Xavfsizlik standartlari mavjud xavfsizlik darajasini baholashga yondashuvlarni belgilaydigan majburiy hujjatlarni anglatadi. Bundan tashqari, ushbu hujjatlar butun tizimlarning xavfsizligi uchun belgilangan muayyan qoidalarni belgilaydi.

Axborot xavfsizligi standartlari ma'lum funktsiyalarni bajarishga qaratilgan, xususan:

• ma'lumotlar xavfsizligi sohasida qo'llaniladigan muayyan atama va tushunchalarni ishlab chiqish;
• xavfsizlik darajasini o'lchash uchun zarur bo'lgan shkalani shakllantirish;
• Kelishilgan mahsulotni baholashni o'tkazish;
• xavfsizlik uchun ishlatiladigan mahsulotlarning muvofiqligini sezilarli darajada oshirish;
• barqaror holatni o'rnatish bo'yicha ilg'or tajribalar bo'yicha ma'lumotlarni to'plash;
• manfaatdor shaxslar guruhlariga, masalan, xavfsizlik ishlab chiqaruvchilari, soha mutaxassislari, direktorlar, ma'murlar va axborot tizimlarining har qanday boshqa foydalanuvchilariga ilg'or tajribalar haqida ma'lumot berish;
• muayyan standartlarni majburiy amalga oshirishga qaratilgan talablarni belgilash, ularga yuridik kuch berish.

Xalqaro xavfsizlik standartlari

Xalqaro chidamlilik standartlari ma'lumotlar himoyasini ta'minlaydigan tizimlarni joriy etishga qaratilgan amaliyot va ko'rsatmalar to'plamidir.

Xalqaro modellardan biri BS 7799 ma'lumotlarni axborotni himoya qilish maqsadini shakllantirishga qaratilgan. Ushbu sertifikatga ko'ra, xavfsizlikning maqsadi kompaniyaning uzluksiz ishlashini ta'minlash, shuningdek barqarorlik uchun belgilangan talablarni buzish natijasida kelib chiqadigan zararni oldini olish yoki minimallashtirish qobiliyatidir.

Asosiy xalqaro standartlardan yana biri ISO 27002 axborot barqarorligi bo'yicha amaliy maslahatlarning to'liq ro'yxatini o'z ichiga oladi. Ushbu maslahatlar o'z faoliyati davomida bunday texnologiyalarning barqarorligini ta'minlash tizimlarini yaratish, joriy etish va keyinchalik ta'minlash uchun mas'ul bo'lgan xodimlar uchun javob beradi.

Xalqaro axborot xavfsizligi standartlari: ISO 27001

Xalqaro sertifikatlar bilan ifodalangan kompleks texnologik himoya vositalarining tizimlari va jihozlarini joriy etishga qaratilgan muayyan amaliyot va tavsiyalar majmuini anglatadi.

Agar ISO 27001 2013 xalqaro sertifikatida belgilangan qoidalarni hisobga olsak, ko'rib chiqilayotgan texnologiyalarning xavfsizligi ma'lum xususiyatlar bilan ifodalanishi kerak.

Ushbu ISO yagona tizimni to'rt qismga bo'lish imkonini beradi. ISO 27001 sifat menejmentiga qo'yiladigan asosiy talablarni belgilaydigan standartga asoslanadi. Rossiya standartlashtirish me'yorlariga asoslanib, ushbu talablar mijozlarning ehtiyojlarini qondiradigan mahsulotlar bilan ta'minlash qobiliyatini namoyish etishni istagan har bir tashkilot tomonidan bajarilishi kerak.

Bizning kompaniyamiz sizga yordam beradi. Bunday xizmatning narxi 30 000 rublni tashkil qiladi.

Xalqaro xavfsizlik standartlari: ISO 17799

ISO 17799 xalqaro tashkilot tomonidan 2000 yilda yaratilgan. Uning talablariga muvofiq, samarali deb hisoblangan chidamlilik strukturasini yaratishda xavfsizlikni boshqarishga qaratilgan kompleks yondashuvga alohida e'tibor qaratish lozim. Aynan shuning uchun ma'lumot uchun belgilangan muayyan talablarni ta'minlashga qaratilgan chora-tadbirlar nazorat elementi sifatida qaraladi:

• uning maxfiyligi;
• ma'lumotlarning ishonchliligi;
• mavjudligi;
• taqdim etilgan ma'lumotlarning yaxlitligi.

Axborot xavfsizligi standartlari milliy tizimi

Milliy standartlashtirish tizimi milliy sertifikatlar va butun Rossiya tasniflagichlari to'plami bilan ifodalanadi. Ushbu tuzilma nafaqat sertifikatlarning o'zini, balki ularni ishlab chiqish va keyinchalik qo'llash qoidalarini ham o'z ichiga oladi.

Rossiya Federatsiyasida milliy sertifikat mamlakat yoki kelib chiqish joyidan qat'i nazar, ixtiyoriy ravishda qo'llanilishi mumkin.

Shu bilan birga, bunday milliy tizim faqat muvofiqlik belgisi mavjud bo'lganda qo'llaniladigan qoida mavjud.

Rossiya GOST R ISO 17799 axborot xavfsizligini ta'minlashga qaratilgan barcha namunalarni maxfiylikni saqlashga qaratilgan standartlar sifatida belgilaydi. Binobarin, ma'lumotlarning yaxlitligi, mavjudligi va xavfsizligini ta'minlashga qodir bo'lgan bir nechta xodimlarga bunday texnologiyalar bilan ishlashga ruxsat berilishi mumkin.

GOST R ISO 27001 - har bir alohida axborot texnologiyasi xavfsizligini ta'minlashning har qanday usuli bo'lishi kerak bo'lgan xususiyatlarning to'liq ro'yxatini o'z ichiga olgan asosiy standart.

Tegishli texnologiyalar sohasida xalqaro ISO asosida tuzilgan GOST ISO IEC 15408 ning mahalliy namunalari mustaqil baholash natijasida olingan natijalarning solishtirilishini ta'minlashga qaratilgan.

Ushbu GOST ISO RFda taqdim etilgan talablarni qondirish ushbu sohadagi ma'lum texnologiyalarga qo'llanilishi mumkin bo'lgan talablarning yagona ro'yxatini belgilash orqali erishiladi, shuningdek, bunday texnologiyalarni baholashda qo'llaniladigan ishonchni mustahkamlash choralari. ularning xavfsizligi.

Rossiya Federatsiyasida texnologik mahsulotlar bir necha shakllarda amalga oshirilishi mumkin:

• apparat;
• dasturiy ta'minot;
• dasturiy ta'minot va apparat vositalari.

Ushbu sohada Rossiya Federatsiyasining Rossiya ISO standartiga muvofiqligini baholash jarayonida olingan natijalar tekshirilayotgan texnologiyalar ular uchun belgilangan davlat xavfsizligi talablariga javob beradimi yoki yo'qligini aniqlashga imkon beradi.

Qoida tariqasida, Rossiyaning GOST ISO RF sertifikatlari qo'llaniladi:

• mahsulot texnologiyasini ishlab chiqish bo'yicha qo'llanma sifatida;
• mahsulotlarning texnologik xavfsizligi holati bo'yicha qo'llanma sifatida;
• ularni sotib olayotganda texnologiya mahsulotlarini baholash sifatida.

Xavfsizlikni boshqarish tizimlari - Foydalanish bo'yicha qo'llanma bilan spetsifikatsiya ". ISO / IEC 27001: 2005" Axborot texnologiyalari. Xavfsizlik texnikasi. Axborot xavfsizligini boshqarish tizimlari. Talablar "qaysi sertifikatlash amalga oshirilishi mumkin.

Hozirgi vaqtda Rossiyada GOST R ISO / IEC 17799-2005 "Axborot texnologiyalari. Amaliy qoidalar" standartlari mavjud. axborot xavfsizligini boshqarish"(ISO / IEC 17799: 2000 ning haqiqiy tarjimasi) va GOST R ISO / IEC 27001-2006" Axborot texnologiyasi. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligini boshqarish tizimlari. Talablar "(ISO / IEC 27001 tarjimasi: 2005). Turli versiyalar va tarjima xususiyatlari bilan bog'liq bo'lgan ba'zi ichki nomuvofiqliklarga qaramay, standartlarning mavjudligi tizimga imkon beradi. axborot xavfsizligini boshqarish ularning talablariga muvofiq va kerak bo'lganda sertifikatlangan.

GOST R ISO / IEC 17799: 2005 "Axborot texnologiyalari. Axborot xavfsizligini boshqarishning amaliy qoidalari"

Keling, standartning mazmunini ko'rib chiqaylik. Muqaddimada aytilishicha, "axborot, uni qo'llab-quvvatlovchi jarayonlar, axborot tizimlari va tarmoq infratuzilmasi tashkilotning muhim aktivlari hisoblanadi. Maxfiylik, yaxlitlik va ma'lumotlarning mavjudligi raqobatbardoshlik, likvidlik, rentabellik, qonunchilikka rioya qilish va qonunlarga rioya qilishga sezilarli hissa qo'shishi mumkin. ishbilarmonlik obro'si“Shunday qilib aytishimiz mumkinki, ushbu standart axborot xavfsizligi masalalarini, jumladan, iqtisodiy samaradorlik nuqtai nazaridan ham ko‘rib chiqadi.

Axborot xavfsizligi sohasidagi talablarni shakllantirishda hisobga olinishi kerak bo'lgan omillarning uchta guruhi ko'rsatilgan. Bu:

• tashkilotning risklarini baholash. Xatarlarni baholash orqali tashkilot aktivlariga tahdidlar aniqlanadi, zaiflikni baholash tegishli aktivlar va tahdidlar ehtimoli, shuningdek, yuzaga kelishi mumkin bo'lgan oqibatlarni baholash;
• tashkilot, uning savdo hamkorlari, pudratchilar va xizmat ko'rsatuvchi provayderlar qondirishi kerak bo'lgan huquqiy, qonuniy, me'yoriy va shartnoma talablari;
• axborotni qayta ishlash bilan bog'liq holda tashkilot tomonidan ishlab chiqilgan muayyan tamoyillar, maqsadlar va talablar to'plami.

Talablar aniqlangandan so'ng, xavflarni maqbul darajaga tushirishni ta'minlash uchun chora-tadbirlarni tanlash va amalga oshirish bosqichi mavjud. uchun faoliyat tanlash axborot xavfsizligini boshqarish ularni amalga oshirish xarajatlarining nisbati, xavfsizlik buzilgan taqdirda xavf va mumkin bo'lgan yo'qotishlarni kamaytirish samarasiga asoslanishi kerak. Shuningdek, siz pul ko'rinishida ifodalanmaydigan omillarni hisobga olishingiz kerak, masalan, obro'ning yo'qolishi. Faoliyatning mumkin bo'lgan ro'yxati standartda keltirilgan, ammo uni tashkilot ehtiyojlaridan kelib chiqqan holda mustaqil ravishda to'ldirish yoki shakllantirish mumkinligi qayd etilgan.

Keling, standartning bo'limlarini va ular ma'lumotni himoya qilish uchun taklif qiladigan choralarni qisqacha sanab o'tamiz. Birinchi guruh xavfsizlik siyosatiga tegishli. U ishlab chiqilishi, tashkilot rahbariyati tomonidan tasdiqlanishi, nashr etilishi va barcha xodimlarga etkazilishi talab qilinadi. U tashkilotning axborot resurslari bilan ishlash tartibini, xodimlarning vazifalari va majburiyatlarini belgilashi kerak. Siyosat tizimning joriy holatiga va aniqlangan xavflarga mos kelishi uchun vaqti-vaqti bilan ko'rib chiqiladi.

Keyingi bo'limda axborot xavfsizligi bilan bog'liq tashkiliy masalalar ko'rib chiqiladi. Standart xavfsizlik siyosatini tasdiqlash, mas'ul shaxslarni tayinlash uchun boshqaruv kengashini (kompaniyaning yuqori rahbariyati ishtirokida) yaratishni tavsiya qiladi mas'uliyatni taqsimlash uchun chora-tadbirlarni amalga oshirishni muvofiqlashtirish axborot xavfsizligini boshqarish Tashkilotda. Tashkilotda axborotni qayta ishlash vositalaridan (jumladan, yangi dasturiy ta'minot va texnik vositalardan) foydalanish uchun ruxsatnomalar olish jarayoni ham xavfsizlik bilan bog'liq muammolarga olib kelmasligi uchun tavsiflanishi kerak. Shuningdek, axborot xavfsizligi masalalari bo'yicha boshqa tashkilotlar bilan o'zaro hamkorlik qilish, "tashqi" mutaxassislar bilan maslahatlashish, axborot xavfsizligini mustaqil tekshirish (audit) tartibini belgilash talab etiladi.

Uchinchi tomon tashkilotlari mutaxassislariga axborot tizimlariga kirishni ta'minlashda xavfsizlik masalalariga alohida e'tibor qaratish lozim. Bunday mutaxassislarning tashkilotning turli manbalariga kirishning har xil turlari (jismoniy yoki mantiqiy, ya'ni masofaviy) bilan bog'liq xavflarni baholashni amalga oshirish kerak. Kirishni ta'minlash zarurati asosli bo'lishi kerak va xavfsizlik siyosatiga rioya qilish talablari uchinchi shaxslar va tashkilotlar bilan tuzilgan shartnomalarga kiritilishi kerak. Axborotni qayta ishlashga (autsorsingga) uchinchi tomon tashkilotlarini jalb qilishda ham xuddi shunday harakat qilish taklif etiladi.

Standartning keyingi bo'limi tasnifga bag'ishlangan va aktivlarni boshqarish... Tashkilotning axborot xavfsizligini ta'minlash uchun barcha asosiy axborot aktivlari hisobga olinishi va mas'ul egalariga berilishi kerak. Inventarizatsiyadan boshlash tavsiya etiladi. Quyidagi tasnif misol sifatida keltirilgan:

• axborot aktivlari (ma'lumotlar bazalari va ma'lumotlar fayllari, tizim hujjatlari va hokazo.);
• dasturiy ta'minot aktivlari (dasturiy ta'minot, tizim dasturiy ta'minoti, ishlab chiqish vositalari va yordamchi dasturlar);
• jismoniy aktivlar (kompyuter uskunalari, aloqa uskunalari, saqlash vositalari, boshqa texnik jihozlar, mebellar, binolar);
• xizmatlar (hisoblash va aloqa xizmatlari, asosiy kommunal xizmatlar).

Bundan tashqari, axborotning ustuvorligi, zarurligi va himoyalanish darajasini aniqlash uchun uni tasniflash taklif etiladi. Shu bilan birga, tegishli ma'lumotni tashkilot uchun qanchalik muhimligini hisobga olgan holda, masalan, uning yaxlitligi va mavjudligini ta'minlash nuqtai nazaridan baholash mumkin. Shundan so'ng, axborotni qayta ishlash uchun yorliqlash tartibini ishlab chiqish va amalga oshirish taklif etiladi. Tasniflashning har bir darajasi uchun ma'lumotlarni qayta ishlashning quyidagi turlarini hisobga olgan holda etiketkalash tartiblari belgilanishi kerak:

• nusxa ko'chirish;
• saqlash;
• pochta, faks va elektron pochta orqali uzatish;
• ovozli uzatish, shu jumladan mobil telefon, ovozli pochta, javob berish mashinalari;
• halokat.

Keyingi bo'limda xodimlarning xavfsizligi masalalari muhokama qilinadi. Standart xavfsizlik talablariga rioya qilish bo'yicha mas'uliyat ishga qabul qilish bosqichida taqsimlanishini, mehnat shartnomalariga kiritilishini va xodimning butun faoliyati davomida nazorat qilinishini belgilaydi. Xususan, doimiy ishlaydigan xodimlarni ishga qabul qilishda murojaat etuvchi tomonidan taqdim etilgan hujjatlarning haqiqiyligini, rezyumening to‘liqligi va to‘g‘riligini, unga taqdim etilgan tavsiyalarni tekshirish tavsiya etiladi. Xodimlarga qanday ma'lumotlar maxfiy yoki sir ekanligini ko'rsatuvchi maxfiylik shartnomasini imzolash tavsiya etiladi. Tashkilotning xavfsizlik siyosati va tartiblarini buzgan xodimlarning intizomiy javobgarligi belgilanishi kerak. Zarur bo'lganda, bu mas'uliyat ishdan bo'shatilgandan keyin ham ma'lum muddat davom etishi kerak.

Foydalanuvchilar o'qitilishi kerak xavfsizlik tartib-qoidalari va potentsial xavflarni minimallashtirish uchun axborotni qayta ishlash vositalaridan to'g'ri foydalanish. Bundan tashqari, haqida ma'lumot berish tartibi axborot xavfsizligini buzish u bilan xodimlarni tanishtirish kerak. Dasturiy ta'minot buzilgan taqdirda shunga o'xshash protsedura bajarilishi kerak. Takroriy muammolarni aniqlash uchun bunday hodisalarni qayd etish va tahlil qilish kerak.

Standartning keyingi bo'limi jismoniy himoya va atrof-muhit ta'siridan himoya qilishga bag'ishlangan. Ta'kidlanishicha, "muhim yoki muhim xizmat ma'lumotlarini qayta ishlash vositalari ma'lum shaxslar tomonidan belgilangan xavfsizlik zonalariga joylashtirilishi kerak. perimetr xavfsizligi tegishli himoya to'siqlari va penetratsion nazorat bilan. Bu hududlar ruxsat etilmagan kirish, shikastlanish va ta’sirlardan jismonan himoyalangan bo‘lishi kerak.“Muhofaza etiladigan hududlarga kirishni nazorat qilishni tashkil etishdan tashqari, ularda ishlarni bajarish tartibi va zarur hollarda tashrif buyuruvchilarning kirishini tashkil etish tartiblari belgilanishi kerak. ma'lumotlarga ruxsatsiz kirish xavfini kamaytirish va uni yo'qotish yoki shikastlanishdan himoya qilish uchun uskunaning xavfsizligini ta'minlash (shu jumladan tashkilotdan tashqarida ishlatiladigan) uchun zarurdir.Bu talablar guruhi elektr uzilishlaridan himoya qilishni va kabel tarmog'ini himoya qilishni o'z ichiga oladi. Shuningdek, uskunaga texnik xizmat koʻrsatish tartib-qoidalari xavfsizlik talablari va uskunani xavfsiz utilizatsiya qilish yoki qayta ishlatish tartib-qoidalarini hisobga olgan holda belgilanishi kerak.Masalan, muhim maʼlumotlarni oʻz ichiga olgan nafaqaga chiqqan ommaviy axborot vositalari standart maʼlumotlarni oʻchirishdan koʻra, jismonan yoʻq qilinishi yoki xavfsiz tarzda qayta yozilishi kerak. funktsiyalari.

Qog'oz hujjatlarga, saqlash vositalariga va axborotni qayta ishlash vositalariga ruxsatsiz kirish yoki shikastlanish xavfini minimallashtirish uchun qog'oz hujjatlar va olinadigan tashuvchilar uchun toza stol siyosatini va axborotni qayta ishlash vositalari uchun bo'sh ekran siyosatini amalga oshirish tavsiya etiladi. Uskunalar, ma'lumotlar yoki dasturiy ta'minotni tashkilot hududidan faqat tegishli ruxsatnoma bilan olib tashlash mumkin.

Standartning keyingi bo'limining nomi "Ma'lumotlarni uzatish va operatsiyalarni boshqarish". U barcha axborotni qayta ishlash vositalarining ishlashi uchun javobgarlik va tartiblarni belgilashni talab qiladi. Masalan, axborotni qayta ishlash vositalari va tizimlarida konfiguratsiya o'zgarishlarini kuzatish kerak. Boshqaruv funktsiyalariga, muayyan vazifalar va sohalarni amalga oshirishga nisbatan vazifalarni ajratish tamoyilini amalga oshirish talab etiladi.

Dasturiy ta'minotni ishlab chiqish, sinovdan o'tkazish va ishlab chiqarish muhitini (SW) ajratish tavsiya etiladi. Dasturiy ta'minotni ishlab chiqilayotgan holatdan foydalanishga qabul qilingan holatiga o'tkazish qoidalari aniqlanishi va hujjatlashtirilishi kerak.

Axborotni qayta ishlash vositalarini boshqarish uchun pudratchilarni autsorsing qilishda qo'shimcha xavflar yuzaga keladi. Bunday xavflarni oldindan aniqlash va tegishli choralar ko'rish kerak axborot xavfsizligini boshqarish pudratchi bilan kelishilgan va shartnomaga kiritilgan.

