Sigurnosni standardi podrazumijevaju obveznu dokumentaciju kojom se definiraju pristupi ocjenjivanju razine postojeće sigurnosti. Osim toga, ovi dokumenti uspostavljaju određena pravila za sigurnost sustava u cjelini.

Standardi sigurnost informacija usmjereni su na obavljanje određenih funkcija, posebice:

razviti određene terminologije i koncepte koji se koriste u području sigurnosti podataka;
formiranje ljestvice potrebne za mjerenje razine sigurnosti;
provođenje dogovorenih procjena proizvoda;
značajno povećanje kompatibilnosti proizvoda koji se koriste za sigurnost;
akumulacija informacija o najbolje prakse uspostavljanje stabilnog stanja;
pružanje informacija o najboljim praksama zainteresiranim skupinama, na primjer, dobavljačima sigurnosti, stručnjacima za predmet, direktorima, administratorima i svim drugim korisnicima informacijski sustavi;
uspostavljanje zahtjeva usmjerenih na obveznu provedbu određenih standarda, dajući im pravnu snagu.

Međunarodni sigurnosni standardi

Međunarodni standardi održivosti skup su praksi i preporuka usmjerenih na implementaciju sustava koji osiguravaju zaštitu podataka.

Jedan od međunarodnih standarda, BS 7799, ima za cilj formulirati cilj zaštite informacija podataka. Prema ovom certifikatu, svrha sigurnosti je osigurati nesmetan rad tvrtke, kao i sposobnost da se spriječi ili svede na najmanju moguću mjeru moguća šteta nastala kršenjem utvrđenih zahtjeva održivosti.

Još jedan od glavnih međunarodnih standarda, ISO 27002, sadrži iscrpan popis praktične savjete o održivosti informacija. Ovi su savjeti prikladni za one zaposlenike koji su tijekom svog rada odgovorni za stvaranje, implementaciju i naknadno održavanje sustava održivosti za takve tehnologije.

Međunarodni standardi informacijske sigurnosti: ISO 27001

Kompleks predstavljen međunarodnim certifikatima podrazumijeva skup određenih praksi i preporuka koje su usmjerene na implementaciju sustava i opreme sredstava tehnološke zaštite.

Ako uzmemo u obzir određena pravila utvrđena međunarodnim certifikatom ISO 27001 2013, sigurnost predmetnih tehnologija mora biti predstavljena određenim karakteristikama.

Ovaj ISO dopušta odvajanje jedinstveni sustav u četiri odjeljka. Temelji se na normi ISO 27001 koja definira osnovne zahtjeve za upravljanje kvalitetom. Na temelju ruskih standardizacijskih standarda, ove zahtjeve mora ispuniti svaka organizacija koja želi pokazati svoju sposobnost pružanja proizvoda koji zadovoljavaju potrebe kupaca.

Naša tvrtka će vam pomoći. Trošak takve usluge je 30.000 rubalja.

Međunarodni sigurnosni standardi: ISO 17799

ISO 17799 kreirala je Međunarodna organizacija 2000. godine. U skladu s njegovim zahtjevima, pri stvaranju okvira otpornosti koji se smatra učinkovitim, posebnu pozornost treba posvetiti integriranom pristupu usmjerenom na upravljanje sigurnošću. Iz tog razloga mjere usmjerene na osiguravanje određenih zahtjeva utvrđenih za informacije smatraju se kontrolnim elementom:

njegovu povjerljivost;
pouzdanost informacija;
raspoloživost;
cjelovitost pruženih informacija.

Nacionalni sustav standarda informacijske sigurnosti

Nacionalni sustav normizacije predstavljen je skupom nacionalnih certifikata i sveruskih klasifikatora. U ovu strukturu uključuje ne samo same certifikate, već i pravila za njihov razvoj i naknadnu primjenu.

U Ruskoj Federaciji nacionalna potvrda može se primijeniti na dobrovoljnoj osnovi, bez obzira na zemlju ili mjesto podrijetla.

Istodobno, postoji pravilo prema kojem se takav nacionalni sustav primjenjuje samo ako postoji oznaka sukladnosti.

Ruski GOST R ISO 17799 definira sve uzorke čiji je cilj osiguranje informacijske sigurnosti kao standarde usmjerene na očuvanje povjerljivosti. Posljedično, samo određenim zaposlenicima koji mogu osigurati cjelovitost, dostupnost i sigurnost informacija može se dopustiti rad s takvim tehnologijama.

GOST R ISO 27001 glavni je standard koji sadrži iscrpan popis značajki koje svaka metoda osiguranja sigurnosti svake pojedinačne informacijske tehnologije mora imati.

Domaći uzorci GOST ISO IEC 15408, sastavljeni na temelju međunarodnog ISO-a u području relevantnih tehnologija, imaju za cilj osigurati usporedivost rezultata dobivenih kao rezultat neovisne procjene.

Zadovoljenje zahtjeva predstavljenih u ovom GOST ISO RF postiže se uspostavljanjem jedinstveni popis zahtjeve koji se mogu nametnuti određenim tehnologijama u ovom području, kao i mjere povjerenja koje se koriste u procjeni takvih tehnologija u tijeku osiguranja njihove sigurnosti.

U Ruskoj Federaciji tehnološki proizvodi mogu se prodavati u nekoliko oblika:

hardver;
softver;
softver i hardver.

Rezultati dobiveni u procesu ocjenjivanja usklađenosti u ovom području s ruskim ISO-om Ruske Federacije omogućuju utvrđivanje zadovoljavaju li tehnologije koje se provjeravaju za njih utvrđene državne sigurnosne zahtjeve.

U pravilu se koriste ruski GOST ISO RF certifikati:

kao vodič za razvoj tehnoloških proizvoda;
kao vodič stanja tehnološke sigurnosti proizvoda;
kao procjena tehnoloških proizvoda prilikom njihove kupnje.

Security Management Systems - Specification with guidance for use" (Sustavi - specifikacije s uputama za uporabu). Na temelju njega razvijena je norma ISO/IEC 27001:2005 "Information Technology". Sigurnosne tehnike. Sustavi upravljanja informacijskom sigurnošću. Zahtjevi", za sukladnost s kojima se može provesti certifikacija.

U Rusiji na ovaj trenutak Primjenjuju se standardi GOST R ISO/IEC 17799-2005 "Informacijska tehnologija. Praktična pravila" upravljanje informacijskom sigurnošću"(autentičan prijevod ISO/IEC 17799:2000) i GOST R ISO/IEC 27001-2006 "Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Sustavi upravljanja informacijskom sigurnošću. Zahtjevi" (prijevod ISO/IEC 27001:2005). Unatoč nekim internim razlikama povezanim s različitim verzijama i značajkama prijevoda, prisutnost standarda omogućuje nam da sustav upravljanje informacijskom sigurnošću u skladu sa svojim zahtjevima i po potrebi certificirati.

GOST R ISO/IEC 17799:2005 "Informacijska tehnologija. Praktična pravila za upravljanje sigurnošću informacija"

Razmotrimo sada sadržaj standarda. U uvodu se navodi da su "informacije, procesi koji ih podržavaju, informacijski sustavi i mrežna infrastruktura bitna imovina organizacije. Povjerljivost, cjelovitost i dostupnost informacija mogu značajno pridonijeti konkurentnosti, likvidnosti, profitabilnosti, usklađenosti i poslovni ugled organizacija." Dakle, možemo reći da ovaj standard razmatra pitanja informacijske sigurnosti, uključujući i sa stajališta ekonomskog učinka.

Navedene su tri skupine čimbenika koje je potrebno uzeti u obzir pri izradi zahtjeva u području informacijske sigurnosti. Ovaj:

procjena rizika organizacije. Procjenom rizika utvrđuju se prijetnje imovini organizacije, procjena ranjivosti relevantna imovina i vjerojatnost nastanka prijetnji, kao i procjena mogućih posljedica;
pravni, statutarni, regulatorni i ugovorni zahtjevi koje moraju ispuniti organizacija, njeni trgovinski partneri, izvođači i pružatelji usluga;
određeni skup načela, ciljeva i zahtjeva koje je razvila organizacija u vezi s obradom informacija.

Nakon utvrđivanja zahtjeva, započinje faza odabira i provođenja mjera koje će osigurati smanjenje rizika na prihvatljivu razinu. Izbor događanja po upravljanje informacijskom sigurnošću treba temeljiti na omjeru troškova njihove provedbe, učinka smanjenja rizika i mogućih gubitaka u slučaju proboja sigurnosti. Treba uzeti u obzir i čimbenike koji se ne mogu izraziti u novčanim iznosima, poput gubitka ugleda. Mogući popis aktivnosti naveden je u standardu, ali se napominje da se može nadopunjavati ili formirati samostalno na temelju potreba organizacije.

Ukratko nabrojimo odjeljke standarda i mjere zaštite informacija predložene u njima. Prva skupina odnosi se na sigurnosnu politiku. Potrebno ga je izraditi, odobriti uprava organizacije, objaviti i upoznati sve zaposlenike. Treba odrediti postupak rada s informacijskim resursima organizacije, dužnosti i odgovornosti zaposlenika. Politika se povremeno preispituje kako bi odražavala trenutno stanje sustava i identificirane rizike.

Sljedeći odjeljak bavi se organizacijskim pitanjima koja se odnose na informacijsku sigurnost. Standard preporuča stvaranje upravnih vijeća (uz sudjelovanje višeg menadžmenta tvrtke) za odobravanje sigurnosne politike, imenovanje odgovornih osoba, raspodjela odgovornosti te koordinacija provedbe aktivnosti za upravljanje informacijskom sigurnošću U organizaciji. Proces dobivanja dopuštenja za korištenje alata za obradu informacija (uključujući novi softver i hardver) u organizaciji također treba biti opisan kako to ne bi dovelo do sigurnosnih problema. Također je potrebno utvrditi postupak interakcije s drugim organizacijama o pitanjima informacijske sigurnosti, konzultacije s "vanjskim" stručnjacima i neovisnu provjeru (reviziju) informacijske sigurnosti.

Prilikom pružanja pristupa informacijskim sustavima stručnjacima iz organizacija trećih strana, posebnu pozornost treba posvetiti sigurnosnim pitanjima. Procjena rizika povezanih s različiti tipovi pristup (fizički ili logički, tj. udaljeni) takvih stručnjaka različitim resursima organizacije. Potreba za omogućavanjem pristupa mora biti opravdana, a ugovori s trećim stranama i organizacijama moraju sadržavati zahtjeve u pogledu poštivanja sigurnosne politike. Isto se predlaže učiniti iu slučaju uključivanja organizacija trećih strana u obradu informacija (outsourcing).

Sljedeći odjeljak standarda posvećen je pitanjima klasifikacije i upravljanje imovinom. Kako bi se osigurala informacijska sigurnost organizacije, potrebno je da se sva ključna informacijska imovina evidentira i dodijeli odgovornim vlasnicima. Predlažemo da počnete s popisom. Kao primjer navedena je sljedeća klasifikacija:

informacijska sredstva (baze podataka i podatkovne datoteke, dokumentacija sustava itd.);
softverska imovina (aplikacijski softver, sistemski softver, razvojni alati i uslužni programi);
fizička imovina (računalna oprema, komunikacijska oprema, mediji za pohranu podataka, ostala tehnička oprema, namještaj, prostorije);
usluge (računalne i komunikacijske usluge, osnovne komunalne usluge).

Zatim se predlaže klasificiranje podataka kako bi se odredio njihov prioritet, nužnost i stupanj zaštite. Istodobno, relevantne informacije mogu se procijeniti uzimajući u obzir koliko su kritične za organizaciju, na primjer, sa stajališta osiguranja njezinog integriteta i dostupnosti. Nakon toga predlaže se razviti i implementirati postupak označavanja prilikom obrade informacija. Treba definirati postupke označavanja za svaku razinu razvrstavanja koje treba uzeti u obzir sljedeće vrste obrada informacija:

kopiranje;
skladištenje;
prijenos poštom, faksom i elektroničkom poštom;
prijenos glasa, uključujući mobitel, govorna pošta, telefonske sekretarice;
uništenje.

Sljedeći odjeljak bavi se sigurnosnim pitanjima koja se odnose na osoblje. Standard utvrđuje da su odgovornosti za usklađenost sa sigurnosnim zahtjevima raspoređene u fazi odabira osoblja, uključene u ugovore o radu i praćene tijekom cijelog razdoblja zaposlenja zaposlenika. Konkretno, pri zapošljavanju stalnog zaposlenika preporuča se provjeriti vjerodostojnost dokumenata koje podnosi podnositelj zahtjeva, potpunost i točnost životopisa te preporuke koje su mu dostavljene. Preporuča se da zaposlenici potpišu ugovor o povjerljivosti u kojem navode koje su informacije povjerljive ili osjetljive. Mora se utvrditi disciplinska odgovornost za zaposlenike koji krše sigurnosne politike i procedure organizacije. Tamo gdje je potrebno, ova odgovornost treba trajati određeno razdoblje nakon prestanka zaposlenja.

Korisnici moraju biti obučeni sigurnosne procedure i ispravnu upotrebu alata za obradu informacija kako bi se mogući rizici sveli na minimum. Osim toga, postupak obavješćivanja o povrede informacijske sigurnosti, s kojim se osoblje mora upoznati. Sličan postupak treba slijediti u slučajevima kvarova softvera. Takve incidente treba zabilježiti i analizirati kako bi se identificirali problemi koji se ponavljaju.

Sljedeći dio standarda bavi se pitanjima fizičke zaštite i zaštite okoliša. Navedeno je da „sredstva za obradu kritičnih ili važnih servisnih informacija moraju biti smještena u sigurnosnim zonama koje odredi određena osoba sigurnosni perimetar s odgovarajućim zaštitnim barijerama i kontrolama upada. Ti prostori moraju biti fizički zaštićeni od neovlaštenog pristupa, oštećenja i udara." Osim organiziranja kontrole pristupa zaštićenim prostorima, mora se utvrditi i postupak izvođenja radova u njima, a po potrebi i postupak organiziranja pristupa posjetitelja. Također nužna za osiguranje sigurnosti opreme (uključujući , koja se koristi izvan organizacije) kako bi se smanjio rizik od neovlaštenog pristupa podacima i zaštitili od gubitka ili oštećenja. Ova skupina zahtjeva također uključuje pružanje zaštite od prekida napajanja i kabelske mreže zaštita.Postupci također moraju biti definirani Održavanje opremu, uzimajući u obzir sigurnosne zahtjeve i postupke za sigurno odlaganje ili ponovnu uporabu opreme. Na primjer, medij za pohranjivanje otpisa koji sadrži važna informacija, preporuča se fizički uništiti ili prebrisati na siguran način umjesto korištenja standardnih funkcija brisanja podataka.

Kako bi se smanjio rizik od neovlaštenog pristupa ili oštećenja papirnatih dokumenata, medija za pohranu i medija za obradu informacija, preporučuje se implementacija politike "čistog stola" za papirnate dokumente i prijenosne medije za pohranu, kao i politike "čistog ekrana" za oprema za obradu informacija. Oprema, informacije ili softver mogu se ukloniti iz prostorija organizacije samo uz odgovarajuće dopuštenje.

Naslov sljedećeg odjeljka standarda je "Upravljanje prijenosom podataka i operativnim aktivnostima." Zahtijeva da se utvrde odgovornosti i postupci povezani s radom svih sredstava za obradu informacija. Na primjer, promjene konfiguracije u objektima i sustavima za obradu informacija moraju se kontrolirati. Potrebno je primijeniti načelo razdvajanja odgovornosti u odnosu na funkcije upravljanja, obavljanje pojedinih poslova i područja.

Preporuča se odvojiti okruženja za razvoj, testiranje i proizvodnju softvera. Pravila za prijenos softvera iz statusa u razvoju u status prihvaćenog za rad moraju biti definirana i dokumentirana.

Dodatni rizici nastaju kada se koriste izvođači trećih strana za upravljanje uređajima za obradu informacija. Takvi se rizici moraju identificirati unaprijed i poduzeti odgovarajuće mjere upravljanje informacijskom sigurnošću dogovoren s izvođačem i uključen u ugovor.

Kako bi se osigurao potreban kapacitet obrade i skladištenja, potrebno je analizirati trenutne zahtjeve performansi, kao i predvidjeti buduće. Ova predviđanja moraju uzeti u obzir nove funkcionalne i Zahtjevi sustava, kao i sadašnje i buduće planove razvoja informacijskih tehnologija u organizaciji. Zahtjevi i kriteriji za usvajanje novih sustava moraju biti jasno definirani, dogovoreni, dokumentirani i testirani.

Moraju se poduzeti mjere za sprječavanje i otkrivanje uvođenja zlonamjernog softvera kao što su računalni virusi, mrežni crvi, trojanski konji i logičke bombe. Napominje se da bi se zaštita od zlonamjernog softvera trebala temeljiti na razumijevanju sigurnosnih zahtjeva, odgovarajućim kontrolama pristupa sustavima i pravilnom upravljanju promjenama.

