Современные стандарты в области информационной безопасности, использующие концепцию управление рисками. Стандарты информационной безопасности в рф Угрозы информационной безопасности гост

Под нормами защищенности подразумеваются обязательная для исполнения документация, в которой определяются подходы к проведению оценки уровня существующей безопасности. Кроме того, в данных документах устанавливаются определенные правила, установленные для сохранности систем в целом.

Стандарты информационной безопасности направлены на осуществление определенных функций, в частности:

• на выработку определенных терминологий и понятий, применяемых в области защищенности данных;
• формирование шкалы, необходимой для измерения уровня защищенности;
• проведение согласованной оценки продуктов;
• значительное повышение совместимости продуктов, которые применяются для защищенности;
• накопление сведений о лучших практиках установления устойчивого состояния;
• предоставление сведений о лучших практиках заинтересованным группам лиц, к примеру, производителям защищенности, экспертам в данной сфере, директорам, администраторам и любым прочим пользователям информационных систем;
• установление требований, направленных на обязательное исполнение отдельных стандартов, с приданием им юридической силы.

Международные стандарты безопасности

Международные стандарты устойчивости представляют собой совокупность практик и рекомендаций, направленных на внедрение систем, обеспечивающих защиту данных.

Один из международных образцов, BS 7799 направлен на формирование цели информационной защиты данных. Согласно данному сертификату, цель безопасности заключается в обеспечении бесперебойной работы компании, а также в способности предотвратить или свести к минимально возможному минимуму ущерб, полученный при нарушении установленных требований к устойчивости.

Еще один из основных международных образцов, ISO 27002, содержит в себе исчерпывающий перечень практических советов по информационной устойчивости. Данные советы подходят для тех сотрудников, которые в ходе осуществления своей трудовой деятельности отвечают за создание, реализацию и последующее обслуживание систем устойчивости таких технологий.

Международные стандарты информационной безопасности: ISO 27001

Под комплексом, представленным международными сертификатами, подразумевается совокупность определенных практик и рекомендаций, которые направлены на внедрение систем и оборудования средств технологической защиты.

Если принять во внимание определенные правила, установленные международным сертификатом ISO 27001 2013, защищенность рассматриваемых технологий должна быть представлена определенными признаками.

Данный ИСО позволяет провести разделение единой системы на четыре раздела. ИСО 27001 базирует на , который определяет основные требования, предъявляемые к менеджменту качества. Основываясь на нормах российской стандартизации, данные требования должны соблюдаться каждой организацией, которая желает продемонстрировать свою способность предоставлять продукцию, отвечающую запросам потребителей.

Наша компания поможет вам в . Стоимость такой услуги составляет 30000 рублей.

Международные стандарты безопасности: ИСО 17799

ISO 17799 был создан Международной организацией в 2000 году. В соответствии с его требованиями, при создании структуры устойчивости, которую принято считать эффективной, особое внимание необходимо уделять комплексному подходу, направленному на управление безопасности. Именно по этой причине в качестве элемента управления рассматриваются меры, направленные на обеспечение определенных требований, установленных для информации:

• ее конфиденциальность;
• достоверность информации;
• доступность;
• целостность предоставляемой информации.

Национальная система стандартов информационной безопасности

Национальная система стандартизации представлена совокупностью национальных сертификатов и общероссийских классификаторов. В данную структуру входят не только сами сертификаты, но и правила их разработки, последующего применения.

В Российской Федерации национальный сертификат может применяться на добровольной основе, вне зависимости от страны или места происхождения.

При этом существует правило, при котором подобная национальная система применяется только при наличии знака соответствия.

Российский ГОСТ Р ИСО 17799 определяет все образцы, направленные на обеспечение информационной защищенности, в качестве стандартов, направленных на сохранение конфиденциальности. Следовательно, к работе с такими технологиями могут допускаться только некоторые сотрудники, способными обеспечить целостность, доступность и защищенность информации.

ГОСТ Р ИСО 27001 - основной стандарт, содержащий в себе исчерпывающий перечень признаков, которыми должен обладать любой метод обеспечения защищенности каждой отдельно взятой информационной технологии.

Отечественные образцы ГОСТ ИСО МЭК 15408, составленные на основе международного ИСО в области соответствующих технологий, направлены на обеспечение сопоставимости результатов, полученных в результате проведения независимой оценки.

Удовлетворение представленных в этом ГОСТ ИСО РФ требований достигается путем установление единого перечня требований, которые могут быть предъявленные к определенным технологиям в данной сфере, а также к мерам доверия, используемым при оценке подобных технологий в ходе обеспечения их безопасности.

В Российской Федерации продукты в области технологий могут быть реализованы в нескольких видах:

• аппаратного обеспечения;
• программного обеспечения;
• программно-аппаратного обеспечения.

Результаты, полученные в процессе проведения оценки обеспечения в данной области соответствию российскому ИСО РФ, позволяют установить, удовлетворяют ли осматриваемые технологии установленным для них государственным требованиям по защищенности.

Как правило, российские сертификаты ГОСТ ИСО РФ используется:

• в качестве руководства по разработке продуктов технологий;
• в качестве руководства по состоянию технологической сохранности продуктов;
• в качестве оценки продуктов технологий при их приобретении.

Наименование:

Защита информации. Обеспечение информационной безопасности в организации.

Действует

Дата введения:

Дата отмены:

Заменен на:

Текст ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Защита информации

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ

Основные термины и определения

Издание официальное

Отеидартенформ

ГОСТ Р 53114-2008

Предисловие

Цели и принципы стандартизации а Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации -ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения »

Сведения о стандарте

1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»), Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл»)

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. № 532-ст

4 8ВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется е ежегодно издаваемом информационном указателе «Национальные стандартыж а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Сгандартинформ.2009

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р 53114-2008

1 Область применения...................................................1

3 Термины и определения................................................2

3.1 Общие понятия....................................................2

3.2 Термины, относящиеся к объекту защиты информации..........................4

3.3 Термины, относящиеся к угрозам безопасности информации......................7

3.4 Термины, относящиеся к менеджменту информационной безопасности организации.......8

3.5 Термины, относящиеся к контролю и оценке информационной безопасности организации. ... 8

3.6 Термины, относящиеся к средствам обеспечения информационной безопасности

организации........................................................9

Алфавитный указатель терминов...........................................11

Приложение А (справочное) Термины и определения общетехнических понятий.............13

Приложение Б (справочное) Взаимосвязь основных понятий в области обеспечения информационной безопасности в организации...............................15

Библиография........................................................16

ГОСТ Р 53114-2008

Введение

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки. раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры. - светлым, а синонимы - курсивом.

Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.

ГОСТ Р 53114-2008

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 8 ОРГАНИЗАЦИИ

Основные термины и определения

Protection of information. Information security provision In organization.