Axborotni qayta ishlash va saqlash uchun zarur bo'lgan imkoniyatlarni ta'minlash uchun joriy ishlash talablarini tahlil qilish, shuningdek, kelajakni prognoz qilish kerak. Ushbu prognozlar yangi funktsional va tizim talablarini, shuningdek, tashkilotda axborot texnologiyalarini rivojlantirishning joriy va istiqbolli rejalarini hisobga olishi kerak. Yangi tizimlarni qabul qilish talablari va mezonlari aniq belgilanishi, kelishilishi, hujjatlashtirilishi va sinovdan o'tkazilishi kerak.

Kompyuter viruslari, tarmoq qurtlari, troyan otlari va boshqalar kabi zararli dasturlarning kirib kelishining oldini olish va aniqlash choralarini ko'rish kerak. mantiqiy bombalar... Unda taʼkidlanishicha, zararli dasturlardan himoyalanish xavfsizlik talablarini tushunish, tizimlarga kirishni nazorat qilish boʻyicha tegishli choralar va oʻzgarishlarni toʻgʻri boshqarishga asoslangan boʻlishi kerak.

Dasturiy ta'minot va ma'lumotlarning zaxira nusxasini o'z ichiga olgan yordamchi operatsiyalarni bajarish tartibi 1 Misol tariqasida, №10 laboratoriyada Windows Server 2008 da zaxira nusxasini qanday tashkil qilish muhokama qilinadi., hodisalar va xatolarni ro'yxatga olish va kerak bo'lganda, apparat holatini kuzatish. Har bir alohida tizim bo'yicha ishdan bo'shatish bo'yicha tartiblar biznesning uzluksizligi rejalari talablariga javob berishini ta'minlash uchun muntazam ravishda sinovdan o'tkazilishi kerak.

Tarmoqlardagi ma'lumotlarning xavfsizligini ta'minlash va himoya qilish qo'llab-quvvatlovchi infratuzilma, mablag'larni kiritishni talab qiladi xavfsizlik nazorati va ulangan xizmatlarni ruxsatsiz kirishdan himoya qilish.

Har xil turdagi ommaviy axborot vositalarining xavfsizligiga alohida e'tibor beriladi: hujjatlar, kompyuter vositalari (lentalar, disklar, kassetalar), kirish / chiqish ma'lumotlari va tizim hujjatlari shikastlanishdan. Kompyuter ma'lumotlarining olinadigan tashuvchilaridan foydalanish tartibini (tarkibini nazorat qilish, saqlash, yo'q qilish va boshqalar) tartibini belgilash tavsiya etiladi. Yuqorida ta'kidlab o'tilganidek, ommaviy axborot vositalaridan foydalanish oxirida xavfsiz va xavfsiz tarzda utilizatsiya qilinishi kerak.

Axborotni ruxsatsiz oshkor qilish yoki noto'g'ri foydalanishdan himoya qilishni ta'minlash uchun ma'lumotlarni qayta ishlash va saqlash tartiblarini belgilash zarur. Ushbu protseduralar hisobga olingan holda ishlab chiqilishi kerak turkumlash hujjatlar, hisoblash tizimlari, tarmoqlar, noutbuklar, mobil aloqalar, pochta, ovozli pochta, umuman ovozli aloqalar, multimedia qurilmalari, fakslardan foydalanish va boshqa har qanday muhim ob'ektlar, masalan, blankalar, cheklar va hisoblar bilan bog'liq ma'lumotlar va harakatlar. . Tizim hujjatlari muayyan muhim ma'lumotlarni o'z ichiga olishi mumkin, shuning uchun u ham himoyalangan bo'lishi kerak.

Tashkilotlar o'rtasida axborot va dasturiy ta'minot almashinuvi jarayoni amaldagi qonunlarga muvofiq nazorat qilinishi kerak. Xususan, uzatish paytida axborot tashuvchilarning xavfsizligi ta'minlanishi kerak foydalanish siyosati elektron pochta va elektron ofis tizimlari. Veb-saytdagi ma'lumotlar kabi elektron nashr etilgan ma'lumotlarning yaxlitligini himoya qilish masalasini ko'rib chiqish kerak. Bunday ma'lumotlar ommaga taqdim etilishidan oldin tegishli rasmiylashtirilgan avtorizatsiya jarayoni ham talab qilinadi.

Standartning keyingi bo'limi kirishni boshqarish masalalariga bag'ishlangan.

Kirishni boshqarish qoidalari va har bir foydalanuvchi yoki foydalanuvchilar guruhining huquqlari xavfsizlik siyosati bilan alohida belgilanishi talab qilinadi. Foydalanuvchilar va xizmat ko'rsatuvchi provayderlarga ushbu talablarga javob berishlari kerak.

Foydalanish parolni autentifikatsiya qilish, foydalanuvchi parollari ustidan nazoratni amalga oshirish kerak. Xususan, foydalanuvchilar parollarning to‘liq maxfiyligini saqlash zarurligi to‘g‘risidagi hujjatga imzo chekishlari kerak. Foydalanuvchi tomonidan parolni olish jarayonining xavfsizligini ta'minlash va agar foydalanilgan bo'lsa, foydalanuvchilarni parollari bilan boshqarish (birinchi logindan keyin parolni majburiy o'zgartirish va boshqalar) talab qilinadi.

Ichki va tashqi tarmoq xizmatlariga kirishni nazorat qilish kerak. Foydalanuvchilar faqat ruxsat berilgan xizmatlarga to'g'ridan-to'g'ri kirishni ta'minlashi kerak. Masofaviy foydalanuvchilarning autentifikatsiyasiga alohida e'tibor berilishi kerak. Xatarlarni baholash asosida tegishli autentifikatsiya usulini tanlash uchun zarur himoya darajasini aniqlash muhim ahamiyatga ega. Tarmoq xizmatlaridan foydalanish xavfsizligi ham nazorat qilinishi kerak.

Ko'pgina tarmoq va hisoblash qurilmalari o'rnatilgan masofaviy diagnostika va boshqaruv vositalariga ega. Xavfsizlik choralari ushbu mablag'larga ham taalluqli bo'lishi kerak.

Tarmoqlar bir nechta tashkilotlar tomonidan birgalikda foydalanilganda, kirishni boshqarish siyosati talablari bunga mos kelishi uchun aniqlanishi kerak. Bundan tashqari, qo'shimcha chora-tadbirlarni joriy etishni talab qilishi mumkin axborot xavfsizligini boshqarish foydalanuvchi ulanishini cheklash uchun.

Operatsion tizim darajasida kompyuter resurslariga kirishni cheklash uchun axborot xavfsizligi vositalaridan foydalanish kerak 2 Windows Server 2008 da fayl va papkalarga kirishni boshqarishni tashkil qilish misoli №9 laboratoriyada muhokama qilinadi.... ga ishora qiladi identifikatsiya va autentifikatsiya terminallar va foydalanuvchilar. Barcha foydalanuvchilarga foydalanuvchi imtiyozlari darajasining belgilari bo'lmagan noyob identifikatorlarga ega bo'lish tavsiya etiladi. Tizimlarda parolni boshqarish kerakli sifatdagi samarali interaktiv qo'llab-quvvatlash imkoniyatlari bo'lishi kerak 3 Windows operatsion tizimlarida parollar sifatini boshqarish misoli №3 laboratoriyada ko'rib chiqiladi.... Tizim utilitalaridan foydalanish cheklangan va ehtiyotkorlik bilan nazorat qilinishi kerak.

Agar foydalanuvchi zo'ravonlik nishoniga aylangan bo'lsa, signal berish tavsiya etiladi 4 Bunga misol sifatida kirishga majburlash parollarini keltirish mumkin. Agar foydalanuvchi bunday parolni kiritsa, tizim foydalanuvchining oddiy kirish jarayonini ko'rsatadi va keyin tajovuzkorlarning ma'lumotlarga kirishiga yo'l qo'ymaslik uchun muvaffaqiyatsizlikni simulyatsiya qiladi.(agar bunday hodisa ehtimoliy deb baholansa). Bunday holda, bunday signalga javob berish uchun javobgarlik va tartiblarni belgilash kerak.

Yuqori xavfli tizimlarga xizmat ko'rsatadigan terminallar, oson kirish mumkin bo'lgan joylarga joylashtirilganda, ruxsatsiz kirishning oldini olish uchun ma'lum bir muddat harakatsizlikdan keyin yopilishi kerak. Terminallarning kompyuter xizmatlariga ulanishiga ruxsat berilgan vaqt oralig'ida ham cheklovlar bo'lishi mumkin.

Ilova darajasida axborot xavfsizligi choralari ham qo'llanilishi kerak. Xususan, bu kirishni cheklash bo'lishi mumkin muayyan toifalar foydalanuvchilar. Muhim ma'lumotlarni qayta ishlaydigan tizimlar maxsus (izolyatsiya qilingan) hisoblash muhiti bilan ta'minlanishi kerak.

Tizim monitoringi kirishni boshqarish siyosatidan chetga chiqishlarni aniqlash va axborot xavfsizligi hodisalari yuz bergan taqdirda dalillarni taqdim etish uchun zarurdir. Monitoring natijalari muntazam ravishda ko'rib chiqilishi kerak. Audit izi hodisalarni tekshirish uchun ishlatilishi mumkin, shuning uchun kompyuter soatini to'g'ri sozlash (sinxronizatsiya) juda muhimdir.

Noutbuklar kabi portativ qurilmalardan foydalanganda, xizmat ma'lumotlarining buzilishiga qarshi kurashish uchun maxsus choralar ko'rish kerak. Portativ qurilmalar bilan ishlash bilan bog'liq xavflarni bartaraf etish uchun rasmiylashtirilgan siyosat qabul qilinishi kerak, ayniqsa himoyalanmagan muhitda.

Standartning keyingi bo'limi "Tizimlarni ishlab chiqish va texnik xizmat ko'rsatish" deb ataladi. Allaqachon sahnada axborot tizimlarini rivojlantirish xavfsizlik talablari hisobga olinishini ta'minlash zarur. Va tizimning ishlashi davomida foydalanuvchi ma'lumotlarini yo'qotish, o'zgartirish yoki noto'g'ri ishlatishning oldini olish talab qilinadi. Buning uchun amaliy tizimlarda ma'lumotlarni kiritish va chiqarishning to'g'riligini tasdiqlashni, ma'lumotlarni qayta ishlashni nazorat qilishni ta'minlash tavsiya etiladi. tizim, autentifikatsiya xabarlar, foydalanuvchi harakatlarini qayd qilish.

Maxfiylik, yaxlitlik va ma'lumotlarni autentifikatsiya qilish kriptografik himoya vositalaridan foydalanish mumkin.

Axborotni himoya qilish jarayonida dasturiy ta'minotning yaxlitligini ta'minlash muhim rol o'ynaydi. Axborot tizimlariga etkazilgan zararni minimallashtirish uchun siz o'zgarishlarni amalga oshirishni qat'iy nazorat qilishingiz kerak. Vaqti-vaqti bilan operatsion tizimlarga o'zgartirishlar kiritish zarurati tug'iladi. Bunday hollarda, ularning ishlashi va xavfsizligiga salbiy ta'sir ko'rsatmasligini ta'minlash uchun dastur tizimlarini tahlil qilish va sinab ko'rish kerak. Iloji boricha tayyor dasturiy ta'minot paketlarini o'zgartirishlarsiz ishlatish tavsiya etiladi.

Tegishli masala troyanlarga qarshi kurashish va yashirin oqish kanallaridan foydalanishdir. Qarshi choralardan biri ishonchli sotuvchilardan dasturiy ta'minotdan foydalanish va nazorat qilishdir tizim yaxlitligi.

Dasturiy ta'minotni ishlab chiqishda uchinchi tomon tashkiloti ishtirok etgan hollarda, bajarilgan ishlarning sifati va to'g'riligini nazorat qilish choralarini ko'rish kerak.

Standartning keyingi bo'limi biznesning uzluksizligini boshqarish masalalariga bag'ishlangan. Dastlabki bosqichda biznes-jarayonlarning uzilishiga olib kelishi mumkin bo'lgan hodisalarni aniqlash kerak (uskunalar ishdan chiqishi, yong'in va boshqalar). Bunday holda, oqibatlarini baholash, keyin esa tiklanish rejalarini ishlab chiqish kerak. Rejalar sinovdan o'tkazilishi va tizimdagi o'zgarishlarni hisobga olish uchun vaqti-vaqti bilan ko'rib chiqilishi kerak.

Standartning yakuniy bo'limi muvofiqlik masalalariga bag'ishlangan. Bu, birinchi navbatda, tizim va uning ishlash tartibi qonun hujjatlari talablariga muvofiqligiga taalluqlidir. Bunga mualliflik huquqiga (shu jumladan dasturiy ta'minot) rioya qilish, shaxsiy ma'lumotlarni (xodimlar, mijozlar) himoya qilish, axborotni qayta ishlash vositalaridan noto'g'ri foydalanishning oldini olish masalalari kiradi. Foydalanish kriptografik vositalar axborotni himoya qilish, ular amaldagi qonunchilikka rioya qilishlari kerak. Axborot tizimlari xavfsizligi sohasidagi hodisalar bilan bog‘liq sud jarayonlari bo‘yicha dalillarni to‘plash tartibi ham har tomonlama ishlab chiqilishi kerak.

Axborot tizimlarining o'zi kerak xavfsizlik siyosatiga rioya qilish tashkilot va foydalaniladigan standartlar. Axborot tizimlarining xavfsizligi muntazam ravishda tahlil qilinishi va baholanishi kerak. Shu bilan birga, xavfsizlik tekshiruvlarini o'tkazishda noxush oqibatlarga olib kelmasligi uchun xavfsizlik choralariga rioya qilish kerak (masalan, audit tufayli serverning jiddiy ishdan chiqishi).

Xulosa qilib shuni ta'kidlash mumkinki, standart axborot tizimlari xavfsizligini ta'minlash bilan bog'liq keng ko'lamli masalalarni o'z ichiga oladi. Bir qator sohalarda amaliy tavsiyalar berilgan.

Bilim va ko'nikmalarga qo'yiladigan talablar

Talaba quyidagi tushunchaga ega bo'lishi kerak:

• rossiya Federatsiyasida axborot xavfsizligini ta'minlashda Davlat texnik komissiyasining roli to'g'risida;

• Rossiya Federatsiyasida avtomatlashtirilgan tizimlarning xavfsizligini baholash uchun hujjatlar to'g'risida.

Talaba bilishi kerak:

• rossiya Federatsiyasida avtomatlashtirilgan tizimlarning xavfsizligini baholash standartlarining asosiy mazmuni.

Talaba quyidagilarni bilishi kerak:

• himoya qilish choralari majmui asosida himoyalangan tizimlar sinflarini aniqlash.

Asosiy atama

Kalit atama: Rossiya Federatsiyasida axborot xavfsizligi standartlari.

Rossiya Federatsiyasida axborot xavfsizligi standartlari Rossiya Federatsiyasi Davlat texnik komissiyasi doirasida ishlab chiqilgan.

Ikkilamchi atamalar

• Davlat texnik komissiyasi va uning Rossiya Federatsiyasida axborot xavfsizligini ta'minlashdagi roli.

• Rossiya Federatsiyasida avtomatlashtirilgan tizimlarning xavfsizligini baholash bo'yicha hujjatlar.

Atamalar blok diagrammasi

1.7.1 Davlat texnik komissiyasi va uning Rossiya Federatsiyasida axborot xavfsizligini ta'minlashdagi roli

Rossiya Federatsiyasida axborot xavfsizligi Prezident farmonlari, federal qonunlar, Rossiya Federatsiyasi Hukumatining qarorlari, Rossiya Davlat texnik komissiyasining ko'rsatmalari va boshqa me'yoriy hujjatlarga muvofiq ta'minlanadi.

Eng keng tarqalgan hujjatlar avvalroq axborot xavfsizligini ta'minlashning huquqiy asoslarini o'rganishda ko'rib chiqilgan. Rossiya Federatsiyasida, axborot xavfsizligi sohasidagi qoidalarni standartlashtirish nuqtai nazaridan, Rossiya Davlat Texnik Komissiyasining boshqaruv hujjatlari (RD) muhim ahamiyatga ega bo'lib, uning vazifalaridan biri "o'rnatishni amalga oshirishdir. axborotni texnik muhofaza qilish sohasidagi yagona davlat siyosati».

Rossiya Davlat texnik komissiyasi axborot xavfsizligi sohasida milliy baholash standartlari rolini o'ynaydigan yo'riqnomalarni chiqarish, qoidalarni ishlab chiqishda juda faol. Strategik yo'nalish sifatida Rossiya Davlat texnik komissiyasi "Umumiy mezonlar" ga e'tibor qaratishni tanladi.

O'zining 10 yillik faoliyati davomida Davlat texnik komissiyasi o'nlab hujjatlarni ishlab chiqdi va milliy standartlar darajasiga keltirdi, jumladan:

• "Axborotlashtirish ob'ektlarini axborot xavfsizligi talablariga muvofiq sertifikatlash to'g'risidagi nizom" yo'riqnomasi (Rossiya Davlat texnik komissiyasi raisi tomonidan 1994 yil 25 noyabrda tasdiqlangan);

• “Avtomatlashtirilgan tizimlar (AS). Axborotga ruxsatsiz kirishdan (NSD) himoya. AS tasnifi va axborotni himoya qilish talablari ”(Rossiya Davlat Texnik Komissiyasi, 1997 yil);

• “Kompyuter vositalari. Axborotni buzishdan himoya qilish. NSD dan ma'lumotgacha xavfsizlik ko'rsatkichlari ”(Rossiya Davlat Texnik Komissiyasi, 1992);

• "Kompyuter texnikasini NSD dan axborotgacha himoya qilish kontseptsiyasi" yo'riqnomasi (Rossiya Davlat Texnik Komissiyasi, 1992 yil);

• Yo'l-yo'riq hujjati "Axborotni buzishdan himoya qilish. Atamalar va ta'riflar ”(Rossiya Davlat Texnik Komissiyasi, 1992 yil);

• Yo'l-yo'riq hujjati "Kompyuter jihozlari (SVT). Faervollar. Axborotni buzishdan himoya qilish. NSDdan ma'lumotgacha xavfsizlik ko'rsatkichlari ”(Rossiya Davlat Texnik Komissiyasi, 1997);

• Yo'riqnoma hujjati "Axborotga ruxsatsiz kirishdan himoya qilish. 1-qism. Axborot xavfsizligi uchun dasturiy ta'minot. E'lon qilinmagan imkoniyatlarning yo'qligi ustidan nazorat darajasi bo'yicha tasniflash ”(Rossiya Davlat Texnik Komissiyasi, 1999 yil);

• "Maxfiy ma'lumotlarni texnik himoya qilish bo'yicha maxsus talablar va tavsiyalar" yo'riqnomasi (Rossiya Davlat Texnik Komissiyasi, 2001 yil).

1.7.2 Rossiya Federatsiyasida avtomatlashtirilgan tizimlarning xavfsizligini baholash bo'yicha hujjatlar

Keling, avtomatlashtirilgan tizimlarning xavfsizligini baholash mezonlarini belgilaydigan ushbu hujjatlarning eng muhimlarini ko'rib chiqaylik.

Xavfsizlik ko'rsatkichlari ro'yxati va ularni tavsiflovchi talablar to'plami asosida ma'lumotlarga ruxsatsiz kirishdan himoyalanish darajasi bo'yicha CBT tasnifini o'rnatadi. Apelsin kitobi ushbu hujjatni ishlab chiqish uchun asos bo'lib xizmat qildi. Ushbu baholash standarti ma'lumotlarga ruxsatsiz kirishdan CBTning ettita xavfsizlik sinfini belgilaydi.

Eng past sinf - ettinchi, eng yuqori sinf - birinchi. Sinflar himoya darajasida farq qiluvchi to'rt guruhga bo'lingan:

• Birinchi guruh faqat bitta yettinchi sinfni o'z ichiga oladi, bu yuqori sinflar talablariga javob bermaydigan barcha CBTlarni o'z ichiga oladi;

• Ikkinchi guruh ixtiyoriy himoya bilan tavsiflanadi va oltinchi va beshinchi sinflarni o'z ichiga oladi;

• Uchinchi guruh majburiy himoya bilan tavsiflanadi va to'rtinchi, uchinchi va ikkinchi sinflarni o'z ichiga oladi;

• To'rtinchi guruh tasdiqlangan himoya bilan tavsiflanadi va faqat birinchi sinfni o'z ichiga oladi.

axborotga ruxsatsiz kirishdan himoya qilinadigan avtomatlashtirilgan tizimlarning tasnifini va turli sinflardagi AUdagi axborotni muhofaza qilish talablarini belgilaydi.

