Bezpečnostné štandardy znamenajú povinnú dokumentáciu, ktorá definuje prístupy k hodnoteniu úrovne existujúcej bezpečnosti. Okrem toho tieto dokumenty stanovujú určité pravidlá stanovené pre bezpečnosť systémov ako celku.

Normy informačná bezpečnosť sú zamerané na vykonávanie určitých funkcií, najmä:

vyvinúť určité terminológie a koncepcie používané v oblasti bezpečnosti údajov;
vytvorenie stupnice potrebnej na meranie úrovne bezpečnosti;
vykonávanie dohodnutých hodnotení produktov;
výrazné zvýšenie kompatibility produktov používaných na zabezpečenie;
hromadenie informácií o osvedčené postupy vytvorenie ustáleného stavu;
poskytovanie informácií o najlepších postupoch zainteresovaným skupinám, napríklad predajcom zabezpečenia, odborníkom na danú problematiku, riaditeľom, administrátorom a akýmkoľvek iným používateľom informačné systémy;
ktorým sa ustanovujú požiadavky zamerané na povinnú implementáciu určitých noriem, čím sa im dáva právna platnosť.

Medzinárodné bezpečnostné normy

Medzinárodné štandardy udržateľnosti sú súborom postupov a odporúčaní zameraných na implementáciu systémov, ktoré zabezpečujú ochranu údajov.

Jeden z medzinárodných štandardov BS 7799 má za cieľ formulovať cieľ ochrany informácií.Účelom bezpečnosti je podľa tohto certifikátu zabezpečenie plynulého chodu spoločnosti, ako aj schopnosť predchádzať alebo na minimum znížiť možné škody vyplývajúce z porušenia stanovených požiadaviek udržateľnosti.

Ďalšia z hlavných medzinárodných noriem, ISO 27002, obsahuje ich vyčerpávajúci zoznam praktické rady o udržateľnosti informácií. Tieto tipy sú vhodné pre tých zamestnancov, ktorí sú v rámci svojej práce zodpovední za vytváranie, implementáciu a následnú údržbu systémov udržateľnosti pre takéto technológie.

Medzinárodné normy informačnej bezpečnosti: ISO 27001

Komplex reprezentovaný medzinárodnými certifikátmi znamená súbor určitých postupov a odporúčaní, ktoré sú zamerané na implementáciu systémov a zariadení technologických ochranných prostriedkov.

Ak vezmeme do úvahy určité pravidlá stanovené medzinárodným certifikátom ISO 27001 2013, bezpečnosť daných technológií musí predstavovať určité charakteristiky.

Toto ISO umožňuje oddelenie jednotný systém do štyroch sekcií. Vychádza z normy ISO 27001, ktorá definuje základné požiadavky na manažérstvo kvality. Na základe ruských štandardizačných noriem musí tieto požiadavky spĺňať každá organizácia, ktorá chce preukázať svoju schopnosť poskytovať produkty, ktoré spĺňajú potreby zákazníkov.

Naša spoločnosť vám s tým pomôže. Náklady na takúto službu sú 30 000 rubľov.

Medzinárodné bezpečnostné normy: ISO 17799

ISO 17799 bola vytvorená medzinárodnou organizáciou v roku 2000. V súlade s jeho požiadavkami sa pri vytváraní rámca odolnosti, ktorý sa považuje za účinný, musí venovať osobitná pozornosť integrovanému prístupu zameranému na riadenie bezpečnosti. Z tohto dôvodu sa opatrenia zamerané na zabezpečenie určitých požiadaviek stanovených pre informácie považujú za kontrolný prvok:

jeho dôvernosť;
spoľahlivosť informácií;
dostupnosť;
integritu poskytovaných informácií.

Národný systém noriem informačnej bezpečnosti

Národný normalizačný systém predstavuje súbor národných certifikátov a celoruských klasifikátorov. IN túto štruktúru zahŕňa nielen samotné certifikáty, ale aj pravidlá ich vývoja a následnej aplikácie.

V Ruskej federácii možno národný certifikát uplatniť na dobrovoľnom základe bez ohľadu na krajinu alebo miesto pôvodu.

Zároveň existuje pravidlo, podľa ktorého sa takýto vnútroštátny systém uplatňuje len vtedy, ak existuje značka zhody.

Ruská GOST R ISO 17799 definuje všetky vzorky zamerané na zaistenie bezpečnosti informácií ako normy zamerané na zachovanie dôvernosti. V dôsledku toho môžu s takýmito technológiami pracovať iba niektorí zamestnanci, ktorí dokážu zabezpečiť integritu, dostupnosť a bezpečnosť informácií.

GOST R ISO 27001 je hlavná norma obsahujúca vyčerpávajúci zoznam funkcií, ktoré musí mať každá metóda na zaistenie bezpečnosti každej jednotlivej informačnej technológie.

Domáce vzorky GOST ISO IEC 15408, zostavené na základe medzinárodných ISO v oblasti príslušných technológií, sú zamerané na zabezpečenie porovnateľnosti výsledkov získaných ako výsledok nezávislého hodnotenia.

Splnenie požiadaviek uvedených v tomto GOST ISO RF sa dosiahne založením jednotný zoznam požiadavky, ktoré môžu byť uložené na určité technológie v tejto oblasti, ako aj na opatrenia dôvery používané pri posudzovaní takýchto technológií v rámci zaisťovania ich bezpečnosti.

V Ruskej federácii sa technologické produkty môžu predávať v niekoľkých formách:

hardvér;
softvér;
softvér a hardvér.

Výsledky získané v procese posudzovania zhody v tejto oblasti s ruskou ISO Ruskej federácie umožňujú určiť, či kontrolované technológie spĺňajú pre ne stanovené bezpečnostné požiadavky štátu.

Spravidla sa používajú ruské certifikáty GOST ISO RF:

ako návod na vývoj technologických produktov;
ako sprievodca stavom technologickej bezpečnosti výrobkov;
ako posúdenie technologických produktov pri ich nákupe.

Systémy manažérstva bezpečnosti – špecifikácia s návodom na použitie" (Systémy – špecifikácie s návodom na použitie). Na jej základe bola vyvinutá norma ISO/IEC 27001:2005 „Informačné technológie". Bezpečnostné techniky. Systémy riadenia informačnej bezpečnosti. Požiadavky“, s ktorými je možné vykonať certifikáciu.

V Rusku ďalej tento moment Platia normy GOST R ISO/IEC 17799-2005 "Informačné technológie. Praktické pravidlá" riadenie informačnej bezpečnosti"(autentický preklad ISO/IEC 17799:2000) a GOST R ISO/IEC 27001-2006 "Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Systémy riadenia informačnej bezpečnosti. Požiadavky" (preklad ISO/IEC 27001:2005). Napriek niektorým interným nezrovnalostiam spojeným s rôznymi verziami a funkciami prekladu nám prítomnosť noriem umožňuje priniesť systém riadenie informačnej bezpečnosti v súlade s ich požiadavkami a v prípade potreby osvedčiť.

GOST R ISO/IEC 17799:2005 "Informačné technológie. Praktické pravidlá pre riadenie informačnej bezpečnosti"

Pozrime sa teraz na obsah normy. V úvode sa uvádza, že „informácie, procesy, ktoré ich podporujú, informačné systémy a sieťová infraštruktúra sú základnými aktívami organizácie. Dôvernosť, integrita a dostupnosť informácií môže výrazne prispieť ku konkurencieschopnosti, likvidite, ziskovosti, dodržiavaniu predpisov a obchodnej povesti organizácie." Môžeme teda povedať, že tento štandard zvažuje otázky informačnej bezpečnosti, a to aj z hľadiska ekonomického efektu.

Uvádzajú sa tri skupiny faktorov, ktoré treba brať do úvahy pri vývoji požiadaviek v oblasti informačnej bezpečnosti. toto:

hodnotenie rizika organizácie. Prostredníctvom hodnotenia rizík sa identifikujú hrozby pre aktíva organizácie, posúdenie zraniteľnosti príslušné aktíva a pravdepodobnosť výskytu hrozieb, ako aj posúdenie možných následkov;
právne, zákonné, regulačné a zmluvné požiadavky, ktoré musí spĺňať organizácia, jej obchodní partneri, dodávatelia a poskytovatelia služieb;
špecifický súbor zásad, cieľov a požiadaviek vytvorených organizáciou v súvislosti so spracovaním informácií.

Po stanovení požiadaviek sa začína etapa výberu a implementácie opatrení, ktoré zabezpečia zníženie rizika na prijateľnú úroveň. Výber udalostí podľa riadenie informačnej bezpečnosti by mali vychádzať z pomeru nákladov na ich realizáciu, efektu znižovania rizík a možných strát v prípade narušenia bezpečnosti. Mali by sa brať do úvahy aj faktory, ktoré nemožno vyjadriť v peniazoch, ako je strata dobrého mena. Možný zoznam činností je uvedený v norme, ale je potrebné poznamenať, že môže byť doplnený alebo vytvorený samostatne na základe potrieb organizácie.

Stručne vymenujme časti normy a v nich navrhnuté opatrenia na ochranu informácií. Prvá skupina sa týka bezpečnostnej politiky. Vyžaduje sa, aby bol vypracovaný, schválený vedením organizácie, zverejnený a daný na vedomie všetkým zamestnancom. Mal by určiť postup práce s informačnými zdrojmi organizácie, povinnosti a zodpovednosti zamestnancov. Politika sa pravidelne prehodnocuje, aby odrážala aktuálny stav systému a identifikované riziká.

Ďalšia časť sa zaoberá organizačnými problémami súvisiacimi s informačnou bezpečnosťou. Norma odporúča vytvárať riadiace rady (za účasti vrcholového manažmentu spoločnosti) na schvaľovanie bezpečnostnej politiky, menovanie zodpovedných osôb, rozdelenie zodpovednosti a koordinácia realizácie aktivít pre riadenie informačnej bezpečnosti V organizácii. Mal by sa opísať aj proces získania povolenia na používanie nástrojov na spracovanie informácií (vrátane nového softvéru a hardvéru) v organizácii, aby to neviedlo k bezpečnostným problémom. Je tiež potrebné určiť postup pre interakciu s inými organizáciami v otázkach informačnej bezpečnosti, konzultácie s „externými“ špecialistami a nezávislé overovanie (audit) informačnej bezpečnosti.

Pri poskytovaní prístupu k informačným systémom odborníkom z organizácií tretích strán je potrebné venovať osobitnú pozornosť otázkam bezpečnosti. Posúdenie rizík spojených s odlišné typy prístup (fyzický alebo logický, t.j. vzdialený) takýchto špecialistov k rôznym zdrojom organizácie. Potreba poskytnúť prístup musí byť odôvodnená a zmluvy s tretími stranami a organizáciami musia obsahovať požiadavky týkajúce sa súladu s bezpečnostnou politikou. To isté sa navrhuje urobiť aj v prípade zapojenia organizácií tretích strán do spracovania informácií (outsourcing).

Ďalšia časť normy je venovaná otázkam klasifikácie a správa majetku. Na zabezpečenie informačnej bezpečnosti organizácie je potrebné, aby všetky kľúčové informačné aktíva boli zaúčtované a pridelené zodpovedným vlastníkom. Odporúčame začať inventúrou. Ako príklad je uvedená nasledujúca klasifikácia:

informačné aktíva (databázy a dátové súbory, systémová dokumentácia atď.);
softvérové aktíva (aplikačný softvér, systémový softvér, vývojové nástroje a pomôcky);
fyzický majetok (počítačové vybavenie, komunikačné vybavenie, pamäťové médiá, iné technické vybavenie, nábytok, priestory);
služby (výpočtové a komunikačné služby, zákl verejné služby).

Ďalej sa navrhuje klasifikovať informácie s cieľom určiť ich prioritu, nevyhnutnosť a stupeň ochrany. Zároveň je možné relevantné informácie posúdiť s prihliadnutím na to, nakoľko sú pre organizáciu kritické, napríklad z hľadiska zabezpečenia ich integrity a dostupnosti. Potom sa navrhuje vypracovať a implementovať postup označovania pri spracovaní informácií. Postupy označovania by sa mali definovať pre každú úroveň klasifikácie, ktorú treba zohľadniť nasledujúce typy spracovávanie informácií:

kopírovanie;
skladovanie;
prenos poštou, faxom a e-mailom;
prenos hlasu, vrátane mobilný telefón, hlasová schránka, záznamníky;
zničenie.

Nasledujúca časť sa zaoberá bezpečnostnými otázkami týkajúcimi sa personálu. Norma stanovuje, že zodpovednosti za dodržiavanie bezpečnostných požiadaviek sú rozdelené vo fáze výberu personálu, zahrnuté v pracovných zmluvách a monitorované počas celej doby zamestnania zamestnanca. Najmä pri prijímaní stáleho zamestnanca sa odporúča skontrolovať pravosť dokumentov predložených uchádzačom, úplnosť a správnosť životopisu a odporúčaní, ktoré mu boli predložené. Odporúča sa, aby zamestnanci podpísali dohodu o mlčanlivosti, v ktorej sa uvedie, ktoré informácie sú dôverné alebo citlivé. Musí byť stanovená disciplinárna zodpovednosť za zamestnancov, ktorí porušujú bezpečnostné zásady a postupy organizácie. V prípade potreby by táto zodpovednosť mala pokračovať počas určitého obdobia po ukončení zamestnania.

Používatelia musia byť vyškolení bezpečnostné postupy a správne používanie nástrojov na spracovanie informácií na minimalizáciu možných rizík. Okrem toho postup pri informovaní o porušenie informačnej bezpečnosti, s ktorým musí byť personál oboznámený. Podobný postup by sa mal použiť aj v prípade zlyhania softvéru. Takéto incidenty je potrebné zaznamenávať a analyzovať, aby sa identifikovali opakujúce sa problémy.

Ďalšia časť normy rieši otázky fyzickej ochrany a ochrany životného prostredia. Uvádza sa, že „prostriedky na spracovanie kritických alebo dôležitých obslužných informácií musia byť umiestnené v bezpečnostných zónach určených určitým bezpečnostný obvod s vhodnými ochrannými bariérami a kontrolami vniknutia. Tieto priestory musia byť fyzicky chránené pred neoprávneným prístupom, poškodením a nárazmi." Okrem organizácie kontroly vstupu do chránených priestorov je potrebné určiť postup vykonávania prác v nich a v prípade potreby aj postupy organizácie vstupu návštevníkov. nevyhnutné na zaistenie bezpečnosti zariadení (vrátane , ktoré sa používajú mimo organizácie) na zníženie rizika neoprávneného prístupu k údajom a ich ochranu pred stratou alebo poškodením.Do tejto skupiny požiadaviek patrí aj zabezpečenie ochrany pred výpadkami elektrickej energie a káblovej siete musia byť definované aj postupy Údržba zariadenia, berúc do úvahy bezpečnostné požiadavky a postupy na bezpečnú likvidáciu alebo opätovné použitie zariadenia. Napríklad odpisové pamäťové médiá obsahujúce dôležitá informácia, sa odporúča fyzicky zničiť alebo prepísať bezpečným spôsobom namiesto použitia štandardných funkcií odstraňovania údajov.

Aby sa minimalizovalo riziko neoprávneného prístupu alebo poškodenia papierových dokumentov, pamäťových médií a médií na spracovanie informácií, odporúča sa zaviesť politiku „čistého stola“ pre papierové dokumenty a vymeniteľné pamäťové médiá, ako aj politiku „čistej obrazovky“ pre zariadenia na spracovanie informácií. Zariadenie, informácie alebo softvér môžu byť odstránené z priestorov organizácie len s príslušným povolením.

Názov ďalšej časti normy je „Riadenie prenosu údajov a prevádzkových činností“. Vyžaduje, aby boli stanovené zodpovednosti a postupy spojené s prevádzkou všetkých zariadení na spracovanie informácií. Napríklad zmeny konfigurácie zariadení a systémov na spracovanie informácií musia byť kontrolované. Vyžaduje sa implementácia princípu segregácie zodpovedností vo vzťahu k riadiacim funkciám, plneniu určitých úloh a oblastí.

Odporúča sa oddeliť vývojové, testovacie a produkčné prostredie softvéru. Musia byť definované a zdokumentované pravidlá pre prenos softvéru zo stavu vyvíjaného do stavu prijatého do prevádzky.

Ďalšie riziká vznikajú pri využívaní dodávateľov tretích strán na riadenie zariadení na spracovanie informácií. Takéto riziká musia byť vopred identifikované a musia sa prijať vhodné opatrenia riadenie informačnej bezpečnosti dohodnuté s dodávateľom a zahrnuté v zmluve.

Na zabezpečenie potrebnej kapacity spracovania a skladovania je potrebné analyzovať súčasné požiadavky na výkon, ako aj predpovedať budúce. Tieto predpovede musia brať do úvahy nové funkčné a Požiadavky na systém, ako aj súčasné a budúce plány rozvoja informačných technológií v organizácii. Požiadavky a kritériá na prijatie nových systémov musia byť jasne definované, odsúhlasené, zdokumentované a testované.

Musia sa prijať opatrenia na prevenciu a detekciu zavlečenia škodlivého softvéru, ako sú počítačové vírusy, sieťové červy, trójske kone a logické bomby. Je potrebné poznamenať, že ochrana pred škodlivým softvérom by mala byť založená na pochopení bezpečnostných požiadaviek, vhodných systémových kontrolách prístupu a správnom riadení zmien.