Basic terms and definitions

Дата введения - 2009-10-01

1 Область применения

Настоящий стандарт устанавливает основные термины, применяемые при проведении работ по стандартизации в области обеспечения информационной безопасности в организации.

Термины, установленные настоящим стандартом, рекомендуется использовать в нормативных документах, правовой, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

Настоящий стандарт применяется совместно с ГОСТ 34.003. ГОСТ 19781. ГОСТ Р 22.0.02. ГОСТ Р 51897. ГОСТ Р 50922. ГОСТ Р 51898, ГОСТ Р 52069.0. ГОСТ Р 51275. ГОСТ Р ИСО 9000. ГОСТ Р ИСО 9001. ГОСТ Р ИС014001. ГОСТ Р ИСО/ МЭК 27001. ГОСТ Р ИСО/МЭК13335-1. . (2J.

Термины, приведенные в настоящем стандарте, соответствуют положениям Федерального Закона Российской Федерации от 27 декабря 2002 г. М»184*ФЗ «Отехническом регулировании» |3]. Федерального Закона Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации» . Федерального Закона Российской Федерации от 27 июля 2006 г. No 152-ФЗ «О персонал ьных данных» . Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации от 9 сентября 2000 г. Пр -1895 .

2 Нормативные ссылки

ГОСТ Р 22.0.02-94 Безопасность в чрезвычайных ситуациях. Термины и определения основных понятий

ГОСТ Р ИСО 9000-2001 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 9001-2008 Системы менеджмента качества. Требования

ГОСТ Р ИС0 14001-2007 Системы экологического менеджмента. Требования и руководство по применению

ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р 50922-2006 Защита информации. Основные термины и определения

ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения

Издание официальное

ГОСТ Р 53114-2008

ГОСТ Р51898-2003 Аспекты безопасности. Правила включения в стандарты ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ 19781-90 Обеспечение систем обработки информации программное. Термины и определения

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться замененным (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссыпка на него, применяется а части, не затрагивающей эту ссылку.

3 Термины и определения

3.1 Общие понятия

безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

[ГОСТ Р 50922-2006. пункт 2.4.5]

безопасность информационной технологии: Состояние защищенности информационной технологии. при котором обеспечиваются безопасность информации, для обработки которой она применяется. и информационная безопасность информационной системы, в которой она реализована.

[Р 50.1.056-2006. пункт 2.4.5]

информационная сфера: Совокупность информации, информационной инфраструктуры, субъектов. осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

3.1.4 информационная инфраструктура: Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам.

объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средствих обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

[ГОСТ Р 51275-2006. пункт 3.1]

3.1.6 активы организации: Все. что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.

Примечание - К активам организации могут относиться:

Информационные активы, в том числе различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и т.д.) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение):

Ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и прочие):

Процессы (технологические, информационные и пр.);

Выпускаемая продукция иГили оказываемые услуги.

ГОСТ Р 53114-2008

ресурс системы обработки информации: Средство системы обработки информации, которое может быть выделено процессу обработки данных на определенный интервал времени.

Примечание - Основными ресурсами являются процессоры, области основной памяти, наборы данных. периферийные устройства, программы.

[ГОСТ 19781-90. пункт 93)

3.1.8 информационный процесс: Процесс создания, сбора, обработки, накопления, хранения, поиска. распространения и использования информации.

информационная технология; ИТ: Процессы, методы поиска, сбора, хранения, обработки, предоставления. распространения информации и способы осуществления таких процессов и методов. [Федеральный Закон Российской Федерации от 27 декабря 2002 г. №184-ФЗ. статья 2. пункт 2)]

техническое обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех технических средств, используемых при функционировании АС.

[ГОСТ Р 34.003-90. пункт 2.5]

программное обеспечение автоматизированной системы; программное обеспечение АС: Совокупность программ на носителях данных и программных документов, предназначенных для отладки, функционирования и проверки работоспособности АС.

[ГОСТ Р 34.003-90. пункт 2.7]

информационное обеспечение автоматизированной системы; информационное обеспечение АС: Совокупность форм документов, классификаторов, нормативной базы и реализованных решений по объемам, размещению иформам существования информации, применяемой в АС при ее функционировании.

[ГОСТ Р 34.003-90. пункт 2.8]

3.1.13 услуга; сервис: Результат деятельности исполнителя по удовлетворению потребности потребителя.

Примечание - 8 качестве исполнителя (потребителя) услуги может выступать организация, физическое лицо или процесс.

3.1.14 услуги информационных технологий: услуги ИТ: Совокупность функциональных возможностей информационных и. возможно, неинформационных технологий, предоставляемая конечным пользователям в качестве услуги.

Примечание - Примерами услуг ИТ могут служить передача сообщений, бизнес-приложения, сервисы файлов и печати, сетевые сервисы и т.д.

3.1.15 критически важная система информационной инфраструктуры; ключевая система информационной инфраструктуры: КСИИ: Информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление или информационное обеспечение критическим объектом или процессом, или используется для официального информирования общества и граждан, нарушение или прерывание функционирования которой (в результате деструктивных информационных воздействий, а также сбоев или отказов) может привести к чрезвычайной ситуации со значительными негативными последствиями.

3.1.18 критический объект: Объект или процесс, нарушение непрерывности функционирования которого может нанести значительный ущерб.

ГОСТ Р 53114-2008

Примечание - Ущерб может быть нанесен имуществу физических или юридических лиц. государственному или муниципальному имуществу, окружающей среде, в также выражаться а причинении вреда жизни или здоровью граждан.

информационная система персональных данных: Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

персональные данные: Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя. отчество, год. месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

3.1.19 автоматизированная система в защищенном исполнении; АС в защищенном исполнении: Автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации.

3.2 Термины, относящиеся к объекту защиты информации

3.2.1 информационная безопасность организации; ИВ организации: Состояние защищенности интересов организации в условиях угроз в информационной сфере.

Примечание - Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры организации. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.

объект защиты информации: Информация или носитель информации, или информационный процесс. которую(ый) необходимо защищать е соответствии с целью защиты информации.

[ГОСТ Р 50922-2006. пункт 2.5.1]

3.2.3 защищаемый процесс (информационной технологии): Процесс, используемый е информационной технологии для обработки защищаемой информации с требуемым уровнем ее защищенности.

3.2.4 нарушение информационной безопасности организации: нарушение ИВ организации: Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) а отношении активов организации, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах, вызывающее негативные последствия (ущерб/вред) для организации.

чрезвычайная ситуация; непредвиденная ситуация; ЧС: Обстановка на определенной территории или акватории, сложившаяся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, которые могут поелечь или повлекли за собой человеческие жертвы, ущерб здоровью людей или окружающей природной среде, значительные материальные потери и нарушение условий жизнедеятельности людей.

Примечание - Различают чрезвычайные ситуации по характеру источника (природные, техногенные, биолого-социальные и военные) и по масштабам (локальные, местные, территориальные, региональные, федеральные и трансграничные).