AU turli sinflarga guruhlanganligini belgilovchi belgilar orasida:

Hujjat AUni ruxsatsiz xizmatdan ma'lumotgacha himoya qilishning to'qqizta sinfini belgilaydi. Har bir sinf himoya talablarining ma'lum bir minimal to'plami bilan tavsiflanadi. Sinflar AUda axborotni qayta ishlashning o'ziga xos xususiyatlari bilan farq qiluvchi uch guruhga bo'linadi.

Har bir guruh ichida ma'lumotlarning qiymati va maxfiyligi va shunga mos ravishda AU xavfsizlik sinflari ierarxiyasiga qarab himoya talablarining ierarxiyasi kuzatiladi.

2-jadvalda AU himoyasi sinflari va ularni ta'minlashga qo'yiladigan talablar ko'rsatilgan.

Jadval 1. Avtomatlashtirilgan tizimlar uchun xavfsizlik talablari

Quyi tizimlar va talablar	Sinflar
	3B	3A	2B	2A	1D	1G	1B	1B	1A
1. Kirishni boshqarish quyi tizimi 1.1. Subyektlarni identifikatsiya qilish, autentifikatsiya qilish va kirishni nazorat qilish: tizimga;	+	+	+	+	+	+	+	+	+
terminallarga, kompyuterlarga, kompyuter tarmoqlari tugunlariga, aloqa kanallariga, tashqi kompyuter qurilmalariga;	—	—	—	+	—	+	+	+	+
dasturlarga;	—	—	—	+	—	+	+	+	+
jildlarga, kataloglarga, fayllarga, yozuvlarga, yozuv maydonlariga.	—	—	—	+	—	+	+	+	+
1.2. Axborot oqimini boshqarish	—	—	—	+	—	—	+	+	+
2. Ro'yxatga olish va hisobga olishning quyi tizimi 2.1. Ro'yxatdan o'tish va hisobga olish: tizimga (tarmoq tuguniga) kirish / kirish sub'ektlarining kirishi / chiqishi;	+	+	+	+	+	+	+	+	+
bosma (grafik) chiqish hujjatlarini berish;	—	+	—	+	—	+	+	+	+
dasturlar va jarayonlarni boshlash / tugatish (vazifalar, vazifalar);	—	—	—	+	—	+	+	+	+
terminallarga, kompyuterlarga, kompyuter tarmoqlari tugunlariga, aloqa kanallariga, tashqi kompyuter qurilmalariga, dasturlarga, jildlarga, kataloglarga, fayllarga, yozuvlarga, qayd maydonlariga kirish sub’ektlarining dasturlariga kirish;	—	—	—	+	—	+	+	+	+
kirish sub'ektlarining vakolatlaridagi o'zgarishlar;	—	—	—	—	—	—	+	+	+
yaratilgan xavfsiz kirish ob'ektlari.	—	—	—	+	—	—	+	+	+
2.2. Axborot tashuvchilarni hisobga olish.	+	+	+	+	+	+	+	+	+
2.3. Kompyuterning operativ xotirasi va tashqi drayverlarning bo'shatilgan joylarini tozalash (nollashtirish, shaxsiylashtirish).	—	+	—	+	—	+	+	+	+
2.4. Himoyani buzishga urinishlar haqida signal berish.	—	—	—	—	—	—	+	+	+
3. Kriptografik quyi tizim 3.1. Maxfiy ma'lumotlarni shifrlash.	—	—	—	+	—	—	—	+	+
3.2. Turli xil kirish sub'ektlariga (sub'ektlar guruhlariga) tegishli ma'lumotlarni turli kalitlarda shifrlash.	—	—	—	—	—	—	—	—	+
3.3. Sertifikatlangan (sertifikatlangan) kriptografik vositalardan foydalanish.	—	—	—	+	—	—	—	+	+
4. Butunlikni ta'minlash uchun quyi tizim 4.1. Dasturiy ta'minot va qayta ishlangan ma'lumotlarning yaxlitligini ta'minlash.	+	+	+	+	+	+	+	+	+
4.2. Kompyuter vositalari va axborot tashuvchilarning jismoniy xavfsizligi.	+	+	+	+	+	+	+	+	+
4.3. AUda ma'lumot administratorining (xavfsizlik xizmati) mavjudligi.	—	—	—	+	—	—	+	+	+
4.4. NSD axborot xavfsizligi tizimini davriy sinovdan o'tkazish.	+	+	+	+	+	+	+	+	+
4.5. NSD axborot xavfsizligi tizimini tiklash vositalarining mavjudligi.	+	+	+	+	+	+	+	+	+
4.6. Sertifikatlangan himoya vositalaridan foydalanish.	—	+	—	+	—	—	+	+	+

"-" bu sinf uchun hech qanday talablar yo'q;

"+" Bu sinf uchun talablar mavjud;

Asosan, 2-jadvalda ta'minlash uchun bajarilishi kerak bo'lgan minimal talablar jamlangan ma'lumotlarning maxfiyligi.

Xavfsizlik talablari yaxlitlik alohida quyi tizim bilan ifodalanadi (4-raqam).

Yo'riqnoma hujjati “SVT. Faervollar. Axborotni buzishdan himoya qilish. Axborotga ruxsatsiz kirishdan xavfsizlik ko'rsatkichlari "korporativ tarmoqning tashqi perimetri xavfsizlik tizimini tahlil qilish uchun asosiy hujjatdir. Ushbu hujjat xavfsizlik devorlarining (ME) xavfsizlik ko'rsatkichlarini belgilaydi. Har bir xavfsizlik ko'rsatkichi ME faoliyatining ma'lum bir sohasini tavsiflovchi xavfsizlik talablari to'plamidir.

Hammasi bo'lib beshta xavfsizlik ko'rsatkichlari mavjud:

• kirishni boshqarish;

• yaxlitlikni nazorat qilish;

Xavfsizlik ko'rsatkichlariga asoslanib, ME xavfsizligining quyidagi beshta sinfi aniqlanadi:

• eng oddiy filtrlash routerlari - 5-sinf;

• tarmoq qatlami paket filtrlari - 4-sinf;

• amaliy darajadagi eng oddiy ME - 3-sinf;

• asosiy darajadagi ME - 2-sinf;

• rivojlangan ME - 1 sinf.

Xavfsizlikning birinchi toifasidagi ME "Alohida ahamiyatga ega" ma'lumotlarni qayta ishlaydigan 1A sinfidagi AUda qo'llanilishi mumkin. ME ning ikkinchi xavfsizlik klassi "o'ta maxfiy" ma'lumotlarni qayta ishlash uchun mo'ljallangan AS 1B xavfsizlik sinfiga mos keladi va hokazo.

Ulardan birinchisiga ko'ra, AUni ma'lumotlarga ruxsatsiz kirishdan himoya qilishning to'qqizta klassi belgilangan.

Har bir sinf himoya talablarining ma'lum bir minimal to'plami bilan tavsiflanadi. Sinflar AUda axborotni qayta ishlashning o'ziga xos xususiyatlari bilan farq qiluvchi uch guruhga bo'linadi. Har bir guruh ichida ma'lumotlarning qiymati (maxfiyligi) va shunga mos ravishda AU xavfsizlik sinflari ierarxiyasiga qarab himoya talablarining ierarxiyasi kuzatiladi.

Uchinchi guruh bir xil konfidensiallik darajasidagi ommaviy axborot vositalarida joylashgan AU ning barcha ma'lumotlariga kirish huquqiga ega bo'lgan bir foydalanuvchi ishlaydigan AUni tasniflaydi. Guruhda ikkita sinf mavjud - 3B va 3A.

Ikkinchi guruh AU ni tasniflaydi, unda foydalanuvchilar turli darajadagi maxfiylik tashuvchilarida qayta ishlangan va (yoki) saqlanadigan barcha AU ma'lumotlariga bir xil kirish huquqlariga (vakolatlariga) ega. Guruhda ikkita sinf mavjud - 2B va 2A.

Birinchi guruh ko'p foydalanuvchili ASni tasniflaydi, bunda turli darajadagi maxfiylik darajasidagi ma'lumotlar bir vaqtning o'zida qayta ishlanadi va (yoki) saqlanadi va barcha foydalanuvchilar ASning barcha ma'lumotlariga kirish huquqiga ega emas. Guruh beshta sinfni o'z ichiga oladi - 1D, 1G, 1B, 1B va 1A.

Mavzu bo'yicha xulosalar

1. Rossiya Federatsiyasida axborot xavfsizligi Prezident farmonlari, federal qonunlar, Rossiya Federatsiyasi hukumati qarorlari, Rossiya Davlat texnik komissiyasining ko'rsatmalari va boshqa me'yoriy hujjatlarga rioya qilish orqali ta'minlanadi.

2. Rossiya Federatsiyasida axborot xavfsizligi sohasidagi standartlar Rossiya Davlat texnik komissiyasining boshqaruv hujjatlari bo'lib, uning vazifalaridan biri "axborotni texnik himoya qilish sohasida yagona davlat siyosatini amalga oshirish" dir.

3. Milliy standartlarni ishlab chiqishda Rossiya Davlat texnik komissiyasi "Umumiy mezonlar" ga amal qiladi.

Yo'riqnoma hujjati “SVT. Axborotni buzishdan himoya qilish. NSDdan ma'lumotgacha xavfsizlik ko'rsatkichlari " xavfsizlik ko'rsatkichlari ro'yxati va ularni tavsiflovchi talablar majmui asosida ma'lumotlarga ruxsatsiz kirishdan xavfsizlik darajasi bo'yicha SVT tasnifini belgilaydi. Ushbu baholash standarti ma'lumotlarga ruxsatsiz kirishdan CBTning ettita xavfsizlik sinfini belgilaydi. Eng past sinf - ettinchi, eng yuqori sinf - birinchi. Sinflar himoya darajasida farq qiluvchi to'rt guruhga bo'lingan.

Yo'naltiruvchi hujjat “AS. Axborotni buzishdan himoya qilish. AU tasnifi va axborotni himoya qilish talablari " ma'lumotlarga ruxsatsiz kirishdan himoya qilinishi kerak bo'lgan avtomatlashtirilgan tizimlarning tasnifini va turli sinflardagi AUdagi ma'lumotlarni himoya qilish talablarini belgilaydi. AU turli sinflarga guruhlanganligini belgilovchi belgilar orasida:

• AUda turli darajadagi maxfiylik ma'lumotlarining mavjudligi;

• konfidensial ma'lumotlarga kirish huquqi sub'ektlarining vakolatlari darajasi;

• AUda ma'lumotlarni qayta ishlash rejimi - jamoaviy yoki individual.

Yo'riqnoma hujjati “SVT. Faervollar. Axborotni buzishdan himoya qilish. Axborotga ruxsatsiz kirishdan xavfsizlik ko'rsatkichlari "korporativ tarmoqning tashqi perimetri xavfsizlik tizimini tahlil qilish uchun asosiy hujjatdir. Ushbu hujjat xavfsizlik devorlarining xavfsizlik ko'rsatkichlarini belgilaydi. Har bir xavfsizlik ko'rsatkichi ME faoliyatining ma'lum bir sohasini tavsiflovchi xavfsizlik talablari to'plamidir. Hammasi bo'lib beshta xavfsizlik ko'rsatkichlari mavjud:

• kirishni boshqarish;

• identifikatsiya va autentifikatsiya;

• hodisalarni ro'yxatga olish va xabar berish;

• yaxlitlikni nazorat qilish;

• mehnat qobiliyatini tiklash.

Nazorat savollari:

1. NSD dan ma'lumotga qadar SVT ning qancha xavfsizlik sinflari RD "SVT tomonidan belgilanadi. Axborotni buzishdan himoya qilish. NSDdan ma'lumotgacha xavfsizlik ko'rsatkichlari "?

2. Hujjat nomi:
   Hujjat raqami:	53113.1-2008
   Hujjat turi:	GOST R
   Xost organi:	Rosstandart
   Holat:	Aktyorlik
   Nashr etilgan:
   Qabul qilingan sana:	2008 yil 18 dekabr
   Ijroga Kirish muddati:	01 oktyabr 2009 yil
   Tekshirish sanasi:	2018 yil 01 oktyabr

   GOST R 53113.1-2008 Axborot texnologiyalari (IT). Yashirin kanallar yordamida amalga oshiriladigan axborot xavfsizligi tahdidlaridan axborot texnologiyalari va avtomatlashtirilgan tizimlarni himoya qilish. 1-qism. Umumiy qoidalar

   GOST R 53113.1-2008

   T00 guruhi

   ROSSIYA FEDERATSIYASI MILLIY STANDARTI
   

   Axborot texnologiyalari
   

   AXBOROT TEXNOLOGIYALARI VA AVTOMATLANGAN TIZIMLARNI AXBOROT XAVFSIZLIGIGA Yashirin KANALLAR FOYDALANILGAN TAHDILARDAN HIMOYA QILISh.
   

   1-qism
   

   Umumiy holat
   

   Axborot texnologiyalari. Yashirin kanallardan foydalanish natijasida yuzaga keladigan xavfsizlik tahdidlaridan axborot texnologiyalari va avtomatlashtirilgan tizimlarni himoya qilish. 1-qism. Umumiy tamoyillar

   
   OKS 35.040

   Kirish sanasi 2009-10-01

   Muqaddima

   Muqaddima

   1 "Cryptocom" mas'uliyati cheklangan jamiyati tomonidan ishlab chiqilgan
   

   2 Texnik jihatdan tartibga solish va metrologiya bo'yicha Federal agentlik tomonidan joriy etilgan
   

   3 Texnik jihatdan tartibga solish va metrologiya bo'yicha federal agentlikning 2008 yil 18 dekabrdagi 531-son buyrug'i bilan tasdiqlangan va kuchga kirgan.
   

   4 BIRINCHI MARTA KIRILANIB ETILGAN
   
   5 QAYTA QAYTA QILISH. 2018 yil oktyabr
   
   
   Ushbu standartni qo'llash qoidalari ushbu maqolada keltirilgan"Rossiya Federatsiyasida standartlashtirish to'g'risida" 2015 yil 29 iyundagi N 162-FZ Federal qonunining 26-moddasi. Ushbu standartga kiritilgan o'zgartirishlar to'g'risidagi ma'lumotlar yillik (joriy yilning 1 yanvar holatiga) "Milliy standartlar" axborot indeksida, o'zgartirish va qo'shimchalarning rasmiy matni esa "Milliy standartlar" oylik axborot indeksida e'lon qilinadi. Ushbu standart qayta ko'rib chiqilgan (almashtirilgan) yoki bekor qilingan taqdirda, tegishli bildirishnoma "Milliy standartlar" oylik axborot indeksining keyingi sonida e'lon qilinadi. Tegishli ma'lumotlar, xabarnomalar va matnlar ommaviy axborot tizimida - Internetdagi Texnik tartibga solish va metrologiya federal agentligining rasmiy veb-saytida (www.gost.ru) joylashtirilgan.
   
   

   Kirish

   Tarqalgan axborot tizimlari va texnologiyalarini ishlab chiqish, joriy etish va ulardan foydalanish, import qilinadigan dasturiy va apparat platformalaridan loyiha hujjatlarisiz foydalanish maxfiy axborot kanallari deb ataladigan vositalardan foydalanish bilan bog‘liq bo‘lgan axborot xavfsizligi (AT) tahdidlari sinfining paydo bo‘lishiga olib keldi. an'anaviy axborot xavfsizligi vositalariga "ko'rinmas".
   
   Axborot xavfsizligini ta'minlashning an'anaviy vositalari, masalan, kirishni boshqarish vositalari, xavfsizlik devorlari, bosqinlarni aniqlash tizimlari faqat ularni uzatish uchun mo'ljallangan kanallar orqali o'tadigan axborot oqimlarini nazorat qiladi. Yashirin kanallar (SC) orqali ushbu ramkalar tashqarisida ma'lumot almashish imkoniyati hisobga olinmaydi.
   
   Ishonch darajasini oshirishni talab qiladigan tizimlar SC yordamida ruxsatsiz harakatlar qilish ehtimolidan kelib chiqadigan xavfsizlik tahdidlarini hisobga olishlari kerak.
   
   Axborot texnologiyalari (AT) va avtomatlashtirilgan tizimlar (AS) va tashkilotning boshqa aktivlari uchun ICning xavfi axborot oqimini himoya qilish orqali nazoratning yo'qligi bilan bog'liq bo'lib, bu axborotning chiqib ketishiga olib kelishi, axborot resurslarining yaxlitligini buzishi mumkin. kompyuter tizimlarida dasturiy ta'minot yoki ATni amalga oshirishda boshqa to'siqlarni yaratish.
   
   Avtomatlashtirilgan tizimda qayta ishlangan axborotni himoya qilishni ta'minlash uchun an'anaviy va yashirin ruxsatsiz harakatlarning barcha mumkin bo'lgan axborot kanallarini aniqlash va zararsizlantirish kerak.
   
   Ushbu standart "Axborot texnologiyalari. Yashirin kanallar yordamida amalga oshiriladigan axborot texnologiyalari va avtomatlashtirilgan tizimlarni axborot xavfsizligi tahdidlaridan himoya qilish" umumiy nomi ostida birlashtirilgan o'zaro bog'liq bo'lgan bir qator standartlarning bir qismidir:
   
   - Umumiy holat;
   
   - SC yordamida axborot, AT va ASni hujumlardan himoya qilishni tashkil etish bo'yicha tavsiyalar.
   
   Umumiy ma'noda, ICni tahlil qilishda hal qilinishi kerak bo'lgan vazifalar aniqlanadi, IC tasnifi tavsiflanadi va IC yordamida hujumlar xavfi darajasiga ko'ra aktivlar tasnifi beriladi.
   
   AT va AC tizimlari xavfsizligining muhim nuqtasi himoya tizimlariga ishonchdir. Ishonch dasturiy ta'minot va apparat mahsulotlarini xavfsizlik nuqtai nazaridan chuqur tahlil qilish yoki ekspertizadan o'tkazish orqali ta'minlanadi. Ko'pgina hollarda, ushbu tahlilni amalga oshirish uchun dastlabki ma'lumotlar, ya'ni manba kodlari, dizayn va sinov hujjatlari yo'qligi sababli qiyin bo'ladi, buning natijasida noma'lum dasturiy ta'minot yordamida amalga oshirilishi mumkin bo'lgan axborot resurslariga tahdidlar yaratiladi. apparat tizimlari va o'zaro ta'sir qiluvchi dasturiy ta'minot va apparat mahsulotlarining interfeyslari orqali.
   
   Axborot xavfsizligiga bo'lgan ishonch talablari GOST R ISO / IEC 15408-3 da o'rnatiladi, unga ko'ra EAL5 dan boshlab taxminiy ishonch darajasi (EAL) bo'lgan tizimlar uchun majburiy SC tahlili taqdim etiladi. Xorijiy ishlab chiqaruvchilarning apparat va dasturiy mahsulotlaridan foydalanilganda dizayn, sinov hujjatlari va ularda dastlabki kodlar mavjud boʻlmaganda, ularda ataylab yoki tasodifan kiritilgan potentsial zararli komponentlar (masalan, dasturiy taʼminot zaifligi) boʻlmasligiga kafolat berish mumkin emas. Shunday qilib, Rossiya Federatsiyasida SCni tahlil qilish talabi qimmatli ma'lumotlarni qayta ishlaydigan yoki import qilingan apparat va dasturiy ta'minotdan foydalanadigan tizimlarning, shu jumladan EAL5 dan past bo'lgan EALga ega bo'lgan tizimlarning xavfsiz ishlashi uchun zaruriy shartdir.
   
   Axborot, AT va ASni IClar yordamida hujumlardan himoya qilishni tashkil etish bo'yicha tavsiyalar ICni qidirish va ICga qarshi kurashish tartibini belgilaydi.
   
   Ushbu standart GOST R ISO / IEC 15408-3, GOST R ISO / IEC 27002 (IC yordamida amalga oshirilgan IS tahdidlariga qarshi choralar ko'rish bo'yicha) va boshqalarni ishlab chiqishda ishlab chiqilgan.
   