Mora se utvrditi postupak za izvođenje pomoćnih operacija, što uključuje sigurnosno kopiranje softvera i podataka 1 Kao primjer, laboratorijski rad br. 10 ispituje organizaciju Rezervni primjerak V Windows poslužitelj 2008. , bilježenje događaja i pogrešaka te, gdje je potrebno, praćenje statusa hardvera. Redundancijski aranžmani za svaki pojedinačni sustav trebaju se redovito testirati kako bi se osiguralo da ispunjavaju zahtjeve planova kontinuiteta poslovanja.

Za osiguranje sigurnosti podataka na mrežama i zaštitu prateća infrastruktura, potrebno je uvođenje sredstava sigurnosna kontrola i zaštita povezanih usluga od neovlaštenog pristupa.

Posebna pozornost posvećena je pitanjima sigurnosti medija različite vrste: dokumenti, računalni mediji za pohranu (vrpce, diskovi, kazete), ulazno/izlazni podaci i dokumentacija sustava od oštećenja. Preporuča se uspostaviti postupak za korištenje prijenosnih medija računalne informacije(postupak kontrole sadržaja, čuvanja, uništavanja i dr.). Kao što je gore navedeno, medije za pohranu treba nakon upotrebe sigurno i sigurno odložiti.

Kako bi se osigurala zaštita informacija od neovlaštenog otkrivanja ili zlouporabe, potrebno je uspostaviti postupke obrade i pohrane informacija. Ove postupke treba osmisliti uzimajući u obzir kategorizacija informacije, te djelovati u vezi s dokumentima, računalnim sustavima, mrežama, prijenosnim računalima, mobilnim komunikacijama, poštom, govornom poštom, glasovnom komunikacijom općenito, multimedijskim uređajima, korištenjem faksa i svim drugim važnim objektima, kao što su obrasci, čekovi i računi. Dokumentacija sustava mogu sadržavati određene važne podatke, te stoga moraju biti zaštićeni.

Proces razmjene informacija i softvera između organizacija mora biti kontroliran i u skladu s važećim zakonima. Posebice mora biti osigurana, određena sigurnost nositelja informacija tijekom prijenosa politika korištenja E-mail i elektronički uredski sustavi. Treba voditi računa o zaštiti integriteta objavljenih informacija elektronskim putem, kao što su informacije na web stranici. Također je potreban odgovarajući formalizirani postupak autorizacije prije nego što takve informacije postanu javno dostupne.

Sljedeći odjeljak standarda posvećen je pitanjima kontrole pristupa.

Zahtijeva se da pravila kontrole pristupa i prava svakog korisnika ili grupe korisnika budu jasno definirana sigurnosnom politikom. Korisnici i pružatelji usluga moraju biti upoznati s potrebom pridržavanja ovih zahtjeva.

Korištenje provjera autentičnosti lozinke, potrebno je vršiti kontrolu nad korisničkim lozinkama. Konkretno, korisnici moraju potpisati dokument kojim se slažu da će čuvati potpunu povjerljivost lozinki. Potrebno je osigurati sigurnost procesa dobivanja lozinke za korisnika i, ako se ista koristi, upravljanje samim lozinkama (prisilna promjena lozinke nakon prve prijave i sl.).

Pristup unutarnjim i vanjskim mrežnim uslugama mora biti kontroliran. Korisnicima treba omogućiti izravan pristup samo onim uslugama za koje su ovlašteni. Posebnu pozornost treba obratiti na autentifikaciju udaljenih korisnika. Na temelju procjene rizika važno je odrediti potrebnu razinu zaštite kako bi se odabrala odgovarajuća metoda autentifikacije. Mora se pratiti i sigurnost korištenja mrežnih usluga.

Mnogi mrežni i računalni uređaji imaju ugrađenu daljinsku dijagnostiku i mogućnosti upravljanja. Sigurnosne mjere moraju vrijediti i za te objekte.

Kada mreže dijeli više organizacija, moraju se definirati zahtjevi politike kontrole pristupa kako bi se to uzelo u obzir. Također može biti potrebno uvesti dodatne mjere za upravljanje informacijskom sigurnošću ograničiti mogućnost povezivanja korisnika.

Na razini operativnog sustava treba koristiti mjere informacijske sigurnosti za ograničavanje pristupa računalnim resursima 2 Primjer organizacije kontrole pristupa datotekama i mapama u sustavu Windows Server 2008 bit će obrađen u laboratorijskom radu br. 9.. Odnosi se na identifikaciju i autentifikaciju terminala i korisnika. Preporuča se da svi korisnici imaju jedinstvene identifikatore koji ne bi trebali sadržavati nikakvu naznaku razine povlastica korisnika. U sustavima upravljanje lozinkama moraju se osigurati učinkovite interaktivne mogućnosti koje podržavaju njihovu potrebnu kvalitetu 3 Primjer upravljanja kvalitetom lozinke u OS-u Windows obitelj obrađeno u laboratorijskom radu br. 3.. Korištenje pomoćni programi sustava moraju biti ograničeni i pažljivo kontrolirani.

Preporučljivo je osigurati alarm u slučaju da korisnik postane meta nasilja 4 Primjer ovoga bile bi lozinke za prijavu pod prisilom. Ako korisnik unese takvu lozinku, sustav prikazuje normalan postupak prijave korisnika, a zatim simulira neuspjeh kako bi se spriječilo napadače da dođu do podataka.(ako se takav događaj ocijeni vjerojatnim). Moraju se definirati odgovornosti i postupci za reagiranje na takav alarm.

Terminali koji opslužuju sustave visokog rizika, kada se nalaze na lako dostupnim lokacijama, trebaju se isključiti nakon određenog razdoblja neaktivnosti kako bi se spriječio pristup neovlaštenim osobama. Može se uvesti i ograničenje vremenskog razdoblja tijekom kojeg se terminalima dopušta povezivanje s računalnim uslugama.

Mjere informacijske sigurnosti također je potrebno primijeniti na razini aplikacije. Konkretno, ovo može biti ograničenje pristupa za određene kategorije korisnika. Sustavi koji obrađuju važne informacije moraju imati namjensko (izolirano) računalno okruženje.

Nadzor sustava je neophodan za otkrivanje odstupanja od zahtjeva politike kontrole pristupa i pružanje dokaza u slučaju incidenta informacijske sigurnosti. Rezultate praćenja treba redovito pregledavati. Dnevnik revizije može se koristiti za istraživanje incidenata, stoga je vrlo važan ispravna instalacija(sinkronizacija) računalnih satova.

Pri korištenju prijenosnih uređaja, poput prijenosnih računala, potrebno je poduzeti posebne mjere za sprječavanje ugrožavanja vlasničkih informacija. Treba usvojiti formalizirane politike koje se odnose na rizike povezane s radom s prijenosnim uređajima, osobito u nezaštićenim okruženjima.

Sljedeći odjeljak standarda zove se "Razvoj i održavanje sustava." Već na pozornici razvoj informacijskih sustava potrebno je osigurati da se uzmu u obzir sigurnosni zahtjevi. A tijekom rada sustava potrebno je spriječiti gubitak, modificiranje ili zlouporabu korisničkih podataka. U tu svrhu preporuča se da aplikacijski sustavi osiguraju potvrdu ispravnosti unosa i izlaza podataka, kontrolu obrade podataka u sustav, autentifikacija poruke, bilježenje radnji korisnika.

Kako bi se osigurala povjerljivost, integritet i provjera autentičnosti podataka Mogu se koristiti kriptografske sigurnosne mjere.

Osiguravanje integriteta softvera igra važnu ulogu u procesu informacijske sigurnosti. Kako bi se smanjila šteta za informacijske sustave, provedbu promjena treba strogo kontrolirati. S vremena na vrijeme postoji potreba za izmjenama operativnih sustava. U tim slučajevima, aplikacijski sustavi moraju se analizirati i testirati kako bi se osiguralo da njihova funkcionalnost i sigurnost nisu negativno pogođeni. Koliko god je moguće, gotovih paketa Preporuča se korištenje programa bez ikakvih izmjena.

Povezano pitanje je suzbijanje trojanskih konja i korištenje skrivenih kanala curenja. Jedna protumjera je korištenje softvera nabavljenog od provjerenih dobavljača i monitora cjelovitost sustava.

U slučajevima kada je treća organizacija uključena u razvoj softvera, potrebno je osigurati mjere za kontrolu kvalitete i ispravnosti obavljenog posla.

Sljedeći odjeljak standarda posvećen je upravljanju kontinuitetom poslovanja. U početnoj fazi treba identificirati događaje koji mogu uzrokovati prekid poslovnih procesa (kvar opreme, požar i sl.). U tom slučaju potrebno je procijeniti posljedice, a zatim izraditi planove oporavka. Adekvatnost planova mora se potvrditi testiranjem, a sami se moraju povremeno revidirati kako bi se uzele u obzir promjene koje se događaju u sustavu.

Posljednji odjeljak standarda bavi se pitanjima usklađenosti. Prije svega, to se odnosi na usklađenost sustava i postupak njegovog rada sa zakonskim zahtjevima. To uključuje pitanja usklađenosti s autorskim pravima (uključujući softver), zaštitu osobnih podataka (zaposlenici, klijenti) i sprječavanje zlouporabe alata za obradu informacija. Korištenje kriptografska sredstva zaštitu informacija, moraju biti u skladu s važećim zakonima. Također treba temeljito razraditi proceduru prikupljanja dokaza u slučaju sudskih sporova vezanih uz incidente u području sigurnosti informacijskog sustava.

Sami informacijski sustavi moraju u skladu sa sigurnosnom politikom organizacija i korišteni standardi. Sigurnost informacijskih sustava mora se redovito analizirati i ocjenjivati. Istodobno, prilikom provođenja sigurnosne revizije potrebno je pridržavati se sigurnosnih mjera kako to ne bi dovelo do neželjenih posljedica (primjerice, kvar kritičnog poslužitelja zbog revizije).

Ukratko, može se primijetiti da se standard bavi širokim rasponom pitanja koja se odnose na osiguravanje sigurnosti informacijskih sustava. Daju se praktične preporuke u nizu područja.

Zahtjevi za znanjem i vještinama

Student mora imati ideju:

o ulozi Državne tehničke komisije u osiguravanju informacijske sigurnosti u Ruskoj Federaciji;
o dokumentima o procjeni sigurnosti automatiziranih sustava u Ruskoj Federaciji.

Učenik mora znati:

glavni sadržaj standarda za procjenu sigurnosti automatiziranih sustava u Ruskoj Federaciji.

Student mora biti sposoban:

odrediti klase zaštićenih sustava na temelju skupa zaštitnih mjera.

Ključni pojam

Ključni pojam: Standardi informacijske sigurnosti u Ruskoj Federaciji.

Standardi informacijske sigurnosti u Ruskoj Federaciji razvijaju se u okviru Državne tehničke komisije Ruske Federacije.

Manji pojmovi

Državna tehnička komisija i njezina uloga u osiguravanju informacijske sigurnosti u Ruskoj Federaciji.
Dokumenti o procjeni sigurnosti automatiziranih sustava u Ruskoj Federaciji.

Strukturni dijagram pojmova

1.7.1 Državna tehnička komisija i njezina uloga u osiguravanju informacijske sigurnosti u Ruskoj Federaciji

U Ruskoj Federaciji informacijska sigurnost osigurava se poštivanjem predsjedničkih dekreta, saveznih zakona, dekreta Vlade Ruske Federacije, upravljačkih dokumenata Državne tehničke komisije Rusije i drugih regulatornih dokumenata.

Najčešći dokumenti pregledani su ranije prilikom proučavanja pravnih temelja informacijske sigurnosti. U Ruskoj Federaciji, sa stajališta standardizacije odredbi u području informacijske sigurnosti, od najveće su važnosti smjernice (RD) Državne tehničke komisije Rusije, čiji je jedan od zadataka „provođenje jedinstvena državna politika u području tehničke informacijske sigurnosti.”

Državna tehnička komisija Rusije vrlo je aktivna u aktivnostima donošenja pravila, izdajući dokumente sa smjernicama koje igraju ulogu nacionalnih standarda za procjenu u području informacijske sigurnosti. Kao strateški smjer, Državna tehnička komisija Rusije odlučila se usredotočiti na "Opće kriterije".

Tijekom 10 godina postojanja, Državna tehnička komisija je razvila i dovela desetke dokumenata na razinu nacionalnih standarda, uključujući:

Vodeći dokument “Propisi o certificiranju objekata informatizacije prema zahtjevima informacijske sigurnosti” (odobrio predsjednik Državne tehničke komisije Rusije 25. studenog 1994.);
Vodeći dokument “Automatizirani sustavi (AS). Zaštita od neovlaštenog pristupa (UNA) informacijama. Klasifikacija nuklearnih elektrana i zahtjevi za zaštitu informacija" (Državna tehnička komisija Rusije, 1997.);
Vodeći dokument „Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama" (Državna tehnička komisija Rusije, 1992.);
Vodeći dokument “Koncept zaštite računalne opreme od neovlaštenog pristupa informacijama” (Državna tehnička komisija Rusije, 1992.);
Uputa „Zaštita od neovlaštenog pristupa informacijama. Pojmovi i definicije" (Državna tehnička komisija Rusije, 1992.);
Vodeći dokument “Računalna tehnologija (CT). Vatrozidi. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama" (Državna tehnička komisija Rusije, 1997.);
Uputa „Zaštita od neovlaštenog pristupa informacijama. Dio 1. Softver za informacijsku sigurnost. Razvrstavanje prema razini kontrole odsutnosti nedeklariranih sposobnosti” (Državna tehnička komisija Rusije, 1999.);
Vodeći dokument „Posebni zahtjevi i preporuke za tehničku zaštitu povjerljivih informacija” (Državna tehnička komisija Rusije, 2001.).

1.7.2 Dokumenti o procjeni sigurnosti automatiziranih sustava u Ruskoj Federaciji

Razmotrimo najznačajnije od ovih dokumenata koji definiraju kriterije za procjenu sigurnosti automatiziranih sustava.

Utvrđuje klasifikaciju elektroničke opreme prema razini sigurnosti od neovlaštenog pristupa informacijama na temelju popisa sigurnosnih pokazatelja i skupa zahtjeva koji ih opisuju. Osnova za izradu ovog dokumenta bila je Narančasta knjiga. Ovaj standard ocjenjivanja uspostavlja sedam klasa sigurnosti SVT-a od neovlaštenog pristupa informacijama.

Najniži razred je sedmi, najviši je prvi. Klase su podijeljene u četiri skupine koje se razlikuju po stupnju zaštite:

Prva grupa sadrži samo jedan sedmi razred, koji uključuje sve SVT koji ne zadovoljavaju zahtjeve viših razreda;
Druga grupa odlikuje se diskrecijskom zaštitom i sadrži šesti i peti razred;
Treća skupina karakterizira obvezna zaštita i sadrži četvrti, treći i drugi razred;
Četvrta skupina karakterizira provjerena zaštita i uključuje samo prvu klasu.

utvrđuje klasifikaciju automatiziranih sustava koji podliježu zaštiti od neovlaštenog pristupa informacijama, te zahtjeve za zaštitu informacija u automatiziranim sustavima različitih klasa.

Karakteristike definiranja po kojima su govornici grupirani u različite klase uključuju:

Dokument definira devet klasa sigurnosti AS-a od neovlaštenog pristupa informacijama. Svaku klasu karakterizira određeni minimalni skup zaštitnih zahtjeva. Klase su podijeljene u tri skupine koje se razlikuju po karakteristikama obrade informacija u AS-u.

Unutar svake grupe promatra se hijerarhija zahtjeva za zaštitu ovisno o vrijednosti i povjerljivosti informacija te, posljedično, hijerarhija sigurnosnih klasa AS-a.

Tablica 2 prikazuje sigurnosne klase zvučnika i zahtjeve za njihovo osiguranje.