(ГОСТ Р 22.0.02-94. статья 2.1.1)

ГОСТ Р 53114-2008

3.2.6

опасная ситуация: Обстоятельства, в которых люди, имущество илиокружающая среда подвергаются опасности.

(ГОСТ Р 51898-2003. пункт 3.6)

3.2.7

инцидент информационной безопасности: Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Примечание - Инцидентами информационной безопасности являются:

Утрата услуг, оборудования или устройств:

Системные сбои или перегрузки:

Ошибки пользователей.

Нарушение физических мер защиты:

Неконтролируемые изменения систем.

Сбои программного обеспечения и отказы технических средств:

Нарушение правил доступа.

(ГОСТ Р ИСО/МЭК 27001 -2006. статья 3.6)

3.2.8 событие: Возникновение или наличие определенной совокупности обстоятельств.

Примечания

1 Характер, вероятность и последствия события могут быть не полностью известны.

2 Событие может возникать один или несколько раз.

3 вероятность, связанная с событием, может быть оценена.

4 Событие может состоять из невозникновения одного или нескольких обстоятельств.

5 непредсказуемое событие иногда называют «инцидентом».

6 Событие, при котором не происходит никаких потерь, иногда называют предпосылкой к происшествию (инциденту], опасным состоянием, опасным стечением обстоятельств и тд.

3.2.9 риск: Влияние неопределенностей на процесс достижения поставленных целей.

Примечания

1 Цели могут иметь различные аспекты: финансовые, аспекты, связанные со здоровьем, безопасностью и внешней средой, и могут устанавливаться не разных уровнях: на стратегическом уровне, в масштабах организации, на уровне проекта, продукта и процесса.

3 Риск часто выражается в терминах комбинации последствий события или изменения обстоятельств и их вероятности.

3.2.10

оценка риска: Процесс, объединяющий идентификацию риска, анализ риска и их количественную оценку.

(ГОСТ Р ИСО/МЭК 13335-1 -2006, пункт 2.21 ]

3.2.11 оценка риска информационной безопасности (организации); оценка риска ИБ (организации): Общий процесс идентификации, анализа и определения приемлемости уровня риска информационной безопасности организации.

3.2.12 идентификация риска: Процесс обнаружения, распознавания и описания рисков.

Примечания

1 Идентификация риска включает в себя идентификацию источников риска, событий и их причин, а твкже их возможных последствий.

2 Идентификация риска может включать в себя статистические данные, теоретический анализ, обоснованные точки зрения и экспертные заключения и потребности заинтересованных сторон.

ГОСТ Р 53114-2008

анализ риска: Систематическое использование информации для определения источников риска и количественной оценки риска.

{ГОСТ Р ИСО/МЭК 27001-2006. статья 3.11)

3.2.14 определение приемлемости уровня риска: Процесс сравнения результатов анализа риска с критериями риска с целью определения приемлемости или допустимости уровня риска.

Примечание - Определение приемлемости уровня риска помогает принять решения об обработке

3.2.15 обработка риска информационной безопасности организации; обработка риска ИБоргани-эации: Процесс разработки и/или отбора и внедрения мер управления рисками информационной безо» ласности организации.

Примечания

1 Обработка риска может включать в себя:

Избежание риска путем принятия решения не начинать или не продолжать действия, создающие условия

Лоиск благоприятной возможности путем принятия решения начать или продолжать действия, могущие создать или увеличить риск;

Устранение источника риска:

Изменение характера и величины риска:

Изменение последствий;

Разделение риска с другой стороной или сторонами.

Сохранение риска как в результате сознательного решения, так и «по умолчанию».

2 Обработки риска с негативными последствиями иногда называют смягчением, устранением, предотвращением. снижением, подавлением и коррекцией риска.

3.2.16 управление рисками: Координированные действия по направлению и контролю над деятельностью организации в связи с рисками.

3.2.17 источник риска информационной безопасности организации; источник риска ИБ организации: Объект или действие, способное вызвать [создать) риск.

Примечания

1 Риск отсутствует при отсутствии взаимодействия объекта, лице или организации с источником риска.

2 Источник риска может быть материальным или нематериальным.

3.2.18 политика информационной безопасности (организации); политика ИБ (организации): Формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация всвоей деятельности.

Примечание - Политики должны содержать.

Предмет, основные цели и задачи политики безопасности:

Условия применения политики безопасности и возможные ограничения:

Описание позиции руководства организации в отношении выполнения политики безопасности и организации режима информационной безопасности организации в целом.

Права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности организации.

Порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности

3.2.19 цель информационной безопасности (организации); цель ИБ (организации): Заранее намеченный результат обеспечения информационной безопасности организации в соответствии с установленными требованиями в политике ИБ (организации).

Примечание - Результатом обеспечения ИБ может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

3.2.20 система документов по информационной безопасности в организации; система документов по ИБ в организации: Объединенная целевой направленностью упорядоченная совокупность документов. взаимосвязанных по признакам происхождения, назначения, вида, сферы деятельности, единых требований к их оформлению и регламентирующих в организации деятельность по обеспечению информационной безопасности.

ГОСТ Р 53114-2008

3.3 Термины, относящиеся к угрозам безопасности информации

3.3.1 угроза информационной безопасности организации; угроза ИБ организации: Совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации.

Примечания

1 Формой реализации (проявления) угрозы ИБ является нвсгупление одного или нескольких взаимосвязанных событий ИБ и инцидентов ИБ. приводящвго(их)к нарушений свойств информационной безопасности объекта (ов)защиты организации.

2 Угроза характеризуется наличием объекта угрозы, источника угрозы и проявления угрозы.

угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

[ГОСТ Р 50922-2006. пункт 2.6.1]

3.3.3 модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание - видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Примечания

1 Условием реализации угрозы безопасности, обрабатываемой в системе информации, может бытьнедос-таток или слабое место в информационной системе.

2 Если уязвимость соответствует угрозе, то существует риск.

[ГОСТ Р 50922-2006. пункт 2.6.4]

3.3.5 нарушитель информационной безопасности организации; нарушитель ИБ организации: Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации.

3.3.6 несанкционированный доступ: Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый снарушенивм установленных прави(или)правил доступа.

Примечания

1 Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.

2 Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных. технических и информационных ресурсов, в также получения информации о них.

3.3.7 сетевая атака: Действия с применением программных и (или) технических средств и с использованием сетевого протокола, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной информационной системы.

Применение - Сетевой протокол - совокупность семантических и синтаксических правил, определяющих взаимодействие программ управления сетью, находящейся в одной ЭВМ. с одноименными программами, находящимися в другой ЭВМ.

3.3.8 блокирование доступа (к информации): Прекращение или затруднение доступа к информации лиц. имеющих на это право (законных пользователей).