Musí sa určiť postup vykonávania pomocných operácií, ktorý zahŕňa zálohovanie softvéru a údajov 1 Ako príklad laboratórna práca č. 10 skúma organizáciu Rezervovať kópiu V Windows Server 2008. , zaznamenávanie udalostí a chýb a v prípade potreby monitorovanie stavu hardvéru. Dojednania o redundancii pre každý jednotlivý systém by sa mali pravidelne testovať, aby sa zabezpečilo, že spĺňajú požiadavky plánov kontinuity prevádzky.

Zabezpečiť bezpečnosť informácií v sieťach a chrániť podporná infraštruktúra, je potrebné zavedenie finančných prostriedkov bezpečnostná kontrola a ochranu pripojených služieb pred neoprávneným prístupom.

Osobitná pozornosť sa venuje otázkam bezpečnosti médií rôzne druhy: dokumenty, počítačové pamäťové médiá (pásky, disky, kazety), vstupné/výstupné dáta a systémová dokumentácia pred poškodením. Odporúča sa stanoviť postup používania vymeniteľných médií informácie o počítači(postup na kontrolu obsahu, uloženie, zničenie atď.). Ako je uvedené vyššie, pamäťové médiá by sa mali po použití bezpečne a bezpečne zlikvidovať.

Na zabezpečenie ochrany informácií pred neoprávneným zverejnením alebo zneužitím je potrebné stanoviť postupy na spracovanie a uchovávanie informácií. Tieto postupy by sa mali navrhnúť s prihliadnutím kategorizácia informácie a konať v súvislosti s dokumentmi, výpočtovými systémami, sieťami, prenosnými počítačmi, mobilnou komunikáciou, poštou, hlasovou poštou, hlasovou komunikáciou vo všeobecnosti, multimediálnymi zariadeniami, používaním faxu a akýmikoľvek inými dôležitými predmetmi, ako sú formuláre, šeky a účty. Systémová dokumentácia môžu obsahovať určité dôležité informácie, a preto musia byť chránené.

Proces výmeny informácií a softvéru medzi organizáciami musí byť kontrolovaný a musí byť v súlade s platnou legislatívou. Predovšetkým treba zabezpečiť, určiť bezpečnosť nosičov informácií pri prenose pravidlá používania Email a elektronické kancelárske systémy. Je potrebné venovať pozornosť ochrane integrity zverejnených informácií elektronicky, ako sú informácie na webovej lokalite. Pred zverejnením takýchto informácií sa vyžaduje aj príslušný formalizovaný autorizačný proces.

Ďalšia časť normy je venovaná otázkam riadenia prístupu.

Vyžaduje sa, aby pravidlá riadenia prístupu a práva každého používateľa alebo skupiny používateľov boli jasne definované bezpečnostnou politikou. Používatelia a poskytovatelia služieb si musia byť vedomí potreby dodržiavať tieto požiadavky.

Použitím overenie hesla, je potrebné vykonávať kontrolu nad používateľskými heslami. Používatelia musia najmä podpísať dokument, v ktorom súhlasia so zachovaním úplnej dôvernosti hesiel. Vyžaduje sa, aby bola zaistená bezpečnosť procesu získavania hesla pre užívateľa a v prípade jeho využitia, aby si užívatelia spravovali svoje heslá (vynútená zmena hesla po prvom prihlásení a pod.).

Prístup k interným aj externým sieťovým službám musí byť kontrolovaný. Používatelia by mali mať priamy prístup len k tým službám, na ktoré majú oprávnenie. Osobitná pozornosť sa musí venovať overovaniu vzdialených používateľov. Na základe posúdenia rizika je dôležité určiť požadovanú úroveň ochrany pre výber vhodnej metódy autentifikácie. Dohliadať treba aj na bezpečnosť používania sieťových služieb.

Mnohé sieťové a výpočtové zariadenia majú vstavané možnosti vzdialenej diagnostiky a správy. Aj na tieto zariadenia sa musia vzťahovať bezpečnostné opatrenia.

Keď siete zdieľajú viaceré organizácie, musia byť definované požiadavky na politiku riadenia prístupu, aby sa to zohľadnilo. Môže byť tiež potrebné zaviesť dodatočné opatrenia riadenie informačnej bezpečnosti obmedziť možnosť pripojenia používateľov.

Na úrovni operačného systému by sa mali použiť opatrenia na zabezpečenie informácií na obmedzenie prístupu k počítačovým zdrojom 2 Príklad organizácie riadenia prístupu k súborom a priečinkom v systéme Windows Server 2008 bude diskutovaný v laboratórnej práci č.. Odvoláva sa na identifikácia a autentifikácia terminálov a používateľov. Odporúča sa, aby všetci používatelia mali jedinečné identifikátory, ktoré by nemali obsahovať žiadne označenie úrovne privilégií používateľa. V systémoch správa hesiel musia byť poskytnuté efektívne interaktívne schopnosti na podporu ich požadovanej kvality 3 Príklad správy kvality hesiel v OS Rodina Windows diskutované v laboratórnej práci č.3.. Použitie systémové nástroje musia byť obmedzené a starostlivo kontrolované.

Odporúča sa zabezpečiť alarm pre prípad, že by sa používateľ mohol stať terčom násilia 4 Príkladom môžu byť „nátlakové“ prihlasovacie heslá. Ak používateľ zadá takéto heslo, systém zobrazí bežný proces prihlásenia používateľa a následne simuluje zlyhanie, aby zabránil útočníkom získať prístup k údajom.(ak je takáto udalosť vyhodnotená ako pravdepodobná). Musia byť definované zodpovednosti a postupy reakcie na takýto alarm.

Terminály obsluhujúce vysokorizikové systémy, ak sú umiestnené na ľahko prístupných miestach, by sa mali po určitej dobe nečinnosti vypnúť, aby sa zabránilo prístupu neoprávnených osôb. Môže sa zaviesť aj obmedzenie časového obdobia, počas ktorého sa terminály môžu pripojiť k počítačovým službám.

Opatrenia informačnej bezpečnosti sa musia uplatňovať aj na aplikačnej úrovni. Môže ísť najmä o obmedzenie prístupu pre určité kategórie používateľov. Systémy, ktoré spracúvajú dôležité informácie, musia byť vybavené vyhradeným (izolovaným) výpočtovým prostredím.

Monitorovanie systému je nevyhnutné na zistenie odchýlok od požiadaviek politiky kontroly prístupu a poskytnutie dôkazov v prípade incidentu informačnej bezpečnosti. Výsledky monitorovania by sa mali pravidelne kontrolovať. Záznam auditu možno použiť na vyšetrovanie incidentov, takže je dosť dôležitý správna inštalácia(synchronizácia) počítačových hodín.

Pri používaní prenosných zariadení, ako sú notebooky, je potrebné prijať špeciálne opatrenia, aby sa zabránilo ohrozeniu chránených informácií. Mali by sa prijať formalizované politiky, ktoré sa budú zaoberať rizikami spojenými s prácou s prenosnými zariadeniami, najmä v nezabezpečenom prostredí.

Ďalšia časť normy sa nazýva „Vývoj a údržba systémov“. Už v štádiu vývoj informačných systémov je potrebné zabezpečiť, aby sa zohľadnili bezpečnostné požiadavky. A počas prevádzky systému je potrebné zabrániť strate, úprave alebo zneužitiu užívateľských dát. Na tento účel sa odporúča, aby aplikačné systémy zabezpečovali potvrdenie správnosti vstupu a výstupu údajov, kontrolu spracovania údajov v systém, autentifikácia správy, zaznamenávanie akcií používateľov.

Na zabezpečenie dôvernosti, integrity a autentifikácia údajov Môžu sa použiť kryptografické bezpečnostné opatrenia.

Zabezpečenie integrity softvéru hrá dôležitú úlohu v procese informačnej bezpečnosti. Aby sa minimalizovali škody na informačných systémoch, implementácia zmien by mala byť prísne kontrolovaná. Z času na čas je potrebné vykonať zmeny v operačných systémoch. V týchto prípadoch musia byť aplikačné systémy analyzované a testované, aby sa zabezpečilo, že ich funkčnosť a bezpečnosť nebudú nepriaznivo ovplyvnené. Pokiaľ je to možné, hotové balíčky Odporúča sa používať programy bez vykonania akýchkoľvek zmien.

Súvisiacim problémom je boj proti trójskym koňom a používanie skrytých únikových kanálov. Jedným z protiopatrení je použitie softvéru získaného od dôveryhodných predajcov a monitora integrita systému.

V prípadoch, keď sa na vývoji softvéru podieľa organizácia tretej strany, je potrebné zabezpečiť opatrenia na kontrolu kvality a správnosti vykonanej práce.

Ďalšia časť normy je venovaná riadeniu kontinuity podnikania. V počiatočnej fáze má identifikovať udalosti, ktoré môžu spôsobiť prerušenie obchodných procesov (porucha zariadenia, požiar atď.). V tomto prípade je potrebné posúdiť dôsledky a potom vypracovať plány obnovy. Adekvátnosť plánov sa musí potvrdiť testovaním a samotné plány sa musia pravidelne revidovať, aby zohľadnili zmeny, ktoré sa vyskytujú v systéme.

Záverečná časť normy sa zaoberá otázkami zhody. V prvom rade ide o súlad systému a postupu pri jeho prevádzke s právnymi požiadavkami. To zahŕňa otázky dodržiavania autorských práv (vrátane softvéru), ochrany osobných údajov (zamestnanci, klienti) a predchádzanie zneužitiu nástrojov na spracovanie informácií. Použitím kryptografickými prostriedkami ochrany informácií, musia byť v súlade s platnou legislatívou. Dôkladne prepracovaný by mal byť aj postup zhromažďovania dôkazov v prípade súdnych sporov súvisiacich s incidentmi v oblasti bezpečnosti informačných systémov.

Samotné informačné systémy musia dodržiavať bezpečnostnú politiku organizácie a používaných noriem. Bezpečnosť informačných systémov je potrebné pravidelne analyzovať a hodnotiť. Zároveň je potrebné pri vykonávaní bezpečnostného auditu dodržiavať bezpečnostné opatrenia, aby to neviedlo k nežiaducim následkom (napríklad výpadok kritického servera z dôvodu auditu).

Ak to zhrnieme, možno konštatovať, že norma rieši široké spektrum otázok súvisiacich so zaistením bezpečnosti informačných systémov. V mnohých oblastiach sú uvedené praktické odporúčania.

Požiadavky na vedomosti a zručnosti

Študent musí mať nápad:

o úlohe Štátnej technickej komisie pri zabezpečovaní informačnej bezpečnosti v Ruskej federácii;
o dokumentoch o posudzovaní bezpečnosti automatizovaných systémov v Ruskej federácii.

Študent musí vedieť:

hlavný obsah noriem na hodnotenie bezpečnosti automatizovaných systémov v Ruskej federácii.

Študent musí byť schopný:

určiť triedy chránených systémov na základe súboru ochranných opatrení.

Kľúčový pojem

Kľúčový pojem: Štandardy informačnej bezpečnosti v Ruskej federácii.

Štandardy informačnej bezpečnosti v Ruskej federácii sa vyvíjajú v rámci Štátnej technickej komisie Ruskej federácie.

Drobné pojmy

Štátna technická komisia a jej úloha pri zabezpečovaní informačnej bezpečnosti v Ruskej federácii.
Dokumenty o hodnotení bezpečnosti automatizovaných systémov v Ruskej federácii.

Štrukturálny diagram pojmov

1.7.1 Štátna technická komisia a jej úloha pri zabezpečovaní informačnej bezpečnosti v Ruskej federácii

V Ruskej federácii je informačná bezpečnosť zabezpečená dodržiavaním prezidentských dekrétov, federálnych zákonov, dekrétov vlády Ruskej federácie, riadiacich dokumentov Štátnej technickej komisie Ruska a iných regulačných dokumentov.

Najčastejšie dokumenty boli preskúmané skôr pri štúdiu právnych základov informačnej bezpečnosti. V Ruskej federácii majú z hľadiska štandardizácie ustanovení v oblasti informačnej bezpečnosti prvoradý význam sprievodné dokumenty (RD) Štátnej technickej komisie Ruska, ktorých jednou z úloh je „vykonávanie tzv. jednotnú politiku štátu v oblasti technickej informačnej bezpečnosti“.

Štátna technická komisia Ruska je veľmi aktívna pri tvorbe pravidiel a vydáva usmernenia, ktoré zohrávajú úlohu národných hodnotiacich štandardov v oblasti informačnej bezpečnosti. Ako strategický smer sa Štátna technická komisia Ruska rozhodla zamerať na „všeobecné kritériá“.

Štátna technická komisia za 10 rokov svojej existencie vypracovala a priviedla na úroveň národných noriem desiatky dokumentov, medzi ktoré patria:

Smerný dokument „Nariadenia o certifikácii objektov informatizácie podľa požiadaviek informačnej bezpečnosti“ (Schválený predsedom Štátnej technickej komisie Ruska 25. novembra 1994);
Sprievodný dokument „Automatizované systémy (AS). Ochrana pred neoprávneným prístupom (UNA) k informáciám. Klasifikácia jadrových elektrární a požiadavky na ochranu informácií“ (Štátna technická komisia Ruska, 1997);
Sprievodný dokument „Počítačové zariadenia. Ochrana pred neoprávneným prístupom k informáciám. Indikátory bezpečnosti pred neoprávneným prístupom k informáciám“ (Štátna technická komisia Ruska, 1992);
Sprievodný dokument „Koncepcia ochrany počítačového vybavenia pred neoprávneným prístupom k informáciám“ (Štátna technická komisia Ruska, 1992);
Sprievodný dokument „Ochrana pred neoprávneným prístupom k informáciám. Termíny a definície“ (Štátna technická komisia Ruska, 1992);
Sprievodný dokument „Počítačová technika (CT). Firewally. Ochrana pred neoprávneným prístupom k informáciám. Indikátory bezpečnosti pred neoprávneným prístupom k informáciám“ (Štátna technická komisia Ruska, 1997);
Sprievodný dokument „Ochrana pred neoprávneným prístupom k informáciám. Časť 1. Softvér informačnej bezpečnosti. Klasifikácia podľa úrovne kontroly nad absenciou nedeklarovaných spôsobilostí“ (Štátna technická komisia Ruska, 1999);
Sprievodný dokument „Špeciálne požiadavky a odporúčania na technickú ochranu dôverných informácií“ (Štátna technická komisia Ruska, 2001).

1.7.2 Dokumenty o hodnotení bezpečnosti automatizovaných systémov v Ruskej federácii

Pozrime sa na najvýznamnejšie z týchto dokumentov, ktoré definujú kritériá hodnotenia bezpečnosti automatizovaných systémov.

Stanovuje klasifikáciu elektronických zariadení podľa stupňa zabezpečenia proti neoprávnenému prístupu k informáciám na základe zoznamu bezpečnostných indikátorov a súboru požiadaviek, ktoré ich popisujú. Základom pre vypracovanie tohto dokumentu bola Orange Book. Tento hodnotiaci štandard stanovuje sedem tried zabezpečenia SVT pred neoprávneným prístupom k informáciám.

Najnižšia trieda je siedma, najvyššia prvá. Triedy sú rozdelené do štyroch skupín, ktoré sa líšia úrovňou ochrany:

Prvá skupina obsahuje len jednu siedmu triedu, ktorá zahŕňa všetky SVT, ktoré nespĺňajú požiadavky vyšších tried;
Druhá skupina vyznačuje sa voľnou ochranou a obsahuje šiesty a piaty ročník;
Tretia skupina vyznačuje sa povinnou ochranou a obsahuje štvrtú, tretiu a druhú triedu;
Štvrtá skupina vyznačuje sa overenou ochranou a zahŕňa len prvú triedu.

ustanovuje klasifikáciu automatizovaných systémov podliehajúcich ochrane pred neoprávneným prístupom k informáciám a požiadavky na ochranu informácií v automatizovaných systémoch rôznych tried.

Medzi definujúce charakteristiky, podľa ktorých sú reproduktory zoskupené do rôznych tried, patria:

Dokument definuje deväť tried zabezpečenia AS pred neoprávneným prístupom k informáciám. Každá trieda sa vyznačuje určitým minimálnym súborom požiadaviek na ochranu. Triedy sú rozdelené do troch skupín, ktoré sa líšia charakteristikami spracovania informácií v AS.

V rámci každej skupiny sa dodržiava hierarchia požiadaviek na ochranu v závislosti od hodnoty a dôvernosti informácií a následne aj hierarchia bezpečnostných tried AS.

V tabuľke 2 sú uvedené bezpečnostné triedy reproduktorov a požiadavky na ich zabezpečenie.