   

   1 foydalanish sohasi

   Ushbu standart IC tasnifini o'rnatadi va IC-larni tahlil qilishda hal qilinishi kerak bo'lgan vazifalarni belgilaydi, bu IC-lardan foydalangan holda ma'lumotlarni hujumlardan himoya qilishni tashkil etishning keyingi tartibini aniqlash uchun zarur komponent hisoblanadi, shuningdek, IT uchun IC tahlilini o'tkazish tartibini belgilaydi. va AS mahsulotlari va tizimlari, ularning natijalari axborot tizimlariga ishonchni baholashda va AT xavfsizligi choralarida qo'llaniladi.
   
   Ushbu standart me'yoriy hujjatlar talablariga muvofiq himoya qilinishi kerak bo'lgan ma'lumotlarni qayta ishlash, saqlash yoki uzatish uchun mo'ljallangan IT-mahsulotlar va tizimlarni ishlab chiqish, sotib olish va ishlatish uchun talablarni ishlab chiqishda mijozlar, ishlab chiquvchilar va AT foydalanuvchilari uchun mo'ljallangan. yoki axborot egasi tomonidan belgilangan talablar. Ushbu standart, shuningdek, AT va AU xavfsizligini xavfsizlikni baholash va sertifikatlashda sertifikatlashtirish organlari va sinov laboratoriyalari uchun, shuningdek, IC orqali zarar etkazilishi mumkin bo'lgan qimmatli axborot aktivlariga tahdidlarni solishtirish uchun tahliliy bo'limlar va xavfsizlik xizmatlari uchun mo'ljallangan.
   
   

   2 Normativ havolalar

   Ushbu standart quyidagi standartlarga normativ havolalardan foydalanadi:
   
   GOST R ISO / IEC 15408-3 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot texnologiyalari xavfsizligini baholash mezonlari. 3-qism. Xavfsizlik ishonchli komponentlari
   
   GOST R ISO / IEC 27002 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligini boshqarish bo'yicha amaliyot kodeksi
   
   Eslatma - Ushbu standartdan foydalanganda, ommaviy axborot tizimida - Internetdagi Texnik tartibga solish va metrologiya bo'yicha Federal agentlikning rasmiy veb-saytida yoki yillik "Milliy standartlar" axborot indeksiga muvofiq ma'lumotnoma standartlarining haqiqiyligini tekshirish tavsiya etiladi. , joriy yilning 1 yanvar holatiga e'lon qilingan va joriy yil uchun "Milliy standartlar" oylik axborot indeksi nashrlari tomonidan. Agar sanasi ko'rsatilmagan havola berilgan havola qilingan standart almashtirilgan bo'lsa, ushbu versiyaga kiritilgan har qanday o'zgarishlarni hisobga olgan holda ushbu standartning joriy versiyasidan foydalanish tavsiya etiladi. Agar sanasi ko'rsatilgan ma'lumotnoma berilgan havola qilingan standart almashtirilsa, ushbu standartning yuqoridagi tasdiqlangan (qabul qilingan) yili bilan versiyasidan foydalanish tavsiya etiladi. Agar ushbu standart tasdiqlanganidan keyin sanasi ko'rsatilgan havola qilingan standartga havola qilingan qoidaga ta'sir qiladigan o'zgartirish kiritilsa, ushbu qoidani ushbu o'zgartirishni hisobga olmasdan qo'llash tavsiya etiladi. Agar mos yozuvlar standarti almashtirilmasdan bekor qilingan bo'lsa, unda unga havola berilgan qoidani ushbu havolaga ta'sir qilmaydigan qismga qo'llash tavsiya etiladi.
   
   

   3 Atamalar va ta'riflar

   Ushbu standartda quyidagi atamalar tegishli ta'riflar bilan qo'llaniladi:
   

   3.1 avtomatlashtirilgan tizim: Belgilangan funktsiyalarni bajarish uchun axborot texnologiyalarini amalga oshiradigan xodimlar va ularning faoliyatini avtomatlashtirish vositalari majmuasidan iborat tizim.
   

   3.2 tajovuzkor agenti: Huquqbuzarning manfaatlarini ko'zlab harakat qiluvchi shaxs, dasturiy ta'minot, apparat-dasturiy ta'minot yoki texnik vositalar.
   

   3.3 aktivlar(aktivlar): Tashkilot uchun qiymatga ega bo'lgan va uning ixtiyorida bo'lgan har qanday narsa.
   
   Izoh - Tashkilotning aktivlari quyidagilarni o'z ichiga olishi mumkin:
   
   - hisoblash, telekommunikatsiya va boshqa resurslar;
   
   - axborot aktivlari, shu jumladan. har xil turdagi ma'lumotlarning hayotiy tsiklining quyidagi bosqichlarida: yaratish (yaratish), qayta ishlash, saqlash, uzatish, yo'q qilish;
   
   - uchinchi shaxslarga taqdim etilgan mahsulotlar va xizmatlar.
   
   

   3.4 kirishni blokirovka qilish (ma'lumotga): Qonuniy foydalanuvchilarning ma'lumotlarga kirishini to'xtatish yoki to'xtatish.
   

   3.5 zararli dastur: Axborot tizimining axboroti yoki resurslariga ruxsatsiz kirish va (yoki) ta'sir o'tkazish uchun mo'ljallangan dastur.
   

   3.6 Yashirin kanal tahlili chuqurligi: Yashirin kanalni va uning xususiyatlarini aniqlash uchun murakkablik nuqtai nazaridan foydalaniladigan asboblarning o'zgaruvchanlik darajasi.
   

   3.7 ishonch ishonch: element xavfsizlik maqsadlariga javob berishiga ishonch uchun asos.
   

   3.8 yashirin kanalni aniqlash: Yashirin kanalning mavjudligi ehtimolini ochib berish va uning tasnifidagi o'rnini aniqlash.
   

   3.9 cheklangan ma'lumotlar: Foydalanish cheklangan va oshkor etilishi boshqalarning, jamiyat va davlat manfaatlariga zarar yetkazishi mumkin bo‘lgan axborot turi.
   

   3.10 Axborot xavfsizligi(axborot xavfsizligi) ma'lumotlarning yoki uni qayta ishlash vositalarining maxfiyligi, yaxlitligi, mavjudligi, rad etilmasligi, javobgarligi, haqiqiyligi va ishonchliligini aniqlash, erishish va saqlash bilan bog'liq barcha jihatlar
   

   3.11 Axborot tizimi: Tashkiliy tartibda tartibga solingan hujjatlar to'plami (hujjatlar massivlari) va axborot texnologiyalari, shu jumladan kompyuter texnologiyalari va aloqa vositalaridan foydalanish, axborot jarayonlarini amalga oshirish.
   
   Eslatma - Axborot tizimlari axborotni saqlash, qayta ishlash, qidirish, tarqatish, uzatish va taqdim etish uchun mo'ljallangan.
   
   

   3.12 axborot texnologiyalari: Ma'lumotlarni yig'ish, saqlash, qayta ishlash, uzatish va ishlatish funktsiyalarini bajarishda kompyuter texnologiyalaridan foydalanish texnikasi, usullari va usullari.
   

   3.13 axborot ob'ekti: Dasturda aylanib yuradigan ma'lumotlar bo'laklarini o'z ichiga olgan dastur elementi.
   
   Eslatma - dasturlash tiliga qarab axborot ob'yekti sifatida o'zgaruvchilar, massivlar, yozuvlar, jadvallar, fayllar, operativ xotira fragmentlari va boshqalardan foydalanish mumkin.
   
   

   3.14 axborot oqimi(axborot oqimi): Axborot manbai va uni oluvchi o'rtasidagi o'zaro ta'sir jarayoni.
   
   QAYD - Axborot oqimiga ruxsat berilishi mumkin va ruxsat etilmaydi. X va Y ob'ektlar orasidagi axborot oqimi, agar o'rtacha o'zaro ma'lumot I (X, Y) 0 dan katta bo'lsa mavjud bo'ladi. Axborot oqimining matematik modeli xabar manbai kirish so'zini yuboradigan holat mashinasi sifatida belgilanishi mumkin. mashinaning kirish qismiga, va xabarni qabul qiluvchi mashinaning chiqish ketma-ketligini ko'radi ...
   
   

   3.15 yashirin kanallarni har tomonlama tahlil qilish Yashirin kanallarni identifikatsiya qilish rejasi barcha mumkin bo'lgan yashirin kanal tadqiqot yo'nalishlari sinab ko'rilganligini tasdiqlash uchun etarli ekanligini ko'rsatish uchun qo'shimcha dalillarni talab qiladigan to'liq yashirin kanal tahlili.
   

   3.16 kalit: Kriptografik ma'lumotlarni o'zgartirish algoritmining ba'zi parametrlarining o'ziga xos maxfiy holati, bu algoritm uchun barcha mumkin bo'lgan transformatsiyalar to'plamidan bitta transformatsiyani tanlashni ta'minlaydi.
   

   3.17 aloqa kanali: Manbadan qabul qiluvchiga xabar yetkazuvchi axborot tashuvchilar to'plami.
   

   3.18 muhim ob'ektlar: Faoliyatining uzilishi yoki to‘xtatilishi boshqaruvni yo‘qotishga, infratuzilmani yo‘q qilishga, mamlakat, sub’ekt yoki ma’muriy-hududiy birlik iqtisodiyotining qaytarilmas salbiy o‘zgarishiga yoki vayron bo‘lishiga yoki inson hayoti xavfsizligini sezilarli darajada yomonlashishiga olib keladigan ob’ektlar. bu hududlarda uzoq vaqt yashovchi aholi.
   

   3.19 Axborot uzatish mexanizmi: Ma'lumotni jo'natuvchidan qabul qiluvchiga o'tkazishning amalga oshirilgan usuli.
   

   3.20 modifikatsiya ma'lumotlari: Axborotni taqdim etish shakli va mazmunini maqsadli o'zgartirish.
   

   3.21 axborot xavfsizligini buzuvchi(dushman): Axborot tizimlarida texnik vositalar yordamida axborotni qayta ishlash jarayonida axborot xavfsizligini buzish natijasida tasodifiy yoki qasddan harakatlar sodir etgan shaxs (sub'ekt).
   

   3.22 ma'lumotlarga ruxsatsiz kirish(axborotga ruxsatsiz kirish): Axborotga kirish yoki kompyuter texnologiyalari yoki avtomatlashtirilgan tizimlar tomonidan taqdim etilgan standart vositalardan foydalangan holda kirishni farqlash qoidalarini buzadigan ma'lumotlarga ega harakatlar.
   
   Izoh Ob'ektga kirish, shuningdek, uning tarkibidagi ma'lumotlarga kirishni ham o'z ichiga oladi.
   
   

   3.23 ob'ekt(ob'ekt): Ma'lumotni saqlaydigan, qabul qiladigan yoki uzatuvchi passiv tizim komponenti.
   

   3.24 xavfni baholash: Mumkin bo'lgan halokatli ta'sir darajasini aniqlash.
   

   3.25 taxminiy ishonch darajasi baholash kafolati darajasi: oldindan belgilangan ishonch shkalasi bo'yicha pozitsiyani ifodalovchi ishonch komponentlari to'plami.
   
   Izoh - Kafolat komponentlari to'plami GOST R ISO / IEC 15408-3 talablariga muvofiq belgilanadi.
   
   

   3.26 kirish paroli(parol): uning (mavzuning) siri bo'lgan kirish printsipining identifikatori.
   

   3.27 Shaxsiy ma'lumotlar: Bunday ma'lumotlar asosida aniqlangan yoki aniqlangan jismoniy shaxsga (shaxsiy ma'lumotlar sub'ektiga) tegishli har qanday ma'lumot.
   
   Eslatma - Shaxsiy ma'lumotlar sub'ektining familiyasi, ismi, otasining ismi, tug'ilgan yili, oyi, sanasi va joyi, shuningdek manzili, oilasi, ijtimoiy, mulkiy holati, ma'lumoti, kasbi, daromadi va boshqa ma'lumotlardan foydalanish mumkin shaxsiy ma'lumotlar sifatida.
   
   

   3.28 axborot xavfsizligi siyosati tashkilotni o'z faoliyatida boshqaradigan hujjatlashtirilgan axborot xavfsizligi siyosatlari, protseduralari, amaliyotlari yoki yo'riqnomalarining axborot xavfsizligi siyosati
   

   3.29 mahsulot(mahsulot): Muayyan funksionallikni taʼminlovchi hamda bevosita foydalanish yoki turli tizimlarga kiritish uchun moʻljallangan axborot texnologiyalari dasturiy taʼminoti, proshivka va/yoki apparat vositalari toʻplami.
   

   3.30 yashirin kanal sig'imi(yashirin kanal sig'imi): Yashirin kanal orqali vaqt birligida yoki boshqa miqyosga nisbatan uzatilishi mumkin bo'lgan ma'lumotlar miqdori.
   

   3.31 tizimi(tizim): Muayyan maqsad va ish sharoitlariga ega bo'lgan axborot texnologiyalarining o'ziga xos timsolidir.
   

   3.32 tizimli yashirin kanal tahlili tizimli yashirin kanal tahlili, bunda axborot texnologiyalari va avtomatlashtirilgan tizimlar dizayneri maxfiy kanallarni muayyan vaziyatga nisbatan qo‘llaniladigan xususiy usulda aniqlashdan farqli ravishda tuzilgan va takrorlanadigan tarzda yashirin kanallarni aniqlashi kerak.
   
   Izoh Yashirin kanallarni aniqlash odatda xavfsizlik rejasiga muvofiq amalga oshiriladi.
   
   

   3.33 yashirin kanal(yashirin kanal): Axborot texnologiyalari va avtomatlashtirilgan tizimlarni ishlab chiquvchi tomonidan ko'zda tutilmagan, xavfsizlik siyosatini buzish uchun ishlatilishi mumkin bo'lgan aloqa kanali.
   

   3.34 uzatish vositasi: Axborot uzatish jarayonini jismoniy amalga oshirish.
   

   3.35 Mavzu(mavzu): Tizimning faol komponenti, odatda foydalanuvchi, jarayon yoki qurilma sifatida taqdim etiladi, bu ob'ektdan ob'ektga axborot oqimiga yoki tizim holatining o'zgarishiga olib kelishi mumkin.
   

   3.36 xavfsizlik tahdidi(tahdid): Axborotning tarqalishi va/yoki ruxsatsiz va/yoki qasddan bo'lmagan ta'sirlar bilan bog'liq potentsial yoki real tahdidni yaratuvchi shartlar va omillar to'plami.
   

   3.37 vakolatli foydalanuvchi(vakolatli foydalanuvchi): Xavfsizlik siyosatiga muvofiq har qanday operatsiyani bajarishga ruxsat berilgan foydalanuvchi.
   

   3.38 zarar: Aktivlarga zarar etkazish natijasida yuzaga keladigan salbiy oqibatlar.
   

   3.39 zaiflik: Axborot texnologiyalari tizimi va avtomatlashtirilgan tizimlarning axborot xavfsizligini buzish uchun ishlatilishi mumkin bo'lgan tizim mulki.
   
   

   4 Umumiy

   4.1 Ushbu standart tashkilotning aktivlari uchun SC xavfi darajasini aniqlash, SCni identifikatsiya qilish va unga qarshi kurashishning quyidagi tartibini belgilaydi:
   
   - aktivlar xavfsizligiga yuzaga kelishi mumkin bo'lgan tahdidlarni hisobga olgan holda, IC yordamida hujumlar xavfi darajasiga qarab aktivlarni tasniflashni amalga oshirish;
   
   - aktivlar turiga qarab IC tahlilining zarur chuqurligini aniqlash;
   
   - Quyidagi vazifalarni o'z ichiga olgan SK tahlilini o'tkazish:
   
   SC ni aniqlash (aniqlash),
   
   SC ning o'tkazuvchanligini baholash va ularning yashirin ishlashi natijasida yuzaga keladigan xavfni baholash;
   
   - SCni qo'llash bilan amalga oshiriladigan tahdidlardan himoya qilish choralari va quyidagi vazifalarni amalga oshirishni o'z ichiga oladi:
   
   belgilangan xavfsizlik tahdidlariga qarshi himoya choralarini ko'rish bo'yicha qarorlar qabul qilish;
   
   SCni yo'q qilishgacha amalga oshirishga qarshilik.
   

   4.2 Himoyalangan aktivlarning tasnifi IClardan foydalangan holda hujumlarning jiddiyligiga qarab 7-bo'limda keltirilgan.
   

   4.3 ICni tahlil qilish chuqurligi aktivlarning qiymati, ya'ni IC yordamida amalga oshirilgan xavfsizlik tahdidlarini amalga oshirish natijasida etkazilishi mumkin bo'lgan zarar, ya'ni mavjud bo'lgan xavflar bilan belgilanadi. bu tahdidlar. Bunday tahdidlarning tasnifi 6-bo'limda keltirilgan.
   

   4.4 SCni identifikatsiyalash SC potentsial mavjud bo'lishi mumkin bo'lgan sub'ektlarni (manba va qabul qiluvchini), parametrlarni, manipulyatsiya qilinganda ma'lumot uzatilishini, ma'lumotlarning o'zgarishi sababli o'qiladigan parametrlarni, axborotni uzatish vositasini belgilaydi. , axborotni uzatish mumkin bo'lgan mantiqiy shartlar. SC ni identifikatsiya qilish tizimni ishlab chiqish jarayonida ham potentsial oqish kanallari yoki ta'sir kanallarini o'rganish orqali, ham tizimning ish rejimida SC mavjudligini aniqlaydigan belgilarni kuzatish orqali amalga oshirilishi mumkin. Ikkinchi holda, SC tizim parametrlarini kuzatish orqali aniqlanadi. Axborot xavfsizligi hujjatlari qo'llaniladigan kuzatuv tizimi yordamida SC ning qaysi sinflarini aniqlash mumkinligini aks ettirishi kerak.
   

   4.5 Aniqlangan SKlarning imkoniyatlarini baholash rasmiy, texnik usullar yoki modellashtirish usullari bilan amalga oshiriladi.
   

   4.6 SCni qo'llash bilan amalga oshiriladigan xavfsizlik tahdidlariga qarshi himoya choralarini amalga oshirish to'g'risida qaror qabul qilishda tashkilotning aktivlariga zarar etkazish xavfini hisobga olish kerak, bu boshqa narsalar bilan bir qatorda. SC ning tarmoqli kengligi.
   

   4.7 Xavfli SK ga qarshi kurash quyidagi vositalar va usullar yordamida amalga oshirilishi mumkin:
   
   - AT yoki AS arxitekturasini qurish, bu SCni blokirovka qilish yoki ularning o'tkazish qobiliyatini shunchalik past qilish imkonini beradiki, kanallar zararsiz bo'ladi. Ushbu usul AT yoki ASni loyihalash bosqichida qo'llaniladi;
   
   - SCni bir-biriga yopishtirish yoki ularning o'tkazuvchanligini ma'lum darajadan pastga tushirishga imkon beruvchi texnik vositalardan foydalanish;
   
   - tizimning ishlashi davomida xavfli IC ishini aniqlash imkonini beruvchi dasturiy va apparat vositalaridan foydalanish. IC ishining belgilarini aniqlash ularning axborot resurslariga ta'sirini blokirovka qilishga imkon beradi;
   
   - SCni yo'q qilish yoki ularning o'tkazuvchanligini xavfsiz qiymatga kamaytirish uchun tashkiliy va texnik choralarni qo'llash.
   
   

   5 Yashirin kanallar tasnifi

   5.1 SC axborotni uzatish mexanizmiga ko'ra quyidagilarga bo'linadi:
   
   - xotiradan SK;
   
   - vaqt bo'yicha SK;
   
   - yashirin statistik kanallar.
   

   5.2 Xotiradan SK xotiraning mavjudligiga asoslanadi, unga uzatuvchi sub'ekt ma'lumot yozadi va qabul qiluvchi sub'ekt uni o'qiydi.
   
   Kanallarning yashirin xotirasi tashqi kuzatuvchining xotiradagi yashirin ma'lumot yozilgan joyni bilmasligi bilan belgilanadi.
   
   Xotiradan SClar xotira resurslaridan foydalanishni nazarda tutadi, ammo xotiradan foydalanish usuli himoya tizimini ishlab chiquvchilar tomonidan hisobga olinmaydi va shuning uchun foydalanilgan himoya vositalari tomonidan aniqlanmaydi.
   