3.3.9 атака «отказ в обслуживании»: Сетевая атака, приводящая к блокированию информационных процессов в автоматизированной системе.

3.3.10 утечка информации: Неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками.

3.3.11 разглашение информации: Несанкционированное доведение защищаемой информации до лиц. не имеющих права доступа кэтой информации.

ГОСТ Р 53114-2008

перехват (информации): Неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

(Р 50.1.053-2005, пункт 3.2.5]

информативный сигнал: Сигнал, по параметрам которого может быть определена защищаемая информация.

[Р 50.1.05S-2005. пункт 3.2.6]

3.3.14 кедекларированные возможности: Функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации. которые могут привести к снижению или нарушению свойств безопасности информации.

3.3.15 побочные электромагнитные излучения и наводки: Электромагнитные излучения технических средств обработки информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

3.4 Термины, относящиеся к менеджменту информационной безопасности организации

3.4.1 менеджмент информационной безопасности организации; менеджмент Иб организации; Скоординированные действия по руководству и управлению организацией в части обеспечения ее информационной безопасности в соответствии с изменяющимися условиями внутренней и внешней среды организации.

3.4.2 менеджмент риска информационной безопасности организации; менеджмент риска ИБ организации: Скоординированные действия по руководству и управлению организацией в отношении риска ИБ с целью его минимизации.

Примечание - Основными процессами менеджмента риска являются установление контекста, оценка риска, обработка и принятие риска, мониторинг и пересмотр риска.

система менеджмента информационной безопасности; СМИБ: Часть общей системы менеджмента. основанная на использовании методов оценки биэнес-риское для разработки, внедрения, функционирования. мониторинга, анализа, поддержки и улучшения информационной безопасности.

Примечание - Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

[ГОСТ Р ИСО/МЭК 27001 -2006. пункт 3.7]

3.4.4 роль информационной безопасности в организации; роль ИБ в организации: Совокупность определенных функций и задач обеспечения информационной безопасности организации, устанавливающих допустимое взаимодействие между субъектом и объектом в организации.

Примечания

1 К субъектам относятся лица из числа руководителей организации, ее персонал или инициируемые от их имени процессы по выполнению действий над объектами

2 Объектами могут быть техническое, программное, программно-техническое средство, информационный ресурс, над которыми выполняются действия.

3.4.5 служба информационной безопасности организации: Организационно-техническая структура системы менеджмента информационной безопасности организации, реализующая решение определенной задачи, направленной на противодействие угрозам информационной безопасности организации.

3.5 Термины, относящиеся к контролю и оценке информационной безопасности организации

3.5.1 контроль обеспечения информационной безопасности организации; контроль обеспечения ИБ организации: Проверка соответствия обеспечения информационной безопасности в организации.

ГОСТ Р 53114-2008

3.5.2 мониторинг информационной безопасности организации; мониторинг ИБ организации: Пос* тоянное наблюдение за процессом обеспечения информационной безопасности в организации с целью установить его соответствие требованиям по информационной безопасности.

3.5.3 аудит информационной безопасности организации; аудит ИБорганизации: Систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обес* печению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности, а также допускающий возможность формирования профессионально* го аудиторского суждения о состоянии информационной безопасности организации.

3.5.4 свидетельства (доказательства) аудита информационной безопасности организации; сеи-детельства аудита ИБ организации: Записи, изложение фактов или другая информация, которые имеют отношение к критериям аудита информационной безопасности организации и могут быть проверены.

Примечание - Свидетельстве дудите информационной безопасности могут быть качественными или количественными.

3.5.5 оценка соответствия информационной безопасности организации установленным требо* ваниям; оценка соответствия ИБорганизации установленным требованиям: Деятельность, сеязаннаяс прямым или косвенным определением выполнения или невыполнения в организации установленных требований информационной безопасности.

3.5.6 критерий аудита информационной безопасности организации; критерий аудита ИБорганиза-ции: Совокупность принципов, положений, требований и показателей действующих нормативных доку* ментов, относящихся к деятельности организации в области информационной безопасности.

Применение - Критерии аудите информационной безопасности используют для сопоставления с ними свидетельств аудита информационной безопасности.

3.5.7 аттестация автоматизированной системы в защищенном исполнении: Процесс комплексной проверки выполнения заданных функций автоматизированной системы по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнению функции по обработке защищаемой информации на конкретном объекте информатизации.

3.5.8 критерий обеспечения информационной безопасности организации; критерий обеспечения ИБ организации: Показатель, на основании которого оценивается степень достижения цели (целей) информационной безопасности организации.

3.5.9 эффективность обеспечения информационной безопасности; эффективность обеспечения ИБ: Связь между достигнутым результатом и использованными ресурсами для обеспечения заданного уровня информационной безопасности.

3.6 Термины, относящиеся к средствам обеспечения информационной безопасности организации

3.6.1 обеспечение информационной безопасности организации; обеспечение ИБ организации: Деятельность, направленная на устранение (нейтрализацию, парирование) внутреннихи внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз.

3.6.2 мера безопасности; мера обеспечения безопасности: Сложившаяся практика, процедура или механизм обработки риска.

3.6.3 меры обеспечения информационной безопасности; меры обеспечения ИБ: Совокупность действий, направпенкых на разработку и/или практическое применение способов и средств обеспечения информационной безопасности.

3.6.4 организационные меры обеспечения информационной безопасности; организационные меры обеспечения ИБ: Меры обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

3.6.5 техническое средство обеспечения информационной безопасности; техническое средство обеспечения ИБ: Оборудование, используемое для обеспечения информационной безопасности организации некриптографическими методами.

Примечание - Такое оборудование может быть представлено техническими и программно-техническими средствами, встроенными в объект защиты и/или функционирующими автономно (независимо от объекта защиты).

ГОСТ Р 53114-2008

3.5.6 средство обнаружения вторжений, средство обнаружения атак: Программное или программно-техническое средство, которое автоматизирует процесс контроля событий, протекающих в компьютерной системе или сети, а также самостоятельно анализирует эти события в поисках признаков инцидента информационной безопасности.

3.6.7 средство защиты от несанкционированного доступа: Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.