Tabuľka 1. Bezpečnostné požiadavky na automatizované systémy

Subsystémy a požiadavky	triedy
Subsystémy a požiadavky	3B	3A	2B	2A	1D	1G	1B	1B	1A
1. Subsystém kontroly prístupu 1.1. Identifikácia, autentifikácia a kontrola prístupu subjektov: do systému;	+	+	+	+	+	+	+	+	+
na terminály, počítače, uzly počítačovej siete, komunikačné kanály, externé počítačové zariadenia;	—	—	—	+	—	+	+	+	+
na programy;	—	—	—	+	—	+	+	+	+
na zväzky, adresáre, súbory, záznamy, polia záznamov.	—	—	—	+	—	+	+	+	+
1.2. Riadenie toku informácií	—	—	—	+	—	—	+	+	+
2. Registračný a účtovný subsystém 2.1. Registrácia a účtovníctvo: vstup/výstup prístupových subjektov do/zo systému (sieťový uzol);	+	+	+	+	+	+	+	+	+
vydávanie tlačených (grafických) výstupných dokumentov;	—	+	—	+	—	+	+	+	+
spustenie/ukončenie programov a procesov (úlohy, úlohy);	—	—	—	+	—	+	+	+	+
prístup k programom prístupových subjektov k terminálom, počítačom, uzlom počítačovej siete, komunikačným kanálom, externým počítačovým zariadeniam, programom, zväzkom, adresárom, súborom, záznamom, záznamovým poliam;	—	—	—	+	—	+	+	+	+
zmeny v právomociach subjektov prístupu;	—	—	—	—	—	—	+	+	+
vytvorené objekty chráneného prístupu.	—	—	—	+	—	—	+	+	+
2.2. Účtovanie pamäťových médií.	+	+	+	+	+	+	+	+	+
2.3. Čistenie (vynulovanie, depersonalizácia) uvoľnených oblastí pamäte RAM počítača a externých úložných zariadení.	—	+	—	+	—	+	+	+	+
2.4. Signalizácia sa pokúša narušiť bezpečnosť.	—	—	—	—	—	—	+	+	+
3. Kryptografický subsystém 3.1. Šifrovanie dôverných informácií.	—	—	—	+	—	—	—	+	+
3.2. Šifrovanie informácií patriacich rôznym prístupovým subjektom (skupinám subjektov) pomocou rôznych kľúčov.	—	—	—	—	—	—	—	—	+
3.3. Používanie certifikovaných (certifikovaných) kryptografických nástrojov.	—	—	—	+	—	—	—	+	+
4. Subsystém integrity 4.1. Zabezpečenie integrity softvéru a spracovaných informácií.	+	+	+	+	+	+	+	+	+
4.2. Fyzické zabezpečenie počítačového vybavenia a pamäťových médií.	+	+	+	+	+	+	+	+	+
4.3. Dostupnosť správcu informácií (ochranná služba) v AS.	—	—	—	+	—	—	+	+	+
4.4. Periodické testovanie systému ochrany informácií NSD.	+	+	+	+	+	+	+	+	+
4.5. Dostupnosť prostriedkov na obnovu informácií a zariadení na ochranu údajov NSD.	+	+	+	+	+	+	+	+	+
4.6. Používanie certifikovaných ochranných prostriedkov.	—	+	—	+	—	—	+	+	+

„-“ pre túto triedu nie sú žiadne požiadavky;

„+“ sú požiadavky pre túto triedu;

Tabuľka 2 ako taká kodifikuje minimálne požiadavky, ktoré sa musia dodržiavať dôvernosť informácií.

Bezpečnostné požiadavky bezúhonnosť reprezentovaný samostatným podsystémom (číslo 4).

Sprievodný dokument „SVT. Firewally. Ochrana pred neoprávneným prístupom k informáciám. Indikátory bezpečnosti pred neoprávneným prístupom k informáciám“ je hlavným dokumentom pre analýzu systému vonkajšej perimetrickej ochrany firemná sieť. Tento dokument určuje bezpečnostné indikátory firewallov (FW). Každý bezpečnostný indikátor je súborom bezpečnostných požiadaviek, ktoré charakterizujú konkrétnu oblasť prevádzky ME.

Celkovo existuje päť bezpečnostných indikátorov:

Riadenie prístupu;
kontrola integrity;

Na základe bezpečnostných indikátorov je určených nasledujúcich päť ME bezpečnostných tried:

najjednoduchšie filtrovacie smerovače – 5. trieda;
paketové filtre sieťovej vrstvy – 4. trieda;
najjednoduchšie ME aplikačnej úrovne - 3. trieda;
Základná úroveň ME – 2. stupeň;
pokročilý JA – 1 trieda.

ME prvej bezpečnostnej triedy je možné použiť v systémoch triedy 1A, ktoré spracúvajú „špeciálne dôležité“ informácie. Druhá bezpečnostná trieda ME zodpovedá bezpečnostnej triede AS 1B, ktorá je určená na spracovanie „prísne tajných“ informácií atď.

Podľa prvého z nich je ustanovených deväť tried zabezpečenia AS pred neoprávneným prístupom k informáciám.

Každá trieda sa vyznačuje určitým minimálnym súborom požiadaviek na ochranu. Triedy sú rozdelené do troch skupín, ktoré sa líšia charakteristikami spracovania informácií v AS. V rámci každej skupiny je dodržaná hierarchia požiadaviek na ochranu v závislosti od hodnoty (dôvernosti) informácií a následne aj hierarchia bezpečnostných tried AS.

Tretia skupina klasifikuje systémy, v ktorých pracuje jeden používateľ a má prístup ku všetkým informáciám v systéme umiestneným na médiách s rovnakou úrovňou utajenia. Skupina obsahuje dve triedy - 3B a 3A.

Druhá skupina klasifikuje AS, v ktorých užívatelia majú rovnaké prístupové práva (oprávnenia) ku všetkým informáciám AS spracovávaným a (alebo) uloženým na médiách s rôznou úrovňou dôvernosti. Skupina obsahuje dve triedy – 2B a 2A.

Prvá skupina klasifikuje viacužívateľské AS, v ktorých sa súčasne spracúvajú a (alebo) ukladajú informácie rôznych úrovní dôvernosti a nie všetci používatelia majú právo na prístup ku všetkým informáciám o AS. Skupina obsahuje päť tried – 1D, 1G, 1B, 1B a 1A.

Závery k téme

V Ruskej federácii je informačná bezpečnosť zabezpečená dodržiavaním prezidentských dekrétov, federálnych zákonov, dekrétov vlády Ruskej federácie, riadiacich dokumentov Štátnej technickej komisie Ruska a iných regulačných dokumentov.
Normy v oblasti informačnej bezpečnosti v Ruskej federácii sú riadiacimi dokumentmi Štátnej technickej komisie Ruska, ktorej jednou z úloh je „vykonávanie jednotnej štátnej politiky v oblasti technickej informačnej bezpečnosti“.
Pri vývoji národných noriem sa Štátna technická komisia Ruska riadi „Všeobecnými kritériami“.

Sprievodný dokument „SVT. Ochrana pred neoprávneným prístupom k informáciám. Indikátory zabezpečenia pred neoprávneným prístupom k informáciám“ ustanovuje klasifikáciu elektronických zariadení podľa stupňa zabezpečenia proti neoprávnenému prístupu k informáciám na základe zoznamu bezpečnostných ukazovateľov a súboru požiadaviek, ktoré ich popisujú. Tento hodnotiaci štandard stanovuje sedem tried bezpečnosti elektronických zariadení od neprístupných informácií po informácie. Najnižšia trieda je siedma, najvyššia prvá. Triedy sú rozdelené do štyroch skupín, ktoré sa líšia úrovňou ochrany.

Sprievodný dokument „AS. Ochrana pred neoprávneným prístupom k informáciám. Klasifikácia JE a požiadavky na ochranu informácií“ ustanovuje klasifikáciu automatizovaných systémov podliehajúcich ochrane pred neoprávneným prístupom k informáciám a požiadavky na ochranu informácií v automatizovaných systémoch rôznych tried. Medzi definujúce charakteristiky, podľa ktorých sú reproduktory zoskupené do rôznych tried, patria:

prítomnosť informácií s rôznou úrovňou dôvernosti v AS;
úroveň oprávnenia subjektov prístupu AS na prístup k dôverným informáciám;
spôsob spracovania údajov v AS – kolektívny alebo individuálny.

Sprievodný dokument „SVT. Firewally. Ochrana pred neoprávneným prístupom k informáciám. Indikátory bezpečnosti pred neoprávneným prístupom k informáciám“ je hlavným dokumentom na analýzu systému ochrany pre vonkajší obvod podnikovej siete. Tento dokument definuje bezpečnostné indikátory firewallov. Každý bezpečnostný indikátor je súborom bezpečnostných požiadaviek, ktoré charakterizujú konkrétnu oblasť prevádzky ME. Celkovo existuje päť bezpečnostných indikátorov:

Riadenie prístupu;
identifikácia a autentifikácia;
registrácia a oznamovanie udalostí;
kontrola integrity;
obnovenie výkonu.

Kontrolné otázky:

Koľko tried zabezpečenia SVT z nesúladu s informáciami stanovuje SVT RD. Ochrana pred neoprávneným prístupom k informáciám. Ukazovatele bezpečnosti pred neoprávneným prístupom k informáciám?

Názov dokumentu:
Číslo dokumentu:	53113.1-2008
Typ dokumentu:	GOST R
Prijímajúca autorita:	Rosstandart
Postavenie:	Aktívne
Publikovaný:
Dátum prijatia:	18. december 2008
Dátum začiatku:	1. októbra 2009
Dátum kontroly:	1. októbra 2018

GOST R 53113.1-2008 Informačné technológie (IT). Ochrana informačných technológií a automatizovaných systémov pred hrozbami informačnej bezpečnosti implementovanými pomocou skrytých kanálov. Časť 1. Všeobecné ustanovenia

GOST R 53113.1-2008

Skupina T00

NÁRODNÝ ŠTANDARD RUSKEJ FEDERÁCIE

Informačné technológie

OCHRANA INFORMAČNÝCH TECHNOLÓGIÍ A AUTOMATIZOVANÝCH SYSTÉMOV PRED HROZBAMI PRE BEZPEČNOSŤ INFORMÁCIÍ POMOCOU SKRYTÝCH KANÁLOV

Časť 1

Všeobecné ustanovenia

Informačné technológie. Ochrana informačných technológií a automatizovaných systémov pred bezpečnostnými hrozbami, ktoré predstavuje používanie skrytých kanálov. Časť 1. Všeobecné zásady

OKS 35,040

Dátum zavedenia 2009-10-01

Predslov

1 VYVINUTÉ spoločnosťou s ručením obmedzeným „Cryptocom“

2 ZAVEDENÉ Federálnou agentúrou pre technický predpis a metrológie

3 SCHVÁLENÉ A NADOBUDNUTÉ ÚČINNOSTI nariadením Federálnej agentúry pre technickú reguláciu a metrológiu zo dňa 18. decembra 2008 N 531-st

4 PRVÝ KRÁT PREDSTAVENÉ

5 REPUBLIKÁCIA. október 2018

Pravidlá pre aplikáciu tejto normy sú ustanovené vČlánok 26 federálneho zákona z 29. júna 2015 N 162-FZ „O normalizácii v Ruskej federácii“. Informácie o zmenách tohto štandardu sú zverejnené v ročnom (k 1. januáru bežného roka) informačnom indexe „Národné štandardy“ a oficiálny text zmien a doplnkov je zverejnený v mesačnom informačnom indexe „Národné štandardy“. V prípade revízie (nahradenia) alebo zrušenia tohto štandardu bude príslušné oznámenie uverejnené v nasledujúcom vydaní mesačného informačného indexu „Národné štandardy“. Príslušné informácie, upozornenia a texty sú zverejnené aj vo verejnom informačnom systéme - na oficiálnej webovej stránke Federálnej agentúry pre technickú reguláciu a metrológiu na internete (www.gost.ru)

Úvod

Vývoj, implementácia a používanie distribuovaných informačných systémov a technológií, používanie importovaných softvérových a hardvérových platforiem bez projektovej dokumentácie viedli k vzniku triedy hrozieb informačnej bezpečnosti (IS) spojených s používaním tzv. skrytých informačných kanálov. , „neviditeľné“ pre tradičné prostriedky informačnej bezpečnosti.

Tradičné nástroje informačnej bezpečnosti, ako sú nástroje na riadenie prístupu, firewally a systémy na detekciu narušenia, riadia iba toky informácií, ktoré prechádzajú kanálmi určenými na ich prenos. Neberie sa do úvahy možnosť výmeny informácií mimo tohto rámca prostredníctvom skrytých kanálov (CC).

V systémoch, ktoré vyžadujú zvýšenú úroveň dôvery, treba brať do úvahy bezpečnostné hrozby vyplývajúce z možnosti neoprávneného zásahu pomocou CS.

Nebezpečenstvo IC pre informačné technológie (IT) a automatizované systémy (AS) a ďalšie aktíva organizácie je spojené s nedostatočnou kontrolou prostredníctvom ochrany informačných tokov, čo môže viesť k úniku informácií, narušeniu integrity informačných zdrojov a softvér v počítačových systémoch, alebo vytvárať iné prekážky pre implementáciu IT.

Na zabezpečenie ochrany informácií spracovávaných v automatizovanom systéme je potrebné identifikovať a neutralizovať všetky možné informačné kanály neoprávneného konania – tradičné aj skryté.

Táto norma je súčasťou série vzájomne súvisiacich noriem, zjednotených spoločným názvom "Informačné technológie. Ochrana informačných technológií a automatizovaných systémov pred hrozbami informačnej bezpečnosti implementovanými pomocou skrytých kanálov", vrátane:

- všeobecné ustanovenia;

- odporúčania pre organizáciu ochrany informácií, IT a AS pred útokmi pomocou CS.

Všeobecné ustanovenia vymedzujú úlohy, ktoré je potrebné riešiť pri analýze bezpečnostného systému, popisujú klasifikáciu bezpečnostného systému a poskytujú klasifikáciu majetku podľa stupňa nebezpečenstva útokov pomocou bezpečnostného systému.

Základným aspektom bezpečnosti IT a AS systémov je dôvera v bezpečnostné systémy. Zabezpečenie dôvery sa uskutočňuje prostredníctvom hĺbkovej analýzy alebo skúmania softvérových a hardvérových produktov z hľadiska ich bezpečnosti. V mnohých prípadoch je táto analýza náročná z dôvodu nedostatku zdrojových údajov na jej implementáciu, teda zdrojových kódov, projektovej a testovacej dokumentácie, čo vedie k ohrozeniu informačných zdrojov, ktoré možno implementovať pomocou neznámych softvérových a hardvérových systémov a cez rozhrania. vzájomne pôsobiacich softvérových a hardvérových produktov.

Požiadavky na dôveru v informačnú bezpečnosť sú stanovené v GOST R ISO/IEC 15408-3, podľa ktorého sa pre systémy s odhadovanou úrovňou spoľahlivosti (EAL), počnúc EAL5, poskytuje povinná analýza IC. Pri používaní hardvérových a softvérových produktov od zahraničných výrobcov bez návrhu, testovacej dokumentácie a zdrojových kódov nie je možné zaručiť absenciu potenciálne škodlivých komponentov zahrnutých zámerne alebo náhodne vzniknutých (napríklad softvérová zraniteľnosť). Požiadavka na analýzu IC v Ruskej federácii je teda nevyhnutnou podmienkou pre bezpečnú prevádzku systémov, ktoré spracúvajú cenné informácie alebo používajú importovaný hardvér a softvér, a to aj pre systémy s EAL pod EAL5.

Odporúčania pre organizáciu ochrany informácií, IT a AS pred útokmi pomocou CS definujú postup vyhľadávania CS a boja proti CS.

Táto norma bola vyvinutá ako vývoj GOST R ISO/IEC 15408-3, GOST R ISO/IEC 27002 (pokiaľ ide o opatrenia na boj proti hrozbám informačnej bezpečnosti implementovaných pomocou bezpečnostných systémov) a.

1 oblasť použitia

Táto norma stanovuje klasifikáciu bezpečnostného systému a vymedzuje úlohy, ktoré je potrebné riešiť pri analýze bezpečnostného systému, ktorá je nevyhnutnou súčasťou na určenie ďalšieho postupu pri organizácii ochrany informácií pred útokmi pomocou systému, a tiež stanovuje postup vykonávania analýzy bezpečnostného systému pre produkty a systémy IT a AS, ktorej výsledky sa využívajú pri hodnotení dôvery v informačné systémy a opatrenia na ochranu IT.

Táto norma je určená pre zákazníkov, vývojárov a používateľov IT, pretože formulujú požiadavky na vývoj, získavanie a používanie IT produktov a systémov, ktoré sú určené na spracovanie, ukladanie alebo prenos informácií, ktoré sú predmetom ochrany v súlade s požiadavkami regulačných orgánov. dokumenty alebo požiadavky stanovené vlastníkom informácií. Norma je určená aj pre certifikačné orgány a skúšobné laboratóriá pri vykonávaní bezpečnostných hodnotení a certifikácií bezpečnosti IT a AS, ako aj pre analytické útvary a bezpečnostné služby na porovnávanie ohrozenia cenných informačných aktív s potenciálom poškodenia bezpečnostným systémom.