   5.3 Vaqt bo'yicha CS ma'lumotni uzatuvchi sub'ekt uzatilayotgan ma'lumot bilan ma'lum vaqt o'zgaruvchan jarayonni modulyatsiya qiladi va axborotni qabul qiluvchi sub'ekt ma'lumotni o'tkazish jarayonini o'z vaqtida kuzatish orqali uzatilgan signalni demodulyatsiya qila oladi. Masalan, ko'p vazifali operatsion tizimda (OT) markaziy protsessor - amaliy dasturlar uchun umumiy hisoblash resursi. CPU band bo'lgan vaqtni modulyatsiya qilish orqali ilovalar bir-biriga noqonuniy ma'lumotlarni uzatishi mumkin.
   

   5.4 Yashirin statistik kanal tasodifiy deb hisoblanishi mumkin bo'lgan va ehtimollik-statistik modellar bilan tavsiflangan tizimning har qanday xarakteristikalarining ehtimollik taqsimoti parametrlarining o'zgarishini ma'lumotlarni uzatish uchun foydalanadi.
   
   Bunday kanallarning maxfiyligi axborotni qabul qiluvchining tizimning kuzatilayotgan xususiyatlarini taqsimlash parametrlarini aniqlashda CS tuzilishi haqida ma'lumotga ega bo'lmagan kuzatuvchiga qaraganda kamroq noaniqlikka ega ekanligiga asoslanadi.
   
   Masalan, ma'lum vaqt oralig'ida yuborilgan paketdagi haqiqiy, ammo ehtimol bo'lmagan kombinatsiyaning paydo bo'lishi kompyuter tizimidagi nosozlik signalini ko'rsatishi mumkin.
   

   Xotiradan 5,5 SK, o'z navbatida, quyidagilarga bo'linadi:
   
   - tuzilgan ma'lumotlarda ma'lumotlarni yashirishga asoslangan IC;
   
   - SK, tuzilmagan ma'lumotlarda ma'lumotlarni yashirishga asoslangan.
   

   5.6 Strukturaviy ma'lumotlarda ma'lumotni yashirishga asoslangan IC rasmiy tavsiflangan tuzilma va rasmiy qayta ishlash qoidalariga ega bo'lgan axborot ob'ektlariga ma'lumotlarni joylashtirishdan foydalanadi. Misol uchun, zamonaviy matn jarayonlari tomonidan qo'llaniladigan ichki fayl formati faylni tahrirlashda ko'rinmaydigan qator maydonlarni o'z ichiga oladi, shuning uchun ular yashirin ma'lumotlarni kiritish uchun ishlatilishi mumkin.
   

   5.7 Tarkibi bo'lmagan ma'lumotlarda ma'lumotni yashirishga asoslangan IC rasmiy tavsiflangan tuzilmani hisobga olmasdan axborot ob'ektlariga kiritilgan ma'lumotlardan foydalanadi (masalan, tasvirning ko'rinadigan buzilishlariga olib kelmasdan tasvirning eng muhim bitlarida yashirin ma'lumotlarni yozib olish).
   

   5.8 SC o'tkazish qobiliyatiga ko'ra quyidagilarga bo'linadi:
   
   - past tarmoqli kengligi kanali;
   
   - yuqori tarmoqli kengligi bo'lgan kanal.
   

   5.9 SC past o'tkazuvchanlik kanali hisoblanadi, agar uning o'tkazish qobiliyati minimal hajmdagi qimmatli axborot ob'ektlarini (masalan, kriptografik kalitlar, parollar) yoki buyruqlarni ushbu uzatish tegishli bo'lgan vaqt oralig'ida uzatish uchun etarli bo'lsa.
   

   5.10 SC yuqori sig'imli kanal hisoblanadi, agar uning sig'imi o'rta va katta hajmdagi axborot ob'ektlarini (masalan, matnli fayllar, tasvirlar, ma'lumotlar bazalari) ushbu axborot ob'ektlari qimmatli bo'lgan vaqt oralig'ida uzatish imkonini beradi.
   
   Murakkab muammolarni hal qilish uchun turli uzatish mexanizmlariga asoslangan SC kombinatsiyasidan foydalanish mumkin.
   
   

   6 Yashirin kanallar yordamida amalga oshirilgan xavfsizlik tahdidlarining tasnifi

   6.1 SC tomonidan amalga oshirilishi mumkin bo'lgan xavfsizlik tahdidlariga quyidagilar kiradi:
   
   - zararli dasturlar va ma'lumotlarni joriy etish;
   
   - tajovuzkor tomonidan agentga buyruqlarni bajarish uchun taqdim etish;
   
   - kriptografik kalitlar yoki parollarning sizib chiqishi;
   
   - individual axborot ob'ektlarining sizib chiqishi.
   

   6.2 Ushbu tahdidlarning amalga oshirilishi quyidagilarga olib kelishi mumkin:
   
   - axborot aktivlarining maxfiyligini buzish;
   
   - IT va AU ning noto'g'ri ishlashi;
   
   - resurslarga kirishni blokirovka qilish;
   
   - ma'lumotlar va dasturiy ta'minotning yaxlitligini buzish.
   

   6.3 SC dan foydalangan holda hujumlarga eng sezgir tizimlar:
   
   - ko'p foydalanuvchili taqsimlangan tizimlar;
   
   - global tarmoqlarga kirish imkoniyatiga ega tizimlar;
   
   - kriptografik himoya vositalaridan foydalanadigan tizimlar;
   
   - ko'p darajali (majburiy) kirishni boshqarish siyosatidan foydalanadigan tizimlar;
   
   - dasturiy ta'minot va apparat vositalarini aniqlash mumkin bo'lmagan tizimlar (mavjud bo'lmagan manba kodi bilan dasturiy ta'minot va apparat vositalaridan foydalanish va dizayn hujjatlarining yo'qligi sababli).
   

   6.4 SClar yordamida amalga oshirilgan tahdidlarning SC turlari bilan, ularning o'tkazish qobiliyatiga qarab o'zaro bog'liqligi 1-jadvalda ko'rsatilgan.
   
   
   1-jadval - Yashirin kanallar yordamida amalga oshiriladigan tahdidlarning o'tkazish qobiliyatiga qarab yashirin kanallar turlari bilan bog'liqligi
   

   	Yashirin kanal turi
   	Past tarmoqli kengligi bilan yashirin kanallar	Yuqori tarmoqli kengligi bilan yashirin kanallar
   Zararli dasturlar va ma'lumotlarni kiritish
   Tajovuzkor agentga bajarish uchun buyruqlar yuboradi
   Sizib ketgan kriptografik kalitlar yoki parollar
   Individual axborot ob'ektlarining oqib chiqishi
   Eslatma - "+" belgisi tahdid va tegishli turdagi yashirin kanal o'rtasida bog'liqlik mavjudligini anglatadi; "-" belgisi munosabatlar mavjud emasligini bildiradi.

   7 Yashirin kanallardan foydalangan holda hujumlarning jiddiyligiga ko'ra aktivlarni tasniflash

   7.1 SClardan foydalangan holda hujumlarning jiddiyligiga qarab, tashkilotning himoyalangan aktivlari quyidagi sinflarga bo'linadi:
   
   1-sinf - ma'lumotni o'z ichiga olgan aktivlar, IC yordamida amalga oshirilgan hujumlarga moyillik darajasi egasi tomonidan belgilanadi.
   
   2-sinf - cheklangan ma'lumotlar yoki shaxsiy ma'lumotlarni o'z ichiga olgan va ochiq tarmoqlar yoki umumiy kompyuter tizimlari bilan texnik interfeyslarga ega bo'lgan tizimlarda, shuningdek, texnik kanallar orqali sizib chiqishdan himoya qilishni nazarda tutmaydigan kompyuter tizimlarida qayta ishlangan aktivlar.
   
   3-sinf - davlat sirini tashkil etuvchi ma'lumotlarni o'z ichiga olgan aktivlar.
   

   7.2 Bundan tashqari, past tarmoqli kengligi bo'lgan IC'lardan tahdidlarga zaif bo'lgan maxsus aktivlar sinfi mavjud. Bu guruhga quyidagilar kiradi:
   
   A klassi - muhim ob'ektlarning ishlashi bilan bog'liq aktivlar. Masalan, ushbu turdagi ob'ektga halokatli ta'sir ko'rsatishga qodir bo'lgan buyruqni uzatish past tarmoqli kengligi bo'lgan CS orqali amalga oshirilishi mumkin.
   
   B klassi - kalit / parol ma'lumotlarini o'z ichiga olgan aktivlar, shu jumladan kriptografik ma'lumotlarni himoya qilish tizimlari kalitlari va boshqa aktivlarga kirish uchun parollar. Masalan, SKda kalit/parol ma'lumotlarining sizib chiqishi butun axborot tizimining ishlashini xavf ostiga qo'yishi mumkin.
   
   

   Bibliografiya

   	Yo'naltiruvchi hujjat. Rossiya Davlat texnik komissiyasi
   Kalit so'zlar: yashirin kanallar, yashirin kanal tahlili, yashirin kanallar tasnifi, maxfiy kanallar yordamida hujumlar, maxfiy kanallar yordamida amalga oshirilgan xavfsizlik tahdidlari, maxfiy kanallar yordamida hujumlarning jiddiyligiga ko'ra aktivlarni tasniflash

   
   
   Hujjatning elektron matni
   "Kodeks" OAJ tomonidan tayyorlangan va tasdiqlangan:
   rasmiy nashr
   M .: Standartinform, 2018

   GOST R 53113.1-2008 Axborot texnologiyalari (IT). Yashirin kanallar yordamida amalga oshiriladigan axborot xavfsizligi tahdidlaridan axborot texnologiyalari va avtomatlashtirilgan tizimlarni himoya qilish. 1-qism. Umumiy qoidalar

   Hujjat nomi:
   Hujjat raqami:	53113.1-2008
   Hujjat turi:	GOST R
   Xost organi:	Rosstandart
   Holat:	Aktyorlik
   Nashr etilgan:	Rasmiy nashri. M .: Standartinform, 2018
   Qabul qilingan sana:	2008 yil 18 dekabr
   Ijroga Kirish muddati:	01 oktyabr 2009 yil
   Tekshirish sanasi:	2018 yil 01 oktyabr

   GOST R 53113.1-2008 Axborot texnologiyalari (IT). Yashirin kanallar yordamida amalga oshiriladigan axborot xavfsizligi tahdidlaridan axborot texnologiyalari va avtomatlashtirilgan tizimlarni himoya qilish. 1-qism. Umumiy qoidalar

   Nomi:

   Ma'lumotlarni himoya qilish. Tashkilotda axborot xavfsizligini ta'minlash.

   Faol

   Kirish sanasi:

   Bekor qilish sanasi:

   O'rniga:

   GOST R 53114-2008 matni Axborot xavfsizligi. Tashkilotda axborot xavfsizligini ta'minlash. Asosiy atamalar va ta'riflar

   FEDERAL TEXNIK TARMOQLASH VA METROLOGIYA AGENTLIGI

   MILLIY

   STANDART

   RUS

   FEDERATSIYALAR

   Ma'lumotlarni himoya qilish

   TASHKILOTDA AXBOROT XAVFSIZLIGINI TA’MINLASH

   Asosiy atamalar va ta'riflar

   Rasmiy nashri

   
   

   Otidartenform

   GOST R 53114-2008

   Muqaddima

   Rossiya Federatsiyasida standartlashtirishning maqsadlari va tamoyillari 2002 yil 27 dekabrdagi 184-FZ-sonli "Texnik jihatdan tartibga solish to'g'risida" gi Federal qonuni bilan belgilanadi va Rossiya Federatsiyasining milliy standartlarini qo'llash qoidalari - GOST R 1.0- 2004 yil "Rossiya Federatsiyasida standartlashtirish. Asosiy qoidalar "

   Standart haqida ma'lumot

   1 "Texnik va eksport nazorati federal xizmatining texnik ma'lumotlarni himoya qilish muammolari davlat ilmiy-tadqiqot va sinov instituti" Federal davlat muassasasi (FGU "Rossiya GNII PTZI FSTEC") "Kristal") tomonidan ishlab chiqilgan.

   2 Texnik jihatdan tartibga solish va metrologiya federal agentligining Texnik jihatdan tartibga solish va standartlashtirish boshqarmasi tomonidan joriy etilgan.

   3 Texnik jihatdan tartibga solish va metrologiya bo'yicha federal agentlikning 2008 yil 18 dekabrdagi 532-son buyrug'i bilan tasdiqlangan va kuchga kirgan.

   4 8 BIRINCHI MARTA KIRILANIB ETILGAN

   Ushbu standartga kiritilgan o'zgartirishlar to'g'risidagi ma'lumotlar har yili nashr etiladigan "Milliy standartlar" axborot indeksida va o'zgartirishlar va qo'shimchalar matni - har oyda nashr etiladigan "Milliy standartlar" axborot indekslarida e'lon qilinadi. Ushbu standart qayta ko'rib chiqilgan (almashtirilgan) yoki bekor qilingan taqdirda, tegishli bildirishnoma har oy nashr etiladigan "Milliy standartlar" axborot indeksida e'lon qilinadi. Tegishli ma'lumotlar, xabarnomalar va matnlar ommaviy axborot tizimida - Internetdagi Texnik jihatdan tartibga solish va metrologiya federal agentligining rasmiy veb-saytida ham joylashtirilgan.

   © Sgandartinform. 2009

   Ushbu standartni Texnik jihatdan tartibga solish va metrologiya bo'yicha Federal agentlikning ruxsatisiz to'liq yoki qisman ko'paytirish, takrorlash va rasmiy nashr sifatida tarqatish mumkin emas.

   GOST R 53114-2008

   1 qo'llash sohasi................................................. ...... bir

   3 Atamalar va ta'riflar ................................................... ..2

   3.1 Umumiy tushunchalar ................................................... ..... 2

   3.2 Axborotni muhofaza qilish obyektiga oid atamalar .......................... 4

   3.3 Axborot xavfsizligi tahdidlari bilan bog'liq atamalar ...................... 7

   3.4 Tashkilotning axborot xavfsizligini boshqarish bilan bog'liq shartlar ... 8

   3.5 Tashkilotning axborot xavfsizligini nazorat qilish va baholash bilan bog'liq shartlar. ... sakkiz

   3.6 Axborot xavfsizligini nazorat qilish bilan bog'liq shartlar

   tashkilotlar ................................................... .........9

   Atamalar indeksi ........................................... 11

   A ilova (axborot) Umumiy texnik tushunchalarning atamalari va ta’riflari ............. 13

   B-ilova (ma'lumotnoma) Tashkilotda axborot xavfsizligi sohasidagi asosiy tushunchalarning o'zaro bog'liqligi .................................. 15

   Bibliografiya................................................. ....... o'n olti

   GOST R 53114-2008

   Kirish

   Ushbu standartda belgilangan atamalar ushbu bilim sohasidagi tushunchalar tizimini aks ettiruvchi tizimli tartibda joylashtirilgan.

   Har bir kontseptsiya uchun bitta standartlashtirilgan atama mavjud.

   Terminologiya yozuvida kvadrat qavslar mavjudligi umumiy atamalarga ega bo'lgan ikkita atamani o'z ichiga oladi. Bu atamalar alfavit indeksida alohida keltirilgan.

   Qavslar ichiga olingan atama qismi standartlashtirish hujjatlarida atama qo‘llanilganda olib qo‘yilishi mumkin, atamaning qavs ichiga kiritilmagan qismi esa uning qisqa shaklini tashkil qiladi. Standartlashtirilgan atamalardan keyin ularning qisqartirilgan shakllari nuqta-vergul bilan ajratiladi.

   Yuqoridagi ta'riflar, agar kerak bo'lsa, ularga olingan xususiyatlarni kiritish orqali o'zgartirilishi mumkin. ularda qo'llanilgan atamalarning ma'nolarini ochib berish, belgilangan tushuncha doirasiga kiruvchi ob'ektlarni ko'rsatish.

   O'zgartirishlar ushbu standartda belgilangan tushunchalarning ko'lami va mazmunini buzmasligi kerak.

   Standartlashtirilgan atamalar qalin, ularning qisqa shakllari matnda va alifbo indeksida, shu jumladan qisqartmalarda. - yorug'lik, va sinonimlar - kursiv bilan.

   Ushbu standartning asosiy qismi matnini tushunish uchun zarur bo'lgan umumiy texnik tushunchalarning atamalari va ta'riflari A ilovasida keltirilgan.

   GOST R 53114-2008

   ROSSIYA FEDERATSIYASI MILLIY STANDARTI

   Ma'lumotlarni himoya qilish

   TASHKILOTNING AXBOROT XAVFSIZLIGINI TA’MINLASH 8

   Asosiy atamalar va ta'riflar

   Axborotni himoya qilish. Tashkilotda axborot xavfsizligini ta'minlash.

   Asosiy atamalar va ta'riflar

   Joriy sanasi - 2009-10-01

   1 foydalanish sohasi

   Ushbu standart tashkilotda axborot xavfsizligi sohasida standartlashtirish ishlarini olib borishda qo'llaniladigan asosiy atamalarni belgilaydi.

   Ushbu standartda belgilangan atamalar me'yoriy hujjatlarda, huquqiy, texnik, tashkiliy va ma'muriy hujjatlarda, ilmiy, o'quv va ma'lumotnomalarda qo'llanilishi tavsiya etiladi.

   Ushbu standart GOST 34.003 bilan birgalikda qo'llaniladi. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO / IEC 27001. GOST R ISO / IEC13335-1. ... (2J.

   Ushbu standartda keltirilgan shartlar Rossiya Federatsiyasining 2002 yil 27 dekabrdagi "184 * FZ" Texnik reglamenti "| 3] Federal qonuni qoidalariga mos keladi. Rossiya Federatsiyasining 2006 yil 27 iyuldagi 149-FZ-sonli "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" Federal qonuni. Rossiya Federatsiyasining 2006 yil 27 iyuldagi 152-FZ-sonli "Shaxsiy ma'lumotlar to'g'risida" Federal qonuni. Rossiya Federatsiyasi Prezidenti tomonidan 2000 yil 9 sentyabrda Pr-1895 tomonidan tasdiqlangan Rossiya Federatsiyasining axborot xavfsizligi doktrinasi.

   2 Normativ havolalar

   GOST R 22.0.02-94 Favqulodda vaziyatlarda xavfsizlik. Asosiy tushunchalarning atamalari va ta'riflari

   GOST R ISO 9000-2001 Sifat menejmenti tizimlari. Asoslar va lug'at

   GOST R ISO 9001-2008 Sifatni boshqarish tizimlari. Talablar

   GOST R IS0 14001-2007 Atrof-muhitni boshqarish tizimlari. Foydalanish bo'yicha talablar va ko'rsatmalar

   GOST R ISO / IEC 13335-1-2006 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. 1-qism. Axborot va telekommunikatsiya texnologiyalari xavfsizligini boshqarish tushunchasi va modellari

   GOST R ISO / IEC 27001-2006 Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligini boshqarish tizimlari. Talablar

   GOST R 50922-2006 Axborot xavfsizligi. Asosiy atamalar va ta'riflar

   GOST R 51275-2006 Axborot xavfsizligi. Axborotlashtirish obyekti. Axborotga ta'sir qiluvchi omillar. Umumiy holat

   GOST R 51897-2002 Risklarni boshqarish. Shartlar va ta'riflar

   Rasmiy nashri

   GOST R 53114-2008

   GOST R51898-2003 Xavfsizlik jihatlari. GOST R 52069.0-2003 Axborot xavfsizligi standartlariga kiritish qoidalari. Standartlar tizimi. Asosiy qoidalar GOST 34.003-90 Axborot texnologiyalari. Avtomatlashtirilgan tizimlar uchun standartlar to'plami. Avtomatlashtirilgan tizimlar. Shartlar va ta'riflar

   GOST 19781-90 Axborotni qayta ishlash tizimlari uchun dasturiy ta'minot. Shartlar va ta'riflar

   Eslatma - Ushbu standartdan foydalanganda, ommaviy axborot tizimida - Internetdagi Texnik jihatdan tartibga solish va metrologiya bo'yicha Federal agentlikning rasmiy veb-saytida yoki har yili e'lon qilinadigan "Milliy" axborot indeksiga muvofiq ma'lumotnoma standartlarining haqiqiyligini tekshirish tavsiya etiladi. "Standartlar" joriy yilning 1 yanvar holatiga e'lon qilingan va joriy yilda nashr etilgan tegishli oylik ma'lumotlar belgilariga muvofiq. Agar mos yozuvlar standarti almashtirilsa (o'zgartirilsa), unda ushbu standartdan foydalanganda almashtirilgan (o'zgartirilgan) standartga rioya qilish kerak. Agar ma'lumotnoma standarti almashtirilmasdan bekor qilinsa, unga havola berilgan qoida ushbu havolaga ta'sir qilmaydigan qismda qo'llaniladi.