ГОСТ Р 53114-2008

Алфавитный указатель терминов

активы организации 3.1.6

анализ риске 3.2.13

АС в защищенном исполнении 3.1.19

атака «отказ в обслуживании» 3.3.9

атака сетевая 3.3.7

аттестация автоматизированной системы в защищенном исполнении 3.5.7

аудит ИБ организации 3.5.3

аудит информационной безопасности организации 3.5.3

безопасность {данных] 3.1.1

безопасность информации 3.1.1

безопасность информационной технологии 3.1.2

безопасность организации информационная 3.2.1

блокирование доступа {к информации) 3.3.8

брешь 3.3.4

возможности недекларированные 3.3.14

данные персональные 3.1.18

доступ несанкционированный 3.3.6

ИБ организации 3.2.1

идентификацияриска 3.2.12

инфраструктура информационная 3.1.4

инцидент информационной безопасности 3.2.7

источник риска ИБ организации 3.2.17

источник риска информационной безопасности организации 3.2.17

контроль обеспечения ИБ организации 3.5.1

контроль обеспечения информационной безопасности организации 3.5.1

критерии обеспечения ИБ организации 3.5.8

критерий аудите ИБ организации 3.5.6

критерий аудита информационной безопасности организации 3.5.6

критерий обеспечения информационной безопасности организации 3.5.8

менеджмент ИБ организации 3.4.1

менеджмент информационной безопасности организации 3.4.1

менеджмент риска ИБ организации 3.4.2

менеджмент риска информационной безопасности организации 3.4.2

мера безопасности 3.6.2

мера обеспечения безопасности 3.6.2

меры обеспечения ИБ 3.6.3

меры обеспечения ИБ организационные 3.6.4

меры обеспечения информационной безопасности 3.6.3

меры обеспечения информационной безопасности организационные 3.4.6

модель угроз (безопасности информации) 3.3.3

мониторинг ИБ организации 3.5.2

мониторинг информационной безопасности организации 3.5.2

нарушение ИБ организации 3.2.4

нарушение информационной безопасности организации 3.2.4

нарушитель ИБ организации 3.3.5

нарушитель информационной безопасности организации 3.3.5

обеспечение автоматизированной системы информационное 3.1.12

обеспечение автоматизированной системы программное 3.1.11

обеспечение автоматизированной системы техническое 3.1.10

обеспечение АС информационное 3.1.12

обеспечение АС программное 3.1.11

обеспечение АС техническое 3.1.10

обеспечение ИБ организации 3.6.1

обеспечение информационной безопасности организации 3.6.1

обработка риска ИБ организации 3.2.15

ГОСТ Р 53114-2008

обработке риска информационной безопасности организации 3.2.1S

объект защиты информации 3.2.2

объект информатизации 3.1.5

объект критический 3.1.16

определение приемлемости уровня риска 3.2.14

оценка риска 3.2.10

оценка риске И6 (организации) 3.2.11

оценка риска информационной безопасности (организации) 3.2.11

оценке соответствия ИБ организации установленным требованиям 3.5.5

оценка соответствия информационной безопасности организации установленным требованиям 3.5.5

перехват (информации) 3.3.12

политика ИБ (организации) 3.2.18

политика информационной безопасности (организации) 3.2.18

процесс (информационной технологии)защищаемый 3.2.3

процесс информационный 3.1.8

разглашение информации 3.3.11

ресурс системы обработки информации 3.1.7

роль ИБ а организации 3.4.4

роль информационной безопасности 8 организации 3.4.4

свидетельства (доказательства) аудита ИБ организации 3.5.4

свидетельства (докаэательства)аудита информационной безопасности организации 3.5.4

сервис 3.1.13

сигнал информативный 3.3.13

система в защищенном исполнении автоматизированная 3.1.19

система документов по ИБ в организации 3.2.20

система документов по информационной безопасности в организации 3.2.20

системе информационной инфраструктуры ключевая 3.1.15

система информационной инфраструктуры критически важная 3.1.15

система менеджмента информационной безопасности 3.4.3

система персональныхданных информационная 3.1.17

ситуация непредвиденная 3.2.5

ситуация опасная 3.2.6

ситуация чрезвычайная 3.2.5

служба информационной безопасности организации 3.4.6

событие 3.2.8

средство защиты от несанкционированного доступа 3.6.7

средство обеспечения ИБ техническое 3.6.5

средство обеспечения информационной безопасности техническое 3.6.5

средство обнаружения атак 3.6.6

средство обнаружения вторжений 3.6.6

сфера информационная 3.1.3

технология информационная 3.1.9

угроза (безопасности информации) 3.3.2

угроза ИБ организации 3.3.1

угроза информационной безопасности организации 3.3.1

управление рисками 3.2.16

услуга 3.1.13

услуги информационных технологий 3.1.14

услугиИТ 3.1.14

утечка информации 3.3.10

уязвимость (информационной системы) 3.3.4

цель ИБ (организации) 3.2.19

цель информационной безопасности (организации) 3.2.19

электромагнитные излучения и наводки побочные 3.3.15

эффективность обеспечения ИБ 3.5.9

эффективность обеспечения информационной безопасности 3.5.9

ГОСТ Р 53114-2008

Приложение А (справочное)

Термины и определения общетехнических понятий

организация: Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

(ГОСТ Р ИСО 9000-2001, пункт 3.3.1]

Примечания

1 К организации относятся: компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, вссоцивция. в также их подразделения или комбинация из них.

2 Распределение обычно бывает упорядоченным.

3 Организация может быть государственной или частной.

А.2 бизнес: Экономическая деятельность, дающая прибыль; любой вид деятельности, приносящий доход, являющийся источником обогащения.

А.З бизнес-процесс: Процессы, используемые в экономической деятельности организации.

информация: Сведения (сообщения, данные) независимо от формы их представления.

активы: Все. что имеет ценность для организации. (ГОСТ Р ИСО/МЭК13335-1-2006, пункт 2.2(

А.6 ресурсы: Активы (организации), которые используются или потребляются в ходе выполнения процесса. Примечания

1 Ресурсы могут включать в себя такие разнообразные объекты, как персонал, оборудование, основные средства, инструменты, в также коммунальные услуги: анергию, воду, топливо и инфраструктуру сетей связи.

2 Ресурсы могут быть многократно используемыми, возобновляемыми или расходуемыми.

А.7 опасность: Свойство объекта, характеризующее его способность наносить ущерб или вред другим объектам. А.8 чрезвычайное событие: Событие, приводящее к чрезвычайной ситуации.

А.9 ущерб: Физическое повреждение или нанесение вреда здоровью людей либо нанесение вреда имуществу или окружающей среде.

А. 10 угроза: Совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности. конфиденциальности.

А.11 уязвимость: Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию.

А. 12 атака: Попытка преодоления системы защиты информационной системы.

Примечания - Степень «успеха» атаки зависит от уязвимости и эффективности системы защиты.

А.13 менеджмент: Скоординированная деятельность по руководству и управлению организацией

А.14 менеджмент (непрерывности) бизнеса: Скоординированная деятельность по руководству и управлению

бизнес-процессами организации.

А. 15 роль: Заранее определенная совокупность правил и процедур деятельности организации, устанавливающих допустимое взаимодействие между субъектом и объектом деятельности.

обладатель информации: Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

ГОСТ Р 53114-2008

инфраструктуре: Совокупность зданий, оборудования и служб обеспечения, необходимых для функционирования организации.

[ГОСТ Р ИСО 9000-2001. пункт 3.3.3]

А.18 аудит: Систематический независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудите.