2 Normatívne odkazy

Táto norma používa normatívne odkazy na nasledujúce normy:

GOST R ISO/IEC 15408-3 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Kritériá hodnotenia bezpečnosti informačných technológií. Časť 3: Komponenty dôvery v bezpečnosť

GOST R ISO/IEC 27002 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Súbor noriem a pravidiel pre riadenie informačnej bezpečnosti

Poznámka - Pri používaní tejto normy je vhodné skontrolovať platnosť referenčných noriem vo verejnom informačnom systéme - na oficiálnej stránke Federálnej agentúry pre technickú reguláciu a metrológiu na internete alebo pomocou ročného informačného indexu "Národné normy" , ktorý bol zverejnený k 1. januáru bežného roka a o číslach mesačného informačného indexu „Národné štandardy“ na aktuálny rok. Ak sa nahradí referenčná norma, na ktorú je uvedený nedatovaný odkaz, odporúča sa použiť aktuálnu verziu tejto normy, berúc do úvahy všetky zmeny v nej vykonané. túto verziu zmeny. Ak sa nahradí datovaná referenčná norma, odporúča sa použiť verziu tejto normy s rokom schválenia (prijatia) uvedeným vyššie. Ak sa po schválení tejto normy vykoná zmena v referenčnej norme, na ktorú sa odkazuje s dátumom, ktorá má vplyv na uvedené ustanovenie, odporúča sa, aby sa toto ustanovenie uplatňovalo bez ohľadu na túto zmenu. Ak je referenčná norma zrušená bez náhrady, potom sa odporúča použiť ustanovenie, v ktorom je na ňu uvedený odkaz, v časti, ktorá nemá vplyv na tento odkaz.

3 Pojmy a definície

V tejto norme sa používajú nasledujúce výrazy s príslušnými definíciami:

3.1 automatizovaný systém: Systém pozostávajúci z personálu a súboru automatizačných nástrojov pre ich činnosti, implementujúci informačné technológie pre výkon nainštalované funkcie.

3.2 agent páchateľa: Osoba, softvér, firmvér resp hardvér konajúc v záujme páchateľa.

3.3 aktíva(aktíva): Čokoľvek, čo má pre organizáciu hodnotu a je v jej vlastníctve.

Poznámka: Majetok organizácie môže zahŕňať:

- výpočtová technika, telekomunikácie a iné zdroje;

- informačné aktíva, vr. rôzne druhy informácií v nasledujúcich fázach ich životný cyklus: generovanie (tvorba), spracovanie, uchovávanie, prenos, ničenie;

- produkty a služby poskytované tretím stranám.

3.4 blokovanie prístupu (k informáciám): Ukončenie alebo zamedzenie prístupu legitímnych používateľov k informáciám.

3.5 malvér: Program určený na poskytnutie neoprávneného prístupu a (alebo) ovplyvnenia informácií alebo zdrojov informačného systému.

3.6 hĺbka analýzy skrytého kanála: Miera variácie v zložitosti prostriedkov použitých na identifikáciu skrytého kanála a jeho charakteristík.

3.7 dôvera assurance: Základ pre istotu, že objekt spĺňa bezpečnostné ciele.

3.8 skrytá identifikácia kanála: Identifikácia možnosti existencie skrytého kanála a určenie jeho miesta v klasifikácii.

3.9 obmedzené informácie: Druh informácií, ku ktorým je obmedzený prístup a ktorých zverejnenie môže poškodiť záujmy iných osôb, spoločnosti a štátu.

3.10 Informačná bezpečnosť(bezpečnosť informácií): Všetky aspekty súvisiace s definovaním, dosahovaním a udržiavaním dôvernosti, integrity, dostupnosti, nepopierateľnosti, zodpovednosti, pravosti a spoľahlivosti informácií alebo prostriedkov ich spracovania.

3.11 Informačný systém: Organizačne usporiadaný súbor dokumentov (súborov dokumentov) a informačných technológií vrátane využívania výpočtovej techniky a komunikácií, ktoré realizujú informačné procesy.

Poznámka – Informačné systémy sú určené na uchovávanie, spracovanie, vyhľadávanie, distribúciu, prenos a poskytovanie informácií.

3.12 informačné technológie: Techniky, metódy a metódy využívania výpočtovej techniky pri vykonávaní funkcií zberu, uchovávania, spracovania, prenosu a používania údajov.

3.13 informačný objekt: Prvok programu obsahujúci informácie obiehajúce v programe.

Poznámka – V závislosti od programovacieho jazyka môžu premenné, polia, záznamy, tabuľky, súbory, fragmenty pôsobiť ako informačné objekty Náhodný vstup do pamäťe a tak ďalej.

3.14 tok informácií informačný tok: Proces interakcie medzi zdrojom informácie a jej príjemcom.

Poznámka – Tok informácií môže byť povolený alebo neoprávnený. Informačný tok medzi objektmi X a Y existuje, ak je priemerná vzájomná informácia I (X, Y) väčšia ako 0. Matematický model Informačný tok možno definovať ako konečný automat, v ktorom zdroj správy posiela vstupné slovo na vstup stroja a príjemca správy vidí výstupnú sekvenciu stroja.

3.15 komplexná analýza skrytých kanálov Vyčerpávajúca analýza skrytých kanálov: Analýza, ktorá si vyžaduje predloženie ďalších dôkazov preukazujúcich, že plán identifikácie skrytých kanálov je dostatočný na to, aby sa zistilo, že boli vyskúšané všetky možné vyšetrovania skrytého kanála.

3.16 kľúč:Špecifický tajný stav niektorých parametrov algoritmu transformácie kryptografických údajov, ktorý zabezpečuje výber jednej transformácie z množiny všetkých možných transformácií pre daný algoritmus.

3.17 komunikačný kanál: Súbor nosičov informácií, ktoré doručujú správu od zdroja k príjemcovi.

3.18 kritické objekty: Objekty, ktorých narušenie alebo zastavenie prevádzky vedie k strate kontroly, zničeniu infraštruktúry, nezvratnej negatívnej zmene alebo zničeniu hospodárstva krajiny, predmetu alebo administratívno-územného celku alebo k výraznému zhoršeniu bezpečnosti života obyvateľstvo žijúce na týchto územiach dlhodobo.

3.19 mechanizmus prenosu informácií: Implementovaný spôsob prenosu informácií od odosielateľa k príjemcovi.

3.20 úprava informácií:Účelová zmena formy prezentácie a obsahu informácií.

3.21 porušovateľ informačnej bezpečnosti(protivník): Individuálne(subjekt), ktorý sa náhodne alebo úmyselne dopustil konania, ktoré má za následok narušenie bezpečnosti informácií pri spracovaní technickými prostriedkami v informačných systémoch.

3.22 neoprávnený prístup k informáciám(neoprávnený prístup k informáciám): Prístup k informáciám alebo úkony s informáciami, ktoré porušujú pravidlá kontroly prístupu pomocou štandardných prostriedkov poskytovaných výpočtovou technikou alebo automatizovanými systémami.

Poznámka – Prístup k objektu zahŕňa aj prístup k informáciám v ňom obsiahnutým.

3.23 objekt(objekt): Pasívny komponent systému, ktorý uchováva, prijíma alebo prenáša informácie.

3.24 hodnotenie nebezpečnosti: Určenie miery možného deštruktívneho vplyvu.

3.25 odhadovaná úroveň spoľahlivosti hodnotenie úrovne uistenia: Balík prvkov uistenia predstavujúci určitú pozíciu na vopred definovanej škále uistenia.

Poznámka - Balík dôveryhodných komponentov je určený v súlade s požiadavkami GOST R ISO/IEC 15408-3.

3.26 prístupové heslo(heslo): Identifikátor prístupového subjektu, ktorý je jeho (subjektovým) tajomstvom.

3.27 Osobné informácie: Akékoľvek informácie týkajúce sa jednotlivca identifikovaného alebo určeného na základe takýchto informácií (predmet osobných údajov).

Poznámka - Priezvisko, meno, priezvisko, rok, mesiac, dátum a miesto narodenia subjektu osobných údajov, ako aj adresa, rodinný, sociálny, majetkový stav, vzdelanie, povolanie, príjem a ďalšie informácie môžu byť použité ako osobné údaje.

3.28 politika informačnej bezpečnosti Politika informačnej bezpečnosti: Súbor zdokumentovaných pravidiel, postupov, praktík alebo smerníc v oblasti informačnej bezpečnosti, ktorými sa riadia aktivity organizácie.

3.29 produkt(produkt): Súbor softvéru, firmvéru a/alebo hardvéru informačných technológií, ktorý poskytuje špecifické funkcie a je určený na priame použitie alebo zahrnutie do rôznych systémov.

3.30 kapacita skrytého kanála Kapacita skrytého kanála: Množstvo informácií, ktoré možno preniesť cez skrytý kanál za jednotku času alebo vo vzťahu k inej škále meraní.

3.31 systému(systém): Špecifické stelesnenie informačnej technológie so špecifickým účelom a prevádzkovými podmienkami.

3.32 systematická analýza skrytých kanálov systematická analýza skrytých kanálov: Analýza, v ktorej musí dizajnér informačnej technológie a systému automatizovaných systémov identifikovať skryté kanály štruktúrovaným a opakovateľným spôsobom, na rozdiel od identifikácie skrytých kanálov v konkrétnej metóde použiteľnej v konkrétnej situácii.

POZNÁMKA Skryté kanály sú zvyčajne identifikované v súlade s bezpečnostným plánom.

3.33 skrytý kanál(skrytý kanál): Komunikačný kanál, ktorý nezamýšľal vývojár informačnej technológie a systému automatizovaných systémov, ktorý možno použiť na porušenie bezpečnostnej politiky.

3.34 prenosové médium: Fyzická realizácia procesu prenosu informácií.

3.35 predmet(predmet): Aktívna súčasť systému, zvyčajne reprezentovaná používateľom, procesom alebo zariadením, ktorá môže spôsobiť tok informácií z objektu na objekt alebo zmeniť stav systému.

3.36 bezpečnostná hrozba(hrozba): Súbor podmienok a faktorov, ktoré vytvárajú potenciálne alebo skutočné nebezpečenstvo spojené s únikom informácií a/alebo neoprávnenými a/alebo neúmyselnými dopadmi na ne.

3.37 autorizovaný používateľ(autorizovaný používateľ): Používateľ, ktorý je autorizovaný bezpečnostnou politikou na vykonanie operácie.

3.38 poškodenie: Negatívne dôsledky vyplývajúce zo škody na majetku.

3.39 zraniteľnosť: Vlastnosť systému, ktorú možno použiť na narušenie informačnej bezpečnosti systému informačných technológií a automatizovaných systémov.

4 Všeobecné ustanovenia

4.1 Táto norma definuje nasledujúci postup na určenie stupňa nebezpečenstva systému pre aktíva organizácie, identifikáciu systému a boj proti nemu:

- klasifikácia aktív v závislosti od stupňa nebezpečenstva útokov pomocou CS s prihliadnutím na možné bezpečnostné hrozby pre aktíva;

- určenie požadovanej hĺbky analýzy poistného systému v závislosti od typu aktív;

- vykonanie analýzy systému kontroly kvality, ktorá zahŕňa vykonávanie nasledujúcich úloh:

identifikácia (detekcia) SC,

posúdenie kapacity KS a posúdenie nebezpečenstva, ktoré predstavuje ich skryté fungovanie;

- opatrenia na ochranu pred hrozbami realizované pomocou bezpečnostného systému, vrátane plnenia nasledujúcich úloh:

rozhodovanie o vykonávaní ochranných opatrení na boj proti špecifikovaným bezpečnostným hrozbám,

odpor k realizácii IC až po jeho zničenie.

4.2 Klasifikácia chránených aktív v závislosti od stupňa nebezpečenstva útokov pomocou CC je uvedená v časti 7.

4.3 Hĺbka analýzy bezpečnostného systému je určená hodnotou majetku, teda škodou, ktorá môže byť spôsobená v dôsledku implementácie bezpečnostných hrozieb implementovaných pomocou bezpečnostného systému, teda rizík vyplývajúcich z prítomnosť týchto hrozieb. Klasifikácia takýchto hrozieb je uvedená v časti 6.

4.4 Identifikácia CS určuje subjekty (zdroj a príjemca), medzi ktorými môže potenciálne existovať CS, parametre, pri manipulácii sa informácie prenášajú, parametre, v dôsledku ktorých sa informácie čítajú, médium prenosu informácií. , logické podmienky, za ktorých sa informácie prenášajú. Identifikáciu SC možno vykonať počas vývoja systému skúmaním potenciálnych únikových kanálov alebo expozičných kanálov, ako aj počas prevádzky systému pozorovaním znakov identifikujúcich prítomnosť SC. V druhom prípade sa SC identifikujú monitorovaním parametrov systému. Dokumentácia o bezpečnosti informácií by mala odrážať, ktoré triedy bezpečnostných systémov možno identifikovať pomocou použitého systému sledovania.

4.5 Kapacita identifikovaných SC sa hodnotí pomocou formálnych, technických alebo modelovacích metód.

4.6 Pri rozhodovaní o implementácii ochranných opatrení proti bezpečnostným hrozbám realizovaným pomocou CS je potrebné brať do úvahy možné riziko poškodenia majetku organizácie, ktoré je spojené aj s priepustnosťou CS.

4.7 Boj proti nebezpečným SC možno vykonať pomocou nasledujúcich prostriedkov a metód:

- vybudovanie IT alebo AS architektúry, ktorá vám umožní zablokovať IC alebo znížiť ich priepustnosť tak, že sa kanály stanú neškodnými. Táto metóda sa používa v štádiu návrhu IT alebo AS;

- používanie technických prostriedkov, ktoré umožňujú blokovať SC alebo znížiť ich priepustnosť pod danú úroveň;

- používanie softvérových a hardvérových nástrojov, ktoré umožňujú identifikovať činnosť nebezpečných SC počas prevádzky systému. Identifikácia znakov prevádzky IC môže umožniť zablokovanie ich vplyvu na informačné zdroje;

- aplikácia organizačných a technických opatrení na elimináciu SC alebo zníženie ich kapacity na bezpečnú hodnotu.

5 Klasifikácia skrytých kanálov

5.1 CS podľa mechanizmu prenosu informácií sa delí na:

- SC z pamäte;

- SC podľa času;

- skryté štatistické kanály.

5.2 Pamäťové systémy sú založené na prítomnosti pamäte, do ktorej vysielajúci subjekt zapisuje informácie a prijímajúci subjekt ich číta.

Skrytosť pamäťových kanálov je daná skutočnosťou, že vonkajší pozorovateľ nepozná miesto v pamäti, kde sú zaznamenané skryté informácie.

Systémy založené na pamäti zahŕňajú používanie pamäťových prostriedkov, ale spôsob, akým sa pamäť používa, vývojári bezpečnostných systémov neberú do úvahy, a preto ho použité bezpečnostné nástroje nemôžu zistiť.

5.3 CS v čase predpokladajú, že subjekt vysielajúci informáciu moduluje pomocou prenášanej informácie nejaký časovo premenlivý proces a subjekt prijímajúci informáciu je schopný demodulovať prenášaný signál pozorovaním procesu prenášajúceho informácie v čase. Napríklad pri multitaskingu operačný systém(OS) CPU je zdieľaný informačný a výpočtový zdroj pre aplikačné programy. Moduláciou času CPU si môžu aplikácie navzájom prenášať nelegálne dáta.

5.4 Skrytý štatistický kanál využíva na prenos informácií zmeny parametrov rozdelenia pravdepodobnosti akýchkoľvek charakteristík systému, ktoré možno považovať za náhodné a popísané pravdepodobnostnými štatistickými modelmi.

Utajenie takýchto kanálov je založené na skutočnosti, že príjemca informácie má menšiu neistotu pri určovaní parametrov rozdelenia sledovaných charakteristík systému ako pozorovateľ, ktorý nemá znalosti o štruktúre sociálnej siete.

Napríklad objavenie sa skutočnej, ale nepravdepodobnej kombinácie v odoslanom pakete v rámci daného časového obdobia môže signalizovať poruchu počítačového systému.

5.5 CS z pamäte sa zase delí na:

- SC založená na skrývaní informácií v štruktúrovaných údajoch;

- SC založené na skrývaní informácií v neštruktúrovaných údajoch.

5.6 SC založené na skrývaní informácií v štruktúrovaných dátach využívajú vkladanie dát do informačných objektov s formálne opísanou štruktúrou a formálnymi pravidlami spracovania. Napríklad interný formát súboru používaný modernými textovými procesormi obsahuje množstvo polí, ktoré sa pri úprave súboru nezobrazujú, takže sa dajú použiť na vloženie skrytých informácií.

5.7 SC založené na skrývaní informácií v neštruktúrovaných dátach využívajú vkladanie dát do informačných objektov bez zohľadnenia formálne opísanej štruktúry (napríklad zápis skrytých informácií do najmenej významných bitov obrazu, čo nevedie k viditeľným deformáciám obrazu).

5.8 SC podľa priepustnosti sa delí na:

- kanál s nízkou šírkou pásma;

- vysokokapacitný kanál.

5.9 CS je kanál s nízkou šírkou pásma, ak jeho kapacita postačuje na prenos cenných informačných objektov minimálneho objemu (napríklad kryptografických kľúčov, hesiel) alebo príkazov počas časového obdobia, počas ktorého tento prevod je relevantné.

5.10 CS je vysokokapacitný kanál, ak jeho kapacita umožňuje prenos stredne veľkých a veľkých informačných objektov (napr. textové súbory, obrázky, databázy) na obdobie, počas ktorého sú tieto informačné objekty cenné.

Na riešenie zložitých problémov možno použiť kombináciu SC založených na rôznych prenosových mechanizmoch.

6 Klasifikácia bezpečnostných hrozieb implementovaných pomocou skrytých kanálov

6.1 Medzi bezpečnostné hrozby, ktoré možno implementovať pomocou CS patria:

- realizácia malvér a údaje;

- útočník vydáva príkazy agentovi na vykonanie;

- únik kryptografických kľúčov alebo hesiel;

- únik jednotlivých informačných objektov.

