009 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Primární činnost. Řízení vztahů s dodavateli a partnery
    • GOST R 53633.2-2009 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Primární činnost. Řízení zdrojů a provoz
    • GOST R 53633.3-2009 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Dekompozice a popis procesů. Procesy eTOM úrovně 2. Primární činnost. Management vztahu se zákazníky
    • GOST R ISO/IEC 20000-2-2010 Informační technologie. Správa služeb. Část 2: Zásady správné praxe
    • GOST R 43.0.3-2009 Informační podpora pro zařízení a činnosti operátora. Polední technika v technických činnostech. Obecná ustanovení
    • GOST R 43.0.4-2009 Informační podpora pro zařízení a činnosti operátora. Informace v technických činnostech. Obecná ustanovení
    • GOST R 43.0.5-2009 Informační podpora pro zařízení a činnosti operátora. Procesy výměny informací v technických činnostech. Obecná ustanovení
    • GOST R 43.2.1-2007 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Obecná ustanovení
    • GOST R 43.2.2-2009 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Obecná ustanovení pro použití
    • GOST R 43.2.3-2009 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Typy a vlastnosti ikonických komponent
    • GOST R 43.2.4-2009 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Syntaktika znakových složek
    • GOST R 52919-2008 Informační technologie. Metody a prostředky fyzické ochrany. Klasifikace a zkušební metody požární odolnosti. Datové místnosti a kontejnery
    • GOST R 53114-2008 Ochrana informací. Zajištění bezpečnosti informací v organizaci. Základní pojmy a definice
    • GOST R 53245-2008 Informační technologie. Systémy strukturovaných kabelů. Instalace hlavních komponent systému. Testovací metody
    • GOST R 53246-2008 Informační technologie. Systémy strukturovaných kabelů. Návrh hlavních komponent systému. Obecné požadavky
    • GOST R IEC 60990-2010 Metody měření dotykového proudu a proudu ochranného vodiče
    • GOST 33707-2016 Informační technologie. Slovník
    • GOST R 57392-2017 Informační technologie. Správa služeb. Část 10. Základní pojmy a terminologie
    • GOST R 43.0.13-2017 Informační podpora pro zařízení a činnosti operátora. Řízené školení specialistů
    • GOST R 43.0.8-2017 Informační podpora pro zařízení a činnosti operátora. Uměle intelektualizovaná interakce člověk-informace. Obecná ustanovení
    • GOST R 43.0.9-2017 Informační podpora pro zařízení a činnosti operátora. Informační zdroje
    • GOST R 43.2.7-2017 Informační podpora pro zařízení a činnosti operátora. Jazyk operátora. Syntax
    • GOST R ISO/IEC 38500-2017 Informační technologie. Strategické řízení IT v organizaci
    • GOST R 43.0.10-2017 Informační podpora pro zařízení a činnosti operátora. Informační objekty, objektově orientovaný design při tvorbě technických informací
    • GOST R 53633.21-2017 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Dekompozice a popis procesů. Primární činnost. Řízení a provoz služeb. Procesy eTOM úrovně 3. Proces 1.1.2.1 - Podpora a dostupnost procesů SM&O
    • GOST R 57875-2017 Telekomunikace. Schémata zapojení a uzemnění v telekomunikačních centrech
    • GOST R 53633.22-2017 Informační technologie. Telekomunikační řídicí síť. Rozšířené schéma činností organizace komunikace (eTOM). Dekompozice a popis procesů. Primární činnost. Řízení a provoz služeb. Procesy eTOM úrovně 3. Proces 1.1.2.2 - Konfigurace a aktivace služeb