   3 Atamalar va ta'riflar

   3.1 Umumiy tushunchalar

   axborot xavfsizligi [ma'lumotlar]: axborotning [ma'lumotlarning] maxfiyligi, mavjudligi va yaxlitligi ta'minlangan xavfsizlik holati.

   [GOST R 50922-2006. 2.4.5-band]

   axborot texnologiyalari xavfsizligi: axborot texnologiyalari xavfsizligi holati. unda qayta ishlash uchun foydalaniladigan axborot xavfsizligi ta'minlanadi. va u amalga oshirilayotgan axborot tizimining axborot xavfsizligi.

   [R 50.1.056-2006. 2.4.5-band]

   axborot sohasi: Axborotlar, axborot infratuzilmasi, sub'ektlari yig'indisi. axborotni to'plash, shakllantirish, tarqatish va ulardan foydalanish, shuningdek, paydo bo'ladigan jamoat munosabatlarini tartibga solish tizimlari.

   3.1.4 Axborot infratuzilmasi: iste'molchilarga axborot resurslaridan foydalanish imkoniyatini beruvchi axborotlashtirish ob'ektlari majmui.

   Axborotlashtirish ob'ekti - ma'lum bir axborot texnologiyasiga muvofiq foydalaniladigan axborot resurslari, vositalari va axborotni qayta ishlash tizimlari, shuningdek ularni ta'minlash vositalari, binolar va inshootlar mavjud bo'lgan ob'ektlar (binolar, inshootlar, texnik vositalar). o'rnatilgan yoki maxfiy muzokaralar uchun mo'ljallangan binolar va ob'ektlar.

   [GOST R 51275-2006. 3.1-band]

   3.1.6 Tashkilot aktivlari: Hamma narsa. faoliyat maqsadlariga erishish uchun tashkilot uchun muhim bo'lgan va uning ixtiyorida bo'lgan narsa.

   Izoh - Tashkilotning aktivlari quyidagilarni o'z ichiga olishi mumkin:

   Axborot aktivlari, shu jumladan, axborot tizimida (xizmat ko'rsatish, boshqaruv, tahliliy, biznes va boshqalar) hayotiy tsiklning barcha bosqichlarida (hosil qilish, saqlash, qayta ishlash, uzatish, yo'q qilish) aylanib yuradigan turli xil ma'lumotlar turlari:

   Resurslar (moliyaviy, insoniy, hisoblash, axborot, telekommunikatsiya va boshqalar):

   Jarayonlar (texnologik, axborot va boshqalar);

   Ishlab chiqarilgan mahsulotlar va ko'rsatilgan xizmatlar.

   GOST R 53114-2008

   Axborotni qayta ishlash tizimining resursi: ma'lum vaqt oralig'ida ma'lumotlarni qayta ishlash jarayoniga ajratilishi mumkin bo'lgan axborotni qayta ishlash tizimi vositasi.

   QAYD - Asosiy resurslar protsessorlar, asosiy xotira maydonlari, ma'lumotlar to'plamlari. periferik qurilmalar, dasturlar.

   [GOST 19781-90. 93-band)

   3.1.8 Axborot jarayoni: Yaratish, to'plash, qayta ishlash, to'plash, saqlash, qidirish jarayoni. axborotni tarqatish va undan foydalanish.

   axborot texnologiyalari; AT: Jarayonlar, qidirish, to'plash, saqlash, qayta ishlash, ta'minlash usullari. axborotni tarqatish va bunday jarayonlar va usullarni amalga oshirish usullari. [Rossiya Federatsiyasining 2002 yil 27 dekabrdagi 184-FZ-sonli Federal qonuni. 2-modda. 2-band)]

   avtomatlashtirilgan tizimni texnik ta'minlash; AES texnik yordami: AES ishida foydalaniladigan barcha texnik vositalar to'plami.

   [GOST R 34.003-90. 2.5-band]

   avtomatlashtirilgan tizim dasturiy ta'minoti; AS dasturiy ta'minoti: AS ning disk raskadrovka, ishlashi va funksionalligini tekshirish uchun mo'ljallangan ma'lumotlar tashuvchilar va dasturiy hujjatlar bo'yicha dasturlar to'plami.

   [GOST R 34.003-90. 2.7-band]

   avtomatlashtirilgan tizimni axborot bilan ta'minlash; AUni axborot bilan ta'minlash: Hujjatlar shakllari, tasniflagichlar, me'yoriy-huquqiy baza va amalga oshirilgan echimlar to'plami, uning faoliyati davomida AUda foydalaniladigan ma'lumotlarning hajmi, joylashishi va mavjudligi shakllari.

   [GOST R 34.003-90. 2.8-band]

   3.1.13 xizmat; xizmat: pudratchining iste'molchi ehtiyojlarini qondirish bo'yicha faoliyati natijasi.

   Eslatma - 8 xizmatning ijrochisi (iste'molchisi) sifatida tashkilot, jismoniy shaxs yoki jarayon bo'lishi mumkin.

   3.1.14 Axborot texnologiyalari xizmatlari: AT xizmatlari: Axborot va funksional imkoniyatlar to'plami. oxirgi foydalanuvchilarga xizmat sifatida taqdim etilgan axborot bo'lmagan texnologiya.

   Izoh AT xizmatlariga misollar xabar almashish, biznes ilovalari, fayl va chop etish xizmatlari, tarmoq xizmatlari va boshqalarni o'z ichiga oladi.

   3.1.15 muhim axborot infratuzilmasi tizimi; asosiy axborot infratuzilmasi tizimi: FIAC: muhim ob'ekt yoki jarayonni boshqaradigan yoki axborot bilan ta'minlaydigan yoki faoliyati buzilganligi yoki to'xtatilganligi to'g'risida jamiyat va fuqarolarni rasmiy ravishda xabardor qilish uchun foydalaniladigan axborotni boshqarish yoki axborot-telekommunikatsiya tizimi. halokatli axborot ta'siri natijasida, shuningdek, muvaffaqiyatsizliklar yoki muvaffaqiyatsizliklar) sezilarli salbiy oqibatlarga olib keladigan favqulodda vaziyatga olib kelishi mumkin.

   3.1.18 Muhim ob'ekt: Operatsion uzluksizligining buzilishi katta zarar etkazishi mumkin bo'lgan ob'ekt yoki jarayon.

   GOST R 53114-2008

   ESLATMA - Jismoniy yoki yuridik shaxslarning mulkiga zarar yetkazilishi mumkin. davlat yoki kommunal mulk, atrof-muhit, shuningdek fuqarolarning hayoti yoki sog'lig'iga zarar etkazishda namoyon bo'ladi.

   shaxsiy ma'lumotlar tizimi - ma'lumotlar bazasida mavjud bo'lgan shaxsiy ma'lumotlar, shuningdek, bunday shaxsiy ma'lumotlarni avtomatlashtirish vositalaridan foydalangan holda yoki bunday vositalardan foydalanmasdan qayta ishlash imkonini beradigan axborot texnologiyalari va texnik vositalar to'plami bo'lgan axborot tizimi.

   shaxsiy ma'lumotlar: muayyan shaxsga taalluqli yoki bunday ma'lumotlar asosida aniqlangan jismoniy shaxs (shaxsiy ma'lumotlar ob'ekti), shu jumladan uning familiyasi, ismi. otasining ismi, yil. oyi, tug‘ilgan sanasi va joyi, manzili, oilasi, ijtimoiy, mulkiy ahvoli, ma’lumoti, kasbi, daromadi, boshqa ma’lumotlar.

   3.1.19 himoyalangan versiyada avtomatlashtirilgan tizim; Himoyalangan AS: Axborotni himoya qilish bo'yicha standartlar va / yoki me'yoriy hujjatlar talablariga muvofiq belgilangan funktsiyalarni bajarish uchun axborot texnologiyalarini joriy qiluvchi avtomatlashtirilgan tizim.

   3.2 Axborotni muhofaza qilish ob'ektiga tegishli atamalar

   1 tashkilotning axborot xavfsizligi; Tashkilotning IO: axborot sohasidagi tahdidlar sharoitida tashkilot manfaatlarini himoya qilish holati.

   Eslatma - Xavfsizlik axborot xavfsizligi xususiyatlari to'plamini ta'minlash orqali erishiladi - maxfiylik, yaxlitlik, axborot aktivlari va tashkilot infratuzilmasi mavjudligi. Axborot xavfsizligi xususiyatlarining ustuvorligi axborot aktivlarining tashkilot manfaatlari (maqsadlari) uchun ahamiyati bilan belgilanadi.

   axborotni muhofaza qilish ob'ekti: Axborot yoki axborot tashuvchisi yoki axborot jarayoni. qaysi (lar) axborotni himoya qilish maqsadiga muvofiq himoyalanishi kerak.

   [GOST R 50922-2006. 2.5.1-band]

   3.2.3 Himoyalangan jarayon (axborot texnologiyalari): Axborot texnologiyalari tomonidan himoyalangan axborotni zarur darajadagi xavfsizlik darajasi bilan qayta ishlash uchun foydalaniladigan jarayon.

   3.2.4 Tashkilotning axborot xavfsizligini buzish: tashkilotning IoT-ni buzish: jismoniy shaxsning (sub'ektning, ob'ektning) tashkilot mulkiga nisbatan tasodifiy yoki qasddan noqonuniy xatti-harakati, uning oqibati axborot xavfsizligini buzish hisoblanadi. tashkilotga salbiy oqibatlarga olib keladigan (zarar / zarar) axborot tizimlarida texnik vositalar bilan qayta ishlanadi.

   favqulodda holat; kutilmagan vaziyat; Favqulodda vaziyat - avariya, xavfli tabiat hodisasi, falokat, tabiiy yoki boshqa ofat natijasida ma'lum bir hududda yoki akvatoriyada odamlar qurbon bo'lishiga, odamlarning sog'lig'iga yoki atrof-muhitga zarar etkazishi, jiddiy moddiy yo'qotishlar va odamlarning turmush sharoitini buzishi mumkin bo'lgan vaziyat. .

   Eslatma - Favqulodda vaziyatlar manba tabiati (tabiiy, texnogen, biologik, ijtimoiy va harbiy) va miqyosi (mahalliy, mahalliy, hududiy, mintaqaviy, federal va transchegaraviy) bo'yicha farqlanadi.

   (GOST R 22.0.02-94. 2.1.1-modda)

   GOST R 53114-2008

   3.2.6

   xavfli vaziyat: odamlarni, mulkni yoki atrof-muhitni xavf ostiga qo'yadigan muhit.

   (GOST R 51898-2003. 3.6-band)

   3.2.7

   axborot xavfsizligi hodisasi: biznes yoki axborot xavfsizligini buzishi mumkin bo'lgan har qanday kutilmagan yoki istalmagan hodisa.

   Eslatma - Axborot xavfsizligi hodisalari:

   Xizmatlar, uskunalar yoki qurilmalarning yo'qolishi:

   Tizimning ishdan chiqishi yoki ortiqcha yuklanishi:

   Foydalanuvchi xatolari.

   Jismoniy himoya choralarini buzish:

   Nazoratsiz tizim o'zgarishlari.

   Dasturiy ta'minot va apparatdagi nosozliklar:

   Kirish qoidalarini buzish.

   (GOST R ISO / IEC 27001-2006, 3.6-modda)

   3.2.8 hodisa: Muayyan holatlar to'plamining paydo bo'lishi yoki mavjudligi.

   Eslatmalar (tahrirlash)

   1 Hodisaning tabiati, ehtimoli va oqibatlari to'liq ma'lum bo'lmasligi mumkin.

   2 Hodisa bir yoki bir necha marta sodir bo'lishi mumkin.

   3 hodisa bilan bog'liq ehtimollik taxmin qilinishi mumkin.

   4 Hodisa bir yoki bir nechta holatlarning yuzaga kelmasligidan iborat bo'lishi mumkin.

   5 oldindan aytib bo'lmaydigan hodisa ba'zan "hodisalar" deb ataladi.

   6 Hech qanday yo'qotish sodir bo'lmagan voqea ba'zan hodisa (hodisalar), xavfli holat, xavfli tasodif va boshqalarning sharti deb ataladi.

   3.2.9. Maqsadlarga erishish jarayoniga noaniqliklarning ta'siri

   Eslatmalar (tahrirlash)

   1 Maqsadlar turli jihatlarga ega bo'lishi mumkin: moliyaviy, sog'liq, xavfsizlik va atrof-muhit bilan bog'liq jihatlar va turli darajalarda belgilanmasligi mumkin: strategik darajada, butun tashkilot, loyiha, mahsulot va jarayon darajasida.

   3 Risk ko'pincha hodisa yoki vaziyatning o'zgarishi oqibatlari va ularning ehtimoli kombinatsiyasi sifatida ifodalanadi.

   3.2.10

   xavfni baholash: xavfni aniqlash, xavf tahlili va miqdorni aniqlashni birlashtirgan jarayon.

   (GOST R ISO / IEC 13335-1-2006, 2.21-band]

   3.2.11 axborot xavfsizligi xavfini baholash (tashkilot); IS (tashkilot) xavfini baholash: tashkilotning axborot xavfsizligi xavf darajasini aniqlash, tahlil qilish va maqbulligini aniqlashning umumiy jarayoni.

   3.2.12 Xatarlarni aniqlash: Xatarlarni aniqlash, tan olish va tavsiflash jarayoni.

   Eslatmalar (tahrirlash)

   1 Xavfni identifikatsiyalash xavf manbalarini, hodisalarni va ularning sabablarini, shuningdek, mumkin bo'lgan oqibatlarini aniqlashni o'z ichiga oladi.

   2-Izoh Xatarlarni identifikatsiyalash statistik ma'lumotlar, nazariy tahlillar, ma'lumotga asoslangan nuqtai nazar va ekspert mulohazalari hamda manfaatdor tomonlarning ehtiyojlarini o'z ichiga olishi mumkin.

   GOST R 53114-2008

   risklarni tahlil qilish: xavf manbalarini aniqlash va xavf miqdorini aniqlash uchun ma'lumotlardan tizimli foydalanish.

   (GOST R ISO / IEC 27001-2006, 3.11-modda)

   3.2.14 xavf darajasining maqbulligini aniqlash, xavf darajasining maqbulligini yoki maqbulligini aniqlash uchun xavfni tahlil qilish natijalarini xavf mezonlari bilan taqqoslash jarayoni

   Izoh Xavf darajasining maqbulligini aniqlash davolash qarorlarini qabul qilishga yordam beradi.

   3.2.15 Tashkilotning axborot xavfsizligi xavfini bartaraf etish; Tashkilotning axborot xavfsizligi xavfini davolash: tashkilotning axborot xavfsizligi xavflarini boshqarish bo'yicha chora-tadbirlarni ishlab chiqish va / yoki tanlash va amalga oshirish jarayoni.

   Eslatmalar (tahrirlash)

   1 Xavfni davolash quyidagilarni o'z ichiga olishi mumkin:

   Sharoitlarni yaratadigan harakatlarni boshlamaslik yoki davom ettirmaslik to'g'risida qaror qabul qilish orqali xavfdan qochish

   Xavfni keltirib chiqaradigan yoki oshirishi mumkin bo'lgan faoliyatni boshlash yoki davom ettirish to'g'risida qaror qabul qilish orqali imkoniyat izlash;

   Xavf manbasini yo'q qilish:

   Xavfning tabiati va hajmidagi o'zgarishlar:

   O'zgaruvchan oqibatlar;

   Riskni boshqa tomon yoki tomonlar bilan bo'lishish.

   Ongli qaror natijasida ham, "sukut bo'yicha" ham xavfni saqlash.

   2 Salbiy oqibatlarga olib keladigan xavfni davolash usullari ba'zan yumshatish, bartaraf etish, oldini olish deb ataladi. xavfni kamaytirish, bostirish va tuzatish.

   3.2.16 risklarni boshqarish tashkilotning xavf bilan bog'liq faoliyatini boshqarish va nazorat qilish uchun muvofiqlashtirilgan harakatlar.

   3.2.17 tashkilotning axborot xavfsizligi xavfining manbai; Tashkilotning IS xavfining manbai: xavf tug'dirishi mumkin bo'lgan ob'ekt yoki harakat.

   Eslatmalar (tahrirlash)

   1 Ob'ekt, shaxs yoki tashkilotning xavf manbai bilan o'zaro ta'siri bo'lmasa, xavf yo'q.

   2 Risk manbai moddiy yoki nomoddiy bo'lishi mumkin.

   3.2.18 axborot xavfsizligi siyosati (tashkilot); IS (tashkilot) siyosati: tashkilotni o'z faoliyatida boshqaradigan xatti-harakatlar qoidalari, protseduralar, amaliyotlar yoki axborot xavfsizligi bo'yicha ko'rsatmalarning rasmiy bayonoti.

   Eslatma - Siyosatlar o'z ichiga olishi kerak.

   Xavfsizlik siyosatining predmeti, asosiy maqsad va vazifalari:

   Xavfsizlik siyosatini qo'llash shartlari va mumkin bo'lgan cheklovlar:

   Xavfsizlik siyosatini amalga oshirish va umuman tashkilotning axborot xavfsizligi rejimini tashkil etish bilan bog'liq holda tashkilot rahbariyatining pozitsiyasining tavsifi.

   Tashkilotning xavfsizlik siyosatini amalga oshirish uchun xodimlarning huquq va majburiyatlari, shuningdek javobgarlik darajasi.

   Xavfsizlik siyosati buzilgan taqdirda favqulodda tartib-qoidalar

   3.2.19 Axborot xavfsizligini ta'minlash maqsadi (tashkilot); Axborot xavfsizligi (tashkilot) maqsadi: Axborot xavfsizligi siyosatida (tashkilotda) belgilangan talablarga muvofiq tashkilotning axborot xavfsizligini ta'minlashning oldindan belgilangan natijasi.

   Izoh - ATni taqdim etish natijasi ma'lumotlarning tarqalishi va (yoki) ma'lumotlarga ruxsatsiz va qasddan ta'sir qilish natijasida axborot egasiga zarar yetkazilishining oldini olish bo'lishi mumkin.

   3.2.20 Tashkilotda axborot xavfsizligi bo'yicha hujjatlar tizimi; Tashkilotda axborot xavfsizligi bo'yicha hujjatlar tizimi: Maqsadli yo'nalish bo'yicha birlashtirilgan hujjatlar to'plami. kelib chiqishi, maqsadi, turi, faoliyat sohasi, ularni loyihalash uchun yagona talablar va tashkilotning axborot xavfsizligi faoliyatini tartibga solish asosida o'zaro bog'liq.

   GOST R 53114-2008

   3.3 Axborot xavfsizligi tahdidlari bilan bog'liq shartlar

   1 tashkilotning axborot xavfsizligiga tahdid; Tashkilotning IS tahdidi: tashkilotning axborot xavfsizligini buzish tahdidini keltirib chiqaradigan, tashkilot uchun salbiy oqibatlarga (zarar / zarar) olib keladigan yoki keltirishi mumkin bo'lgan omillar va shartlar to'plami.

   Eslatmalar (tahrirlash)

   1 Axborot xavfsizligiga tahdidni amalga oshirish (namoyon qilish) shakli - bu bir yoki bir nechta o'zaro bog'liq axborot xavfsizligi hodisalari va axborot xavfsizligi hodisalarining muvaffaqiyatsizligi. tashkilotni himoya qilish ob'ektlarining (ob'ektlarining) axborot xavfsizligi xususiyatlarining buzilishiga olib keladigan (lar).

   2 Tahdid tahdid ob'ektining mavjudligi, tahdid manbai va tahdidning namoyon bo'lishi bilan tavsiflanadi.

   tahdid (axborot xavfsizligi): Axborot xavfsizligini buzishning potentsial yoki real tahdidini yaratuvchi shartlar va omillar to'plami.

   [GOST R 50922-2006. 2.6.1-band]

   3.3.3 Tahdid modeli (axborot xavfsizligi): Axborot xavfsizligiga tahdidlarning xususiyatlari yoki xususiyatlarining fizik, matematik, tavsifiy ifodasi.