6.2 Implementácia týchto hrozieb môže viesť k:

- porušenie dôvernosti informačných aktív;

- narušenie funkčnosti IT a AS;

- blokovanie prístupu k zdrojom;

- porušenie integrity údajov a softvéru.

6.3 Systémy, ktoré sú najviac náchylné na útoky pomocou CS, sú:

- distribuované systémy pre viacerých používateľov;

- systémy s prístupom do globálnych sietí;

- systémy využívajúce kryptografické bezpečnostné opatrenia;

- systémy, ktoré používajú viacúrovňovú (povinnú) politiku kontroly prístupu;

- systémy, v ktorých nemožno detekovať softvérových a hardvérových agentov (kvôli použitiu softvéru a hardvéru s neprístupným zdrojovým kódom a z dôvodu chýbajúcej projektovej dokumentácie).

6.4 Vzťah medzi hrozbami implementovanými pomocou CS a typmi CS v závislosti od ich priepustnosti je uvedený v tabuľke 1.

Tabuľka 1 - Vzťah medzi hrozbami realizovanými prostredníctvom skrytých kanálov a typmi skrytých kanálov v závislosti od ich kapacity


	Typ skrytých kanálov
	Skryté kanály s nízkou šírkou pásma	Skryté kanály s veľkou šírkou pásma
Injekcia malvéru a údajov
Útočník posiela príkazy agentovi na vykonanie
Únik kryptografických kľúčov alebo hesiel
Únik jednotlivých informačných objektov
Poznámka - znamienko „+“ znamená, že existuje spojenie medzi hrozbou a zodpovedajúcim typom skrytého kanála; znak "-" znamená, že spojenie neexistuje.

7 Klasifikácia aktív podľa stupňa nebezpečenstva útokov pomocou skrytých kanálov

7.1 V závislosti od stupňa nebezpečenstva útokov pomocou CS sú chránené aktíva organizácie rozdelené do nasledujúcich tried:

1. trieda - aktíva obsahujúce informácie, ktorých stupeň náchylnosti na útoky realizované pomocou automatizovaného systému určuje vlastník.

2. trieda – aktíva obsahujúce informácie s obmedzeným prístupom alebo osobné údaje a spracúvané v systémoch, ktoré majú technické rozhrania otvorené siete alebo počítačové systémy verejný prístup, ako aj počítačové systémy, ktoré neposkytujú ochranu pred únikom cez technické kanály.

3. trieda - majetok obsahujúci informácie tvoriace štátne tajomstvo.

7.2 Okrem toho existuje špeciálna trieda aktív, ktoré sú zraniteľné voči hrozbám vykonávaným pomocou bezpečnostných systémov s nízkou šírkou pásma. Táto skupina zahŕňa:

Trieda A - aktíva súvisiace s prevádzkou kritických zariadení. Napríklad prenos príkazu schopného inicializovať deštruktívny účinok na objekt tohto typu sa môže uskutočniť prostredníctvom CS s nízkou priepustnosťou.

Trieda B – aktíva obsahujúce informácie o kľúči/hesle, vrátane kľúčov systémov ochrany kryptografických informácií a hesiel pre prístup k iným aktívam. Napríklad únik informácií o kľúči/hesle cez poistný systém môže ohroziť fungovanie celého informačného systému.

Bibliografia


	Sprievodný dokument. Štátna technická komisia Ruska
Kľúčové slová: skryté kanály, analýza skrytých kanálov, klasifikácia skrytých kanálov, útoky pomocou skrytých kanálov, bezpečnostné hrozby realizované pomocou skrytých kanálov, klasifikácia aktív podľa stupňa nebezpečenstva útokov pomocou skrytých kanálov

Text elektronického dokumentu
pripravené spoločnosťou Kodeks JSC a overené podľa:
oficiálna publikácia
M.: Standartinform, 2018

GOST R 53113.1-2008 Informačné technológie (IT). Ochrana informačných technológií a automatizovaných systémov pred hrozbami informačnej bezpečnosti implementovanými pomocou skrytých kanálov. Časť 1. Všeobecné ustanovenia

Názov dokumentu:
Číslo dokumentu:	53113.1-2008
Typ dokumentu:	GOST R
Prijímajúca autorita:	Rosstandart
Postavenie:	Aktívne
Publikovaný:	Oficiálna publikácia. M.: Standartinform, 2018
Dátum prijatia:	18. december 2008
Dátum začiatku:	1. októbra 2009
Dátum kontroly:	1. októbra 2018

Názov:

Ochrana dát. Zabezpečenie informačnej bezpečnosti v organizácii.

Platné

Dátum uvedenia:

Dátum zrušenia:

Nahradené:

Text GOST R 53114-2008 Ochrana informácií. Zabezpečenie informačnej bezpečnosti v organizácii. Základné pojmy a definície

FEDERÁLNA AGENTÚRA PRE TECHNICKÚ REGULÁCIU A METROLÓGIU

NÁRODNÝ

ŠTANDARDNÝ

RUSKY

FEDERATION

Ochrana dát

ZABEZPEČENIE INFORMAČNEJ BEZPEČNOSTI V ORGANIZÁCII

Základné pojmy a definície

Oficiálna publikácia

Oteidartenform

GOST R 53114-2008

Predslov

Ciele a princípy normalizácie v Ruskej federácii stanovuje federálny zákon č. 184-FZ z 27. decembra 2002 „O technickom predpise“ a pravidlá uplatňovania národných noriem Ruskej federácie sú GOST R 1.0-2004 „Štandardizácia“. v Ruskej federácii. Základné ustanovenia »

Štandardné informácie

1 VYVINUTÉ Federálnou štátnou inštitúciou „Štátny výskumný skúšobný ústav pre problémy bezpečnosti technických informácií Federálnej služby pre technickú a exportnú kontrolu“ (FGU „GNIIII PTZI FSTEC Ruska“), Spoločnosť s ručením obmedzeným „Výskumná a výrobná spoločnosť „Kristall“ (OOO NPF "Crystal")

2 PREDSTAVENÉ Odborom technickej regulácie a normalizácie Federálnej agentúry pre technickú reguláciu a metrológiu

3 SCHVÁLENÉ A NADOBUDNUTÉ ÚČINNOSTI nariadením Federálnej agentúry pre technickú reguláciu a metrológiu zo dňa 18. decembra 2008 č. 532-st.

4 8V JAZDE PRVÝ KRÁT

Informácie o zmenách tohto štandardu sú zverejnené v každoročne vydávanom informačnom indexe „Národné štandardy“ a text zmien a doplnkov je zverejnený v mesačne zverejňovanom informačnom indexe „Národné štandardy“. V prípade revízie (nahradenia) alebo zrušenia tohto štandardu bude príslušné oznámenie uverejnené v mesačne zverejňovanom informačnom indexe „Národné štandardy“. Príslušné informácie, oznámenia a texty sú zverejnené aj vo verejnom informačnom systéme - na oficiálnej webovej stránke Federálnej agentúry pre technickú reguláciu a metrológiu na internete

Túto normu nemožno úplne alebo čiastočne reprodukovať, replikovať alebo distribuovať ako oficiálnu publikáciu bez povolenia Federálnej agentúry pre technickú reguláciu a metrológiu.

GOST R 53114-2008

1 oblasť použitia ................................................ ... ....1

3 Pojmy a definície ................................................................ .......2

3.1 Všeobecné pojmy ................................................................ ...... 2

3.2 Pojmy súvisiace s predmetom ochrany informácií................................................ ...4

3.3 Pojmy súvisiace s hrozbami informačnej bezpečnosti......................................7

3.4 Pojmy súvisiace s riadením informačnej bezpečnosti organizácie......8

3.5 Pojmy súvisiace s kontrolou a hodnotením informačnej bezpečnosti organizácie. ... 8

3.6 Pojmy súvisiace s kontrolami bezpečnosti informácií

organizácie................................................. ...........9

Abecedný zoznam pojmov ................................................ .....11

Dodatok A (pre referenciu) Termíny a definície všeobecných technických pojmov................................13

Príloha B (pre referenciu) Vzájomný vzťah základných pojmov v oblasti informačnej bezpečnosti v organizácii................................ ......................15

Bibliografia................................................. ........16

GOST R 53114-2008

Úvod

Pojmy stanovené v tomto štandarde sú usporiadané v systematickom poradí, ktoré odráža systém pojmov v tejto oblasti vedomostí.

Pre každý pojem existuje jeden štandardizovaný termín.

Prítomnosť hranatých zátvoriek v terminologickom článku znamená, že obsahuje dva termíny, ktoré majú spoločné termínové prvky. Tieto pojmy sú uvedené samostatne v abecednom zozname.

Časť termínu uzavretú v zátvorkách možno pri používaní termínu v normalizačných dokumentoch vynechať, pričom časť termínu neuvedená v zátvorkách tvorí jeho skrátenú formu. Za štandardizovanými pojmami sú ich krátke formy oddelené bodkočiarkami, reprezentované skratkami.

Uvedené definície je možné v prípade potreby zmeniť tak, že sa do nich zavedú odvodené charakteristiky. odhaľujúce významy pojmov, ktoré sa v nich používajú, označujúce objekty zahrnuté v rozsahu vymedzeného pojmu.

Zmeny nesmú ovplyvniť rozsah a obsah pojmov definovaných v tejto norme.

Štandardizované pojmy sú písané tučným písmom, ich skrátené formy sú v texte a v abecednom zozname vrátane skratiek. - svetlo a synonymá - kurzíva.

Termíny a definície všeobecných technických pojmov potrebných na pochopenie textu hlavnej časti tejto normy sú uvedené v dodatku A.

GOST R 53114-2008

NÁRODNÝ ŠTANDARD RUSKEJ FEDERÁCIE

Ochrana dát

ZABEZPEČENIE INFORMAČNEJ BEZPEČNOSTI 8 ORGANIZÁCIÍ

Základné pojmy a definície

Ochrana informácií. Zabezpečenie informačnej bezpečnosti v organizácii.

Základné pojmy a definície

Dátum uvedenia - 10.10.2009

1 oblasť použitia

Táto norma stanovuje základné pojmy používané pri vykonávaní štandardizačných prác v oblasti informačnej bezpečnosti v organizácii.

Pojmy stanovené touto normou sa odporúčajú na použitie v regulačných dokumentoch, právnej, technickej a organizačnej a administratívnej dokumentácii, vo vedeckej, vzdelávacej a referenčnej literatúre.

Táto norma sa používa v spojení s GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.

Podmienky uvedené v tejto norme sú v súlade s ustanoveniami federálneho zákona Ruskej federácie z 27. decembra 2002 M"184*FZ "Technický predpis" |3]. Federálny zákon Ruskej federácie z 27. júla 2006 č. 149-FZ „O informáciách, informačných technológiách a ochrane informácií“. Federálny zákon Ruskej federácie z 27. júla 2006 č. 152-FZ „O osobných údajoch“. Doktríny informačnej bezpečnosti Ruskej federácie, schválené prezidentom Ruskej federácie dňa 9. septembra 2000 Pr -1895.

2 Normatívne odkazy

GOST R 22.0.02-94 Bezpečnosť v núdzových situáciách. Pojmy a definície základných pojmov

GOST R ISO 9000-2001 Systémy manažérstva kvality. Základy a slovná zásoba

GOST R ISO 9001-2008 Systémy manažérstva kvality. Požiadavky

GOST R IS0 14001-2007 Systémy environmentálneho manažérstva. Požiadavky a návod na použitie

GOST R ISO/IEC 13335-1-2006 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Časť 1. Koncepcia a modely riadenia bezpečnosti informačných a telekomunikačných technológií

GOST R ISO/IEC 27001-2006 Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Systémy riadenia informačnej bezpečnosti. Požiadavky

GOST R 50922-2006 Ochrana informácií. Základné pojmy a definície

GOST R 51275-2006 Ochrana informácií. Informačný objekt. Faktory ovplyvňujúce informácie. Všeobecné ustanovenia

GOST R 51897-2002 Riadenie rizík. Pojmy a definície

Oficiálna publikácia

GOST R 53114-2008

GOST R51898-2003 Bezpečnostné aspekty. Pravidlá pre zahrnutie do noriem GOST R 52069.0-2003 Ochrana informácií. Systém noriem. Základné ustanovenia GOST 34.003-90 Informačné technológie. Súbor noriem pre automatizované systémy. Automatizované systémy. Pojmy a definície

GOST 19781-90 Softvér pre systémy spracovania informácií. Pojmy a definície

Poznámka - Pri používaní tejto normy je vhodné skontrolovať platnosť referenčných noriem vo verejnom informačnom systéme - na oficiálnej stránke Federálnej agentúry pre technickú reguláciu a metrológiu na internete alebo podľa každoročne vydávaného informačného indexu „Národný Standards“, ktorý bol zverejnený k 1. januáru bežného roka a podľa príslušných mesačných informačných indexov zverejnených v aktuálnom roku. Ak je referenčný štandard nahradený (zmenený), potom by ste sa pri používaní tohto štandardu mali riadiť nahradeným (zmeneným) štandardom. Ak je referenčná norma zrušená bez náhrady, potom sa ustanovenie, v ktorom je na ňu uvedený odkaz, vzťahuje na časť, ktorá nemá vplyv na tento odkaz.

3 Pojmy a definície

3.1 Všeobecné pojmy

bezpečnosť informácií [údajov]: Stav bezpečnosti informácií [údajov], v ktorom je zabezpečená ich [ich] dôvernosť, dostupnosť a integrita.

[GOST R 50922-2006. odsek 2.4.5]

bezpečnosť informačných technológií: Stav bezpečnosti informačných technológií. ktorá zaisťuje bezpečnosť informácií, pre ktoré sa používa na spracovanie. a informačnú bezpečnosť informačného systému, v ktorom je implementovaný.

[R 50.1.056-2006. odsek 2.4.5]

informačná sféra: Súhrn informácií, informačná infraštruktúra, subjekty. vykonávanie zhromažďovania, tvorby, šírenia a využívania informácií, ako aj systémov na reguláciu sociálnych vzťahov, ktoré v tomto prípade vznikajú.

3.1.4 informačná infraštruktúra: Súbor objektov informatizácie, ktorý poskytuje spotrebiteľom prístup k informačným zdrojom.

objekt informatizácie: Súbor informačných zdrojov, nástrojov a systémov spracovania informácií používaných v súlade s danou informačnou technológiou, ako aj podporné zariadenia, priestory alebo zariadenia (budovy, stavby, technické prostriedky), v ktorých sú tieto nástroje a systémy inštalované, príp. priestory a zariadenia určené na vedenie dôverných rokovaní.

[GOST R 51275-2006. odsek 3.1]

3.1.6 aktíva organizácie: Všetky. čo má pre organizáciu hodnotu v záujme dosiahnutia jej cieľov a čo má k dispozícii.

Poznámka: Majetok organizácie môže zahŕňať:

Informačné aktíva, vrátane rôznych typov informácií obiehajúcich v informačnom systéme (servisné, riadiace, analytické, obchodné atď.) vo všetkých fázach životného cyklu (generovanie, uchovávanie, spracovanie, prenos, ničenie):

Zdroje (finančné, ľudské, výpočtové, informačné, telekomunikačné a iné):

Procesy (technologické, informačné atď.);

Vyrobené produkty alebo poskytované služby.

GOST R 53114-2008

Systémový zdroj spracovania informácií: Zariadenie systému spracovania informácií, ktoré možno prideliť procesu spracovania údajov na určitý časový interval.

Poznámka - Hlavnými zdrojmi sú procesory, oblasti hlavnej pamäte, súbory údajov. periférne zariadenia, programy.

[GOST 19781-90. odsek 93)

3.1.8 informačný proces: Proces tvorby, zhromažďovania, spracovania, akumulácie, uchovávania, vyhľadávania. šírenie a využívanie informácií.

informačné technológie; IT: Procesy, metódy vyhľadávania, zhromažďovania, uchovávania, spracovania, poskytovania. šírenie informácií a spôsoby vykonávania takýchto procesov a metód. [ Federálny zákon Ruskej federácie z 27. decembra 2002 č. 184-FZ. článok 2 odsek 2)]

technická podpora automatizovaný systém; Technická podpora JE: Súhrn všetkých technických prostriedkov používaných pri prevádzke JE.

[GOST R 34.003-90. odsek 2.5]

automatizovaný systémový softvér; AS softvér: Súbor programov na pamäťových médiách a programových dokumentov určených na ladenie, obsluhu a testovanie funkčnosti AS.

[GOST R 34.003-90. odsek 2.7]

informačná podpora automatizovaného systému; informačná podpora AS: Súbor formulárov dokumentov, klasifikátorov, regulačného rámca a implementovaných riešení o objeme, umiestnení a formách existencie informácií používaných v AS počas jeho prevádzky.

[GOST R 34.003-90. odsek 2.8]

3.1.13 služba; služba: Výsledok činnosti výkonného umelca na uspokojenie potrieb spotrebiteľa.

Poznámka - 8 organizácia, jednotlivec alebo proces môže vystupovať ako vykonávateľ (spotrebiteľ) služby.

3.1.14 služby informačných technológií: IT služby: Súbor funkčných schopností informácií a. prípadne neinformačnú technológiu poskytovanú koncovým používateľom ako službu.

POZNÁMKA Príklady IT služieb zahŕňajú posielanie správ, obchodné aplikácie, súborové a tlačové služby, sieťové služby atď.