Примечания

1 Внутренние аудиты, называемые аудитами первой стороны, проводит для внутренних целей сама организация или от ее имени другая организация. Результаты внутреннего аудита могут служитьоснованием для декларации о соответствии. Во многих случаях, особенно на малых предприятиях, аудит должен проводиться специалистами (людьми, не несущими ответственности зв проверяемую деятельность).

2 Внешние аудиты включают аудиты, называемые аудитами второй стороны и аудитами третьей стороны. Аудиты второй стороны проводят стороны, заинтересованные в деятельности предприятия, например.

потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации. Эти организации проводят сертификацию или регистрацию на соответствие требованиям, например, требованиям ГОСТ Р ИСО 9001 и ГОСТ Р ИСО 14001.

3 Аудит систем менеджмента качества и экологического менеджмента, проводимый одновременно, называют «комплексным аудитом».

4 Если вудит проверяемой организации проводят одновременно несколько организаций, то такой аудит называют «совместным аудитом».

А.19 мониторинг: Систематическое или непрерывное наблюдение за объектом с обеспечением контроля и/или измерения его параметров, в также проведение анализа с целью предсказания изменчивости параметров и принятия решения о необходимости и составе корректирующих и предупреждающих действий.

декларирование соответствия: Форма подтверждения соответствия продукции требованиям технических регламентов.

А.21 технология: Системе взаимосвязанных методов, способов, приемов предметной деятельности. А.22

документ: Зафиксированная на материальном носителе информацияс реквизитами, позволяющими ее идентифицировать.

[ГОСТ Р 52069.0-2003. пункт 3.18]

А.23 обработка информации: Совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения, осуществляемых над информацией.

ГОСТ Р 53114-2008

Приложение Б (справочное)

Взаимосвязь основных понятий в области обеспечения информационной безопасности в организации

Взаимосвязь основных понятий приведена на рисунке Б.1.

Рисунок Б.1 - взаимосвязь основных понятий

ГОСТ Р 53114-2008

Библиография

(1] Р 50.1.053-2005

(2] PS0.1.056-2005

Информационные технологии. Основные термины и определения в области технической защиты информации Техническая защита информации. Основные термины и определения

О техническом регулировании

Об информации, информационных технологиях и защите информации

О персональных данных

Доктрине информационной безопасности Российской Федерации

УДК 351.864.1:004:006.354 ОКС 35.020 ТОО

Ключевые слова: информация, защита информации, информационная безопасность в организации, угрозы безопасности информации, критерии безопасности информации

Редактор В.Н. Копы сое Технический редактор В.Н. Прусакова Корректор В.Е. Несторово Компьютерная оерстка И.А. НапеикиноО

Сдано в набор 06.11.2009. Подписано е печать 01.12.2009. Формат 60 »84Бумага офсетная. Гарнитура Ариал. Печать офсетная. Усп. печ. л. 2.32. Уч.-иэд. л. 1.90. Тираж 373 »кз. Зак. 626

ФГУП «СТАНДАРТИНФОРМ*. 123995 Москва. Гранатный пор.. 4. info@goslmlo ги

Набрано во ФГУП «СТАНДАРТИНФОРМ» на ПЭВМ.

Отпечатано а филиале ФГУП «СТАНДАРТИНФОРМ* - тип. «Московский печатник». 105062 Москва. Лялин пер.. 6.