   Eslatma - axborot xavfsizligi tahdidlarining xususiyatlari yoki xususiyatlarini tavsiflovchi taqdimot turi maxsus normativ hujjat bo'lishi mumkin.

   zaiflik (axborot tizimining); bo'shliq: unda qayta ishlangan ma'lumotlarga xavfsizlik tahdidlarini amalga oshirish imkonini beradigan axborot tizimining xususiyati.

   Eslatmalar (tahrirlash)

   1 Axborot tizimida qayta ishlangan xavfsizlikka tahdidni amalga oshirish sharti axborot tizimidagi kamchilik yoki zaif nuqta bo'lishi mumkin.

   2 Agar zaiflik tahdidga mos keladigan bo'lsa, unda xavf mavjud.

   [GOST R 50922-2006. 2.6.4-band]

   3.3.5 tashkilotning axborot xavfsizligini buzuvchi; tashkilotning axborot xavfsizligiga tajovuzkor: oqibati tashkilotning axborot xavfsizligini buzish bo'lgan tasodifiy yoki qasddan harakatni sodir etgan shaxs yoki mantiqiy ob'ekt.

   3.3.6 Ruxsatsiz kirish: Axborotga yoki avtomatlashtirilgan axborot tizimining resurslariga kirish huquqini (yoki) belgilangan qoidalarini buzgan holda amalga oshirilgan kirish.

   Eslatmalar (tahrirlash)

   1 Ruxsatsiz kirish qasddan yoki qasddan amalga oshirilishi mumkin.

   2 Axborot tizimining axborot va resurslaridan foydalanish huquqlari va qoidalari axborotni qayta ishlash jarayonlari, avtomatlashtirilgan axborot tizimini ta’minlash, dasturiy ta’minotdagi o‘zgarishlar uchun belgilanadi. texnik va axborot resurslari, shuningdek ular haqida ma'lumot olish.

   3.3.7 Tarmoq hujumi: Axborotga ruxsatsiz kirish, unga yoki avtomatlashtirilgan axborot tizimining resurslariga ta'sir qilish tahdidlarini amalga oshirishga qaratilgan dasturiy va (yoki) apparat vositalaridan foydalangan holda va tarmoq protokolidan foydalangan holda harakatlar.

   Ilova - Tarmoq protokoli - bir kompyuterda joylashgan tarmoqni boshqarish dasturlarining o'zaro ta'sirini belgilovchi semantik va sintaktik qoidalar to'plami. boshqa kompyuterda joylashgan bir xil nomdagi dasturlar bilan.

   3.3.8 (Axborotga) kirishni bloklash: shaxslarning ma'lumotlariga kirishni to'xtatish yoki to'xtatish. qilish huquqiga ega (qonuniy foydalanuvchilar).

   3.3.9 Xizmat hujumini rad etish: Avtomatlashtirilgan tizimda axborot jarayonlarini bloklaydigan tarmoq hujumi.

   3.3.10 axborotning sizib chiqishi: himoyalangan axborotning oshkor etilishi natijasida nazoratsiz tarqatilishi, axborotga ruxsatsiz kirish va himoyalangan axborotni xorijiy razvedka xizmatlari tomonidan olish.

   3.3.11 Axborotni oshkor qilish: Himoyalangan axborotni shaxslarga ruxsatsiz oshkor qilish. ushbu ma'lumotlarga kirish huquqiga ega bo'lmaganlar.

   GOST R 53114-2008

   ushlash (ma'lumot): axborot signallarini aniqlaydigan, qabul qiladigan va qayta ishlovchi texnik vositalardan foydalangan holda axborotni noqonuniy olish.

   (R 50.1.053-2005, 3.2.5-band]

   informatsion signal: Parametrlari bo'yicha himoyalangan ma'lumotni aniqlash mumkin bo'lgan signal.

   [R 50.1.05S-2005. 3.2.6-band]

   3.3.14 e'lon qilingan imkoniyatlar: Ta'riflanmagan yoki hujjatlarda tavsiflanganlarga mos kelmaydigan kompyuter uskunalari va dasturiy ta'minotning funktsional imkoniyatlari. axborot xavfsizligi xususiyatlarining pasayishi yoki buzilishiga olib kelishi mumkin.

   3.3.15 Yon elektromagnit nurlanish va induksiya: yon ta'sir sifatida paydo bo'lgan va ularning elektr va magnit davrlarida ta'sir qiluvchi elektr signallari natijasida kelib chiqadigan axborotni qayta ishlashning texnik vositalarining elektromagnit nurlanishi, shuningdek, ushbu signallarning o'tkazuvchan chiziqlar, tuzilmalar va elektromagnit induktsiyalari. quvvat zanjirlari.

   3.4 Tashkilotning axborot xavfsizligini boshqarish bilan bog'liq shartlar

   3.4.1 tashkilotning axborot xavfsizligini boshqarish; IB tashkilotini boshqarish; Tashkilotning ichki va tashqi muhitining o'zgaruvchan sharoitlariga muvofiq uning axborot xavfsizligini ta'minlash nuqtai nazaridan tashkilot rahbariyati va boshqaruvi uchun muvofiqlashtirilgan harakatlar.

   3.4.2 tashkilotning axborot xavfsizligi xavfini boshqarish; Tashkilotning IS risklarini boshqarish: Axborot xavfsizligi xavfini minimallashtirish uchun tashkilotni boshqarish va nazorat qilish bo'yicha muvofiqlashtirilgan harakatlar.

   Izoh Xatarlarni boshqarishning asosiy jarayonlari kontekstni yaratish, xavfni baholash, xavflarni davolash va qabul qilish, xavflarni monitoring qilish va qayta ko'rib chiqishdir.

   axborot xavfsizligini boshqarish tizimi; AXBT: umumiy boshqaruv tizimining bir qismi. ishlab chiqish, amalga oshirish, ishlatish uchun Biennes risklarni baholash usullaridan foydalanishga asoslangan. axborot xavfsizligini monitoring qilish, tahlil qilish, qo‘llab-quvvatlash va takomillashtirish.

   Izoh Boshqaruv tizimi tashkiliy tuzilma, siyosat, rejalashtirish faoliyati, mas'uliyat, amaliyot, protseduralar, jarayonlar va resurslarni o'z ichiga oladi.

   [GOST R ISO / IEC 27001-2006. 3.7-band]

   3.4.4 Tashkilotda axborot xavfsizligining roli; Tashkilotda axborot xavfsizligining roli: tashkilotning axborot xavfsizligini ta'minlash, tashkilotdagi sub'ekt va ob'ekt o'rtasida maqbul o'zaro ta'sirni o'rnatish bo'yicha aniq funktsiyalar va vazifalar to'plami.

   Eslatmalar (tahrirlash)

   1 Aktyorlarga tashkilot rahbarlari, uning xodimlari yoki ularning nomidan ob'ektlarda harakatlarni amalga oshirish uchun boshlangan jarayonlar kiradi.

   2 Ob'ektlar apparat, dasturiy ta'minot, dasturiy va texnik vositalar, harakatlar amalga oshiriladigan axborot resursi bo'lishi mumkin.

   3.4.5 Tashkilotning axborot xavfsizligi xizmati: Tashkilotning axborot xavfsizligiga tahdidlarga qarshi kurashishga qaratilgan aniq vazifani hal qilishni amalga oshiruvchi tashkilotning axborot xavfsizligini boshqarish tizimining tashkiliy-texnik tuzilmasi.

   3.5 Tashkilotning axborot xavfsizligini nazorat qilish va baholash bilan bog'liq shartlar

   3.5.1 Tashkilotning axborot xavfsizligini nazorat qilish; tashkilotning axborot xavfsizligini nazorat qilish: Tashkilotda axborot xavfsizligiga muvofiqligini tekshirish.

   GOST R 53114-2008

   3.5.2 tashkilotning axborot xavfsizligini monitoring qilish; Tashkilotning IS monitoringi: tashkilotning axborot xavfsizligi talablariga muvofiqligini aniqlash uchun uning axborot xavfsizligini ta'minlash jarayonini doimiy monitoring qilish.

   3.5.3 tashkilotning axborot xavfsizligini tekshirish; Tashkilotning axborot xavfsizligi auditi - tashkilotning axborot xavfsizligini ta'minlash bo'yicha faoliyati to'g'risida dalillarni olishning tizimli, mustaqil va hujjatlashtirilgan jarayoni va axborot xavfsizligini tashkil etish mezonlarining bajarilishi darajasini aniqlash, shuningdek, professional auditorning fikrini shakllantirishga imkon beradi. tashkilotning axborot xavfsizligi holati to'g'risida.

   3.5.4 tashkilotning axborot xavfsizligi auditining dalillari (dalillari); Tashkilot axborot xavfsizligi auditi yozuvlari: Tashkilotning axborot xavfsizligi auditi mezonlariga mos keladigan va tekshirilishi mumkin bo'lgan yozuvlar, faktlar bayonotlari yoki boshqa ma'lumotlar.

   Izoh Axborot xavfsizligiga oid dalillar sifat yoki miqdoriy bo'lishi mumkin.

   3.5.5 Tashkilotning axborot xavfsizligini belgilangan talablarga muvofiqligini baholash *; tashkilotning axborot xavfsizligini belgilangan talablarga muvofiqligini baholash: Tashkilotda belgilangan axborot xavfsizligi talablarining bajarilishi yoki bajarilmasligini bevosita yoki bilvosita aniqlash bilan bog'liq faoliyat.

   3.5.6 tashkilotning axborot xavfsizligini tekshirish mezonlari; tashkilotning IS auditi mezoni: Tashkilotning axborot xavfsizligi sohasidagi faoliyati bilan bog'liq bo'lgan tamoyillar, qoidalar, talablar va amaldagi me'yoriy hujjatlarning ko'rsatkichlari *.

   Ilova - Axborot xavfsizligi auditi mezonlari ularga qarshi axborot xavfsizligi auditi dalillarini o'zaro bog'lash uchun ishlatiladi.

   3.5.7 Avtomatlashtirilgan tizimni himoyalangan versiyada attestatsiyadan o'tkazish: Himoyalangan ma'lumotlarni qayta ishlashning avtomatlashtirilgan tizimining belgilangan funktsiyalarini axborot sohasidagi standartlar va / yoki me'yoriy hujjatlar talablariga muvofiqligini har tomonlama tekshirish jarayoni Muayyan axborotlashtirish ob'ektida himoyalangan ma'lumotlarni qayta ishlash funktsiyasini bajarishga muvofiqligi to'g'risidagi hujjatlarni himoya qilish va rasmiylashtirish.

   3.5.8 tashkilotning axborot xavfsizligini ta'minlash mezoni; tashkilotning axborot xavfsizligini ta'minlash mezoni: tashkilotning axborot xavfsizligini ta'minlash maqsadiga (maqsadlariga) erishish darajasi baholanadigan ko'rsatkich.

   3.5.9 axborot xavfsizligini ta'minlash samaradorligi; Axborot xavfsizligi samaradorligi: Axborot xavfsizligining belgilangan darajasini ta'minlash uchun erishilgan natija va foydalaniladigan resurslar o'rtasidagi bog'liqlik.

   3.6 Tashkilotning axborot xavfsizligini nazorat qilish bilan bog'liq shartlar

   3.6.1 tashkilotning axborot xavfsizligini ta'minlash; Tashkilotning axborot xavfsizligini ta'minlash: tashkilotning axborot xavfsizligiga ichki va tashqi tahdidlarni bartaraf etishga (zararsizlantirish, ularga qarshi kurashish) yoki bunday tahdidlarning mumkin bo'lgan amalga oshirilishidan kelib chiqadigan zararni minimallashtirishga qaratilgan faoliyat.

   3.6.2 xavfsizlik chorasi; xavfsizlik chorasi: xavfni davolash uchun o'rnatilgan amaliyot, protsedura yoki mexanizm.

   3.6.3 axborot xavfsizligini ta'minlash choralari; Axborot xavfsizligini ta'minlash bo'yicha chora-tadbirlar: axborot xavfsizligini ta'minlash usullari va vositalarini ishlab chiqish va / yoki amaliy qo'llashga qaratilgan harakatlar majmui.

   3.6.4 axborot xavfsizligini ta'minlash bo'yicha tashkiliy chora-tadbirlar; axborot xavfsizligini ta'minlash bo'yicha tashkiliy chora-tadbirlar: axborotlashtirish ob'ektidan foydalanish shartlari va ish rejimlariga vaqtinchalik, hududiy, mekansal, huquqiy, uslubiy va boshqa cheklovlar o'rnatishni nazarda tutuvchi axborot xavfsizligini ta'minlash chora-tadbirlari.

   3.6.5 axborot xavfsizligini ta'minlashning texnik vositalari; axborot xavfsizligini ta'minlashning texnik vositalari: kriptografik bo'lmagan usullardan foydalangan holda tashkilotning axborot xavfsizligini ta'minlash uchun foydalaniladigan uskunalar.

   Eslatma - Bunday uskunalar himoyalangan ob'ektga o'rnatilgan va / yoki avtonom (himoya qilinadigan ob'ektdan qat'iy nazar) ishlaydigan texnik va dasturiy-texnik vositalar bilan ifodalanishi mumkin.

   GOST R 53114-2008

   3.5.6 tajovuzni aniqlash vositasi, hujumni aniqlash vositasi: Kompyuter tizimi yoki tarmog'ida sodir bo'layotgan hodisalarni kuzatish jarayonini avtomatlashtiradigan, shuningdek, axborot xavfsizligi hodisasi belgilarini qidirishda ushbu hodisalarni mustaqil ravishda tahlil qiladigan dasturiy yoki dasturiy-texnik vositalar.

   3.6.7 Ruxsatsiz kirishdan himoya qilish vositalari: ruxsatsiz kirishning oldini olish yoki sezilarli darajada to'sqinlik qilish uchun mo'ljallangan dasturiy ta'minot, apparat yoki dasturiy ta'minot va apparat vositalari.

   GOST R 53114-2008

   Atamalar indeksi

   tashkilot aktivlari 3.1.6

   xavf tahlili 3.2.13

   Karnay bilan himoyalangan versiya 3.1.19

   xizmat ko'rsatishni rad etish hujumi 3.3.9

   tarmoq hujumi 3.3.7

   himoyalangan versiyada avtomatlashtirilgan tizimni sertifikatlash 3.5.7

   Tashkilotning IS auditi 3.5.3

   tashkilot axborot xavfsizligi auditi 3.5.3

   xavfsizlik (ma'lumotlar) 3.1.1

   axborot xavfsizligi 3.1.1

   axborot texnologiyalari xavfsizligi 3.1.2

   tashkilotning axborot xavfsizligi 3.2.1

   (axborotga) kirishni bloklash 3.3.8

   3.3.4 buzilishi

   E'lon qilinmagan imkoniyatlar 3.3.14

   shaxsiy ma'lumotlar 3.1.18

   ruxsatsiz kirish 3.3.6

   IS tashkiloti 3.2.1

   xavfni aniqlash 3.2.12

   axborot infratuzilmasi 3.1.4

   axborot xavfsizligi hodisasi 3.2.7

   tashkilotning IS xavfining manbai 3.2.17

   tashkilot uchun axborot xavfsizligi xavfi manbai 3.2.17

   tashkilotning axborot xavfsizligini nazorat qilish 3.5.1

   tashkilotning axborot xavfsizligini nazorat qilish 3.5.1

   tashkilotning ISni ta'minlash mezonlari 3.5.8

   tashkilotning axborot xavfsizligi bo'yicha audit mezoni 3.5.6

   tashkilot axborot xavfsizligi auditi mezoni 3.5.6

   tashkilot axborot xavfsizligi mezoni 3.5.8

   Tashkilotning IS boshqaruvi 3.4.1

   tashkilotning axborot xavfsizligini boshqarish 3.4.1

   Tashkilotning risklarni boshqarish IS 3.4.2

   tashkilotning axborot xavfsizligi risklarini boshqarish 3.4.2

   xavfsizlik chorasi 3.6.2

   xavfsizlik chorasi 3.6.2

   IS kafolati choralari 3.6.3

   tashkiliy AT chora-tadbirlari 3.6.4

   axborot xavfsizligi chora-tadbirlari 3.6.3

   tashkiliy axborot xavfsizligi chora-tadbirlari 3.4.6

   tahdid modeli (axborot xavfsizligi) 3.3.3

   Tashkilotning IS monitoringi 3.5.2

   tashkilotning axborot xavfsizligini monitoring qilish 3.5.2

   tashkilotning axborot xavfsizligini buzish 3.2.4

   tashkilotning axborot xavfsizligini buzish 3.2.4

   Tashkilotning IS buzuvchisi 3.3.5

   tashkilotning axborot xavfsizligiga tajovuzkor 3.3.5

   avtomatlashtirilgan axborot tizimini ta'minlash 3.1.12

   avtomatlashtirilgan tizim uchun dasturiy ta'minot 3.1.11

   avtomatlashtirilgan tizimni texnik ta'minlash 3.1.10

   AS axborot dasturi 3.1.12

   AC dasturiy ta'minoti 3.1.11

   AU texnik yordami 3.1.10

   tashkilotning IS ni ta'minlash 3.6.1

   tashkilotning axborot xavfsizligini ta'minlash 3.6.1

   Tashkilotning IS xavfini davolash 3.2.15

   GOST R 53114-2008

   Tashkilotning axborot xavfsizligi xavfini bartaraf etish 3.2.

   axborot xavfsizligi ob'ekti 3.2.2

   axborotlashtirish ob'ekti 3.1.5

   muhim ob'ekt 3.1.16

   xavf darajasining maqbulligini aniqlash 3.2.14

   xavfni baholash 3.2.10

   xavflarni baholash I6 (tashkilot) 3.2.11

   axborot xavfsizligi xavfini baholash (tashkilot) 3.2.11

   tashkilotning ISning belgilangan talablarga muvofiqligini baholash 3.5.5

   tashkilotning axborot xavfsizligini belgilangan talablarga muvofiqligini baholash 3.5.5

   ushlash (ma'lumot) 3.3.12

   IS siyosati (tashkiloti) 3.2.18

   axborot xavfsizligi siyosati (tashkilot) 3.2.18

   jarayon (axborot texnologiyalari) himoyalangan 3.2.3

   axborot jarayoni 3.1.8

   axborotni oshkor qilish 3.3.11

   axborotni qayta ishlash tizimining resursi 3.1.7

   tashkilotda axborot xavfsizligining roli 3.4.4

   axborot xavfsizligining roli 8 tashkilot 3.4.4

   tashkilotning IS auditining dalillari (dalillari) 3.5.4

   tashkilotning axborot xavfsizligi auditining dalillari (dalillari) 3.5.4

   xizmat 3.1.13

   signalli axborot 3.3.13

   avtomatlashtirilgan himoyalangan tizim 3.1.19

   tashkilotda axborot xavfsizligi bo'yicha hujjatlar tizimi 3.2.20

   tashkilotda axborot xavfsizligi bo'yicha hujjatlar tizimi 3.2.20

   axborot infratuzilmasi tizimi kaliti 3.1.15

   muhim axborot infratuzilmasi tizimi 3.1.15

   axborot xavfsizligini boshqarish tizimi 3.4.3

   shaxsiy ma'lumotlarning axborot tizimi 3.1.17

   kutilmagan vaziyat 3.2.5

   vaziyat xavfli 3.2.6

   favqulodda vaziyat 3.2.5

   tashkilotning axborot xavfsizligi xizmati 3.4.6

   hodisa 3.2.8

   ruxsatsiz kirishdan himoya qilish 3.6.7

   texnik axborot xavfsizligi vositalari 3.6.5

   texnik axborot xavfsizligi vositalari 3.6.5

   hujumni aniqlash vositasi 3.6.6

   tajovuzni aniqlash vositasi 3.6.6

   axborot sohasi 3.1.3

   axborot texnologiyalari 3.1.9

   tahdid (axborot xavfsizligi) 3.3.2

   tashkilotning IS tahdidi 3.3.1

   tashkilotning axborot xavfsizligiga tahdid 3.3.1

   risklarni boshqarish 3.2.16

   xizmat 3.1.13

   axborot texnologiyalari xizmatlari 3.1.14

   AT xizmatlari 3.1.14

   ma'lumotlarning sizib chiqishi 3.3.10

   zaiflik (axborot tizimining) 3.3.4

   axborot xavfsizligi (tashkilot) maqsadi 3.2.19

   axborot xavfsizligi maqsadi (tashkilot) 3.2.19

   elektromagnit nurlanish va yon pikap 3.3.15

   IS samaradorligi 3.5.9

   axborot xavfsizligi samaradorligi 3.5.9

   GOST R 53114-2008

   A ilova (ma'lumotli)

   Umumiy texnik tushunchalarning atamalari va ta'riflari

   tashkilot: mas'uliyat, vakolatlar va munosabatlarni taqsimlash bilan ishchilar va zarur vositalar guruhi.