3.1.15 systém kritickej informačnej infraštruktúry; systém kľúčovej informačnej infraštruktúry: FIAC: Informačný riadiaci alebo informačný telekomunikačný systém, ktorý riadi alebo poskytuje informácie kritickému objektu alebo procesu, alebo sa používa na oficiálne informovanie spoločnosti a občanov, ktorých narušenie alebo prerušenie fungovania (v dôsledku deštruktívnej informačné vplyvy, ako aj poruchy či zlyhania) môžu viesť k mimoriadnej udalosti s výraznými negatívnymi následkami.

3.1.18 kritický objekt: Objekt alebo proces, ktorého narušenie kontinuity prevádzky by mohlo spôsobiť značné škody.

GOST R 53114-2008

Poznámka - Môže dôjsť k poškodeniu majetku fyzických osôb resp právnických osôb. majetok štátu alebo obce, životné prostredie, ako aj spôsobovanie ujmy na živote alebo zdraví občanov.

informačný systém osobných údajov: Informačný systém, ktorý je súborom osobných údajov obsiahnutých v databáze, ako aj informačných technológií a technických prostriedkov, ktoré umožňujú spracúvanie takýchto osobných údajov pomocou nástrojov automatizácie alebo bez použitia takýchto nástrojov.

osobné údaje: Akékoľvek informácie týkajúce sa fyzickej osoby identifikovanej alebo určenej na základe takýchto informácií (predmet osobných údajov), vrátane jej priezviska, mena. patronymia, roč mesiac, dátum a miesto narodenia, adresa, rodina, sociálne, majetkové pomery, vzdelanie, povolanie, príjem, iné údaje.

3.1.19 automatizovaný systém v chránenom dizajne; AS v chránenom dizajne: Automatizovaný systém, ktorý implementuje informačné technológie na vykonávanie zavedených funkcií v súlade s požiadavkami noriem a/alebo regulačných dokumentov o ochrane informácií.

3.2 Pojmy súvisiace s predmetom ochrany informácií

3.2.1 informačná bezpečnosť organizácie; Organizačné spravodajstvo: Stav ochrany záujmov organizácie zoči-voči hrozbám v informačnej sfére.

Poznámka – Bezpečnosť sa dosahuje zabezpečením súboru vlastností informačnej bezpečnosti – dôvernosť, integrita, dostupnosť informačných aktív a infraštruktúra organizácie. Priorita vlastností informačnej bezpečnosti je určená významom informačných aktív pre záujmy (ciele) organizácie.

predmet ochrany informácií: Informácia alebo nosič informácií, prípadne informačný proces. ktoré musia byť chránené v súlade s účelom ochrany informácií.

[GOST R 50922-2006. odsek 2.5.1]

3.2.3 chránený proces (informačné technológie): Proces využívaný informačnými technológiami na spracovanie chránených informácií s požadovanou úrovňou ich bezpečnosti.

3.2.4 porušenie informačnej bezpečnosti organizácie: porušenie informačnej bezpečnosti organizácie: Náhodné alebo úmyselné protiprávne konanie jednotlivca (subjektu, objektu) vo vzťahu k majetku organizácie, ktorého dôsledkom je porušenie bezpečnosti informácií, keď je spracovávaný technickými prostriedkami v informačných systémoch, čo má za následok negatívne dôsledky (škody/škody) pre organizáciu.

núdzová situácia; nepredvídaná situácia; Mimoriadna situácia: situácia na určitom území alebo vodnej ploche, ktorá sa vyvinula v dôsledku havárie, nebezpečného prírodného javu, katastrofy, prírodnej alebo inej katastrofy, ktorá môže mať za následok straty na životoch alebo ľudské obete, poškodenie ľudského zdravia. alebo životné prostredie, značné materiálne straty a narušenie životných podmienok ľudí.

Poznámka - Núdzové situácie sa rozlišujú podľa povahy zdroja (prírodné, človekom spôsobené, biologicko-sociálne a vojenské) a podľa rozsahu (miestne, miestne, územné, regionálne, federálne a cezhraničné).

(GOST R 22.0.02-94. Článok 2.1.1)

GOST R 53114-2008

3.2.6

nebezpečná situácia: Okolnosti, za ktorých sú ohrození ľudia, majetok alebo životné prostredie.

(GOST R 51898-2003, odsek 3.6)

3.2.7

incident bezpečnosti informácií: Akákoľvek neočakávaná alebo nechcená udalosť, ktorá môže narušiť prevádzku alebo bezpečnosť informácií.

Poznámka – Incidenty informačnej bezpečnosti sú:

Strata služieb, vybavenia alebo zariadení:

Poruchy alebo preťaženie systému:

Používateľské chyby.

Porušenie opatrení fyzickej ochrany:

Nekontrolované zmeny v systémoch.

Poruchy softvéru a hardvéru:

Porušenie pravidiel prístupu.

(GOST R ISO/IEC 27001 -2006. Článok 3.6)

3.2.8 udalosť: Výskyt alebo prítomnosť určitého súboru okolností.

Poznámky

1 Povaha, pravdepodobnosť a následky udalosti nemusia byť úplne známe.

2 Udalosť sa môže vyskytnúť raz alebo viackrát.

3 Možno odhadnúť pravdepodobnosť spojenú s udalosťou.

4. Udalosť môže spočívať v tom, že nenastane jedna alebo viacero okolností.

5 Nepredvídateľná udalosť sa niekedy nazýva „incident“.

6 Udalosť, pri ktorej nedochádza k žiadnym stratám, sa niekedy nazýva predpokladom incidentu (incidentu), nebezpečným stavom, nebezpečnou kombináciou okolností atď.

3.2.9 riziko: Vplyv neistôt na proces dosahovania cieľov.

Poznámky

1 Ciele môžu mať rôzne aspekty: finančné, zdravotné, bezpečnostné a environmentálne aspekty a nemusia byť stanovené rôzne úrovne: na strategickej úrovni, naprieč organizáciou, na úrovni projektu, produktu a procesu.

3 Riziko sa často vyjadruje ako kombinácia dôsledkov udalosti alebo zmeny okolností a ich pravdepodobnosti.

3.2.10

Hodnotenie rizika: Proces, ktorý kombinuje identifikáciu rizika, analýzu rizika a kvantifikáciu rizika.

(GOST R ISO/IEC 13335-1 -2006, odsek 2.21]

3.2.11 hodnotenie rizika informačnej bezpečnosti (organizácie); hodnotenie rizika informačnej bezpečnosti (organizácia): Celkový proces identifikácie, analýzy a určovania prijateľnosti úrovne rizika informačnej bezpečnosti organizácie.

3.2.12 identifikácia rizika: Proces zisťovania, rozpoznávania a popisovania rizík.

Poznámky

1 Identifikácia rizík zahŕňa identifikáciu zdrojov rizík, udalostí a ich príčin, ako aj ich možných následkov.

POZNÁMKA 2. – Identifikácia rizika môže zahŕňať štatistické údaje, teoretickú analýzu, informované názory a názory odborníkov a potreby zainteresovaných strán.

GOST R 53114-2008

analýza rizika: Systematické využívanie informácií na identifikáciu zdrojov rizika a kvantifikáciu rizika.

(GOST R ISO/IEC 27001-2006. Článok 3.11)

3.2.14 Stanovenie akceptovateľnosti rizika: Proces porovnávania výsledkov analýzy rizika s kritériami rizika na určenie akceptovateľnosti alebo tolerovateľnosti úrovne rizika.

POZNÁMKA Stanovenie prijateľnosti úrovne rizika pomáha pri rozhodovaní o liečbe

3.2.15 zvládanie rizika informačnej bezpečnosti organizácie; Zaobchádzanie s bezpečnostnými rizikami organizácie: Proces vývoja a/alebo výberu a implementácie opatrení na riadenie rizík informačnej bezpečnosti organizácie.

Poznámky

1 Liečba rizika môže zahŕňať:

Vyhýbanie sa riziku rozhodnutím nezačať alebo nepokračovať v činnostiach, ktoré vytvárajú podmienky

Hľadanie príležitosti rozhodnutím začať alebo pokračovať v aktivitách, ktoré môžu vytvárať alebo zvyšovať riziko;

Odstránenie zdroja rizika:

Zmeny v povahe a veľkosti rizika:

Meniace sa dôsledky;

Zdieľanie rizika s inou stranou alebo stranami.

Pretrvávanie rizika ako výsledok vedomého rozhodnutia, tak aj „štandardne“.

2 Liečba rizika s negatívnymi dôsledkami sa niekedy nazýva zmiernenie, eliminácia, prevencia. zníženie, potlačenie a korekcia rizika.

3.2.16 manažment rizík: Koordinované činnosti na riadenie a kontrolu činností organizácie vo vzťahu k rizikám.

3.2.17 zdroj rizika pre informačnú bezpečnosť organizácie; zdroj bezpečnostného rizika organizácie: Objekt alebo činnosť, ktorá môže spôsobiť [vytvoriť] riziko.

Poznámky

1 Riziko neexistuje, ak neexistuje interakcia medzi objektom, osobou alebo organizáciou so zdrojom rizika.

2 Zdroj rizika môže byť hmotný alebo nehmotný.

3.2.18 politika informačnej bezpečnosti (organizácie); politika informačnej bezpečnosti (organizácia): Formálne vyhlásenie o pravidlách, postupoch, praktikách alebo usmerneniach informačnej bezpečnosti, ktorými sa riadia aktivity organizácie.

Poznámka – Zásady musia obsahovať.

Predmet, hlavné ciele a ciele bezpečnostnej politiky:

Podmienky uplatňovania bezpečnostnej politiky a možné obmedzenia:

Opis postavenia vedenia organizácie k implementácii bezpečnostnej politiky a organizácii režimu informačnej bezpečnosti organizácie ako celku.

Práva a povinnosti, ako aj miera zodpovednosti zamestnancov za dodržiavanie bezpečnostnej politiky organizácie.

Núdzové postupy v prípade porušenia bezpečnostnej politiky

3.2.19 cieľ informačnej bezpečnosti (organizácie); Cieľ IS (organizácie): Vopred stanovený výsledok zabezpečenia informačnej bezpečnosti organizácie v súlade so stanovenými požiadavkami v politike IS (organizácie).

Poznámka - Výsledkom zaistenia informačnej bezpečnosti môže byť zabránenie poškodeniu vlastníka informácií v dôsledku možného úniku informácií a (alebo) neoprávneného a neúmyselného zásahu do informácií.

3.2.20 systém dokumentov o informačnej bezpečnosti v organizácii; systém dokumentov informačnej bezpečnosti v organizácii: usporiadaný súbor dokumentov zjednotený cieľovou orientáciou. vzájomne prepojené na základe pôvodu, účelu, druhu, rozsahu činnosti, jednotných požiadaviek na ich dizajn a regulácie činností organizácie na zaistenie informačnej bezpečnosti.

GOST R 53114-2008

3.3 Pojmy súvisiace s hrozbami informačnej bezpečnosti

3.3.1 ohrozenie informačnej bezpečnosti organizácie; hrozba informačnej bezpečnosti pre organizáciu: súbor faktorov a podmienok, ktoré vytvárajú nebezpečenstvo narušenia informačnej bezpečnosti organizácie, spôsobujúce alebo môžu spôsobiť pre organizáciu negatívne dôsledky (škodu/škodu).

Poznámky

1 Forma implementácie (prejavu) hrozby informačnej bezpečnosti je prepuknutie jednej alebo viacerých vzájomne súvisiacich udalostí informačnej bezpečnosti a incidentov informačnej bezpečnosti. čo vedie k narušeniu vlastností informačnej bezpečnosti chráneného objektu (objektov) organizácie.

2 Hrozbu charakterizuje prítomnosť predmetu ohrozenia, zdroj ohrozenia a prejav ohrozenia.

hrozba (bezpečnosť informácií): Súbor podmienok a faktorov, ktoré vytvárajú potenciálne alebo skutočné nebezpečenstvo narušenia bezpečnosti informácií.

[GOST R 50922-2006. odsek 2.6.1]

3.3.3 model hrozby (bezpečnosti informácií): Fyzické, matematické, popisné znázornenie vlastností alebo charakteristík hrozieb informačnej bezpečnosti.

Poznámka - špeciálnym regulačným dokumentom môže byť typ popisnej reprezentácie vlastností alebo charakteristík hrozieb informačnej bezpečnosti.

zraniteľnosť (informačného systému); porušenie: Vlastnosť informačného systému, ktorá umožňuje realizovať ohrozenia bezpečnosti informácií v ňom spracúvaných.

Poznámky

1 Podmienkou implementácie bezpečnostnej hrozby spracovanej v informačnom systéme môže byť nedostatok alebo slabina v informačnom systéme.

2 Ak sa zraniteľnosť zhoduje s hrozbou, potom existuje riziko.

[GOST R 50922-2006. odsek 2.6.4]

3.3.5 porušovateľ informačnej bezpečnosti organizácie; narušiteľ informačnej bezpečnosti organizácie: Jednotlivec alebo logický subjekt, ktorý sa náhodne alebo úmyselne dopustil konania, ktorého dôsledkom je narušenie informačnej bezpečnosti organizácie.

3.3.6 neoprávnený prístup: Prístup k informáciám alebo k zdrojom automatizovaného informačného systému, realizovaný v rozpore so stanovenými prístupovými právami (alebo) pravidlami.

Poznámky

1 Neoprávnený prístup môže byť úmyselný alebo neúmyselný.

2 Pre procesy spracovania informácií, údržbu automatizovaného informačného systému a zmeny softvéru sú ustanovené práva a pravidlá prístupu k informáciám a zdrojom informačného systému. technické a informačné zdroje, ako aj získavanie informácií o nich.

3.3.7 sieťový útok: Akcie využívajúce softvér a (alebo) hardvér a využívajúce sieťový protokol, zamerané na implementáciu hrozieb neoprávneného prístupu k informáciám, ovplyvňovania týchto informácií alebo zdrojov automatizovaného informačného systému.

Aplikácia - Sieťový protokol - súbor sémantických a pravidlá syntaxe, ktoré určujú interakciu programov na správu siete umiestnených na tom istom počítači. s programami s rovnakým názvom umiestneným na inom počítači.

3.3.8 blokovanie prístupu (k informáciám): Ukončenie alebo sťaženie prístupu osôb k informáciám. oprávnení na to (oprávnení používatelia).

3.3.9 Útok odmietnutia služby: Sieťový útok vedúci k zablokovaniu informačných procesov v automatizovanom systéme.

3.3.10 únik informácií: Nekontrolované šírenie chránených informácií v dôsledku ich prezradenia, neoprávneného prístupu k informáciám a prijímania chránených informácií cudzími spravodajskými službami.

3.3.11 sprístupnenie informácií: Neoprávnené oznamovanie chránených informácií osobám. nemá oprávnenie na prístup k týmto informáciám.

GOST R 53114-2008

odpočúvanie (informácií): Nezákonný príjem informácií pomocou technického prostriedku, ktorý zisťuje, prijíma a spracováva informačné signály.

(R 50.1.053-2005, odsek 3.2.5]

informatívny signál: signál, ktorého parametre možno použiť na určenie chránených informácií.

[R 50.1.05S-2005. odsek 3.2.6]

3.3.14 deklarované schopnosti: Funkčnosť počítačový hardvér a softvér, ktoré nie sú popísané alebo nezodpovedajú tým, ktoré sú opísané v dokumentácii. čo môže viesť k zníženiu alebo narušeniu bezpečnostných vlastností informácií.

3.3.15 rušivé elektromagnetické žiarenie a rušenie: Elektromagnetická radiácia technické prostriedky spracovania informácií, vznikajúce ako vedľajší efekt a spôsobené elektrickými signálmi pôsobiacimi v ich elektrických a magnetických obvodoch, ako aj elektromagnetickým rušením týchto signálov na vodivých vedeniach, konštrukciách a silových obvodoch.

3.4 Pojmy súvisiace s riadením informačnej bezpečnosti organizácie

3.4.1 riadenie informačnej bezpečnosti organizácie; riadenie organizácie informačnej bezpečnosti; Koordinované akcie pre vedenie a riadenie organizácie z hľadiska zabezpečenia jej informačnej bezpečnosti v súlade s meniacimi sa podmienkami vnútorného a vonkajšieho prostredia organizácie.

3.4.2 riadenie rizika informačnej bezpečnosti organizácie; riadenie rizika informačnej bezpečnosti organizácie: Koordinované akcie na vedenie a riadenie organizácie vo vzťahu k riziku informačnej bezpečnosti s cieľom jeho minimalizácie.

POZNÁMKA Hlavnými procesmi riadenia rizík sú nastavenie kontextu, hodnotenie rizika, ošetrenie a akceptovanie rizika, monitorovanie a preskúmanie rizika.

Systém riadenia informačnej bezpečnosti; ISMS: Časť celkového systému riadenia. založené na použití metód hodnotenia bioenergetických rizík pri vývoji, implementácii a prevádzke. monitorovanie, analýza, podpora a zlepšovanie bezpečnosti informácií.

POZNÁMKA Systém manažérstva zahŕňa organizačnú štruktúru, zásady, plánovacie činnosti, zodpovednosti, praktiky, postupy, procesy a zdroje.

[GOST R ISO/IEC 27001 -2006. odsek 3.7]

3.4.4 úloha informačnej bezpečnosti v organizácii; úloha informačnej bezpečnosti v organizácii: Súbor špecifických funkcií a úloh na zaistenie informačnej bezpečnosti organizácie, ktoré vytvárajú prijateľnú interakciu medzi subjektom a objektom v organizácii.