• ГОСТ 22731-77 Системы передачи данных процедуры управления звеном передачи данных в основном режиме для полудуплексного обмена информацией
• ГОСТ 26525-85 Системы обработки данных. Показатели использования
• ГОСТ 27771-88 Процедурные характеристики на стыке между оконечным оборудованием данных и аппаратурой окончания канала данных. Общие требования и нормы
• ГОСТ 28082-89 Системы обработки информации. Методы обнаружения ошибок при последовательной передаче данных
• ГОСТ 28270-89 Системы обработки информации. Спецификация файла описания данных для обмена информацией
• ГОСТ Р 43.2.11-2014 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Структурированное представление текстовых сведений в форматах сообщений
• ГОСТ Р 43.2.8-2014 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Форматы сообщений для технической деятельности
• ГОСТ Р 43.4.1-2011 Информационное обеспечение техники и операторской деятельности. Система «человек-информация»
• ГОСТ Р 53633.10-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление рисками организации
• ГОСТ Р 53633.11-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM).Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление эффективностью организации
• ГОСТ Р 53633.4-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление и эксплуатация услуг
• ГОСТ Р 53633.7-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Разработка и управление ресурсами
• ГОСТ Р 53633.9-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Планирование стратегии и развития организации
• ГОСТ Р 55767-2013 Информационная технология. Европейская рамка ИКТ-компетенций 2.0. Часть 1. Общая европейская рамка компетенций ИКТ-специалистов для всех секторов индустрии
• ГОСТ Р 55768-2013 Информационная технология. Модель открытой Грид-системы. Основные положения
• ГОСТ Р 56093-2014 Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования
• ГОСТ Р 56115-2014 Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования
• ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
• ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем
• ГОСТ IEC 60950-21-2013 Оборудование информационных технологий. Требования безопасности. Часть 21. Удаленное электропитание
• ГОСТ IEC 60950-22-2013 Оборудование информационных технологий. Требования безопасности. Часть 22. Оборудование, предназначенное для установки на открытом воздухе
• ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
• ГОСТ Р 55766-2013 Информационная технология. Европейская рамка ИКТ-компетенций 2.0. Часть 3. Создание e-CF - соединение методологических основ и опыта экспертов
• ГОСТ Р 55248-2012 Электробезопасность. Классификация интерфейсов для оборудования, подсоединяемого к сетям информационных и коммуникационных технологий
• ГОСТ Р 43.0.11-2014 Информационное обеспечение техники и операторской деятельности. Базы данных в технической деятельности
• ГОСТ Р 56174-2014 Информационные технологии. Архитектура служб открытой Грид-среды. Термины и определения
• ГОСТ IEC 61606-4-2014 Аудио- и аудиовизуальное оборудование. Компоненты цифровой аудиоаппаратуры. Основные методы измерений звуковых характеристик. Часть 4. Персональный компьютер
• ГОСТ Р 43.2.5-2011 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Грамматика
• ГОСТ Р 53633.5-2012 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Управление маркетингом и предложением продукта
• ГОСТ Р 53633.6-2012 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Разработка и управление услугами
• ГОСТ Р 53633.8-2012 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Разработка и управление цепочками поставок
• ГОСТ Р 43.0.7-2011 Информационное обеспечение техники и операторской деятельности. Гибридно-интеллектуализированное человекоинформационное взаимодействие. Общие положения
• ГОСТ Р 43.2.6-2011 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Морфология
• ГОСТ Р 53633.14-2016 Информационные технологии. Сеть управления электросвязью расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление отношениями с заинтересованными сторонами и внешними связями
• ГОСТ Р 56938-2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения
• ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования
• ГОСТ Р ИСО/МЭК 17963-2016 Спецификация веб-служб для управления (WS-management)
• ГОСТ Р 43.0.6-2011 Информационное обеспечение техники и операторской деятельности. Естественно-интеллектуализированное человекоинфомационное взаимодействие. Общие положения
• ГОСТ Р 54817-2011 Воспламенение аудио-, видеоаппаратуры, оборудования информационных технологий и связи, случайно возникшее от пламени свечи
• ГОСТ Р МЭК 60950-23-2011 Оборудование информационных технологий. Требования безопасности. Часть 23. Оборудование для хранения больших объемов данных
• ГОСТ Р МЭК 62018-2011 Потребление энергии оборудованием информационных технологий. Методы измерения
• ГОСТ Р 53538-2009 Многопарные кабели с медными жилами для цепей широкополосного доступа. Общие технические требования
• ГОСТ Р 53633.0-2009 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Общая структура бизнес-процессов
• ГОСТ Р 53633.1-2009 Информационная технология. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление взаимоотношениями с поставщиками и партнерами
• ГОСТ Р 53633.2-2009 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление и эксплуатация ресурсов
• ГОСТ Р 53633.3-2009 Информационная технология. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление взаимоотношениями с клиентами
• ГОСТ Р ИСО/МЭК 20000-2-2010 Информационная технология. Менеджмент услуг. Часть 2. Кодекс практической деятельности
• ГОСТ Р 43.0.3-2009 Информационное обеспечение техники и операторской деятельности. Ноон-технология в технической деятельности. Общие положения
• ГОСТ Р 43.0.4-2009 Информационное обеспечение техники и операторской деятельности. Информация в технической деятельности. Общие положения
• ГОСТ Р 43.0.5-2009 Информационное обеспечение техники и операторской деятельности. Процессы информационно-обменные в технической деятельности. Общие положения
• ГОСТ Р 43.2.1-2007 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Общие положения
• ГОСТ Р 43.2.2-2009 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Общие положения по применению
• ГОСТ Р 43.2.3-2009 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Виды и свойства знаковых компонентов
• ГОСТ Р 43.2.4-2009 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Cинтактика знаковых компонентов
• ГОСТ Р 52919-2008 Информационная технология. Методы и средства физической защиты. Классификация и методы испытаний на огнестойкость. Комнаты и контейнеры данных
• ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения
• ГОСТ Р 53245-2008 Информационные технологии. Системы кабельные структурированные. Монтаж основных узлов системы. Методы испытания
• ГОСТ Р 53246-2008 Информационные технологии. Системы кабельные структурированные. Проектирование основных узлов системы. Общие требования
• ГОСТ Р МЭК 60990-2010 Методы измерения тока прикосновения и тока защитного проводника
• ГОСТ 33707-2016 Информационные технологии. Словарь
• ГОСТ Р 57392-2017 Информационные технологии. Управление услугами. Часть 10. Основные понятия и терминология
• ГОСТ Р 43.0.13-2017 Информационное обеспечение техники и операторской деятельности. Направленная подготовка специалистов
• ГОСТ Р 43.0.8-2017 Информационное обеспечение техники и операторской деятельности. Искусственно-интеллектуализированное человекоинформационное взаимодействие. Общие положения
• ГОСТ Р 43.0.9-2017 Информационное обеспечение техники и операторской деятельности. Информационные ресурсы
• ГОСТ Р 43.2.7-2017 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Синтаксис
• ГОСТ Р ИСО/МЭК 38500-2017 Информационные технологии. Стратегическое управление ИТ в организации
• ГОСТ Р 43.0.10-2017 Информационное обеспечение техники и операторской деятельности. Информационные объекты, объектно-ориентированное проектирование в создании технической информации
• ГОСТ Р 53633.21-2017 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (еТОМ). Декомпозиция и описания процессов. Основная деятельность. Управление и эксплуатация услуг. Процессы уровня 3 eTOM. Процесс 1.1.2.1 - Поддержка и обеспечение готовности процессов SM&O
• ГОСТ Р 57875-2017 Телекоммуникации. Схемы соединения и заземление в телекоммуникационных центрах
• ГОСТ Р 53633.22-2017 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (еТОМ). Декомпозиция и описания процессов. Основная деятельность. Управление и эксплуатация услуг. Процессы уровня 3 eTOM. Процесс 1.1.2.2 - Конфигурирование и активация услуг

Предпосылки создания стандартов ИБ

Стандарт «Критерии оценки надежности компьютерных систем» (Оранжевая книга)

Гармонизированные критерии европейских стран

Германский стандарт BS 1

Британский стандарт BS 7799

Международный стандарт ISO 17799

Международный стандарт ISO 15408 «Общий критерий»

Стандарт COBIT

Стандарты по безопасности информационных технологий в России

3.1. Предпосылки создания стандартов иб

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ.

Одним из результатов проведения аудита в последнее время все чаще становится сертификат, удостоверяющий соответствие обследуемой ИС определенному признанному международному стандарту. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

Использование стандартов способствует решению следующих пяти задач.

Во-первых, строго определяются цели обеспечения информационной безопасности компьютерных систем.Во-вторых , создается эффективная система управления информационной безопасностью.В-третьих , обеспечивается расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям.В-четвертых , создаются условия применения имеющегося инструментария (программных средств) обеспечения информационной безопасности и оценки ее текущего состояния.В-пятых , открывается возможность использования методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем.

Начиная с начала 80-х годов были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга. Ниже будут рассмотрены наиболее известные стандарты по хронологии их создания:

Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);

Гармонизированные критерии европейских стран;

Германский стандарт BSI;

Британский стандарт BS7799;

Стандарт ISO17799;

Стандарт «Общие критерии» ISO15408;

Стандарт COBIT

Эти стандарты можно разделить на два вида:

Оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

Технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.

3.2. Стандарт «Критерии оценки надежности компьютерных систем» (Оранжевая книга)

Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем».

Данный труд, называемый чаще всего по цвету обложки «Оранжевой книгой», был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах , то есть системах, которым можно оказать определенную степень доверия.

«Оранжевая книга» поясняет понятие безопасной системы, которая «управляет, с помощью соответствующих средств, доступом к информа ции, так что только должным образом авторизованные лица или процес сы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию ».

Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

В «Оранжевой книге» доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа».

Следует отметить, что в рассматриваемых критериях и безопасность и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности информации. При этом вопросы доступности «Оранжевая книга» не затрагивает.

Степень доверия оценивается по двум основным критериям .

Политика безопасности – набор законов, правил и норм поведения, оп ределяющих, как организация обрабатывает, защищает и распростра няет информацию . В частности, правила определяют, вкаких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности - это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

Уровень гарантированности – мера доверия, которая может быть ока зана архитектуре и реализации ИС . Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки (формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.