Tablica 1. Sigurnosni zahtjevi za automatizirane sustave

Podsustavi i zahtjevi	Nastava
Podsustavi i zahtjevi	3B	3A	2B	2A	1D	1G	1B	1B	1A
1. Podsustav kontrole pristupa 1.1. Identifikacija, autentifikacija i kontrola pristupa subjekata: u sustav;	+	+	+	+	+	+	+	+	+
do terminala, računala, čvorova računalne mreže, komunikacijskih kanala, vanjskih računalnih uređaja;	—	—	—	+	—	+	+	+	+
na programe;	—	—	—	+	—	+	+	+	+
svezaka, direktorija, datoteka, zapisa, polja zapisa.	—	—	—	+	—	+	+	+	+
1.2. Upravljanje protokom informacija	—	—	—	+	—	—	+	+	+
2. Registracijsko-računovodstveni podsustav 2.1. Registracija i računovodstvo: ulaz/izlaz subjekata pristupa u/iz sustava (mrežni čvor);	+	+	+	+	+	+	+	+	+
izdavanje tiskanih (grafičkih) izlaznih dokumenata;	—	+	—	+	—	+	+	+	+
pokretanje/završetak programa i procesa (zadataka, zadataka);	—	—	—	+	—	+	+	+	+
Pristup programa subjekata pristupa terminalima, računalima, čvorovima računalne mreže, komunikacijskim kanalima, vanjskim računalnim uređajima, programima, volumenima, imenicima, datotekama, zapisima, poljima zapisa;	—	—	—	+	—	+	+	+	+
promjene ovlasti subjekata pristupa;	—	—	—	—	—	—	+	+	+
stvorio objekte zaštićenog pristupa.	—	—	—	+	—	—	+	+	+
2.2. Računovodstvo medija za pohranu.	+	+	+	+	+	+	+	+	+
2.3. Čišćenje (nuliranje, depersonalizacija) oslobođenih područja RAM-a računala i vanjskih uređaja za pohranu.	—	+	—	+	—	+	+	+	+
2.4. Signaliziranje pokušava narušiti sigurnost.	—	—	—	—	—	—	+	+	+
3. Kriptografski podsustav 3.1. Šifriranje povjerljivih informacija.	—	—	—	+	—	—	—	+	+
3.2. Šifriranje informacija koje pripadaju različitim subjektima pristupa (skupinama subjekata) korištenjem različitih ključeva.	—	—	—	—	—	—	—	—	+
3.3. Korištenje certificiranih (certificiranih) kriptografskih alata.	—	—	—	+	—	—	—	+	+
4. Podsustav integriteta 4.1. Osiguravanje integriteta softvera i obrađenih informacija.	+	+	+	+	+	+	+	+	+
4.2. Fizička sigurnost računalne opreme i medija za pohranu podataka.	+	+	+	+	+	+	+	+	+
4.3. Dostupnost informacijskog administratora (služba zaštite) u AS-u.	—	—	—	+	—	—	+	+	+
4.4. Periodično testiranje sustava zaštite informacija NSD.	+	+	+	+	+	+	+	+	+
4.5. Dostupnost sredstava za vraćanje informacija i opreme za zaštitu podataka NSD-a.	+	+	+	+	+	+	+	+	+
4.6. Korištenje certificirane zaštitne opreme.	—	+	—	+	—	—	+	+	+

“-” nema zahtjeva za ovu klasu;

“+” su zahtjevi za ovu klasu;

Kao takva, tablica 2 kodificira minimalne zahtjeve koji se moraju poštovati kako bi se osiguralo povjerljivost informacija.

Sigurnosni zahtjevi integritet predstavljen posebnim podsustavom (broj 4).

Vodeći dokument „SVT. Vatrozidi. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama" je glavni dokument za analizu sustava vanjske zaštite perimetra. korporativna mreža. Ovaj dokument određuje sigurnosne pokazatelje vatrozida (FW). Svaki sigurnosni indikator je skup sigurnosnih zahtjeva koji karakteriziraju određeno područje rada ME.

Postoji ukupno pet sigurnosnih pokazatelja:

kontrola pristupa;
kontrola integriteta;

Na temelju sigurnosnih pokazatelja utvrđuje se sljedećih pet ME sigurnosnih klasa:

najjednostavniji usmjerivači za filtriranje – 5. razred;
filteri paketa mrežnog sloja – 4. razred;
najjednostavniji ME aplikativne razine - 3. razred;
Osnovna razina ME – 2. razred;
napredni JA – 1 razred.

ME-ovi prve sigurnosne klase mogu se koristiti u sustavima klase 1A koji obrađuju “Posebno važne” informacije. Druga sigurnosna klasa ME odgovara sigurnosnoj klasi AS 1B, namijenjenoj obradi “top secret” informacija itd.

Prema prvom od njih utvrđuje se devet klasa sigurnosti AS-a od neovlaštenog pristupa informacijama.

Svaku klasu karakterizira određeni minimalni skup zaštitnih zahtjeva. Klase su podijeljene u tri skupine koje se razlikuju po karakteristikama obrade informacija u AS-u. Unutar svake skupine promatra se hijerarhija zahtjeva za zaštitu ovisno o vrijednosti (povjerljivosti) informacija i, posljedično, hijerarhija sigurnosnih klasa AS-a.

U treću skupinu svrstani su sustavi u kojima radi jedan korisnik i ima pristup svim informacijama u sustavu koje se nalaze na medijima iste razine povjerljivosti. Grupa se sastoji od dva razreda - 3B i 3A.

Druga skupina klasificira AS u kojoj korisnici imaju ista prava pristupa (ovlasti) svim informacijama AS-a koje se obrađuju i(ili) pohranjuju na medijima različitih razina povjerljivosti. Grupa se sastoji od dva razreda – 2B i 2A.

U prvu skupinu svrstavaju se višekorisnički AS, u kojima se istovremeno obrađuju i (ili) pohranjuju informacije različitih razina povjerljivosti i nemaju svi korisnici pravo pristupa svim informacijama AS-a. Grupa se sastoji od pet razreda - 1D, 1G, 1B, 1B i 1A.

Zaključci o temi

U Ruskoj Federaciji informacijska sigurnost osigurana je poštivanjem predsjedničkih dekreta, saveznih zakona, dekreta Vlade Ruske Federacije, upravljačkih dokumenata Državne tehničke komisije Rusije i drugih regulatornih dokumenata.
Standardi u području informacijske sigurnosti u Ruskoj Federaciji su upravljački dokumenti Državne tehničke komisije Rusije, čiji je jedan od zadataka "provođenje jedinstvene državne politike u području tehničke informacijske sigurnosti".
Pri razvoju nacionalnih standarda Državna tehnička komisija Rusije vodi se "Općim kriterijima".

Vodeći dokument „SVT. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama" utvrđuje klasifikaciju elektroničke opreme prema razini sigurnosti od neovlaštenog pristupa informacijama na temelju popisa sigurnosnih pokazatelja i skupa zahtjeva koji ih opisuju. Ovaj standard ocjenjivanja uspostavlja sedam klasa sigurnosti elektroničkih uređaja od nedostupnih informacija do informacija. Najniži razred je sedmi, najviši je prvi. Klase su podijeljene u četiri skupine koje se razlikuju po stupnju zaštite.

Vodeći dokument “AS. Zaštita od neovlaštenog pristupa informacijama. NPP klasifikacija i zahtjevi za zaštitu podataka" utvrđuje klasifikaciju automatiziranih sustava koji podliježu zaštiti od neovlaštenog pristupa informacijama i zahtjeve za zaštitu informacija u automatiziranim sustavima različitih klasa. Karakteristike definiranja po kojima su govornici grupirani u različite klase uključuju:

prisutnost informacija različitih razina povjerljivosti u AS-u;
razina ovlasti subjekata pristupa AS-u za pristup povjerljivim informacijama;
način obrade podataka u AS-u - skupni ili pojedinačni.

Vodeći dokument „SVT. Vatrozidi. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama" je glavni dokument za analizu sustava zaštite vanjskog perimetra korporativne mreže. Ovaj dokument definira sigurnosne pokazatelje vatrozida. Svaki sigurnosni indikator je skup sigurnosnih zahtjeva koji karakteriziraju određeno područje rada ME. Postoji ukupno pet sigurnosnih pokazatelja:

kontrola pristupa;
identifikacija i autentifikacija;
prijava događaja i obavještavanje;
kontrola integriteta;
obnova performansi.

Kontrolna pitanja:

Koliko klasa SVT sigurnosti od nepoštivanja informacija utvrđuje SVT RD. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama?

Naziv dokumenta:
Broj dokumenta:	53113.1-2008
Vrsta dokumenta:	GOST R
Primatelj:	Rosstandart
Status:	Aktivan
Objavljeno:
Datum prihvaćanja:	18. prosinca 2008
Početni datum:	1. listopada 2009
Datum revizije:	01. listopada 2018

GOST R 53113.1-2008 Informacijska tehnologija (IT). Zaštita informacijskih tehnologija i automatiziranih sustava od prijetnji informacijskoj sigurnosti implementirana prikrivenim kanalima. 1. dio. Opće odredbe

GOST R 53113.1-2008

Grupa T00

NACIONALNI STANDARD RUSKE FEDERACIJE

Informacijska tehnologija

ZAŠTITA INFORMACIJSKIH TEHNOLOGIJA I AUTOMATIZIRANIH SUSTAVA OD UGROŽAVANJA INFORMACIJSKE SIGURNOSTI KORIŠTENJEM PRIKRIVENIH KANALA

1. dio

Opće odredbe

Informacijska tehnologija. Zaštita informacijskih tehnologija i automatiziranih sustava od sigurnosnih prijetnji uzrokovanih korištenjem tajnih kanala. Dio 1. Opća načela

OKS 35.040

Datum uvođenja 2009-10-01

Predgovor

1 IZRADILO društvo s ograničenom odgovornošću "Cryptocom"

2 UVODI Federalna agencija za tehnički propis i mjeriteljstvo

3 ODOBREN I STUPIO NA SNAGU Nalogom Savezne agencije za tehničku regulaciju i mjeriteljstvo od 18. prosinca 2008. N 531-st

4 PRVI PUT PREDSTAVLJENO

5 REPUBLIKACIJA. listopada 2018

Pravila za primjenu ove norme utvrđena su uČlanak 26. Saveznog zakona od 29. lipnja 2015. N 162-FZ "O normizaciji u Ruskoj Federaciji". Podaci o izmjenama ove norme objavljuju se u godišnjem (od 1. siječnja tekuće godine) indeksu informacija "Nacionalne norme", a službeni tekst izmjena i dopuna objavljuje se u mjesečnom indeksu informacija "Nacionalne norme". U slučaju revizije (zamjene) ili ukidanja ove norme, odgovarajuća obavijest bit će objavljena u sljedećem broju mjesečnog indeksa informacija "Nacionalne norme". Relevantne informacije, obavijesti i tekstovi također se objavljuju u sustavu javnog informiranja - na službenoj web stranici Savezne agencije za tehničku regulaciju i mjeriteljstvo na Internetu (www.gost.ru)

Uvod

Razvoj, implementacija i korištenje distribuiranih informacijskih sustava i tehnologija, korištenje uvezenih softverskih i hardverskih platformi bez projektne dokumentacije doveli su do pojave klase prijetnji informacijskoj sigurnosti (IS) povezanih s korištenjem tzv. skrivenih informacijskih kanala. , "nevidljiv" tradicionalnim sredstvima informacijske sigurnosti.

Tradicionalni alati za informacijsku sigurnost, poput alata za kontrolu pristupa, vatrozida i sustava za otkrivanje upada, kontroliraju samo tokove informacija koji prolaze kroz kanale namijenjene njihovom prijenosu. Mogućnost razmjene informacija izvan ovog okvira putem tajnih kanala (CC) nije uzeta u obzir.

U sustavima koji zahtijevaju povećanu razinu povjerenja moraju se uzeti u obzir sigurnosne prijetnje koje proizlaze iz mogućnosti neovlaštenog djelovanja korištenjem CS-a.

Opasnost IC-a za informacijske tehnologije (IT) i automatizirane sustave (AS) i drugu imovinu organizacije povezana je s nedostatkom kontrole sredstvima zaštite protoka informacija, što može dovesti do curenja informacija, narušavanja integriteta informacijskih resursa i softvera u računalnim sustavima ili stvoriti druge prepreke implementaciji IT-a.

Kako bi se osigurala zaštita informacija koje se obrađuju u automatiziranom sustavu, potrebno je identificirati i neutralizirati sve moguće informacijske kanale neovlaštenog djelovanja – kako tradicionalne tako i skrivene.

Ova je norma dio niza međusobno povezanih normi, objedinjenih zajedničkim nazivom "Informacijska tehnologija. Zaštita informacijskih tehnologija i automatiziranih sustava od prijetnji informacijskoj sigurnosti implementiranih prikrivenim kanalima", uključujući:

- opće odredbe;

- preporuke za organizaciju zaštite informacija, IT i AS od napada korištenjem CS-a.

Općim odredbama definiraju se zadaće koje treba riješiti pri analizi sigurnosnog sustava, opisuje se klasifikacija sigurnosnog sustava i daje klasifikacija sredstava prema stupnju opasnosti od napada korištenjem sigurnosnog sustava.

Bitan aspekt sigurnosti IT i AS sustava je povjerenje u sigurnosne sustave. Osiguranje povjerenja provodi se kroz dubinsku analizu ili ispitivanje softverskih i hardverskih proizvoda sa stajališta njihove sigurnosti. U mnogim je slučajevima ova analiza teška zbog nedostatka izvornih podataka za njezinu implementaciju, odnosno izvornih kodova, projektne i testne dokumentacije, što rezultira prijetnjama informacijskim resursima koje je moguće implementirati korištenjem nepoznatih softverskih i hardverskih sustava te putem sučelja. međudjelovanja softverskih i hardverskih proizvoda.

Zahtjevi za povjerenje u informacijsku sigurnost utvrđeni su u GOST R ISO/IEC 15408-3, prema kojem je za sustave s procijenjenom razinom povjerenja (EAL), počevši od EAL5, predviđena obvezna analiza IC-a. Pri korištenju hardverskih i softverskih proizvoda stranih proizvođača u nedostatku dizajna, testne dokumentacije i izvornih kodova, nemoguće je jamčiti nepostojanje potencijalno zlonamjernih komponenti uključenih namjerno ili slučajno (na primjer, ranjivost softvera). Stoga je zahtjev za analizom IC-a u Ruskoj Federaciji neophodan uvjet za siguran rad sustava koji obrađuju vrijedne informacije ili koriste uvezeni hardver i softver, uključujući sustave s EAL ispod EAL5.

Preporuke za organizaciju zaštite informacija, IT i AS od napada korištenjem CS-a definiraju postupak traženja CS-a i suprotstavljanja CS-u.

Ova je norma razvijena kao razvoj GOST R ISO/IEC 15408-3, GOST R ISO/IEC 27002 (u vezi s mjerama za suzbijanje prijetnji sigurnosti informacija implementiranih pomoću sigurnosnih sustava) i.

1 područje upotrebe

Ovom normom utvrđuje se klasifikacija sigurnosnog sustava i definiraju zadaće koje treba riješiti tijekom analize sigurnosnog sustava, što je nužna komponenta za određivanje daljnjeg postupka organiziranja zaštite informacija od napada korištenjem sustava, te utvrđuje postupak provođenja analize sigurnosnog sustava za IT i AS proizvode i sustave čiji se rezultati koriste pri ocjeni povjerenja u informacijske sustave i mjere informatičke zaštite.

Ova je norma namijenjena kupcima, programerima i korisnicima IT-a jer formuliraju zahtjeve za razvoj, nabavu i korištenje IT proizvoda i sustava koji su namijenjeni obradi, pohrani ili prijenosu informacija koje podliježu zaštiti u skladu sa zahtjevima regulatornih dokumenti ili zahtjevi koje je uspostavio vlasnik informacija. Ova je norma također namijenjena certifikacijskim tijelima i ispitnim laboratorijima prilikom provođenja sigurnosnih procjena i certificiranja IT i AS sigurnosti, kao i analitičkim jedinicama i sigurnosnim službama za usporedbu prijetnji vrijednoj informacijskoj imovini s potencijalom oštećenja kroz sigurnosni sustav.

2 Normativne reference

Ovaj standard koristi normativne reference na sljedeće standarde:

GOST R ISO/IEC 15408-3 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Kriteriji za ocjenu sigurnosti informacijskih tehnologija. Dio 3: Komponente sigurnosnog povjerenja

GOST R ISO/IEC 27002 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Skup normi i pravila za upravljanje informacijskom sigurnošću

Napomena - Prilikom korištenja ove norme preporučljivo je provjeriti valjanost referentnih normi u javnom informacijskom sustavu - na službenim stranicama Federalne agencije za tehničko reguliranje i mjeriteljstvo na internetu ili korištenjem godišnjeg indeksa informacija "Nacionalne norme" , koji je izlazio od 1. siječnja tekuće godine, te o izdanjima mjesečnog informativnog kazala "Nacionalne norme" za tekuću godinu. Ako se referentni standard na koji je navedena nedatirana referenca zamijeni, preporuča se da se koristi trenutna verzija tog standarda, uzimajući u obzir sve njegove izmjene. ovu verziju promjene. Ako se datirana referentna norma zamijeni, preporuča se koristiti verziju te norme s gore navedenom godinom odobrenja (usvajanja). Ako se, nakon odobrenja ove norme, napravi promjena referentne norme na koju se datirana referenca odnosi na odredbu na koju se upućuje, preporučuje se da se ta odredba primjenjuje bez obzira na ovu promjenu. Ako se referentna norma poništi bez zamjene, tada se odredba u kojoj se poziva na nju preporuča primijeniti u dijelu koji ne utječe na tu referencu.