Poznámky

1 Subjekty zahŕňajú osoby z radov manažérov organizácie, jej zamestnancov alebo procesov iniciovaných v ich mene na vykonávanie akcií na objektoch

2 Objektmi môže byť hardvér, softvér, softvér a hardvér alebo informačný zdroj, na ktorom sa vykonávajú akcie.

3.4.5 Služba informačnej bezpečnosti organizácie: Organizačná a technická štruktúra systému riadenia informačnej bezpečnosti organizácie, ktorá implementuje riešenie špecifickej úlohy zameranej na boj proti ohrozeniam informačnej bezpečnosti organizácie.

3.5 Pojmy súvisiace s monitorovaním a hodnotením informačnej bezpečnosti organizácie

3.5.1 kontrola nad zaistením informačnej bezpečnosti organizácie; kontrola zabezpečenia informačnej bezpečnosti organizácie: Kontrola súladu zabezpečenia informačnej bezpečnosti v organizácii.

GOST R 53114-2008

3.5.2 monitorovanie informačnej bezpečnosti organizácie; Monitorovanie informačnej bezpečnosti organizácie: Neustále monitorovanie procesu informačnej bezpečnosti v organizácii s cieľom zistiť, či je v súlade s požiadavkami informačnej bezpečnosti.

3.5.3 audit informačnej bezpečnosti organizácie; audit organizácie informačnej bezpečnosti: Systematický, nezávislý a zdokumentovaný proces získavania dôkazov o činnosti organizácie na zaistenie informačnej bezpečnosti a stanovenie stupňa plnenia kritérií informačnej bezpečnosti v organizácii, ako aj umožnenie vytvorenia profesionálneho auditu úsudok o stave informačnej bezpečnosti organizácie.

3.5.4 dôkaz (dôkaz) o audite informačnej bezpečnosti organizácie; Údaje auditu bezpečnosti informácií organizácie: Záznamy, vyhlásenia o skutočnostiach alebo iné informácie, ktoré sú relevantné pre kritériá auditu bezpečnosti informácií organizácie a možno ich overiť.

POZNÁMKA Dôkaz o bezpečnosti informácií môže byť kvalitatívny alebo kvantitatívny.

3.5.5 posúdenie súladu informačnej bezpečnosti organizácie so stanovenými požiadavkami; hodnotenie súladu informačnej bezpečnosti organizácie so stanovenými požiadavkami: Činnosti zapojené do priameho alebo nepriameho určovania súladu alebo nesúladu so stanovenými požiadavkami informačnej bezpečnosti v organizácii.

3.5.6 kritérium pre audit informačnej bezpečnosti organizácie; Kritérium auditu organizácie informačnej bezpečnosti: Súbor princípov, ustanovení, požiadaviek a ukazovateľov platných regulačných dokumentov* týkajúcich sa aktivít organizácie v oblasti informačnej bezpečnosti.

Aplikácia – Kritériá auditu bezpečnosti informácií sa používajú na porovnanie dôkazov auditu bezpečnosti informácií s nimi.

3.5.7 certifikácia automatizovaného systému v bezpečnom prevedení: Proces komplexného overovania výkonu stanovených funkcií automatizovaného systému na spracovanie chránených informácií na súlad s požiadavkami noriem a/alebo regulačných dokumentov v oblasti informácií ochrany a prípravy dokladov o jej súlade s výkonom funkcie spracovania chránených informácií na konkrétnom zariadení informatizácia.

3.5.8 kritérium pre zaistenie informačnej bezpečnosti organizácie; kritérium informačnej bezpečnosti organizácie: Ukazovateľ, na základe ktorého sa hodnotí stupeň dosiahnutia cieľa (cieľov) informačnej bezpečnosti organizácie.

3.5.9 efektívnosť informačnej bezpečnosti; efektívnosť informačnej bezpečnosti: Vzťah medzi dosiahnutým výsledkom a použitými zdrojmi na zabezpečenie danej úrovne informačnej bezpečnosti.

3.6 Pojmy súvisiace s kontrolami bezpečnosti informácií organizácie

3.6.1 zabezpečenie informačnej bezpečnosti organizácie; zabezpečenie informačnej bezpečnosti organizácie: Činnosti zamerané na elimináciu (neutralizáciu, boj proti) interným a externým hrozbám informačnej bezpečnosti organizácie alebo minimalizáciu škôd z možnej implementácie takýchto hrozieb.

3.6.2 bezpečnostné opatrenie; bezpečnostná kontrola: Zavedená prax, postup alebo mechanizmus na zvládanie rizika.

3.6.3 opatrenia na zaistenie informačnej bezpečnosti; Opatrenia informačnej bezpečnosti: Súbor činností zameraných na vývoj a/alebo praktickú aplikáciu metód a prostriedkov na zaistenie informačnej bezpečnosti.

3.6.4 organizačné opatrenia na zabezpečenie informačnej bezpečnosti; organizačné opatrenia na zaistenie informačnej bezpečnosti: Opatrenia na zaistenie informačnej bezpečnosti, ktorým sa ustanovujú dočasné, územné, priestorové, právne, metodické a iné obmedzenia podmienok používania a prevádzkových režimov objektu informatizácie.

3.6.5 technické prostriedky na zabezpečenie informačnej bezpečnosti; technické prostriedky informačnej bezpečnosti: Zariadenia používané na zabezpečenie informačnej bezpečnosti organizácie pomocou nekryptografických metód.

Poznámka - Takéto zariadenie môže predstavovať hardvér a softvér zabudovaný do chráneného objektu a/alebo fungujúci autonómne (nezávisle od chráneného objektu).

GOST R 53114-2008

3.5.6 nástroj na detekciu narušenia bezpečnosti, nástroj na detekciu útokov: Softvérový alebo softvérovo-hardvérový nástroj, ktorý automatizuje proces monitorovania udalostí vyskytujúcich sa v počítačovom systéme alebo sieti a tiež nezávisle analyzuje tieto udalosti pri hľadaní známok incidentu informačnej bezpečnosti.

3.6.7 Prostriedky ochrany pred neoprávneným prístupom: Softvér, hardvér alebo softvér a hardvér určený na zabránenie alebo výrazné zabránenie neoprávnenému prístupu.

GOST R 53114-2008

Abecedný zoznam pojmov

majetok organizácie 3.1.6

analýza rizík 3.2.13

Reproduktory v chránenej verzii 3.1.19

útok odmietnutia služby 3.3.9

sieťový útok 3.3.7

certifikácia automatizovaného systému v chránenej verzii 3.5.7

audit informačnej bezpečnosti organizácie 3.5.3

bezpečnosť (údaje) 3.1.1

informačná bezpečnosť 3.1.1

bezpečnosť informačných technológií 3.1.2

informačná bezpečnosť organizácie 3.2.1

blokovanie prístupu (k informáciám) 3.3.8

porušenie 3.3.4

nedeklarované schopnosti 3.3.14

osobné údaje 3.1.18

neoprávnený prístup 3.3.6

Organizačná informačná bezpečnosť 3.2.1

identifikácia rizika 3.2.12

informačná infraštruktúra 3.1.4

incident informačnej bezpečnosti 3.2.7

zdroj rizika informačnej bezpečnosti organizácie 3.2.17

zdroj rizika pre informačnú bezpečnosť organizácie 3.2.17

kontrola informačnej bezpečnosti organizácie 3.5.1

kritériá na zabezpečenie informačnej bezpečnosti organizácie 3.5.8

Kritérium auditu organizačného IS 3.5.6

Kritérium auditu informačnej bezpečnosti organizácie 3.5.6

kritérium pre zaistenie informačnej bezpečnosti organizácie 3.5.8

riadenie informačnej bezpečnosti organizácie 3.4.1

riadenie rizika informačnej bezpečnosti organizácie 3.4.2

bezpečnostné opatrenie 3.6.2

opatrenia informačnej bezpečnosti 3.6.3

organizačné opatrenia informačnej bezpečnosti 3.6.4

opatrenia informačnej bezpečnosti 3.6.3

organizačné opatrenia informačnej bezpečnosti 3.4.6

model hrozby (bezpečnosť informácií) 3.3.3

monitorovanie informačnej bezpečnosti organizácie 3.5.2

narušenie informačnej bezpečnosti organizácie 3.2.4

narušiteľ informačnej bezpečnosti organizácie 3.3.5

podpora automatizovaného informačného systému 3.1.12

softvér automatizovaného systému 3.1.11

technická podpora automatizovaného systému 3.1.10

Informačná podpora AS 3.1.12

AC softvér 3.1.11

Technická podpora AC 3.1.10

zabezpečenie informačnej bezpečnosti organizácie 3.6.1

zaobchádzanie s rizikom informačnej bezpečnosti organizácie 3.2.15

GOST R 53114-2008

riadenie rizika informačnej bezpečnosti organizácie 3.2.1S

predmet ochrany informácií 3.2.2

objekt informatizácie 3.1.5

kritický objekt 3.1.16

stanovenie prijateľnej úrovne rizika 3.2.14

hodnotenie rizika 3.2.10

hodnotenie rizika I6 (organizácie) 3.2.11

hodnotenie rizika informačnej bezpečnosti (organizácia) 3.2.11

posúdenie súladu IS organizácie so stanovenými požiadavkami 3.5.5

posúdenie súladu informačnej bezpečnosti organizácie so stanovenými požiadavkami 3.5.5

odpočúvanie (informácie) 3.3.12

Politika IS (organizácia) 3.2.18

politika informačnej bezpečnosti (organizácia) 3.2.18

chránený proces (informačné technológie) 3.2.3

informačný proces 3.1.8

zverejňovanie informácií 3.3.11

zdroj systému spracovania informácií 3.1.7

úloha informačnej bezpečnosti v organizácii 3.4.4

úloha informačnej bezpečnosti 8 v organizácii 3.4.4

certifikáty (doklady) o audite IS organizácie 3.5.4

dôkaz (dôkaz) o audite informačnej bezpečnosti organizácie 3.5.4

služba 3.1.13

informatívny signál 3.3.13

bezpečný automatizovaný systém 3.1.19

dokumentový systém informačnej bezpečnosti v organizácii 3.2.20

systém dokumentov o informačnej bezpečnosti v organizácii 3.2.20

systém kľúčovej informačnej infraštruktúry 3.1.15

systém kritickej informačnej infraštruktúry 3.1.15

systém riadenia informačnej bezpečnosti 3.4.3

informačný systém osobných údajov 3.1.17

nepredvídaná situácia 3.2.5

nebezpečná situácia 3.2.6

núdzová situácia 3.2.5

služba informačnej bezpečnosti organizácie 3.4.6

podujatie 3.2.8

ochrana pred neoprávneným prístupom 3.6.7

nástroj technickej bezpečnosti informácií 3.6.5

Nástroj na detekciu útoku 3.6.6

Nástroj na detekciu narušenia 3.6.6

informačná sféra 3.1.3

informačné technológie 3.1.9

hrozba (bezpečnosť informácií) 3.3.2

ohrozenie informačnej bezpečnosti organizácie 3.3.1

riadenie rizík 3.2.16

služba 3.1.13

služby informačných technológií 3.1.14

IT služby 3.1.14

únik informácií 3.3.10

zraniteľnosť (informačný systém) 3.3.4

Cieľ IS (organizácia) 3.2.19

cieľ informačnej bezpečnosti (organizácia) 3.2.19

elektromagnetické žiarenie a bočné rušenie 3.3.15

Efektívnosť IS 3.5.9

efektívnosť informačnej bezpečnosti 3.5.9

GOST R 53114-2008

Príloha A (odkaz)

Termíny a definície všeobecných technických pojmov

organizácia: Skupina pracovníkov a potrebných zdrojov s rozdelením povinností, právomocí a vzťahov.

(GOST R ISO 9000-2001, odsek 3.3.1]

Poznámky

1 Organizácie zahŕňajú: spoločnosť, korporáciu, firmu, podnik, inštitúciu, charitatívnu organizáciu, maloobchodný podnik, združenie. ako aj ich pododdelenia alebo ich kombinácie.

2 Distribúcia je zvyčajne objednaná.

3 Organizácia môže byť verejná alebo súkromná.

A.2 podnikanie: Ekonomická činnosť, ktorá vytvára zisk; akýkoľvek druh činnosti, ktorá vytvára príjem a je zdrojom obohatenia.

Podnikový proces A.Z: Procesy používané v ekonomických činnostiach organizácie.

informácie: Informácie (správy, údaje) bez ohľadu na formu ich prezentácie.

aktíva: Všetky. čo má pre organizáciu hodnotu. (GOST R ISO/IEC13335-1-2006, odsek 2.2(

A.6 zdroje: Aktíva (organizácie), ktoré sa používajú alebo spotrebúvajú počas vykonávania procesu. Poznámky

1 Zdroje môžu zahŕňať také rôznorodé položky, ako je personál, vybavenie, fixné aktíva, nástroje a služby, ako je energia, voda, palivo a infraštruktúra komunikačných sietí.

2 Zdroje môžu byť opätovne použiteľné, obnoviteľné alebo spotrebovateľné.

A.7 nebezpečenstvo: Vlastnosť predmetu, ktorá charakterizuje jeho schopnosť spôsobiť poškodenie alebo poškodenie iných predmetov. A.8 mimoriadna udalosť: udalosť vedúca k mimoriadnej situácii.

A.9 poškodenie: Fyzické poškodenie alebo poškodenie ľudského zdravia alebo poškodenie majetku alebo životného prostredia.

A. 10 hrozba: Súbor podmienok a faktorov, ktoré môžu spôsobiť narušenie integrity a dostupnosti. súkromia.

A.11 zraniteľnosť: Vnútorné vlastnosti objektu, ktoré vytvárajú náchylnosť na účinky zdroja rizika, ktoré môže viesť k nejakému následku.

A. 12 útok: Pokus o prekonanie bezpečnostného systému informačného systému.

Poznámky - Stupeň „úspešnosti“ útoku závisí od zraniteľnosti a účinnosti obranného systému.

A.13 manažment: Koordinované činnosti pre smerovanie a riadenie organizácie

A.14 obchodné (kontinuitné) riadenie: Koordinované riadiace a kontrolné činnosti

obchodné procesy organizácie.

A. 15 rola: Vopred určený súbor pravidiel a postupov pre činnosti organizácie, ktoré vytvárajú prijateľnú interakciu medzi subjektom a objektom činnosti.

vlastník informácií: Osoba, ktorá nezávisle vytvorila informácie alebo získala na základe zákona alebo dohody právo povoliť alebo obmedziť prístup k informáciám určeným akýmikoľvek kritériami.

GOST R 53114-2008

infraštruktúra: Súhrn budov, zariadení a podporných služieb potrebných pre fungovanie organizácie.

[GOST R ISO 9000-2001. odsek 3.3.3]

A.18 audit: Systematický, nezávislý a zdokumentovaný proces získavania audítorských dôkazov a ich objektívneho hodnotenia s cieľom určiť, do akej miery boli splnené dohodnuté kritériá auditu.

Poznámky

1 Interné audity, nazývané audity prvej strany, vykonáva na interné účely samotná organizácia alebo v jej mene iná organizácia. Výsledky interného auditu môžu slúžiť ako podklad pre vyhlásenie o zhode. V mnohých prípadoch, najmä v malých podnikoch, musia audit vykonávať špecialisti (ľudia, ktorí nie sú zodpovední za kontrolovanú činnosť).

POZNÁMKA 2. – Externé audity zahŕňajú audity nazývané audity druhej strany a audity tretích strán. Audity druhej strany vykonávajú napríklad strany, ktoré sa zaujímajú o činnosti podniku.

spotrebiteľov alebo iných v ich mene. Audity tretích strán vykonávajú externé nezávislé organizácie. Tieto organizácie vykonávajú certifikáciu alebo registráciu na dodržiavanie požiadaviek, napríklad požiadaviek GOST R ISO 9001 a GOST R ISO 14001.

3 Súbežne vykonávaný audit systémov manažérstva kvality a environmentálneho manažérstva sa nazýva „komplexný audit“.

4 Ak audit auditovanej organizácie vykonáva súčasne niekoľko organizácií, potom sa takýto audit nazýva „spoločný audit“.

A.19 monitorovanie: Systematické alebo nepretržité monitorovanie objektu, zabezpečenie kontroly a/alebo merania jeho parametrov, ako aj vykonávanie analýz na predpovedanie variability parametrov a prijímanie rozhodnutí o potrebe a zložení nápravných a preventívnych opatrení.

vyhlásenie o zhode: Formulár potvrdenia o zhode výrobku s požiadavkami technických predpisov.

Technológia A.21: Systém vzájomne prepojených metód, metód, techník objektívnej činnosti. A.22

dokument: Informácie zaznamenané na hmotnom nosiči s podrobnosťami, ktoré umožňujú ich identifikáciu.

[GOST R 52069.0-2003. odsek 3.18]

A.23 spracovanie informácií: Súbor operácií zhromažďovania, zhromažďovania, vstupu, výstupu, príjmu, prenosu, zaznamenávania, uchovávania, registrácie, ničenia, transformácie, zobrazovania, ktoré sa vykonávajú s informáciami.

GOST R 53114-2008

Príloha B (pre referenciu)

Vzťah základných pojmov v oblasti informačnej bezpečnosti v organizácii

Vzťah medzi základnými pojmami je znázornený na obrázku B.1.