   (GOST R ISO 9000-2001, 3.3.1-band]

   Eslatmalar (tahrirlash)

   1 Tashkilotga quyidagilar kiradi: kompaniya, korporatsiya, firma, korxona, muassasa, xayriya tashkiloti, chakana savdo, umumjamiyat. shuningdek, ularning bo'linmalari yoki ularning kombinatsiyasi.

   2 Tarqatish odatda buyurtma qilinadi.

   3 Tashkilot davlat yoki xususiy bo'lishi mumkin.

   A.2 biznes: foyda keltiradigan iqtisodiy faoliyat; boyitish manbai bo'lgan daromad keltiradigan har qanday faoliyat turi.

   A.3 biznes jarayoni: Tashkilotning iqtisodiy faoliyatida qo'llaniladigan jarayonlar.

   ma'lumot: taqdim etish shaklidan qat'i nazar, ma'lumotlar (xabarlar, ma'lumotlar).

   aktivlar: hamma narsa. tashkilot uchun nima muhim. (GOST R ISO / IEC13335-1-2006, 2.2-band (

   A.6 Jarayonni bajarish jarayonida foydalaniladigan yoki iste'mol qilinadigan resurslar (tashkilotlar). Eslatmalar (tahrirlash)

   1 Resurslar tarkibiga xodimlar, asbob-uskunalar, asosiy vositalar, asboblar, shuningdek, kommunal xizmatlar: energiya, suv, yoqilg'i va aloqa infratuzilmasi kabi turli xil ob'ektlar kiradi.

   2 Resurslar qayta ishlatilishi mumkin, qayta tiklanadigan yoki sarflanishi mumkin.

   A.7 xavf: boshqa ob'ektlarga zarar etkazish yoki zarar etkazish qobiliyatini tavsiflovchi ob'ektning mulki. A.8 favqulodda hodisa: favqulodda holatga olib keladigan hodisa.

   A.9 zarar: Jismoniy shikastlanish yoki inson sog'lig'iga zarar etkazish yoki mulk yoki atrof-muhitga zarar etkazish.

   A. 10 tahdid: yaxlitlik, mavjudlik buzilishiga olib kelishi mumkin bo'lgan shartlar va omillar to'plami. maxfiylik.

   A.11 zaiflik: ob'ektning ta'sirga olib kelishi mumkin bo'lgan xavf manbasiga ta'sir ko'rsatishga moyilligini yaratadigan ichki xususiyatlari.

   A. 12 hujum: Axborot tizimining xavfsizlik tizimini engib o'tishga urinish.

   Eslatmalar - Hujumning "muvaffaqiyati" darajasi mudofaa tizimining zaifligi va samaradorligiga bog'liq.

   A.13 Tashkilotni boshqarish va nazorat qilish bo'yicha boshqaruv muvofiqlashtirilgan faoliyat

   A.14 Biznes uzluksizligini boshqarish: Yo'nalish va nazoratning muvofiqlashtirilgan faoliyati

   tashkilotning biznes jarayonlari.

   A. 15 rol: sub'ekt va faoliyat ob'ekti o'rtasidagi ruxsat etilgan o'zaro ta'sirni o'rnatadigan tashkilot faoliyati uchun oldindan belgilangan qoidalar va protseduralar to'plami.

   Axborot egasi - mustaqil ravishda axborot yaratgan yoki qonun yoki shartnoma asosida har qanday mezon bilan belgilanadigan ma'lumotlarga kirishga ruxsat berish yoki cheklash huquqini olgan shaxs.

   GOST R 53114-2008

   infratuzilma: Tashkilotning ishlashi uchun zarur bo'lgan binolar, uskunalar va yordamchi xizmatlar to'plami.

   [GOST R ISO 9000-2001. 3.3.3-band]

   A.18 audit: auditorlik dalillarini olish va kelishilgan audit mezonlari qanchalik bajarilganligini aniqlash uchun ularni xolisona baholash uchun tizimli, mustaqil va hujjatlashtirilgan jarayon.

   Eslatmalar (tahrirlash)

   1 Birinchi tomon auditi deb ataladigan ichki audit tashkilotning o'zi yoki boshqa tashkilot nomidan o'tkaziladi. Ichki audit natijalari muvofiqlik deklaratsiyasi uchun asos bo'lishi mumkin. Ko'p hollarda, ayniqsa, kichik korxonalarda, auditni mutaxassislar (tekshirilayotgan faoliyat uchun javobgar bo'lmagan shaxslar) amalga oshirishi kerak.

   2 Tashqi auditga ikkinchi tomon auditi va uchinchi tomon auditi deb ataladigan audit kiradi. Ikkinchi tomon auditlari, masalan, korxonada manfaatdor tomonlar tomonidan o'tkaziladi.

   iste'molchilar yoki ularning nomidan boshqalar. Uchinchi tomon auditlari tashqi mustaqil tashkilotlar tomonidan amalga oshiriladi. Ushbu tashkilotlar talablarga, masalan, GOST R ISO 9001 va GOST R ISO 14001 talablariga muvofiqligini sertifikatlash yoki ro'yxatdan o'tkazishni amalga oshiradilar.

   3 Bir vaqtning o'zida amalga oshiriladigan sifat menejmenti tizimlari va atrof-muhitni boshqarish tizimlarining auditi "kompleks audit" deb ataladi.

   4 Agar bir vaqtning o'zida bir nechta tashkilot auditorlik tekshiruvini o'tkazsa, bunday audit "qo'shma audit" deb ataladi.

   A.19 monitoring: uning parametrlarini nazorat qilish va / yoki o'lchashni ta'minlagan holda ob'ektni tizimli yoki doimiy monitoring qilish, shuningdek parametrlarning o'zgaruvchanligini bashorat qilish va tuzatuvchi va profilaktika zarurati va tarkibi to'g'risida qaror qabul qilish uchun tahlil qilish. harakatlar.

   Muvofiqlik deklaratsiyasi: mahsulotlarning texnik reglamentlar talablariga muvofiqligini tasdiqlash shakli.

   A.21 texnologiya: Ob'ektiv faoliyatning o'zaro bog'liq usullari, usullari, usullari tizimi. A.22

   hujjat: moddiy tashuvchida uni identifikatsiya qilish imkonini beruvchi tafsilotlar bilan qayd etilgan ma'lumotlar.

   [GOST R 52069.0-2003. 3.18-band]

   A.23 Axborotni qayta ishlash: Axborotda amalga oshiriladigan yig'ish, jamlash, kiritish, chiqarish, qabul qilish, uzatish, qayd etish, saqlash, ro'yxatga olish, yo'q qilish, o'zgartirish, ko'rsatish operatsiyalari majmui.

   GOST R 53114-2008

   B ilova (ma'lumotnoma)

   Tashkilotda axborot xavfsizligi sohasidagi asosiy tushunchalarning munosabati

   Asosiy tushunchalar o'rtasidagi munosabat B.1-rasmda ko'rsatilgan.

   
   

   B.1-rasm - asosiy tushunchalar munosabati

   GOST R 53114-2008

   Bibliografiya

   (1] R 50.1.053-2005

   (2] PS0.1.056-2005

   Axborot texnologiyalari. Axborotni texnik muhofaza qilish sohasidagi asosiy atamalar va ta'riflar Axborotni texnik muhofaza qilish. Asosiy atamalar va ta'riflar

   Texnik jihatdan tartibga solish to'g'risida

   Axborot, axborot texnologiyalari va axborotni muhofaza qilish bo'yicha

   Shaxsiy ma'lumotlar haqida

   Rossiya Federatsiyasining axborot xavfsizligi doktrinasi

   UDC 351.864.1: 004: 006.354 OKS 35.020 LLP

   Kalit so'zlar: axborot, axborot xavfsizligi, tashkilotdagi axborot xavfsizligi, axborot xavfsizligiga tahdidlar, axborot xavfsizligi mezonlari

   Muharrir V.N. Cops soy Texnik muharriri V.N. Prusakova Korrektor V.E. Nestorovo I.A. Napeikino

   To'plamga qo'ying 06.11.2009. Muhr 01.12.2009 yilda imzolangan. Format 60 "84 Ofset qog'oz. Arial eshitish vositasi. Ofset bosib chiqarish. Usp. chop etish l. 2.32. Uch.-Ied. l. 1.90. Tiraj 373 "kitob. Zak. 626

   FSUE STANDARTINFORM *. 123995 Moskva. Anor g'ovaklari .. 4. [elektron pochta himoyalangan] salom

   Kompyuterda FSUE "STANDARTINFORM" da yozilgan.

   FSUE STANDARTINFORM * filialida chop etilgan - tip. "Moskva printeri". 105062 Moskva. Lyalin yo'li .. 6.

   • GOST 22731-77 Yarim dupleks ma'lumot almashinuvining asosiy rejimida ma'lumotlarni uzatish havolasini boshqarish uchun ma'lumotlarni uzatish tizimlarining protseduralari
   • GOST 26525-85 Ma'lumotlarni qayta ishlash tizimlari. Foydalanish stavkalari
   • GOST 27771-88 Ma'lumotlar terminali uskunalari va ma'lumotlar kanalini tugatish uskunalari o'rtasidagi interfeysdagi protsessual xususiyatlar. Umumiy talablar va standartlar
   • GOST 28082-89 Axborotni qayta ishlash tizimlari. Ma'lumotlarni ketma-ket uzatishda xatolarni aniqlash usullari
   • GOST 28270-89 Axborotni qayta ishlash tizimlari. Ma'lumot almashish uchun ma'lumotlar tavsifi fayl spetsifikatsiyasi
   • GOST R 43.2.11-2014 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator faoliyati tili. Xabar formatlarida matnli ma'lumotlarning tizimli taqdimoti
   • GOST R 43.2.8-2014 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator faoliyati tili. Texnik faoliyat uchun xabar formatlari
   • GOST R 43.4.1-2011 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Insoniy axborot tizimi
   • GOST R 53633.10-2015 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati diagrammasi (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Tashkilot boshqaruvi. Tashkilot risklarini boshqarish
   • GOST R 53633.11-2015 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Ilg'or Aloqa Tashkiloti Faoliyat Diagrammasi (eTOM) Jarayonning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Tashkilot boshqaruvi. Tashkilot samaradorligini boshqarish
   • GOST R 53633.4-2015 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati diagrammasi (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Asosiy faoliyat. Xizmatni boshqarish va ishlatish
   • GOST R 53633.7-2015 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati diagrammasi (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Strategiya, infratuzilma va mahsulot. Rivojlanish va resurslarni boshqarish
   • GOST R 53633.9-2015 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati diagrammasi (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Tashkilot boshqaruvi. Tashkilotning strategiyasi va rivojlanishini rejalashtirish
   • GOST R 55767-2013 Axborot texnologiyalari. Yevropa AKT kompetentsiyasi asosi 2.0. 1-qism. Sanoatning barcha tarmoqlari uchun AKT mutaxassislari uchun umumiy Yevropa ma'lumotnomasi
   • GOST R 55768-2013 Axborot texnologiyalari. Ochiq tarmoqli tizim modeli. Asosiy qoidalar
   • GOST R 56093-2014 Axborot xavfsizligi. Himoyalangan avtomatlashtirilgan tizimlar. Qasddan kuch elektromagnit ta'sirlarni aniqlash uchun vositalar. Umumiy talablar
   • GOST R 56115-2014 Axborot xavfsizligi. Himoyalangan avtomatlashtirilgan tizimlar. Qasddan elektromagnit ta'sirlardan himoya qilish vositalari. Umumiy talablar
   • GOST R 56545-2015 Axborot xavfsizligi. Axborot tizimlarining zaifliklari. Zaiflikni tavsiflash qoidalari
   • GOST R 56546-2015 Axborot xavfsizligi. Axborot tizimlarining zaifliklari. Axborot tizimlarining zaif tomonlarini tasniflash
   • GOST IEC 60950-21-2013 Axborot texnologiyalari uskunalari. Xavfsizlik talablari. 21-qism. Masofaviy quvvat manbai
   • GOST IEC 60950-22-2013 Axborot texnologiyalari uskunalari. Xavfsizlik talablari. 22-qism. Tashqi o'rnatish uchun uskunalar
   • GOST R 51583-2014 Axborot xavfsizligi. Himoyalangan dizayndagi avtomatlashtirilgan tizimlarni yaratish tartibi. Umumiy holat
   • GOST R 55766-2013 Axborot texnologiyalari. Yevropa AKT kompetentsiyasi asosi 2.0. 3-qism. Elektron CFni yaratish - uslubiy asoslar va ekspert tajribasini birlashtirish
   • GOST R 55248-2012 Elektr xavfsizligi. Axborot-kommunikatsiya texnologiyalari tarmoqlariga ulangan uskunalar uchun interfeyslarning tasnifi
   • GOST R 43.0.11-2014 Texnologiya va operator faoliyatini axborot bilan ta'minlash. Texnik faoliyatda ma'lumotlar bazalari
   • GOST R 56174-2014 Axborot texnologiyalari. Ochiq Grid xizmati arxitekturasi. Shartlar va ta'riflar
   • GOST IEC 61606-4-2014 Audio va audiovizual uskunalar. Raqamli audio uskunasining komponentlari. Ovoz xususiyatlarini o'lchashning asosiy usullari. 4-qism. Shaxsiy kompyuter
   • GOST R 43.2.5-2011 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator faoliyati tili. Grammatika
   • GOST R 53633.5-2012 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati diagrammasi (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Strategiya, infratuzilma va mahsulot. Marketing va mahsulot taklifini boshqarish
   • GOST R 53633.6-2012 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati diagrammasi (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Strategiya, infratuzilma va mahsulot. Xizmatni rivojlantirish va boshqarish
   • GOST R 53633.8-2012 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Kengaytirilgan aloqa tashkiloti faoliyati diagrammasi (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Strategiya, infratuzilma va mahsulot. Ta'minot zanjirini rivojlantirish va boshqarish
   • GOST R 43.0.7-2011 Texnologiya va operator faoliyatini axborot bilan ta'minlash. Gibrid-intellektuallashtirilgan inson-axborot o'zaro ta'siri. Umumiy holat
   • GOST R 43.2.6-2011 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator faoliyati tili. Morfologiya
   • GOST R 53633.14-2016 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Tashkilot boshqaruvi. Manfaatdor tomonlar va tashqi aloqalarni boshqarish
   • GOST R 56938-2016 Axborot xavfsizligi. Virtualizatsiya texnologiyalaridan foydalanganda axborotni himoya qilish. Umumiy holat
   • GOST R 56939-2016 Axborot xavfsizligi. Xavfsiz dasturiy ta'minotni ishlab chiqish. Umumiy talablar
   • GOST R ISO / IEC 17963-2016 Boshqaruv uchun veb-xizmatlarning spetsifikatsiyasi (WS boshqaruvi)
   • GOST R 43.0.6-2011 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Tabiiy intellektuallashgan inson va axborot o'zaro ta'siri. Umumiy holat
   • GOST R 54817-2011 Sham alangasidan tasodifan kelib chiqadigan audio va video uskunalar, axborot texnologiyalari va aloqa vositalarini yoqish.
   • GOST R IEC 60950-23-2011 Axborot texnologiyalari uskunalari. Xavfsizlik talablari. 23-qism. Katta hajmdagi ma'lumotlarni saqlash uchun uskunalar
   • GOST R IEC 62018-2011 Axborot texnologiyalari uskunalari tomonidan energiya iste'moli. O'lchash usullari
   • GOST R 53538-2009 Keng polosali kirish davrlari uchun mis o'tkazgichli ko'p juftli kabellar. Umumiy texnik talablar
   • GOST R 53633.0-2009 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti faoliyatining kengaytirilgan diagrammasi (eTOM). Biznes jarayonlarining umumiy tuzilishi
   • GOST R 53633.1-2009 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti faoliyatining kengaytirilgan diagrammasi (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Asosiy faoliyat. Yetkazib beruvchi va hamkor munosabatlarini boshqarish
   • GOST R 53633.2-2009 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti faoliyatining kengaytirilgan diagrammasi (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Asosiy faoliyat. Resurslarni boshqarish va ulardan foydalanish
   • GOST R 53633.3-2009 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti faoliyatining kengaytirilgan diagrammasi (eTOM). Jarayonlarning parchalanishi va tavsifi. ETOM 2-darajali jarayonlar. Asosiy faoliyat. Mijozlar bilan munosabatlarni boshqarish
   • GOST R ISO / IEC 20000-2-2010 Axborot texnologiyalari. Xizmatni boshqarish. 2-qism. Amaliyot kodeksi
   • GOST R 43.0.3-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Texnik faoliyatda peshin texnologiyasi. Umumiy holat
   • GOST R 43.0.4-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Texnik faoliyatdagi ma'lumotlar. Umumiy holat
   • GOST R 43.0.5-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Texnik faoliyatda axborot almashish jarayonlari. Umumiy holat
   • GOST R 43.2.1-2007 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator faoliyati tili. Umumiy holat
   • GOST R 43.2.2-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator faoliyati tili. Qo'llashning umumiy qoidalari
   • GOST R 43.2.3-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator faoliyati tili. Ikonik komponentlarning turlari va xususiyatlari
   • GOST R 43.2.4-2009 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator faoliyati tili. Ikonik komponentlarning sintaktiki
   • GOST R 52919-2008 Axborot texnologiyalari. Jismoniy himoya qilish usullari va vositalari. Yong'inga chidamliligini tasniflash va sinov usullari. Xonalar va ma'lumotlar konteynerlari
   • GOST R 53114-2008 Axborot xavfsizligi. Tashkilotda axborot xavfsizligini ta'minlash. Asosiy atamalar va ta'riflar
   • GOST R 53245-2008 Axborot texnologiyalari. Strukturaviy kabel tizimlari. Tizimning asosiy komponentlarini o'rnatish. Sinov usullari
   • GOST R 53246-2008 Axborot texnologiyalari. Strukturaviy kabel tizimlari. Tizimning asosiy bloklarini loyihalash. Umumiy talablar
   • GOST R IEC 60990-2010 Sensorli oqim va himoya o'tkazgich oqimini o'lchash usullari
   • GOST 33707-2016 Axborot texnologiyalari. Lug'at
   • GOST R 57392-2017 Axborot texnologiyalari. Xizmatni boshqarish. 10-qism. Asosiy tushunchalar va terminologiya
   • GOST R 43.0.13-2017 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Mutaxassislarni yo'naltirilgan tayyorlash
   • GOST R 43.0.8-2017 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Sun'iy intelektuallashtirilgan inson-axborot o'zaro ta'siri. Umumiy holat
   • GOST R 43.0.9-2017 Texnologiya va operator faoliyatini axborot bilan ta'minlash. Axborot resurslari
   • GOST R 43.2.7-2017 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Operator faoliyati tili. Sintaksis
   • GOST R ISO / IEC 38500-2017 Axborot texnologiyalari. Tashkilotda ATni strategik boshqarish
   • GOST R 43.0.10-2017 Uskunalar va operatorlar faoliyatini axborot bilan ta'minlash. Texnik axborotni yaratishda axborot ob'ektlari, ob'ektga yo'naltirilgan loyihalash
   • GOST R 53633.21-2017 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti (eTOM) faoliyatining kengaytirilgan diagrammasi. Jarayonlarning parchalanishi va tavsifi. Asosiy faoliyat. Xizmatni boshqarish va ishlatish. ETOM 3-darajali jarayonlar. 1.1.2.1-jarayon - SM&O jarayonlarining tayyorligini saqlash va ta'minlash
   • GOST R 57875-2017 Telekommunikatsiyalar. Telekommunikatsiya markazlarida ulanish sxemalari va topraklama
   • GOST R 53633.22-2017 Axborot texnologiyalari. Telekommunikatsiyalarni boshqarish tarmog'i. Aloqa tashkiloti (eTOM) faoliyatining kengaytirilgan diagrammasi. Jarayonlarning parchalanishi va tavsifi. Asosiy faoliyat. Xizmatni boshqarish va ishlatish. ETOM 3-darajali jarayonlar. Jarayon 1.1.2.2 - Xizmatlarni sozlash va faollashtirish