3 Pojmovi i definicije

Sljedeći izrazi s odgovarajućim definicijama koriste se u ovoj normi:

3.1 automatizirani sustav: Sustav koji se sastoji od osoblja i skupa automatiziranih alata za njihove aktivnosti, implementirajući informacijsku tehnologiju za obavljanje instalirane funkcije.

3.2 agent za prijestupnike: Osoba, softver, firmware ili hardver djelujući u interesu počinitelja.

3.3 imovina(imovina): Sve što ima vrijednost za organizaciju i što je u njezinom posjedu.

Napomena: imovina organizacije može uključivati:

- računalne, telekomunikacijske i druge resurse;

- informacijska sredstva, uklj. razne vrste informacija u sljedećim fazama njihovog životni ciklus: nastajanje (stvaranje), obrada, skladištenje, prijenos, uništenje;

- proizvodi i usluge koje se pružaju trećim stranama.

3.4 blokiranje pristupa (informacijama): Ukidanje ili ometanje pristupa informacijama legitimnim korisnicima.

3.5 malware: Program dizajniran za pružanje neovlaštenog pristupa i (ili) utjecaja na informacije ili resurse informacijskog sustava.

3.6 dubina analize skrivenog kanala: Stupanj varijacije u složenosti sredstava korištenih za identifikaciju tajnog kanala i njegovih karakteristika.

3.7 samouvjerenost osiguranje: Osnova za povjerenje da objekt ispunjava sigurnosne ciljeve.

3.8 identifikacija skrivenog kanala: Identificiranje mogućnosti postojanja skrivenog kanala i određivanje njegovog mjesta u klasifikaciji.

3.9 ograničeni podaci: Vrsta informacije kojoj je pristup ograničen i čije otkrivanje može štetiti interesima drugih osoba, društva i države.

3.10 Sigurnost informacija(informacijska sigurnost): Svi aspekti koji se odnose na definiranje, postizanje i održavanje povjerljivosti, cjelovitosti, dostupnosti, neporecivosti, odgovornosti, autentičnosti i pouzdanosti informacija ili načina njihove obrade.

3.11 Informacijski sistem: Organizacijski uređen skup dokumenata (nizova dokumenata) i informacijskih tehnologija, uključujući korištenje računalne tehnologije i komunikacija koje provode informacijske procese.

Napomena - Informacijski sustavi dizajnirani su za pohranu, obradu, pretraživanje, distribuciju, prijenos i pružanje informacija.

3.12 informacijska tehnologija: Tehnike, metode i načini korištenja računalne tehnologije u obavljanju funkcija prikupljanja, pohrane, obrade, prijenosa i korištenja podataka.

3.13 informacijski objekt: Element programa koji sadrži dijelove informacija koje kruže u programu.

Napomena - Ovisno o programskom jeziku, varijable, nizovi, zapisi, tablice, datoteke, fragmenti mogu djelovati kao informacijski objekti RAM memorija i tako dalje.

3.14 protok informacija protok informacija: proces interakcije između izvora informacija i primatelja.

Napomena - protok informacija može biti dopušten ili neovlašten. Protok informacija između objekata X i Y postoji ako je prosječna međusobna informacija I (X, Y) veća od 0. Matematički model Tijek informacija može se definirati kao konačni automat u kojem izvor poruke šalje ulaznu riječ na ulaz stroja, a primatelj poruke vidi izlaznu sekvencu stroja.

3.15 sveobuhvatna analiza tajnih kanala Iscrpna analiza prikrivenog kanala: Analiza koja zahtijeva predočenje dodatnih dokaza koji pokazuju da je plan identifikacije prikrivenog kanala dovoljan da se utvrdi da su isprobane sve moguće istrage prikrivenog kanala.

3.16 ključ: Specifično tajno stanje nekih parametara algoritma za transformaciju kriptografskih podataka, koje osigurava odabir jedne transformacije iz skupa svih mogućih transformacija za dati algoritam.

3.17 komunikacijski kanal: Skup nositelja informacija koji dostavljaju poruku od izvora do primatelja.

3.18 kritični objekti: Objekti čiji prekid ili prestanak rada dovodi do gubitka kontrole, uništenja infrastrukture, nepovratne negativne promjene ili uništenja gospodarstva zemlje, subjekta ili administrativno-teritorijalne jedinice ili do značajnog pogoršanja sigurnosti života stanovništva koje na ovim prostorima živi duže vrijeme.

3.19 mehanizam prijenosa informacija: Implementirana metoda prijenosa informacija od pošiljatelja do primatelja.

3.20 izmjena informacija: Svrhovita promjena oblika prezentacije i sadržaja informacija.

3.21 prekršitelj informacijske sigurnosti(protivnik): Pojedinac(subjekt) koji je slučajno ili namjerno počinio radnje koje rezultiraju kršenjem sigurnosti informacija prilikom obrade tehničkim sredstvima u informacijskim sustavima.

3.22 neovlašteni pristup informacijama(neovlašteni pristup informacijama): Pristup informacijama ili radnje s informacijama koje krše pravila kontrole pristupa korištenjem standardnih sredstava koje pruža računalna tehnologija ili automatizirani sustavi.

Napomena - pristup objektu također uključuje pristup informacijama sadržanim u njemu.

3.23 objekt(objekt): Pasivna komponenta sustava koja pohranjuje, prima ili odašilje informacije.

3.24 procjena opasnosti: Određivanje stupnja mogućeg razornog utjecaja.

3.25 procijenjena razina povjerenja razina osiguranja evaluacije: Paket komponenti osiguranja koji predstavlja neku poziciju na ljestvici osiguranja unaprijed definiranu unutar njega.

Napomena - Paket pouzdanih komponenti određen je u skladu sa zahtjevima GOST R ISO/IEC 15408-3.

3.26 pristupna lozinka(lozinka): Identifikator subjekta pristupa, koji je njegova (subjektova) tajna.

3.27 Osobne informacije: Sve informacije koje se odnose na pojedinca identificiranog ili utvrđenog na temelju takvih informacija (subjekt osobnih podataka).

Napomena - Prezime, ime, patronim, godina, mjesec, datum i mjesto rođenja subjekta osobnih podataka, kao i adresa, obitelj, socijalno, imovinsko stanje, obrazovanje, zanimanje, prihod i drugi podaci mogu se koristiti kao osobni podaci.

3.28 politika informacijske sigurnosti politika informacijske sigurnosti: skup dokumentiranih pravila, postupaka, praksi ili smjernica u području informacijske sigurnosti koji usmjeravaju aktivnosti organizacije.

3.29 proizvod(proizvod): Skup softvera, firmvera i/ili hardvera informacijske tehnologije koji pruža specifične funkcije i namijenjen je za izravnu upotrebu ili uključivanje u različite sustave.

3.30 kapacitet prikrivenog kanala kapacitet prikrivenog kanala: Količina informacija koja se može prenijeti preko prikrivenog kanala po jedinici vremena ili u odnosu na neku drugu ljestvicu mjerenja.

3.31 sustav(sustav): Specifično utjelovljenje informacijske tehnologije s specifičnom svrhom i radnim uvjetima.

3.32 sustavna analiza prikrivenih kanala sustavna analiza prikrivenih kanala: Analiza u kojoj dizajner sustava informacijske tehnologije i automatiziranih sustava mora identificirati prikrivene kanale na strukturiran i ponovljiv način, za razliku od identificiranja prikrivenih kanala određenom metodom primjenjivom na određenu situaciju.

NAPOMENA Tajni kanali obično se identificiraju u skladu sa sigurnosnim planom.

3.33 skriveni kanal(prikriveni kanal): Komunikacijski kanal koji razvijač sustava informacijske tehnologije i automatiziranih sustava nije namjeravao koristiti za kršenje sigurnosne politike.

3.34 prijenosni medij: Fizička provedba procesa prijenosa informacija.

3.35 subjekt(subjekt): Aktivna komponenta sustava, obično predstavljena korisnikom, procesom ili uređajem, koja može uzrokovati protok informacija od objekta do objekta ili promijeniti stanje sustava.

3.36 sigurnosna prijetnja(prijetnja): Skup uvjeta i čimbenika koji stvaraju potencijalnu ili stvarnu opasnost povezanu s curenjem informacija i/ili neovlaštenim i/ili nenamjernim utjecajima na njih.

3.37 ovlašteni korisnik(ovlašteni korisnik): Korisnik koji je ovlašten prema sigurnosnoj politici za izvođenje operacije.

3.38 šteta: Negativne posljedice nastale oštećenjem imovine.

3.39 ranjivost: Svojstvo sustava koje se može koristiti za narušavanje informacijske sigurnosti sustava informacijske tehnologije i automatiziranih sustava.

4 Opće odredbe

4.1 Ovaj standard definira sljedeći postupak za određivanje stupnja opasnosti sustava za imovinu organizacije, identificiranje i suzbijanje sustava:

- klasifikacija imovine ovisno o stupnju opasnosti od napada korištenjem CS-a, uzimajući u obzir moguće sigurnosne prijetnje imovini;

- određivanje potrebne dubine analize sustava osiguranja ovisno o vrsti imovine;

- provođenje analize sustava kontrole kvalitete, što uključuje obavljanje sljedećih poslova:

identifikacija (detekcija) SC,

procjena kapaciteta SC-a i procjena opasnosti od njihovog skrivenog funkcioniranja;

- mjere zaštite od prijetnji koje se provode korištenjem sigurnosnog sustava, a uključuju provedbu sljedećih zadataka:

donošenje odluka o provođenju zaštitnih mjera za suzbijanje navedenih prijetnji sigurnosti,

protivljenje provedbi IK sve do njezina uništenja.

4.2 Klasifikacija zaštićenih sredstava ovisno o stupnju opasnosti od napada korištenjem CC-a data je u odjeljku 7.

4.3 Dubina analize sigurnosnog sustava određena je vrijednošću imovine, odnosno štetom koja može nastati kao posljedica provedbe sigurnosnih prijetnji implementiranih korištenjem sigurnosnog sustava, odnosno rizicima koji proizlaze iz prisutnost ovih prijetnji. Klasifikacija takvih prijetnji dana je u odjeljku 6.

4.4 Identifikacija CS-a određuje subjekte (izvor i primatelj) između kojih CS potencijalno može postojati, parametre, kada se njima manipulira, informacije se prenose, parametre, zbog čije se varijacije informacije čitaju, medij za prijenos informacija , logični uvjeti pod kojima se informacija prenosi. Identifikacija SC-a može se provesti i tijekom razvoja sustava ispitivanjem potencijalnih kanala curenja ili kanala izloženosti, kao i tijekom rada sustava promatranjem znakova koji identificiraju prisutnost SC-a. U potonjem slučaju, SC-ovi se identificiraju praćenjem parametara sustava. Dokumentacija o informacijskoj sigurnosti treba odražavati koje se klase sigurnosnih sustava mogu identificirati korištenjem korištenog nadzornog sustava.

4.5 Kapacitet identificiranih SC-ova procjenjuje se korištenjem formalnih, tehničkih metoda ili metoda modeliranja.

4.6 Pri donošenju odluka o provedbi zaštitnih mjera za suzbijanje sigurnosnih prijetnji koje se implementiraju korištenjem CS-a, potrebno je uzeti u obzir mogući rizik oštećenja imovine organizacije, koji je također povezan s propusnošću CS-a.

4.7 Suprotstavljanje opasnim SC-ovima može se provesti pomoću sljedećih sredstava i metoda:

- izgradnja IT ili AS arhitekture koja vam omogućuje blokiranje IC-a ili njihovu propusnost tako nisku da kanali postanu bezopasni. Ova se metoda koristi u fazi projektiranja IT-a ili AS-a;

- korištenje tehničkih sredstava koja omogućuju blokiranje SC-ova ili smanjenje njihove propusnosti ispod zadane razine;

- korištenje softverskih i hardverskih alata koji omogućuju prepoznavanje rada opasnih SC-ova tijekom rada sustava. Identifikacija znakova rada IC-a može omogućiti blokiranje njihovog utjecaja na informacijske resurse;

- primjena organizacijskih i tehničkih mjera za uklanjanje SC-a ili smanjenje njihovog kapaciteta na sigurnu vrijednost.

5 Klasifikacija prikrivenih kanala

5.1 CS prema mehanizmu prijenosa informacija dijeli se na:

- SC iz memorije;

- SC prema vremenu;

- skriveni statistički kanali.

5.2 Sustavi temeljeni na memoriji temelje se na prisutnosti memorije u koju subjekt koji odašilje zapisuje informacije, a subjekt koji ih prima čita.

Skrivenost memorijskih kanala određena je činjenicom da vanjski promatrač ne zna mjesto u memoriji gdje su skrivene informacije zabilježene.

Sustavi koji se temelje na memoriji uključuju korištenje memorijskih resursa, ali programeri sigurnosnih sustava ne uzimaju u obzir način na koji se memorija koristi i stoga ga sigurnosni alati koji se koriste ne mogu otkriti.

5.3 CS u vremenu pretpostavlja se da subjekt koji odašilje informaciju modulira uz pomoć odaslane informacije neki vremenski promjenjivi proces, a subjekt koji prima informaciju može demodulirati odaslani signal promatrajući proces prijenosa informacije u vremenu. Na primjer, u multitaskingu operacijski sustav(OS) CPU je zajednički informacijski i računalni resurs za aplikacijske programe. Moduliranjem CPU vremena, aplikacije mogu međusobno prenositi ilegalne podatke.

5.4 Skriveni statistički kanal koristi za prijenos informacija promjene u parametrima distribucije vjerojatnosti bilo koje karakteristike sustava koja se može smatrati slučajnom i opisati probabilističkim statističkim modelima.

Tajnost ovakvih kanala temelji se na činjenici da primatelj informacije ima manju nesigurnost u određivanju parametara distribucije promatranih karakteristika sustava nego promatrač koji nema znanja o strukturi društvene mreže.

Na primjer, pojava stvarne, ali malo vjerojatne kombinacije u poslanom paketu unutar određenog vremenskog razdoblja može signalizirati kvar u računalnom sustavu.

5.5 CS iz memorije se pak dijeli na:

- SC na temelju skrivanja informacija u strukturiranim podacima;

- SC na temelju skrivanja informacija u nestrukturiranim podacima.

5.6 SC-ovi temeljeni na skrivanju informacija u strukturiranim podacima koriste ugrađivanje podataka u informacijske objekte s formalno opisanom strukturom i formalnim pravilima obrade. Na primjer, interni format datoteke koji koriste moderni programi za obradu teksta sadrži niz polja koja se ne prikazuju kada se datoteka uređuje, tako da se mogu koristiti za umetanje skrivenih informacija.

5.7 SC-ovi temeljeni na skrivanju informacija u nestrukturiranim podacima koriste ugrađivanje podataka u informacijske objekte bez uzimanja u obzir formalno opisane strukture (na primjer, upisivanje skrivenih informacija u najmanje značajne bitove slike, što ne dovodi do vidljivih izobličenja slike).

5.8 SC prema propusnosti dijeli se na:

- kanal niske propusnosti;

- kanal velikog kapaciteta.

5.9 CS je kanal niske propusnosti ako je njegov kapacitet dovoljan za prijenos vrijednih informacijskih objekata minimalne količine (na primjer, kriptografskih ključeva, lozinki) ili naredbi tijekom vremenskog razdoblja tijekom kojeg ovaj prijenos je relevantan.

5.10 CS je kanal velikog kapaciteta ako njegov kapacitet dopušta prijenos srednje velikih i velikih informacijskih objekata (npr. tekstualne datoteke, slike, baze podataka) za vremensko razdoblje tijekom kojeg su ti informacijski objekti vrijedni.

Za rješavanje složenih problema može se koristiti kombinacija SC-ova temeljena na različitim prijenosnim mehanizmima.

6 Klasifikacija sigurnosnih prijetnji koja se provodi prikrivenim kanalima

6.1 Sigurnosne prijetnje koje se mogu implementirati pomoću CS-a uključuju:

- provedba malware i podaci;

- napadač izdaje naredbe agentu za izvršenje;

- curenje kriptografskih ključeva ili lozinki;

- curenje pojedinačnih informacijskih objekata.

6.2 Provedba ovih prijetnji može dovesti do:

- povreda povjerljivosti informacijske imovine;

- poremećaj IT i AS funkcionalnosti;

- blokiranje pristupa resursima;

- povreda integriteta podataka i softvera.

6.3 Sustavi najosjetljiviji na napade koji koriste CS su:

- višekorisnički distribuirani sustavi;

- sustavi s pristupom globalnim mrežama;

- sustavi koji koriste kriptografske sigurnosne mjere;

- sustavi koji koriste višerazinsku (obaveznu) politiku kontrole pristupa;

- sustavi u kojima se ne mogu otkriti softverski i hardverski agenti (zbog korištenja softvera i hardvera s nedostupnim izvornim kodom i zbog nedostatka projektne dokumentacije).