Obrázok B.1 - vzťah medzi základnými pojmami

GOST R 53114-2008

Bibliografia

(1] R 50.1.053-2005

(2]PS0.1.056-2005

Informačné technológie. Základné pojmy a definície v oblasti technickej informačnej bezpečnosti Technická ochrana informácie. Základné pojmy a definície

O technickom predpise

O informáciách, informačných technológiách a ochrane informácií

O osobných údajoch

Doktrína informačnej bezpečnosti Ruskej federácie

MDT 351.864.1:004:006.354 OKS 35.020 LLP

Kľúčové slová: informácie, informačná bezpečnosť, informačná bezpečnosť v organizácii, ohrozenie informačnej bezpečnosti, kritériá informačnej bezpečnosti

Redaktor V.N. Cops soya Technický redaktor V.N. Prusakova korektor V.E. Nestorovo Počítačový softvér I.A. NapeikinoO

Dodané na nábor dňa 11.06.2009. Podpísaná pečiatka 12.01.2009. Formát 60" 84 ofsetového papiera. Typ písma Arial. Ofsetová tlač. Usp. rúra l. 2.32. Uch.-ed. l. 1,90. Náklad 373 »kz. Zach. 626

FSUE "STANDARTINFORM*. 123995 Moskva. Granátové jablko por.. 4. info@goslmlo gi

Zadané do FSUE "STANDARTINFORM" na PC.

Vytlačené na pobočke FSUE "STANDARTINFORM* - typ. "Moskovská tlačiareň". 105062 Moskva. Lyalinský pruh.. 6.

GOST 22731-77 Systémy prenosu dát, postupy riadenia dátového spojenia v hlavnom režime pre poloduplexnú výmenu informácií
GOST 26525-85 Systémy spracovania údajov. Metriky používania
GOST 27771-88 Procedurálne charakteristiky na rozhraní medzi dátovým koncovým zariadením a koncovým zariadením dátového kanála. Všeobecné požiadavky a normy
GOST 28082-89 Systémy spracovania informácií. Metódy zisťovania chýb pri sériovom prenose dát
GOST 28270-89 Systémy spracovania informácií. Popis údajov Špecifikácia súboru pre výmenu informácií
GOST R 43.2.11-2014 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Štruktúrovaná prezentácia textových informácií vo formátoch správ
GOST R 43.2.8-2014 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Formáty správ pre technické činnosti
GOST R 43.4.1-2011 Informačná podpora pre zariadenia a činnosti operátora. "Človek-informačný" systém
GOST R 53633.10-2015 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená mapa aktivít organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Riadenie organizácie. Riadenie organizačných rizík
GOST R 53633.11-2015 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírený diagram aktivít organizácie komunikácie (eTOM).Dekompozícia a popisy procesov. Procesy eTOM úrovne 2. Riadenie organizácie. Riadenie výkonnosti organizácie
GOST R 53633.4-2015 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená mapa aktivít organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Primárna činnosť. Riadenie a prevádzka služieb
GOST R 53633.7-2015 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená mapa aktivít organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Stratégia, infraštruktúra a produkt. Rozvoj a riadenie zdrojov
GOST R 53633.9-2015 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená mapa aktivít organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Riadenie organizácie. Stratégia plánovania a rozvoja organizácie
GOST R 55767-2013 Informačné technológie. Európsky rámec kompetencií IKT 2.0. Časť 1. Spoločný európsky rámec kompetencií pre odborníkov v oblasti IKT pre všetky priemyselné sektory
GOST R 55768-2013 Informačné technológie. Model otvoreného Grid systému. Základné ustanovenia
GOST R 56093-2014 Ochrana informácií. Automatizované systémy v bezpečnom dizajne. Prostriedky na zisťovanie zámerných silových elektromagnetických vplyvov. Všeobecné požiadavky
GOST R 56115-2014 Ochrana informácií. Automatizované systémy v bezpečnom dizajne. Prostriedky ochrany proti úmyselným silovým elektromagnetickým vplyvom. Všeobecné požiadavky
GOST R 56545-2015 Ochrana informácií. Zraniteľnosť informačných systémov. Pravidlá pre popis zraniteľností
GOST R 56546-2015 Ochrana informácií. Zraniteľnosť informačných systémov. Klasifikácia zraniteľností informačného systému
GOST IEC 60950-21-2013 Zariadenia informačných technológií. Bezpečnostné požiadavky. Časť 21. Diaľkové napájanie
GOST IEC 60950-22-2013 Zariadenia informačných technológií. Bezpečnostné požiadavky. Časť 22. Zariadenie určené na inštaláciu vonku
GOST R 51583-2014 Ochrana informácií. Postup pri vytváraní automatizovaných systémov v bezpečnom dizajne. Všeobecné ustanovenia
GOST R 55766-2013 Informačné technológie. Európsky rámec kompetencií IKT 2.0. Časť 3. Tvorba e-CF - spojenie metodických základov a odborných skúseností
GOST R 55248-2012 Elektrická bezpečnosť. Klasifikácia rozhraní pre zariadenia pripojené k sieťam informačných a komunikačných technológií
GOST R 43.0.11-2014 Informačná podpora pre zariadenia a činnosti operátora. Databázy v technických činnostiach
GOST R 56174-2014 Informačné technológie. Architektúra služieb otvoreného gridového prostredia. Pojmy a definície
GOST IEC 61606-4-2014 Audio a audiovizuálne zariadenia. Komponenty digitálnych audio zariadení. Základné metódy merania zvukových charakteristík. Časť 4. Osobný počítač
GOST R 43.2.5-2011 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Gramatika
GOST R 53633.5-2012 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená mapa aktivít organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Stratégia, infraštruktúra a produkt. Marketing a riadenie ponuky produktov
GOST R 53633.6-2012 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená mapa aktivít organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Stratégia, infraštruktúra a produkt. Rozvoj a riadenie služieb
GOST R 53633.8-2012 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená mapa aktivít organizácie komunikácií (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Stratégia, infraštruktúra a produkt. Rozvoj a riadenie dodávateľského reťazca
GOST R 43.0.7-2011 Informačná podpora pre zariadenia a činnosti operátora. Hybridno-intelektualizovaná interakcia medzi človekom a informáciami. Všeobecné ustanovenia
GOST R 43.2.6-2011 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Morfológia
GOST R 53633.14-2016 Informačné technológie. Sieť riadenia telekomunikácií je rozšírený rámec prevádzky komunikačnej organizácie (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Riadenie organizácie. Riadenie zainteresovaných strán a vonkajších vzťahov
GOST R 56938-2016 Ochrana informácií. Ochrana informácií pri používaní virtualizačných technológií. Všeobecné ustanovenia
GOST R 56939-2016 Ochrana informácií. Bezpečný vývoj softvéru. Všeobecné požiadavky
GOST R ISO/IEC 17963-2016 Špecifikácia webových služieb pre správu (WS-management)
GOST R 43.0.6-2011 Informačná podpora pre zariadenia a činnosti operátora. Prirodzene intelektualizovaná interakcia medzi človekom a informáciami. Všeobecné ustanovenia
GOST R 54817-2011 Náhodné zapálenie zvukových, obrazových, informačných a komunikačných zariadení spôsobených plameňom sviečky
GOST R IEC 60950-23-2011 Zariadenia informačných technológií. Bezpečnostné požiadavky. Časť 23. Zariadenia na ukladanie veľkých objemov dát
GOST R IEC 62018-2011 Spotreba energie zariadení informačných technológií. Metódy merania
GOST R 53538-2009 Viacpárové káble s medenými vodičmi pre širokopásmové prístupové obvody. Všeobecné technické požiadavky
GOST R 53633.0-2009 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Všeobecná štruktúra podnikových procesov
GOST R 53633.1-2009 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Primárna činnosť. Riadenie vzťahov s dodávateľmi a partnermi
GOST R 53633.2-2009 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Primárna činnosť. Riadenie zdrojov a prevádzka
GOST R 53633.3-2009 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Procesy eTOM úrovne 2. Primárna činnosť. Riadenie vzťahov so zákazníkmi
GOST R ISO/IEC 20000-2-2010 Informačné technológie. Manažment služieb. Časť 2: Kódex postupov
GOST R 43.0.3-2009 Informačná podpora pre zariadenia a činnosti operátora. Poludňajšia technika v technických činnostiach. Všeobecné ustanovenia
GOST R 43.0.4-2009 Informačná podpora pre zariadenia a činnosti operátora. Informácie v technických činnostiach. Všeobecné ustanovenia
GOST R 43.0.5-2009 Informačná podpora pre zariadenia a činnosti operátora. Procesy výmeny informácií v technických činnostiach. Všeobecné ustanovenia
GOST R 43.2.1-2007 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Všeobecné ustanovenia
GOST R 43.2.2-2009 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Všeobecné ustanovenia pre použitie
GOST R 43.2.3-2009 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Typy a vlastnosti ikonických komponentov
GOST R 43.2.4-2009 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Syntaktika znakových komponentov
GOST R 52919-2008 Informačné technológie. Metódy a prostriedky fyzickej ochrany. Klasifikácia a skúšobné metódy požiarnej odolnosti. Dátové miestnosti a kontajnery
GOST R 53114-2008 Ochrana informácií. Zabezpečenie informačnej bezpečnosti v organizácii. Základné pojmy a definície
GOST R 53245-2008 Informačné technológie. Štruktúrované káblové systémy. Inštalácia hlavných komponentov systému. Testovacie metódy
GOST R 53246-2008 Informačné technológie. Štruktúrované káblové systémy. Návrh hlavných komponentov systému. Všeobecné požiadavky
GOST R IEC 60990-2010 Metódy merania dotykového prúdu a prúdu ochranného vodiča
GOST 33707-2016 Informačné technológie. Slovník
GOST R 57392-2017 Informačné technológie. Manažment služieb. Časť 10. Základné pojmy a terminológia
GOST R 43.0.13-2017 Informačná podpora pre zariadenia a činnosti operátora. Riadené školenie špecialistov
GOST R 43.0.8-2017 Informačná podpora pre zariadenia a činnosti operátora. Umelo intelektualizovaná interakcia človek-informácia. Všeobecné ustanovenia
GOST R 43.0.9-2017 Informačná podpora pre zariadenia a činnosti operátora. Informačné zdroje
GOST R 43.2.7-2017 Informačná podpora pre zariadenia a činnosti operátora. Jazyk operátora. Syntax
GOST R ISO/IEC 38500-2017 Informačné technológie. Strategické riadenie IT v organizácii
GOST R 43.0.10-2017 Informačná podpora pre zariadenia a činnosti operátora. Informačné objekty, objektovo orientovaný dizajn pri tvorbe technických informácií
GOST R 53633.21-2017 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Primárna činnosť. Riadenie a prevádzkovanie služieb. Procesy eTOM úrovne 3. Proces 1.1.2.1 - Podpora a dostupnosť procesov SM&O
GOST R 57875-2017 Telekomunikácie. Schémy zapojenia a uzemnenia v telekomunikačných centrách
GOST R 53633.22-2017 Informačné technológie. Telekomunikačná kontrolná sieť. Rozšírená schéma činností organizácie komunikácie (eTOM). Dekompozícia a popis procesov. Primárna činnosť. Riadenie a prevádzkovanie služieb. Procesy eTOM úrovne 3. Proces 1.1.2.2 - Konfigurácia a aktivácia služieb

Medzinárodné bezpečnostné normy

Medzinárodné normy informačnej bezpečnosti: ISO 27001

Medzinárodné bezpečnostné normy: ISO 17799

Národný systém noriem informačnej bezpečnosti

GOST R ISO/IEC 17799:2005 "Informačné technológie. Praktické pravidlá pre riadenie informačnej bezpečnosti"

Požiadavky na vedomosti a zručnosti

Študent musí mať nápad:

o úlohe Štátnej technickej komisie pri zabezpečovaní informačnej bezpečnosti v Ruskej federácii;

o dokumentoch o posudzovaní bezpečnosti automatizovaných systémov v Ruskej federácii.

Študent musí vedieť:

hlavný obsah noriem na hodnotenie bezpečnosti automatizovaných systémov v Ruskej federácii.

Študent musí byť schopný:

určiť triedy chránených systémov na základe súboru ochranných opatrení.

Kľúčový pojem

Kľúčový pojem: Štandardy informačnej bezpečnosti v Ruskej federácii.

Štandardy informačnej bezpečnosti v Ruskej federácii sa vyvíjajú v rámci Štátnej technickej komisie Ruskej federácie.

Drobné pojmy

Štátna technická komisia a jej úloha pri zabezpečovaní informačnej bezpečnosti v Ruskej federácii.

Dokumenty o hodnotení bezpečnosti automatizovaných systémov v Ruskej federácii.

Štrukturálny diagram pojmov

1.7.1 Štátna technická komisia a jej úloha pri zabezpečovaní informačnej bezpečnosti v Ruskej federácii

V Ruskej federácii je informačná bezpečnosť zabezpečená dodržiavaním prezidentských dekrétov, federálnych zákonov, dekrétov vlády Ruskej federácie, riadiacich dokumentov Štátnej technickej komisie Ruska a iných regulačných dokumentov.

Štátna technická komisia za 10 rokov svojej existencie vypracovala a priviedla na úroveň národných noriem desiatky dokumentov, medzi ktoré patria:

Smerný dokument „Nariadenia o certifikácii objektov informatizácie podľa požiadaviek informačnej bezpečnosti“ (Schválený predsedom Štátnej technickej komisie Ruska 25. novembra 1994);

Sprievodný dokument „Automatizované systémy (AS). Ochrana pred neoprávneným prístupom (UNA) k informáciám. Klasifikácia jadrových elektrární a požiadavky na ochranu informácií“ (Štátna technická komisia Ruska, 1997);

Sprievodný dokument „Počítačové zariadenia. Ochrana pred neoprávneným prístupom k informáciám. Indikátory bezpečnosti pred neoprávneným prístupom k informáciám“ (Štátna technická komisia Ruska, 1992);

Sprievodný dokument „Koncepcia ochrany počítačového vybavenia pred neoprávneným prístupom k informáciám“ (Štátna technická komisia Ruska, 1992);

Sprievodný dokument „Ochrana pred neoprávneným prístupom k informáciám. Termíny a definície“ (Štátna technická komisia Ruska, 1992);

Sprievodný dokument „Počítačová technika (CT). Firewally. Ochrana pred neoprávneným prístupom k informáciám. Indikátory bezpečnosti pred neoprávneným prístupom k informáciám“ (Štátna technická komisia Ruska, 1997);

Sprievodný dokument „Ochrana pred neoprávneným prístupom k informáciám. Časť 1. Softvér informačnej bezpečnosti. Klasifikácia podľa úrovne kontroly nad absenciou nedeklarovaných spôsobilostí“ (Štátna technická komisia Ruska, 1999);

Sprievodný dokument „Špeciálne požiadavky a odporúčania na technickú ochranu dôverných informácií“ (Štátna technická komisia Ruska, 2001).

1.7.2 Dokumenty o hodnotení bezpečnosti automatizovaných systémov v Ruskej federácii

Pozrime sa na najvýznamnejšie z týchto dokumentov, ktoré definujú kritériá hodnotenia bezpečnosti automatizovaných systémov.

Najnižšia trieda je siedma, najvyššia prvá. Triedy sú rozdelené do štyroch skupín, ktoré sa líšia úrovňou ochrany:

Prvá skupina obsahuje len jednu siedmu triedu, ktorá zahŕňa všetky SVT, ktoré nespĺňajú požiadavky vyšších tried;

Druhá skupina vyznačuje sa voľnou ochranou a obsahuje šiesty a piaty ročník;

Tretia skupina vyznačuje sa povinnou ochranou a obsahuje štvrtú, tretiu a druhú triedu;

Štvrtá skupina vyznačuje sa overenou ochranou a zahŕňa len prvú triedu.

ustanovuje klasifikáciu automatizovaných systémov podliehajúcich ochrane pred neoprávneným prístupom k informáciám a požiadavky na ochranu informácií v automatizovaných systémoch rôznych tried.

Medzi definujúce charakteristiky, podľa ktorých sú reproduktory zoskupené do rôznych tried, patria:

Dokument definuje deväť tried zabezpečenia AS pred neoprávneným prístupom k informáciám. Každá trieda sa vyznačuje určitým minimálnym súborom požiadaviek na ochranu. Triedy sú rozdelené do troch skupín, ktoré sa líšia charakteristikami spracovania informácií v AS.

V rámci každej skupiny sa dodržiava hierarchia požiadaviek na ochranu v závislosti od hodnoty a dôvernosti informácií a následne aj hierarchia bezpečnostných tried AS.

V tabuľke 2 sú uvedené bezpečnostné triedy reproduktorov a požiadavky na ich zabezpečenie.

Tabuľka 1. Bezpečnostné požiadavky na automatizované systémy

Subsystémy a požiadavky

triedy

3B

3A

2B

2A

1D

1G

1B

1B

1A

1. Subsystém kontroly prístupu

1.1. Identifikácia, autentifikácia a kontrola prístupu subjektov:

do systému;

+

+

+

+

+

+

+

+

+

na terminály, počítače, uzly počítačovej siete, komunikačné kanály, externé počítačové zariadenia;

—

—

—

+

—

+

+

+

+

na programy;

—

—