6.4 Odnos između prijetnji implementiranih pomoću CS-a i vrsta CS-a ovisno o njihovoj propusnosti prikazan je u tablici 1.

Tablica 1 - Odnos između prijetnji implementiranih kroz tajne kanale i vrste tajnih kanala ovisno o njihovom kapacitetu


	Vrsta skrivenih kanala
	Skriveni kanali niske propusnosti	Skriveni kanali s velikom propusnošću
Ubacivanje zlonamjernog softvera i podataka
Napadač šalje naredbe agentu da ih izvrši
Curenje kriptografskih ključeva ili lozinki
Curenje pojedinačnih informacijskih objekata
Napomena - znak "+" znači da postoji veza između prijetnje i odgovarajuće vrste tajnog kanala; znak "-" znači da veza ne postoji.

7 Klasifikacija sredstava prema stupnju opasnosti od napada tajnim kanalima

7.1 Ovisno o stupnju opasnosti od napada korištenjem CS-a, zaštićena imovina organizacije podijeljena je u sljedeće klase:

1. klasa - sredstva koja sadrže informacije čiji stupanj osjetljivosti na napade implementirane pomoću automatiziranog sustava određuje vlasnik.

2. razred - sredstva koja sadrže informacije s ograničenim pristupom ili osobne podatke i obrađuju se u sustavima koji imaju tehnička sučelja s otvorene mreže ili računalnih sustava javni pristup, kao i računalni sustavi koji ne pružaju zaštitu od curenja kroz tehničke kanale.

3. razred - sredstva koja sadrže podatke koji predstavljaju državnu tajnu.

7.2 Osim toga, postoji posebna klasa imovine koja je ranjiva na prijetnje koje se izvode pomoću sigurnosnih sustava niske propusnosti. Ova grupa uključuje:

Klasa A - imovina povezana s radom kritičnih objekata. Na primjer, prijenos naredbe koja može pokrenuti destruktivni učinak na objekt ove vrste može se izvesti preko CS-a s niskom propusnošću.

Klasa B - imovina koja sadrži informacije o ključu/lozinki, uključujući ključeve sustava zaštite kriptografskih informacija i lozinke za pristup drugoj imovini. Na primjer, curenje informacija o ključu/lozinki putem sustava osiguranja može ugroziti funkcioniranje cijelog informacijskog sustava.

Bibliografija


	Vodeći dokument. Državna tehnička komisija Rusije
Ključne riječi: prikriveni kanali, analiza prikrivenih kanala, klasifikacija prikrivenih kanala, napadi prikrivenim kanalima, sigurnosne prijetnje ostvarene prikrivenim kanalima, klasifikacija sredstava prema stupnju opasnosti od napada prikrivenim kanalima

Tekst elektroničkog dokumenta
pripremio Kodeks JSC i provjerio prema:
službena objava
M.: Standardinform, 2018

GOST R 53113.1-2008 Informacijska tehnologija (IT). Zaštita informacijskih tehnologija i automatiziranih sustava od prijetnji informacijskoj sigurnosti implementirana prikrivenim kanalima. Dio 1. Opće odredbe

Naziv dokumenta:
Broj dokumenta:	53113.1-2008
Vrsta dokumenta:	GOST R
Primatelj:	Rosstandart
Status:	Aktivan
Objavljeno:	Službena objava. M.: Standardinform, 2018
Datum prihvaćanja:	18. prosinca 2008
Početni datum:	1. listopada 2009
Datum revizije:	01. listopada 2018

Ime:

Zaštita podataka. Osiguranje informacijske sigurnosti u organizaciji.

Valjano

Datum predstavljanja:

Datum otkazivanja:

Zamijenjeno sa:

Tekst GOST R 53114-2008 Zaštita informacija. Osiguranje informacijske sigurnosti u organizaciji. Osnovni pojmovi i definicije

FEDERALNA AGENCIJA ZA TEHNIČKU REGULACIJU I MJERITELJSTVO

NACIONALNI

STANDARD

RUSKI

FEDERACIJA

Zaštita podataka

OSIGURAVANJE SIGURNOSTI INFORMACIJA U ORGANIZACIJI

Osnovni pojmovi i definicije

Službena objava

Oteidartenform

GOST R 53114-2008

Predgovor

Ciljevi i načela normizacije u Ruskoj Federaciji utvrđeni su Saveznim zakonom br. 184-FZ od 27. prosinca 2002. „O tehničkoj regulativi”, a pravila za primjenu nacionalnih normi Ruske Federacije su GOST R 1.0-2004 „Normizacija u Ruskoj Federaciji. Osnovne odredbe »

Standardne informacije

1 RAZVIJALA Savezna državna ustanova “Državni istraživački institut za ispitivanje problema tehničke informacijske sigurnosti Savezne službe za tehničku i izvoznu kontrolu” (FGU “GNIIII PTZI FSTEC Rusije”), društvo s ograničenom odgovornošću “Istraživačko-proizvodno poduzeće “Kristall” (OOO NPF "Kristal")

2 UVODIO Odsjek za tehničku regulativu i normizaciju Federalne agencije za tehničku regulativu i mjeriteljstvo

3 ODOBRENO I STUPILO NA SNAGU naredbom Federalne agencije za tehničku regulaciju i mjeriteljstvo od 18. prosinca 2008. br. 532-st

4 8PRVI PUT VOZIO

Podaci o izmjenama ove norme objavljuju se u jednom godišnje objavljenom indeksu informacija “Nacionalne norme”, a tekst izmjena i dopuna objavljuje se u mjesečnom indeksu informacija “Nacionalne norme”. U slučaju revizije (zamjene) ili ukidanja ove norme, odgovarajuća obavijest bit će objavljena u mjesečnom indeksu informacija "Nacionalne norme". Relevantne informacije, obavijesti i tekstovi objavljuju se iu sustavu javnog informiranja - na službenim stranicama Federalne agencije za tehničko reguliranje i mjeriteljstvo na internetu

Ova norma se ne može u potpunosti ili djelomično reproducirati, umnožavati ili distribuirati kao službena publikacija bez dopuštenja Savezne agencije za tehničku regulativu i mjeriteljstvo

GOST R 53114-2008

1 područje upotrebe ............................................ ... ....1

3 Pojmovi i definicije..................................................... ..... ..2

3.1 Opći pojmovi..................................................... .... .....2

3.2 Pojmovi vezani uz objekt zaštite informacija..................................... ...4

3.3 Pojmovi koji se odnose na prijetnje informacijskoj sigurnosti.....................................7

3.4 Pojmovi koji se odnose na upravljanje sigurnošću organizacijskih informacija......8

3.5 Pojmovi koji se odnose na kontrolu i procjenu informacijske sigurnosti organizacije. ... 8

3.6 Pojmovi koji se odnose na kontrole informacijske sigurnosti

organizacije ................................................ ....... .......9

Abecedno kazalo pojmova..................................................... .....11

Dodatak A (za referencu) Pojmovi i definicije općih tehničkih pojmova..................................13

Dodatak B (za referencu) Međuodnos temeljnih pojmova u području informacijske sigurnosti u organizaciji.................................. ...................15

Bibliografija................................................. .......16

GOST R 53114-2008

Uvod

Pojmovi utvrđeni ovim standardom raspoređeni su u sustavni red, odražavajući sustav koncepata u ovom području znanja.

Za svaki koncept postoji jedan standardizirani termin.

Prisutnost uglatih zagrada u terminološkom članku znači da uključuje dva pojma koji imaju zajedničke pojmovne elemente. Ovi su pojmovi zasebno navedeni u abecednom kazalu.

Dio pojma u zagradi može se izostaviti pri korištenju pojma u normizacijskim dokumentima, dok dio pojma koji nije u zagradama čini njegov skraćeni oblik. Nakon standardiziranih pojmova slijede njihovi kratki oblici, odvojeni točkom i zarezom, predstavljeni kraticama.

Date definicije se po potrebi mogu mijenjati uvođenjem izvedenih karakteristika u njih. otkrivajući značenja pojmova koji se u njima koriste, ukazujući na objekte koji su uključeni u opseg definiranog pojma.

Promjene ne smiju utjecati na opseg i sadržaj pojmova definiranih u ovoj normi.

Normirani pojmovi ispisani su masnim slovima, njihovi skraćeni oblici nalaze se u tekstu i u abecednom kazalu, uključujući i kratice. - svjetlo, a sinonimi - kurziv.

Izrazi i definicije općih tehničkih pojmova potrebnih za razumijevanje teksta glavnog dijela ove norme dani su u Dodatku A.

GOST R 53114-2008

NACIONALNI STANDARD RUSKE FEDERACIJE

Zaštita podataka

OSIGURAVANJE SIGURNOSTI INFORMACIJA 8 ORGANIZACIJA

Osnovni pojmovi i definicije

Zaštita informacija. Osiguranje informacijske sigurnosti u organizaciji.

Osnovni pojmovi i definicije

Datum uvođenja - 2009-10-01

1 područje upotrebe

Ova norma utvrđuje osnovne pojmove koji se koriste pri provođenju poslova standardizacije u području informacijske sigurnosti u organizaciji.

Pojmovi utvrđeni ovom normom preporučuju se za korištenje u regulatornim dokumentima, pravnoj, tehničkoj i organizacijskoj i administrativnoj dokumentaciji, znanstvenoj, obrazovnoj i referentnoj literaturi.

Ovaj standard se primjenjuje zajedno s GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Uvjeti navedeni u ovom standardu u skladu su s odredbama Saveznog zakona Ruske Federacije od 27. prosinca 2002. M"184*FZ "Tehnički propis" |3]. Savezni zakon Ruske Federacije od 27. srpnja 2006. br. 149-FZ “O informacijama, informacijskim tehnologijama i zaštiti informacija”. Savezni zakon Ruske Federacije od 27. srpnja 2006. br. 152-FZ "O osobnim podacima". Doktrine informacijske sigurnosti Ruske Federacije, odobrene od strane predsjednika Ruske Federacije 9. rujna 2000. Pr -1895.

2 Normativne reference

GOST R 22.0.02-94 Sigurnost u hitnim situacijama. Termini i definicije osnovnih pojmova

GOST R ISO 9000-2001 Sustavi upravljanja kvalitetom. Osnove i rječnik

GOST R ISO 9001-2008 Sustavi upravljanja kvalitetom. Zahtjevi

GOST R IS0 14001-2007 Sustavi upravljanja okolišem. Zahtjevi i upute za uporabu

GOST R ISO/IEC 13335-1-2006 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Dio 1. Koncept i modeli upravljanja sigurnošću informacijskih i telekomunikacijskih tehnologija

GOST R ISO/IEC 27001-2006 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Sustavi upravljanja informacijskom sigurnošću. Zahtjevi

GOST R 50922-2006 Zaštita informacija. Osnovni pojmovi i definicije

GOST R 51275-2006 Zaštita informacija. Informacijski objekt. Čimbenici koji utječu na informacije. Opće odredbe

GOST R 51897-2002 Upravljanje rizikom. Pojmovi i definicije

Službena objava

GOST R 53114-2008

GOST R51898-2003 Sigurnosni aspekti. Pravila za uključivanje u standarde GOST R 52069.0-2003 Zaštita informacija. Sustav standarda. Osnovne odredbe GOST 34.003-90 Informacijska tehnologija. Skup standarda za automatizirane sustave. Automatizirani sustavi. Pojmovi i definicije

GOST 19781-90 Softver za sustave obrade informacija. Pojmovi i definicije

Napomena - Prilikom korištenja ovog standarda, preporučljivo je provjeriti valjanost referentnih standarda u javnom informacijskom sustavu - na službenim stranicama Federalne agencije za tehničko reguliranje i mjeriteljstvo na internetu ili prema godišnjem objavljenom indeksu informacija "Nacionalni Standardi”, koji je objavljen od 1. siječnja tekuće godine, a prema pripadajućim mjesečnim informativnim indeksima objavljenim u tekućoj godini. Ako je referentni standard zamijenjen (promijenjen), tada se pri korištenju ovog standarda trebate voditi zamijenjenim (promijenjenim) standardom. Ako se referentna norma poništi bez zamjene, tada se odredba u kojoj je navedena referenca primjenjuje na dio koji ne utječe na tu referencu.

3 Pojmovi i definicije

3.1 Opći pojmovi

sigurnost informacija [podataka]: Stanje sigurnosti informacija [podataka], u kojem se osigurava njihova [njihova] povjerljivost, dostupnost i cjelovitost.

[GOST R 50922-2006. stavak 2.4.5]

sigurnost informacijske tehnologije: Stanje sigurnosti informacijske tehnologije. čime se osigurava sigurnost informacija za čije obrađivanje se koriste. te informacijsku sigurnost informacijskog sustava u koji je implementiran.

[R 50.1.056-2006. stavak 2.4.5]

informacijska sfera: Sveukupnost informacija, informacijska infrastruktura, subjekti. provođenje prikupljanja, formiranja, širenja i korištenja informacija, kao i sustavi za reguliranje društvenih odnosa koji pritom nastaju.

3.1.4 informacijska infrastruktura: Skup informatizacijskih objekata koji potrošačima osiguravaju pristup informacijskim resursima.

objekt informatizacije: Skup informacijskih resursa, alata i sustava za obradu informacija koji se koriste u skladu s određenom informacijskom tehnologijom, kao i pomoćni objekti, prostori ili objekti (zgrade, strukture, tehnička sredstva) u kojima su ti alati i sustavi instalirani, ili prostorije i objekti namijenjeni za vođenje povjerljivih pregovora.

[GOST R 51275-2006. klauzula 3.1]

3.1.6 imovina organizacije: Sve. ono što je od vrijednosti za organizaciju u interesu postizanja njezinih ciljeva i što joj je na raspolaganju.

Napomena: imovina organizacije može uključivati:

Informacijska imovina, uključujući razne vrste informacija koje cirkuliraju u informacijskom sustavu (uslužne, upravljačke, analitičke, poslovne itd.) u svim fazama životnog ciklusa (generiranje, pohranjivanje, obrada, prijenos, uništavanje):

Resursi (financijski, ljudski, računalni, informacijski, telekomunikacijski i drugi):

Procesi (tehnološki, informacijski itd.);

Proizvedeni proizvodi ili pružene usluge.

GOST R 53114-2008

Resurs sustava za obradu informacija: Objekt sustava za obradu informacija koji se može dodijeliti procesu obrade podataka za određeni vremenski interval.

Napomena - Glavni resursi su procesori, područja glavne memorije, skupovi podataka. periferni uređaji, programi.

[GOST 19781-90. paragraf 93)

3.1.8 informacijski proces: Proces stvaranja, prikupljanja, obrade, akumulacije, pohrane, pretraživanja. širenje i korištenje informacija.

informacijska tehnologija; IT: Procesi, metode pretraživanja, prikupljanja, pohranjivanja, obrade, pružanja. širenje informacija i načine provođenja takvih procesa i metoda. [ Savezni zakon Ruska Federacija od 27. prosinca 2002. br. 184-FZ. članak 2. stavak 2)]

tehnička podrška automatizirani sustav; Tehnička podrška NEK: Ukupnost svih tehničkih sredstava koja se koriste u radu NEK.

[GOST R 34.003-90. klauzula 2.5]

softver automatiziranog sustava; AS softver: Skup programa na mediju za pohranu i programskih dokumenata namijenjenih otklanjanju pogrešaka, radu i testiranju funkcionalnosti AS.

[GOST R 34.003-90. stavak 2.7]

informacijska podrška automatiziranog sustava; informacijska potpora AS-a: Skup obrazaca dokumenata, klasifikatora, regulatornog okvira i implementiranih rješenja o obujmu, smještaju i oblicima postojanja informacija koje se koriste u AS-u tijekom njegova rada.

[GOST R 34.003-90. klauzula 2.8]

3.1.13 usluga; usluga: Rezultat aktivnosti izvođača da zadovolji potrebe potrošača.

Napomena - 8 organizacija, pojedinac ili proces mogu djelovati kao izvođač (potrošač) usluge.

3.1.14 usluge informacijske tehnologije: IT usluge: Skup funkcionalnih mogućnosti informacija i. možda neinformacijska tehnologija koja se pruža krajnjim korisnicima kao usluga.

NAPOMENA Primjeri IT usluga uključuju razmjenu poruka, poslovne aplikacije, usluge datoteka i ispisa, mrežne usluge itd.

3.1.15 sustav kritične informacijske infrastrukture; sustav ključne informacijske infrastrukture: FIAC: informacijski upravljački ili informacijski telekomunikacijski sustav koji upravlja ili daje informacije kritičnom objektu ili procesu, ili se koristi za službeno informiranje društva i građana, čiji poremećaj ili prekid funkcioniranja (kao posljedica destruktivnog informacijski utjecaji, kao i kvarovi ili kvarovi) mogu dovesti do izvanrednog stanja sa značajnim negativnim posljedicama.

3.1.18 kritični objekt: Objekt ili proces čiji bi prekid kontinuiteta rada mogao uzrokovati značajnu štetu.

GOST R 53114-2008

Napomena - Može doći do štete na imovini pojedinaca ili pravne osobe. državne ili općinske imovine, okoliša, kao i nanošenje štete životu ili zdravlju građana.

informacijski sustav osobnih podataka: informacijski sustav koji je skup osobnih podataka sadržanih u bazi podataka, kao i informacijske tehnologije i tehnička sredstva koja omogućuju obradu takvih osobnih podataka pomoću alata za automatizaciju ili bez upotrebe takvih alata.

osobni podaci: Svaka informacija koja se odnosi na pojedinca identificiranog ili utvrđenog na temelju takvih podataka (subjekt osobnih podataka), uključujući njegovo prezime, ime. patronim, god mjesec, datum i mjesto rođenja, adresa, obiteljsko, socijalno, imovinsko stanje, stručna sprema, zanimanje, prihod, drugi podaci.

3.1.19 automatizirani sustav u zaštićenom dizajnu; AS u zaštićenom dizajnu: automatizirani sustav koji implementira informacijsku tehnologiju za obavljanje utvrđenih funkcija u skladu sa zahtjevima standarda i/ili regulatornih dokumenata o zaštiti informacija.

3.2 Pojmovi vezani uz objekt zaštite informacija

3.2.1 informacijska sigurnost organizacije; Organizacijska inteligencija: Stanje zaštite interesa organizacije pred prijetnjama u informacijskoj sferi.

Napomena - Sigurnost se postiže osiguravanjem skupa svojstava informacijske sigurnosti - povjerljivosti, cjelovitosti, dostupnosti informacijskih sredstava i infrastrukture organizacije. Prioritet svojstava informacijske sigurnosti određen je značajem informacijske imovine za interese (ciljeve) organizacije.

objekt informacijske zaštite: Informacija ili nositelj informacije, odnosno informacijski proces. koji moraju biti zaštićeni u skladu sa svrhom zaštite podataka.

[GOST R 50922-2006. klauzula 2.5.1]

3.2.3 zaštićeni proces (informacijska tehnologija): Proces koji koristi informacijska tehnologija za obradu zaštićenih informacija uz potrebnu razinu njihove sigurnosti.

3.2.4 povreda informacijske sigurnosti organizacije: povreda informacijske sigurnosti organizacije: Slučajna ili namjerna nezakonita radnja pojedinca (subjekta, objekta) u odnosu na imovinu organizacije, čija je posljedica povreda sigurnosti informacija kada obrađuje se tehničkim sredstvima u informacijskim sustavima, uzrokujući negativne posljedice (štetu/štetu) za organizaciju.

hitan slučaj; nepredviđena situacija; Hitna situacija: Situacija na određenom području ili akvatoriju nastala kao posljedica nesreće, opasne prirodne pojave, katastrofe, prirodne ili druge nesreće koja može rezultirati gubitkom života ili ljudskim žrtvama, oštećenjem zdravlja ljudi ili okoliša, znatne materijalne gubitke i narušavanje životnih uvjeta ljudi.

Napomena - Izvanredne situacije razlikuju se prema prirodi izvora (prirodni, izazvani čovjekom, biološko-socijalni i vojni) i prema opsegu (lokalni, lokalni, teritorijalni, regionalni, federalni i prekogranični).

(GOST R 22.0.02-94. Članak 2.1.1.)

GOST R 53114-2008

3.2.6

opasna situacija: Okolnosti u kojima su ljudi, imovina ili okoliš ugroženi.

(GOST R 51898-2003. stavak 3.6)

3.2.7

informacijski sigurnosni incident: Svaki neočekivani ili neželjeni događaj koji može poremetiti rad ili informacijsku sigurnost.

Napomena - incidenti informacijske sigurnosti su:

Gubitak usluga, opreme ili uređaja:

Kvarovi ili preopterećenja sustava:

Pogreške korisnika.

Kršenje mjera fizičke zaštite:

Nekontrolirane promjene sustava.

Kvarovi softvera i kvarovi hardvera:

Kršenje pravila pristupa.

(GOST R ISO/IEC 27001 -2006. Članak 3.6)

3.2.8 događaj: Pojava ili prisutnost određenog niza okolnosti.

Bilješke

1 Priroda, vjerojatnost i posljedice događaja možda neće biti u potpunosti poznate.

2 Događaj se može dogoditi jednom ili više puta.

3 Vjerojatnost povezana s događajem može se procijeniti.

4 Događaj se može sastojati od nenastupanja jedne ili više okolnosti.

5 Nepredvidiv događaj ponekad se naziva "incident".

6 Događaj u kojem nema gubitaka ponekad se naziva preduvjetom za incident (incident), opasnim stanjem, opasnim spletom okolnosti itd.

3.2.9 rizik: Utjecaj neizvjesnosti na proces postizanja ciljeva.

Bilješke

1 Ciljevi mogu imati različite aspekte: financijske, zdravstvene, sigurnosne i ekološke aspekte i ne moraju biti postavljeni različite razine: na strateškoj razini, u cijeloj organizaciji, na razini projekta, proizvoda i procesa.

3 Rizik se često izražava u smislu kombinacije posljedica nekog događaja ili promjene okolnosti i njihove vjerojatnosti.

3.2.10

Procjena rizika: proces koji kombinira identifikaciju rizika, analizu rizika i kvantifikaciju rizika.

(GOST R ISO/IEC 13335-1 -2006, paragraf 2.21 ]

3.2.11 procjena rizika informacijske sigurnosti (organizacije); procjena rizika informacijske sigurnosti (organizacija): Sveukupni proces identifikacije, analize i određivanja prihvatljivosti razine rizika informacijske sigurnosti organizacije.

3.2.12 identifikacija rizika: Proces otkrivanja, prepoznavanja i opisivanja rizika.

Bilješke

1 Identifikacija rizika uključuje identifikaciju izvora rizika, događaja i njihovih uzroka, kao i njihovih mogućih posljedica.

NAPOMENA 2 Identifikacija rizika može uključivati statističke podatke, teorijsku analizu, informirana stajališta i stručna mišljenja te potrebe dionika.

GOST R 53114-2008

analiza rizika: Sustavno korištenje informacija za prepoznavanje izvora rizika i kvantificiranje rizika.

(GOST R ISO/IEC 27001-2006. Članak 3.11.)

3.2.14 određivanje prihvatljivosti rizika: Proces usporedbe rezultata analize rizika s kriterijima rizika kako bi se odredila prihvatljivost ili podnošljivost razine rizika.

NAPOMENA Određivanje prihvatljivosti razine rizika pomaže u donošenju odluka o liječenju

3.2.15 rukovanje rizikom informacijske sigurnosti organizacije; Liječenje rizika organizacijske informacijske sigurnosti: Proces razvoja i/ili odabira i provedbe mjera za upravljanje rizicima informacijske sigurnosti organizacije.

Bilješke

1 Liječenje rizika može uključivati:

Izbjegavanje rizika odlukom da se ne započnu ili nastave aktivnosti koje stvaraju uvjete

Traženje prilike odlučivanjem o pokretanju ili nastavku aktivnosti koje mogu stvoriti ili povećati rizik;

Uklanjanje izvora rizika:

Promjene u prirodi i veličini rizika:

Mijenjanje posljedica;

Dijeljenje rizika s drugom stranom ili stranama.

Postojanost rizika i kao rezultat svjesne odluke i "po defaultu".

2 Tretmani rizika s negativnim posljedicama ponekad se nazivaju ublažavanje, eliminacija, prevencija. smanjenje, suzbijanje i korekcija rizika.

3.2.16 upravljanje rizikom: Koordinirane radnje za usmjeravanje i kontrolu aktivnosti organizacije u vezi s rizicima.

3.2.17 izvor rizika za informacijsku sigurnost organizacije; izvor organizacijskih informacija sigurnosni rizik: objekt ili radnja koja može uzrokovati [stvoriti] rizik.

Bilješke

1 Nema rizika ako ne postoji interakcija između objekta, osobe ili organizacije s izvorom rizika.

2 Izvor rizika može biti materijalan ili nematerijalan.

3.2.18 politika informacijske sigurnosti (organizacije); Politika informacijske sigurnosti (organizacija): Službena izjava pravila, postupaka, praksi ili smjernica informacijske sigurnosti koji usmjeravaju aktivnosti organizacije.

Napomena - Pravila moraju sadržavati.

Predmet, glavni ciljevi i ciljevi sigurnosne politike:

Uvjeti za primjenu sigurnosne politike i moguća ograničenja:

Opis stajališta menadžmenta organizacije u pogledu provedbe sigurnosne politike i organizacije režima informacijske sigurnosti organizacije u cjelini.

Prava i odgovornosti, kao i stupanj odgovornosti zaposlenika za poštivanje sigurnosne politike organizacije.

Hitni postupci u slučaju kršenja sigurnosne politike

3.2.19 cilj informacijske sigurnosti (organizacije); Cilj IS (organizacije): Unaprijed određeni rezultat osiguranja informacijske sigurnosti organizacije u skladu s utvrđenim zahtjevima u politici IS (organizacije).

Napomena - Rezultat osiguranja informacijske sigurnosti može biti sprječavanje štete vlasniku informacije zbog mogućeg curenja informacija i(ili) neovlaštenog i nenamjernog utjecaja na informacije.

3.2.20 sustav dokumenata o informacijskoj sigurnosti u organizaciji; sustav dokumenata informacijske sigurnosti u organizaciji: uređen skup dokumenata objedinjenih ciljnom orijentacijom. međusobno povezani na temelju podrijetla, namjene, vrste, opsega djelatnosti, jedinstvenih zahtjeva za njihov dizajn i reguliranja aktivnosti organizacije radi osiguranja informacijske sigurnosti.

GOST R 53114-2008

3.3 Pojmovi koji se odnose na prijetnje informacijskoj sigurnosti

3.3.1 prijetnja informacijskoj sigurnosti organizacije; informacijska sigurnosna prijetnja organizaciji: skup čimbenika i uvjeta koji stvaraju opasnost od povrede informacijske sigurnosti organizacije, uzrokujući ili mogu izazvati negativne posljedice (šteta/šteta) za organizaciju.

Bilješke

1 Oblik provedbe (manifestacije) prijetnje informacijskoj sigurnosti je izbijanje jednog ili više međusobno povezanih događaja informacijske sigurnosti i incidenata informacijske sigurnosti. što dovodi do kršenja svojstava informacijske sigurnosti zaštićenih objekata organizacije.

2 Prijetnju karakterizira prisutnost predmeta prijetnje, izvor prijetnje i manifestacija prijetnje.

Prijetnja (informacijska sigurnost): skup uvjeta i čimbenika koji stvaraju potencijalnu ili stvarnu opasnost od povrede informacijske sigurnosti.

[GOST R 50922-2006. klauzula 2.6.1]

3.3.3 model prijetnje (informacijske sigurnosti): Fizički, matematički, opisni prikaz svojstava ili karakteristika prijetnji informacijskoj sigurnosti.

Napomena - poseban regulatorni dokument može biti vrsta opisnog prikaza svojstava ili karakteristika prijetnji informacijskoj sigurnosti.

ranjivost (informacijskog sustava); kršenje: Svojstvo informacijskog sustava koje omogućuje implementaciju prijetnji sigurnosti informacija koje se u njemu obrađuju.

Bilješke

1 Uvjet za realizaciju sigurnosne prijetnje obrađene u informacijskom sustavu može biti nedostatak ili slabost informacijskog sustava.

2 Ako ranjivost odgovara prijetnji, tada postoji rizik.

[GOST R 50922-2006. klauzula 2.6.4]

3.3.5 prekršitelj informacijske sigurnosti organizacije; prekršitelj informacijske sigurnosti organizacije: pojedinac ili logički entitet koji je slučajno ili namjerno počinio radnju čija je posljedica povreda informacijske sigurnosti organizacije.

3.3.6 neovlašteni pristup: Pristup informacijama ili resursima automatiziranog informacijskog sustava, izvršen uz kršenje utvrđenih prava (ili) pravila pristupa.

Bilješke

1 Neovlašteni pristup može biti namjeran ili nenamjeran.

2. Prava i pravila pristupa informacijama i resursima informacijskog sustava utvrđuju se za procese obrade informacija, održavanje automatiziranog informacijskog sustava i izmjene softvera. tehnička i informacijska sredstva, kao i dobivanje informacija o njima.

3.3.7 mrežni napad: Radnje koje koriste softver i (ili) hardver i koriste mrežni protokol, usmjerene na implementaciju prijetnji neovlaštenog pristupa informacijama, utjecaja na njih ili resurse automatiziranog informacijskog sustava.

Aplikacija – Mrežni protokol – skup semantičkih i pravila sintakse, koji određuju interakciju programa za upravljanje mrežom koji se nalaze na istom računalu. s istoimenim programima koji se nalaze na drugom računalu.

3.3.8 blokiranje pristupa (informacijama): Prekid ili otežani pristup informacijama osoba. na to imaju pravo (legitimni korisnici).

3.3.9 napad uskraćivanjem usluge: Mrežni napad koji rezultira blokiranjem informacijski procesi u automatiziranom sustavu.

3.3.10 curenje informacija: Nekontrolirano širenje zaštićenih informacija kao rezultat njihovog otkrivanja, neovlaštenog pristupa informacijama i primanja zaštićenih informacija od strane stranih obavještajnih službi.

3.3.11 otkrivanje informacija: Neovlašteno priopćavanje zaštićenih podataka osobama. nije ovlašten za pristup ovim informacijama.

GOST R 53114-2008

presretanje (informacija): Nezakonito primanje informacija korištenjem tehničkog sredstva koje otkriva, prima i obrađuje informativne signale.

(R 50.1.053-2005, stavak 3.2.5)

informativni signal: signal čiji se parametri mogu koristiti za određivanje zaštićene informacije.

[R 50.1.05S-2005. klauzula 3.2.6]

3.3.14 deklarirane sposobnosti: Funkcionalnost računalni hardver i softver koji nije opisan ili ne odgovara onom opisanom u dokumentaciji. što može dovesti do smanjenja ili kršenja sigurnosnih svojstava informacija.

3.3.15 lažno elektromagnetsko zračenje i smetnje: Elektromagnetska radijacija tehnička sredstva za obradu informacija, koja nastaju kao nuspojava i uzrokovana električnim signalima koji djeluju u njihovim električnim i magnetskim krugovima, kao i elektromagnetskim smetnjama tih signala na vodljivim vodovima, strukturama i strujnim krugovima.

3.4 Pojmovi koji se odnose na upravljanje sigurnošću organizacijskih informacija

3.4.1 upravljanje informacijskom sigurnošću organizacije; upravljanje organizacijom informacijske sigurnosti; Koordinirano djelovanje za vodstvo i upravljanje organizacijom u smislu osiguranja njezine informacijske sigurnosti u skladu s promjenjivim uvjetima unutarnjeg i vanjskog okruženja organizacije.

3.4.2 upravljanje rizikom informacijske sigurnosti organizacije; upravljanje rizikom informacijske sigurnosti organizacije: Koordinirane radnje za usmjeravanje i upravljanje organizacijom u odnosu na rizik informacijske sigurnosti kako bi se on sveo na minimum.

NAPOMENA Osnovni procesi upravljanja rizikom su postavljanje konteksta, procjena rizika, tretiranje i prihvaćanje rizika, praćenje i pregled rizika.

sustav upravljanja informacijskom sigurnošću; ISMS: Dio cjelokupnog sustava upravljanja. na temelju korištenja metoda procjene rizika bioenergije za razvoj, implementaciju i rad. praćenje, analiza, podrška i unapređenje informacijske sigurnosti.

NAPOMENA Sustav upravljanja uključuje organizacijsku strukturu, politike, aktivnosti planiranja, odgovornosti, prakse, postupke, procese i resurse.

[GOST R ISO/IEC 27001 -2006. paragraf 3.7]

3.4.4 uloga informacijske sigurnosti u organizaciji; uloga informacijske sigurnosti u organizaciji: skup specifičnih funkcija i zadataka za osiguranje informacijske sigurnosti organizacije koji uspostavljaju prihvatljivu interakciju između subjekta i objekta u organizaciji.

Bilješke

1 Subjekti uključuju osobe među rukovoditeljima organizacije, njezino osoblje ili procese pokrenute u njihovo ime za obavljanje radnji na objektima

2 Objekti mogu biti hardver, softver, softver i hardver ili informacijski resurs na kojem se izvode radnje.

3.4.5 usluga informacijske sigurnosti organizacije: Organizacijska i tehnička struktura sustava upravljanja informacijskom sigurnošću organizacije koja implementira rješenje specifičnog zadatka usmjerenog na suprotstavljanje prijetnjama informacijskoj sigurnosti organizacije.

3.5 Pojmovi koji se odnose na praćenje i procjenu informacijske sigurnosti organizacije

3.5.1 nadzor nad osiguravanjem informacijske sigurnosti organizacije; kontrola pružanja informacijske sigurnosti organizacije: Provjera usklađenosti pružanja informacijske sigurnosti u organizaciji.

GOST R 53114-2008

3.5.2 praćenje informacijske sigurnosti organizacije; nadzor informacijske sigurnosti organizacije: Stalni nadzor procesa informacijske sigurnosti u organizaciji kako bi se utvrdila njegova usklađenost sa zahtjevima informacijske sigurnosti.

3.5.3 revizija informacijske sigurnosti organizacije; revizija organizacije informacijske sigurnosti: Sustavan, neovisan i dokumentiran proces pribavljanja dokaza o aktivnostima organizacije radi osiguranja informacijske sigurnosti i utvrđivanja stupnja ispunjenja kriterija informacijske sigurnosti u organizaciji, kao i dopuštanje mogućnosti formiranja stručne revizije. prosudba o stanju informacijske sigurnosti organizacije.

3.5.4 evidencija (dokaz) revizije informacijske sigurnosti organizacije; Podaci revizije organizacijske informacijske sigurnosti: Zapisi, izjave o činjenicama ili druge informacije koje su relevantne za kriterije revizije informacijske sigurnosti organizacije i koje je moguće provjeriti.

NAPOMENA: Dokazi o sigurnosti informacija mogu biti kvalitativni ili kvantitativni.

3.5.5 procjena usklađenosti informacijske sigurnosti organizacije s utvrđenim zahtjevima; procjena usklađenosti informacijske sigurnosti organizacije s utvrđenim zahtjevima: Aktivnosti uključene u izravno ili neizravno utvrđivanje usklađenosti ili neusklađenosti s utvrđenim zahtjevima informacijske sigurnosti u organizaciji.

3.5.6 kriterij za reviziju informacijske sigurnosti organizacije; revizijski kriterij organizacije za informacijsku sigurnost: skup načela, odredbi, zahtjeva i pokazatelja važećih regulatornih dokumenata* koji se odnose na aktivnosti organizacije u području informacijske sigurnosti.

Primjena - Kriteriji revizije informacijske sigurnosti koriste se za usporedbu dokaza revizije informacijske sigurnosti s njima.

3.5.7 certifikacija automatiziranog sustava u sigurnom dizajnu: Proces sveobuhvatne provjere izvedbe specificiranih funkcija automatiziranog sustava za obradu zaštićenih informacija radi usklađenosti sa zahtjevima standarda i/ili regulatornih dokumenata u području informacija. zaštitu i izradu dokumenata o njezinoj usklađenosti s obavljanjem funkcije obrade zaštićenih podataka na konkretnom objektu informatizacije.

3.5.8 kriterij za osiguranje informacijske sigurnosti organizacije; kriterij informacijske sigurnosti organizacije: pokazatelj na temelju kojeg se procjenjuje stupanj postignuća ciljeva informacijske sigurnosti organizacije.

3.5.9 učinkovitost informacijske sigurnosti; učinkovitost informacijske sigurnosti: Odnos između postignutog rezultata i resursa koji se koriste za osiguranje određene razine informacijske sigurnosti.

3.6 Pojmovi koji se odnose na kontrole informacijske sigurnosti organizacije

3.6.1 osiguranje informacijske sigurnosti organizacije; pružanje informacijske sigurnosti organizacije: Aktivnosti usmjerene na uklanjanje (neutraliziranje, suzbijanje) unutarnjih i vanjskih prijetnji informacijskoj sigurnosti organizacije ili minimiziranje štete od moguće implementacije takvih prijetnji.

3.6.2 sigurnosna mjera; sigurnosna kontrola: uspostavljena praksa, postupak ili mehanizam za rukovanje rizikom.

3.6.3 mjere za osiguranje informacijske sigurnosti; mjere informacijske sigurnosti: skup radnji usmjerenih na razvoj i/ili praktičnu primjenu metoda i sredstava za osiguranje informacijske sigurnosti.

3.6.4 organizacijske mjere za osiguranje informacijske sigurnosti; organizacijske mjere za osiguranje informacijske sigurnosti: Mjere za osiguranje informacijske sigurnosti, koje predviđaju uspostavu privremenih, teritorijalnih, prostornih, pravnih, metodoloških i drugih ograničenja uvjeta korištenja i načina rada objekta informatizacije.

3.6.5 tehnička sredstva za osiguranje informacijske sigurnosti; tehnička sredstva informacijske sigurnosti: Oprema koja se koristi za osiguranje informacijske sigurnosti organizacije korištenjem nekriptografskih metoda.

Napomena - Takvu opremu može predstavljati hardver i softver ugrađen u štićeni objekt i/ili koji rade samostalno (neovisno o štićenom objektu).

GOST R 53114-2008

3.5.6 alat za otkrivanje upada, alat za otkrivanje napada: softverski ili softversko-hardverski alat koji automatizira proces nadziranja događaja koji se događaju u računalnom sustavu ili mreži, te također neovisno analizira te događaje u potrazi za znakovima informacijsko sigurnosnog incidenta.

3.6.7 sredstva zaštite od neovlaštenog pristupa: Softver, hardver ili softver i hardver namijenjeni sprječavanju ili značajnom sprječavanju neovlaštenog pristupa.

GOST R 53114-2008

Abecedno kazalo pojmova

imovina organizacije 3.1.6

analiza rizika 3.2.13

Zvučnici u zaštićenoj verziji 3.1.19

napad uskraćivanjem usluge 3.3.9

mrežni napad 3.3.7

certifikacija automatiziranog sustava u zaštićenoj verziji 3.5.7

revizija informacijske sigurnosti organizacije 3.5.3

sigurnost (podaci] 3.1.1

informacijska sigurnost 3.1.1

sigurnost informacijske tehnologije 3.1.2

informacijska sigurnost organizacije 3.2.1

blokiranje pristupa (informacijama) 3.3.8

kršenje 3.3.4

nedeklarisane sposobnosti 3.3.14

osobni podaci 3.1.18

neovlašteni pristup 3.3.6

Organizacijska informacijska sigurnost 3.2.1

identifikacija rizika 3.2.12

informacijska infrastruktura 3.1.4

informacijski sigurnosni incident 3.2.7

sigurnosni rizik izvora organizacijskih informacija 3.2.17

izvor rizika za informacijsku sigurnost organizacije 3.2.17

kontrola informacijske sigurnosti organizacije 3.5.1

kontrola nad informacijskom sigurnošću organizacije 3.5.1

kriteriji za osiguranje informacijske sigurnosti organizacije 3.5.8

kriterij revizije organizacijskog IS-a 3.5.6

kriterij revizije informacijske sigurnosti organizacije 3.5.6

kriterij za osiguranje informacijske sigurnosti organizacije 3.5.8

upravljanje informacijskom sigurnošću organizacije 3.4.1

upravljanje rizikom informacijske sigurnosti organizacije 3.4.2

sigurnosna mjera 3.6.2

mjere informacijske sigurnosti 3.6.3

organizacijske informacijske sigurnosne mjere 3.6.4

mjere informacijske sigurnosti 3.6.3

organizacijske mjere sigurnosti informacija 3.4.6

model prijetnji (informacijska sigurnost) 3.3.3

nadzor informacijske sigurnosti organizacije 3.5.2

praćenje informacijske sigurnosti organizacije 3.5.2

povreda informacijske sigurnosti organizacije 3.2.4

prekršitelj informacijske sigurnosti organizacije 3.3.5

kršitelj informacijske sigurnosti organizacije 3.3.5

podrška automatiziranom informacijskom sustavu 3.1.12

softver automatiziranog sustava 3.1.11

tehnička podrška automatiziranog sustava 3.1.10

Informacijska podrška AS 3.1.12

AC softver 3.1.11

AC tehnička podrška 3.1.10

osiguranje informacijske sigurnosti organizacije 3.6.1

Tretman rizika informacijske sigurnosti organizacije 3.2.15

GOST R 53114-2008

upravljanje rizikom informacijske sigurnosti organizacije 3.2.1S

objekt zaštite informacija 3.2.2

objekt informatizacije 3.1.5

kritični objekt 3.1.16

određivanje prihvatljive razine rizika 3.2.14

procjena rizika 3.2.10

procjena rizika I6 (organizacije) 3.2.11

procjena rizika informacijske sigurnosti (organizacija) 3.2.11

procjena usklađenosti IS organizacije s utvrđenim zahtjevima 3.5.5

procjena usklađenosti informacijske sigurnosti organizacije s utvrđenim zahtjevima 3.5.5

presretanje (informacija) 3.3.12

Politika (organizacija) IS-a 3.2.18

politika informacijske sigurnosti (organizacija) 3.2.18

proces (informacijska tehnologija) zaštićen 3.2.3

informacijski proces 3.1.8

objavljivanje informacija 3.3.11

resurs sustava za obradu informacija 3.1.7

uloga informacijske sigurnosti u organizaciji 3.4.4

uloga informacijske sigurnosti 8 u organizaciji 3.4.4

potvrde (dokazi) o reviziji IS organizacije 3.5.4

evidencija (evidencija) revizije informacijske sigurnosti organizacije 3.5.4

usluga 3.1.13

informativni signal 3.3.13

siguran automatizirani sustav 3.1.19

dokumentacijski sustav informacijske sigurnosti u organizaciji 3.2.20

sustav dokumenata o informacijskoj sigurnosti u organizaciji 3.2.20

sustav ključne informacijske infrastrukture 3.1.15

sustav kritične informacijske infrastrukture 3.1.15

sustav upravljanja informacijskom sigurnošću 3.4.3

informacijski sustav osobnih podataka 3.1.17

nepredviđena situacija 3.2.5

opasna situacija 3.2.6

hitna situacija 3.2.5

služba informacijske sigurnosti organizacije 3.4.6

događaj 3.2.8

zaštita od neovlaštenog pristupa 3.6.7

tehnički alat za informacijsku sigurnost 3.6.5

Alat za otkrivanje napada 3.6.6

Alat za otkrivanje upada 3.6.6

informacijska sfera 3.1.3

informacijska tehnologija 3.1.9

prijetnja (informacijska sigurnost) 3.3.2

prijetnja informacijskoj sigurnosti organizacije 3.3.1

upravljanje rizikom 3.2.16

usluga 3.1.13

usluge informacijske tehnologije 3.1.14

IT usluge 3.1.14

curenje informacija 3.3.10

ranjivost (informacijski sustav) 3.3.4

Cilj (organizacija) IS-a 3.2.19

cilj informacijske sigurnosti (organizacija) 3.2.19

elektromagnetsko zračenje i bočne smetnje 3.3.15

Učinkovitost IS-a 3.5.9

učinkovitost informacijske sigurnosti 3.5.9

GOST R 53114-2008

Dodatak A (referenca)

Pojmovi i definicije općih tehničkih pojmova

organizacija: Skupina radnika i potrebnih resursa s raspodjelom odgovornosti, ovlasti i odnosa.

(GOST R ISO 9000-2001, paragraf 3.3.1)

Bilješke

1 Organizacije uključuju: poduzeće, korporaciju, firmu, poduzeće, instituciju, dobrotvornu organizaciju, maloprodajno trgovačko poduzeće, udrugu. kao i njihovi pododjeli ili njihova kombinacija.

2 Distribucija je obično naručena.

3 Organizacija može biti javna ili privatna.

A.2 posao: Gospodarska aktivnost koja proizvodi dobit; svaka vrsta aktivnosti koja stvara prihod i predstavlja izvor bogaćenja.

A.Z poslovni proces: Procesi koji se koriste u gospodarskim aktivnostima organizacije.

informacije: Informacije (poruke, podaci) bez obzira na oblik njihove prezentacije.

sredstva: Sve. ono što je od vrijednosti za organizaciju. (GOST R ISO/IEC13335-1-2006, paragraf 2.2(

A.6 resursi: Sredstva (organizacije) koja se koriste ili troše tijekom izvođenja procesa. Bilješke

1 Resursi mogu uključivati tako različite stavke kao što su osoblje, oprema, dugotrajna imovina, alati i komunalije kao što su energija, voda, gorivo i komunikacijska mrežna infrastruktura.

2 Resursi mogu biti višekratni, obnovljivi ili potrošni.

A.7 opasnost: Svojstvo objekta koje karakterizira njegovu sposobnost da uzrokuje štetu ili štetu drugim objektima. A.8 hitni događaj: događaj koji dovodi do hitne situacije.

A.9 šteta: Fizička šteta ili šteta ljudskom zdravlju ili šteta imovini ili okolišu.

A. 10 prijetnja: skup uvjeta i čimbenika koji mogu uzrokovati povredu integriteta i dostupnosti. privatnost.

A.11 ranjivost: Unutarnja svojstva objekta koja stvaraju osjetljivost na učinke izvora rizika koji mogu dovesti do neke posljedice.

A. 12 napad: Pokušaj nadvladavanja sigurnosnog sustava informacijskog sustava.

Napomene - Stupanj "uspjeha" napada ovisi o ranjivosti i učinkovitosti obrambenog sustava.

A.13 menadžment: Koordinirane aktivnosti za usmjeravanje i upravljanje organizacijom

A.14 Upravljanje (kontinuitetom) poslovanja: Koordinirano upravljanje i kontrolne aktivnosti

poslovnih procesa organizacije.

A. 15 uloga: Unaprijed određeni skup pravila i postupaka za aktivnosti organizacije koji uspostavljaju prihvatljivu interakciju između subjekta i objekta aktivnosti.

Vlasnik informacije: Osoba koja je samostalno stvorila informaciju ili je na temelju zakona ili ugovora dobila pravo dopustiti ili ograničiti pristup informaciji prema bilo kojem kriteriju.

GOST R 53114-2008

infrastruktura: Sveukupnost zgrada, opreme i pomoćnih usluga potrebnih za funkcioniranje organizacije.

[GOST R ISO 9000-2001. klauzula 3.3.3]

A.18 revizija: Sustavan, neovisan i dokumentiran proces dobivanja revizijskih dokaza i njihove objektivne evaluacije kako bi se utvrdilo u kojoj su mjeri ispunjeni dogovoreni revizijski kriteriji.

Bilješke

1 Interne revizije, koje se nazivaju revizije prve strane, provode za interne potrebe sama organizacija ili druga organizacija u njezino ime. Rezultati interne revizije mogu poslužiti kao osnova za izjavu o sukladnosti. U mnogim slučajevima, posebno u malim poduzećima, reviziju moraju provoditi stručnjaci (ljudi koji nisu odgovorni za djelatnost koja se revidira).

NAPOMENA 2. Vanjske revizije uključuju revizije koje se nazivaju revizije druge strane i revizije treće strane. Revizije druge strane provode strane zainteresirane za aktivnosti poduzeća, na primjer.

potrošači ili drugi u njihovo ime. Revizije treće strane provode vanjske neovisne organizacije. Ove organizacije provode certificiranje ili registraciju za usklađenost sa zahtjevima, na primjer, zahtjevima GOST R ISO 9001 i GOST R ISO 14001.

3 Audit sustava upravljanja kvalitetom i okolišem koji se provodi istovremeno naziva se "sveobuhvatni audit".

4 Ako reviziju revidirane organizacije istovremeno provodi nekoliko organizacija, tada se takva revizija naziva "zajednička revizija".

A.19 praćenje: Sustavno ili kontinuirano praćenje objekta, osiguravanje kontrole i/ili mjerenja njegovih parametara, kao i provođenje analiza za predviđanje varijabilnosti parametara i donošenje odluka o potrebi i sastavu korektivnih i preventivnih radnji.

izjava o sukladnosti: Obrazac potvrde o sukladnosti proizvoda sa zahtjevima tehničkih propisa.

A.21 tehnologija: Sustav međusobno povezanih metoda, metoda, tehnika objektivne aktivnosti. A.22

dokument: Podaci zabilježeni na materijalnom mediju s detaljima koji omogućuju njihovu identifikaciju.

[GOST R 52069.0-2003. paragraf 3.18]

A.23 obrada informacija: Skup operacija prikupljanja, akumulacije, unosa, izlaza, prijema, prijenosa, snimanja, pohranjivanja, registracije, uništavanja, transformacije, prikaza, koje se provode na informacijama.

GOST R 53114-2008

Dodatak B (za referencu)

Odnos temeljnih pojmova u području informacijske sigurnosti u organizaciji

Odnos između osnovnih pojmova prikazan je na slici B.1.

Slika B.1 - odnos između osnovnih pojmova

GOST R 53114-2008

Bibliografija

(1] R 50.1.053-2005

(2]PS0.1.056-2005

Informacijska tehnologija. Osnovni pojmovi i definicije u području tehničke informacijske sigurnosti Tehnička zaštita informacija. Osnovni pojmovi i definicije

O tehničkoj regulativi

O informacijama, informacijskim tehnologijama i zaštiti informacija

O osobnim podacima

Doktrina informacijske sigurnosti Ruske Federacije

UDK 351.864.1:004:006.354 OKS 35.020 LLP

Ključne riječi: informacije, informacijska sigurnost, informacijska sigurnost u organizaciji, prijetnje informacijskoj sigurnosti, kriteriji informacijske sigurnosti

Urednik V.N. Cops soya Tehnički urednik V.N. Prusakova Korektor V.E. Nestorovo Računalni softver I.A. NapeikinoO

Predan u službu 06.11.2009. Potpisani pečat 01.12.2009. Format 60"84 Offset papir. Pismo Arial. Offset tisak. Usp. pećnica l. 2.32. Uč.-ur. l. 1.90. Naklada 373 »kz. Zach. 626

FSUE "STANDARTINFORM*. 123995 Moskva. Nar por.. 4. info@goslmlo gi

Upisano u FSUE "STANDARTINFORM" na računalu.

Tiskano u podružnici FSUE "STANDARTINFORM* - vrsta. "Moskovski tiskar". 105062 Moskva. Lyalin traka.. 6.

GOST 22731-77 Sustavi prijenosa podataka, postupci kontrole podatkovne veze u glavnom načinu rada za razmjenu informacija u polu-dupleksu
GOST 26525-85 Sustavi za obradu podataka. Mjerni podaci korištenja
GOST 27771-88 Proceduralne karakteristike na sučelju između podatkovne terminalne opreme i opreme za završetak podatkovnog kanala. Opći zahtjevi i standardi
GOST 28082-89 Sustavi za obradu informacija. Metode otkrivanja grešaka u serijskom prijenosu podataka
GOST 28270-89 Sustavi za obradu informacija. Specifikacija datoteke opisa podataka za razmjenu informacija
GOST R 43.2.11-2014 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Strukturirana prezentacija tekstualnih informacija u formatima poruka
GOST R 43.2.8-2014 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Formati poruka za tehničke aktivnosti
GOST R 43.4.1-2011 Informacijska podrška za opremu i aktivnosti operatera. Sustav “čovjek-informacija”.
GOST R 53633.10-2015 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Upravljanje organizacijom. Upravljanje organizacijskim rizicima
GOST R 53633.11-2015 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Prošireni komunikacijski organizacijski dijagram aktivnosti (eTOM) Dekompozicija i opis procesa. Procesi eTOM razine 2. Upravljanje organizacijom. Upravljanje organizacijskim učinkom
GOST R 53633.4-2015 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Primarna djelatnost. Upravljanje i rad usluge
GOST R 53633.7-2015 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Strategija, infrastruktura i proizvod. Razvoj i upravljanje resursima
GOST R 53633.9-2015 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Upravljanje organizacijom. Planiranje strategije i razvoja organizacije
GOST R 55767-2013 Informacijska tehnologija. Europski ICT okvir kompetencija 2.0. Dio 1. Zajednički europski okvir kompetencija za ICT stručnjake za sve industrijske sektore
GOST R 55768-2013 Informacijska tehnologija. Model otvorenog Grid sustava. Osnovne odredbe
GOST R 56093-2014 Zaštita informacija. Automatizirani sustavi u sigurnom dizajnu. Sredstva za otkrivanje namjernih silnih elektromagnetskih utjecaja. Opći zahtjevi
GOST R 56115-2014 Zaštita informacija. Automatizirani sustavi u sigurnom dizajnu. Sredstva zaštite od namjernih silnih elektromagnetskih utjecaja. Opći zahtjevi
GOST R 56545-2015 Zaštita informacija. Ranjivosti informacijskih sustava. Pravila za opisivanje ranjivosti
GOST R 56546-2015 Zaštita informacija. Ranjivosti informacijskih sustava. Klasifikacija ranjivosti informacijskog sustava
GOST IEC 60950-21-2013 Oprema informacijske tehnologije. Sigurnosni zahtjevi. Dio 21. Daljinsko napajanje
GOST IEC 60950-22-2013 Oprema informacijske tehnologije. Sigurnosni zahtjevi. Dio 22. Oprema namijenjena za postavljanje na otvorenom
GOST R 51583-2014 Zaštita informacija. Postupak izrade automatiziranih sustava u sigurnom dizajnu. Opće odredbe
GOST R 55766-2013 Informacijska tehnologija. Europski ICT okvir kompetencija 2.0. Dio 3. Stvaranje e-CF-a - spajanje metodoloških temelja i stručnog iskustva
GOST R 55248-2012 Električna sigurnost. Klasifikacija sučelja za opremu spojenu na mreže informacijske i komunikacijske tehnologije
GOST R 43.0.11-2014 Informacijska podrška za opremu i aktivnosti operatera. Baze podataka u tehničkim djelatnostima
GOST R 56174-2014 Informacijske tehnologije. Arhitektura usluga otvorenog Grid okruženja. Pojmovi i definicije
GOST IEC 61606-4-2014 Audio i audiovizualna oprema. Komponente digitalne audio opreme. Osnovne metode mjerenja karakteristika zvuka. Dio 4. Osobno računalo
GOST R 43.2.5-2011 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Gramatika
GOST R 53633.5-2012 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Strategija, infrastruktura i proizvod. Upravljanje marketingom i ponudom proizvoda
GOST R 53633.6-2012 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Strategija, infrastruktura i proizvod. Razvoj i upravljanje uslugama
GOST R 53633.8-2012 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Mapa aktivnosti proširene komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Strategija, infrastruktura i proizvod. Razvoj i upravljanje opskrbnim lancem
GOST R 43.0.7-2011 Informacijska podrška za opremu i aktivnosti operatera. Hibridno-intelektualizirana interakcija čovjek-informacija. Opće odredbe
GOST R 43.2.6-2011 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Morfologija
GOST R 53633.14-2016 Informacijske tehnologije. Mreža za upravljanje telekomunikacijama je prošireni operativni okvir komunikacijske organizacije (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Upravljanje organizacijom. Upravljanje dionicima i vanjskim odnosima
GOST R 56938-2016 Zaštita informacija. Zaštita informacija pri korištenju virtualizacijskih tehnologija. Opće odredbe
GOST R 56939-2016 Zaštita informacija. Siguran razvoj softvera. Opći zahtjevi
GOST R ISO/IEC 17963-2016 Specifikacija web usluga za upravljanje (WS-upravljanje)
GOST R 43.0.6-2011 Informacijska podrška za opremu i aktivnosti operatera. Prirodno intelektualizirana interakcija čovjek-informacija. Opće odredbe
GOST R 54817-2011 Paljenje audio, video, informacijske tehnologije i komunikacijske opreme slučajno uzrokovano plamenom svijeće
GOST R IEC 60950-23-2011 Oprema informacijske tehnologije. Sigurnosni zahtjevi. Dio 23. Oprema za pohranu velikih količina podataka
GOST R IEC 62018-2011 Potrošnja energije opreme informacijske tehnologije. Metode mjerenja
GOST R 53538-2009 Višeparični kabeli s bakrenim vodičima za širokopojasne pristupne krugove. Opći tehnički zahtjevi
GOST R 53633.0-2009 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Opća struktura poslovnih procesa
GOST R 53633.1-2009 Informacijska tehnologija. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Primarna djelatnost. Upravljanje odnosima s dobavljačima i partnerima
GOST R 53633.2-2009 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Primarna djelatnost. Upravljanje resursima i rad
GOST R 53633.3-2009 Informacijska tehnologija. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Dekompozicija i opisi procesa. Procesi eTOM razine 2. Primarna djelatnost. Upravljanje odnosima s kupcima
GOST R ISO/IEC 20000-2-2010 Informacijska tehnologija. Upravljanje uslugama. Dio 2: Kodeks prakse
GOST R 43.0.3-2009 Informacijska podrška za opremu i aktivnosti operatera. Podnevna tehnologija u tehničkim djelatnostima. Opće odredbe
GOST R 43.0.4-2009 Informacijska podrška za opremu i aktivnosti operatera. Informacije u tehničkim djelatnostima. Opće odredbe
GOST R 43.0.5-2009 Informacijska podrška za opremu i aktivnosti operatera. Procesi razmjene informacija u tehničkim djelatnostima. Opće odredbe
GOST R 43.2.1-2007 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Opće odredbe
GOST R 43.2.2-2009 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Opće odredbe za korištenje
GOST R 43.2.3-2009 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Vrste i svojstva ikoničkih komponenti
GOST R 43.2.4-2009 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Sintaktika znakovnih sastavnica
GOST R 52919-2008 Informacijska tehnologija. Metode i sredstva fizičke zaštite. Klasifikacija i metode ispitivanja otpornosti na požar. Podatkovne sobe i spremnici
GOST R 53114-2008 Zaštita informacija. Osiguranje informacijske sigurnosti u organizaciji. Osnovni pojmovi i definicije
GOST R 53245-2008 Informacijske tehnologije. Strukturirani kabelski sustavi. Instalacija glavnih komponenti sustava. Metode ispitivanja
GOST R 53246-2008 Informacijske tehnologije. Strukturirani kabelski sustavi. Projektiranje glavnih komponenti sustava. Opći zahtjevi
GOST R IEC 60990-2010 Metode za mjerenje struje dodira i struje zaštitnog vodiča
GOST 33707-2016 Informacijske tehnologije. Rječnik
GOST R 57392-2017 Informacijske tehnologije. Upravljanje uslugama. Dio 10. Osnovni pojmovi i terminologija
GOST R 43.0.13-2017 Informacijska podrška za opremu i aktivnosti operatera. Usmjereno usavršavanje specijalista
GOST R 43.0.8-2017 Informacijska podrška za opremu i aktivnosti operatera. Umjetno intelektualizirana interakcija čovjek-informacija. Opće odredbe
GOST R 43.0.9-2017 Informacijska podrška za opremu i aktivnosti operatera. Informativni izvori
GOST R 43.2.7-2017 Informacijska podrška za opremu i aktivnosti operatera. Jezik operatera. Sintaksa
GOST R ISO/IEC 38500-2017 Informacijske tehnologije. Strateško IT upravljanje u organizaciji
GOST R 43.0.10-2017 Informacijska podrška za opremu i aktivnosti operatera. Informacijski objekti, objektno orijentirano projektiranje u stvaranju tehničkih informacija
GOST R 53633.21-2017 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Dekompozicija i opisi procesa. Primarna djelatnost. Upravljanje i rad usluga. Procesi eTOM razine 3. Proces 1.1.2.1 - Podrška i dostupnost SM&O procesa
GOST R 57875-2017 Telekomunikacije. Sheme spajanja i uzemljenja u telekomunikacijskim centrima
GOST R 53633.22-2017 Informacijske tehnologije. Telekomunikacijska upravljačka mreža. Proširena shema komunikacijskih organizacijskih aktivnosti (eTOM). Dekompozicija i opisi procesa. Primarna djelatnost. Upravljanje i rad usluga. Procesi eTOM razine 3. Proces 1.1.2.2 - Konfiguriranje i aktiviranje usluga

Međunarodni sigurnosni standardi

Međunarodni standardi informacijske sigurnosti: ISO 27001

Međunarodni sigurnosni standardi: ISO 17799

Nacionalni sustav standarda informacijske sigurnosti

GOST R ISO/IEC 17799:2005 "Informacijska tehnologija. Praktična pravila za upravljanje sigurnošću informacija"

Zahtjevi za znanjem i vještinama

Student mora imati ideju:

o ulozi Državne tehničke komisije u osiguravanju informacijske sigurnosti u Ruskoj Federaciji;

o dokumentima o procjeni sigurnosti automatiziranih sustava u Ruskoj Federaciji.

Učenik mora znati:

glavni sadržaj standarda za procjenu sigurnosti automatiziranih sustava u Ruskoj Federaciji.

Student mora biti sposoban:

odrediti klase zaštićenih sustava na temelju skupa zaštitnih mjera.

Ključni pojam

Ključni pojam: Standardi informacijske sigurnosti u Ruskoj Federaciji.

Standardi informacijske sigurnosti u Ruskoj Federaciji razvijaju se u okviru Državne tehničke komisije Ruske Federacije.

Manji pojmovi

Državna tehnička komisija i njezina uloga u osiguravanju informacijske sigurnosti u Ruskoj Federaciji.

Dokumenti o procjeni sigurnosti automatiziranih sustava u Ruskoj Federaciji.

Strukturni dijagram pojmova

1.7.1 Državna tehnička komisija i njezina uloga u osiguravanju informacijske sigurnosti u Ruskoj Federaciji

U Ruskoj Federaciji informacijska sigurnost osigurava se poštivanjem predsjedničkih dekreta, saveznih zakona, dekreta Vlade Ruske Federacije, upravljačkih dokumenata Državne tehničke komisije Rusije i drugih regulatornih dokumenata.

Tijekom 10 godina postojanja, Državna tehnička komisija je razvila i dovela desetke dokumenata na razinu nacionalnih standarda, uključujući:

Vodeći dokument “Propisi o certificiranju objekata informatizacije prema zahtjevima informacijske sigurnosti” (odobrio predsjednik Državne tehničke komisije Rusije 25. studenog 1994.);

Vodeći dokument “Automatizirani sustavi (AS). Zaštita od neovlaštenog pristupa (UNA) informacijama. Klasifikacija nuklearnih elektrana i zahtjevi za zaštitu informacija" (Državna tehnička komisija Rusije, 1997.);

Vodeći dokument „Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama" (Državna tehnička komisija Rusije, 1992.);

Vodeći dokument “Koncept zaštite računalne opreme od neovlaštenog pristupa informacijama” (Državna tehnička komisija Rusije, 1992.);

Uputa „Zaštita od neovlaštenog pristupa informacijama. Pojmovi i definicije" (Državna tehnička komisija Rusije, 1992.);

Vodeći dokument “Računalna tehnologija (CT). Vatrozidi. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama" (Državna tehnička komisija Rusije, 1997.);

Uputa „Zaštita od neovlaštenog pristupa informacijama. Dio 1. Softver za informacijsku sigurnost. Razvrstavanje prema razini kontrole odsutnosti nedeklariranih sposobnosti” (Državna tehnička komisija Rusije, 1999.);

Vodeći dokument „Posebni zahtjevi i preporuke za tehničku zaštitu povjerljivih informacija” (Državna tehnička komisija Rusije, 2001.).

1.7.2 Dokumenti o procjeni sigurnosti automatiziranih sustava u Ruskoj Federaciji

Razmotrimo najznačajnije od ovih dokumenata koji definiraju kriterije za procjenu sigurnosti automatiziranih sustava.

Najniži razred je sedmi, najviši je prvi. Klase su podijeljene u četiri skupine koje se razlikuju po stupnju zaštite:

Prva grupa sadrži samo jedan sedmi razred, koji uključuje sve SVT koji ne zadovoljavaju zahtjeve viših razreda;

Druga grupa odlikuje se diskrecijskom zaštitom i sadrži šesti i peti razred;

Treća skupina karakterizira obvezna zaštita i sadrži četvrti, treći i drugi razred;

Četvrta skupina karakterizira provjerena zaštita i uključuje samo prvu klasu.

utvrđuje klasifikaciju automatiziranih sustava koji podliježu zaštiti od neovlaštenog pristupa informacijama, te zahtjeve za zaštitu informacija u automatiziranim sustavima različitih klasa.

Karakteristike definiranja po kojima su govornici grupirani u različite klase uključuju:

Dokument definira devet klasa sigurnosti AS-a od neovlaštenog pristupa informacijama. Svaku klasu karakterizira određeni minimalni skup zaštitnih zahtjeva. Klase su podijeljene u tri skupine koje se razlikuju po karakteristikama obrade informacija u AS-u.

Unutar svake grupe promatra se hijerarhija zahtjeva za zaštitu ovisno o vrijednosti i povjerljivosti informacija te, posljedično, hijerarhija sigurnosnih klasa AS-a.

Tablica 2 prikazuje sigurnosne klase zvučnika i zahtjeve za njihovo osiguranje.

Tablica 1. Sigurnosni zahtjevi za automatizirane sustave

Podsustavi i zahtjevi

Nastava

3B

3A

2B

2A

1D

1G

1B

1B

1A

1. Podsustav kontrole pristupa

1.1. Identifikacija, autentifikacija i kontrola pristupa subjekata:

u sustav;

+

+

+

+

+

+

+

+

+

do terminala, računala, čvorova računalne mreže, komunikacijskih kanala, vanjskih računalnih uređaja;

—

—

—

+

—

+

+

+

+

na programe;

—

—