Основным средством обеспечения безопасности определяется механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации. Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база – это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор.

Рассматриваемые компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС авторы стандарта рекомендуют рассматривать только ее вычислительную базу.

Основное назначение доверенной вычислительной базы – выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами (пользователями) определенных операций над объектами (пассивными сущностями). Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя.

Монитор обращений должен обладать тремя качествами:

Изолированность. Необходимо предупредить возможность отслеживания работы монитора.

Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его.

Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Реализация монитора обращений называется ядром безопасности. Ядро безопасности – это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.

Границу доверенной вычислительной базы называют периметром безо пасности . Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распре­деленных систем понятию «периметр безопасности» все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, – нет.

Согласно «Оранжевой книге», политика безопасности должна обязательно включать в себя следующие элементы :

произвольное управление доступом;

безопасность повторного использования объектов;

метки безопасности;

принудительное управление доступом.

Произвольное управление доступом – это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.

Безопасность повторного использования объектов – важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности . Метка субъекта описывает его благонадежность, метка объекта – степень конфиденциальности содержащейся в нем информации.

Согласно «Оранжевой книге», метки безопасности состоят из двух частей – уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, а списки категорий – неупорядоченное. Назначение последних – описать предметную область, к которой относятся данные.

Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта.

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен – читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безо­пасности объекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может записывать данные в секретные файлы, но не может – в несекретные (разумеется, должны также выполняться ограничения на набор категорий).

Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того, как зафиксированы метки безопасности субъектов объектов, оказываются зафиксированными и права доступа.

Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает. Средства подотчетности делятся на три категории:

идентификация и аутентификация;

предоставление доверенного пути;

анализ регистрационной информации.

Обычный способ идентификации – ввод имени пользователя при входе в систему. Стандартное средство проверки подлинности (аутентификации) пользователя - пароль.

Доверенный путь связывает пользователя непосредственно с доверенной вычислительной базой, минуя другие, потенциально опасные компоненты ИС. Цель предоставления доверенного пути – дать пользователю возможность убедиться в подлинности обслуживающей его системы.

Анализ регистрационной информации (аудит) имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы.

Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. «Оранжевая книга» предусматривает наличие средств выборочного протоколирования, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.

Переходя к пассивным аспектам защиты, укажем, что в «Оранжевой книге» рассматривается два вида гарантированности - операционная и технологическая.

Гарантированность – это мера уверенности с которой можно утверждать, что для проведения в жизнь сформулированной политики безопасности выбран подходящий набор средств, и что каждое из этих средств правильно исполняет отведенную ему роль.

Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая – к методам построения и сопровождения. Операционная гарантированность включает в себя проверку следующих элементов:

архитектура системы;

целостность системы;

проверка тайных каналов передачи информации;

доверенное администрирование;

доверенное восстановление после сбоев.

Операционная гарантированность – это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности.

Технологическая гарантированность охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы исключить утечку информации и нелегальные «закладки».

Оформление документации является необходимым условием для подтверждения гарантии надежности системы и одновременно – инструмент проведения политики безопасности. Без документации люди не будут знать, какой политике следовать и что для этого нужно делать.

Согласно "Оранжевой книге", в комплект документации надежной системы должны входить следующие тома:

Руководство пользователя по средствам безопасности.

Руководство администратора по средствам безопасности.

Тестовая документация.

Описание архитектуры.

Разумеется, на практике требуется еще по крайней мере одна книга – письменное изложение политики безопасности данной организации.

Руководство пользователя по средствам безопасности предназначено для обычных, непривилегированных людей. Оно должно содержать сведения о механизмах безопасности и способах их использования. Руководство должно давать ответы по крайней мере на следующие вопросы:

Как входить в систему? Как вводить имя и пароль? Как менять пароль? Как часто это нужно делать? Как выбирать новый пароль?

Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать?

Как импортировать и экспортировать информацию, не нарушая правил безопасности?

Как уживаться с системными ограничениями? Почему эти ограничения необходимы? Какой стиль работы сделает ограничения необременительными?

Руководство администратора по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. В Руководстве освещаются вопросы начального конфигурирования системы, перечисляются текущие обязанности администратора, анализируется соотношения между безопасностью и эффективностью функционирования.

Каковы основные защитные механизмы?

Как администрировать средства идентификации и аутентификации? В частности, как заводить новых пользователей и удалять старых?

Как администрировать средства произвольного управления доступом? Как защищать системную информацию? Как обнаруживать слабые места?

Как администрировать средства протоколирования и аудита? Как выбирать регистрируемые события? Как анализировать результаты?

Как администрировать средства принудительного управления доступом? Какие уровни секретности и категории выбрать? Как назначать и менять метки безопасности?

Как генерировать новую, переконфигурированную надежную вычислительную базу?

Как безопасно запускать систему и восстанавливать ее после сбоев и отказов? Как организовать резервное копирование?

Как разделить обязанности системного администратора и оператора?

Тестовая документация содержит описания тестов и их результаты. По идее она проста, но зачастую весьма пространна. Кроме того (вернее, перед тем), тестовая документация должна содержать план тестирования и условия, налагаемые на тестовое окружение.

Описание архитектуры в данном контексте должно включать в себя по крайней мере сведения о внутреннем устройстве надежной вычислительной базы. Вообще говоря, это описание должно быть формальным, допускающим автоматическое сопоставление с политикой безопасности на предмет соответствия требованиям последней. Объем описания архитектуры может оказаться сопоставимым с объемом исходных текстов программной реализации системы.

Классы безопасности . В рассматриваемом стандарте определены подходы к ранжированию информационных систем по степени надежности. В "Оранжевой книге" рассматривается четыре уровня безопасности (надежности) - D , С , В и А .

Эти классы безопасности обозначают следующее:

D 1 – неудовлетворительная безопасность;

С1, С2 – произвольное управление доступом;

В1, В2, В3 – принудительное управление доступом;

А1 – верифицированная защита.

По мере перехода от уровня С к А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (С1 , С2 , В1 , В2 , ВЗ ) с постепенным возрастанием надежности. Таким образом, всего практически используются шесть классов безопасности – С1 , С2 , В1 , В2 , ВЗ , А1 . Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять приводимым ниже требованиям. Поскольку при переходе к каждому следующему классу требования только добавляются, то дополнительно вписываются только новые, что присуще данному классу, группируя требования в согласии с предшествующим изложением.

Каждый класс безопасности включает набор требований с учетом элементов политики безопасности и требований к гарантированности.

Так, для класса С1 требования предусматривают следующее:

– С учетом политики безопасности:

Надежная вычислительная база должна управлять доступом именованных пользователей к именованным объектам. Механизм управления (права для владельца/группы/прочих, списки управления доступом) должен позволять пользователям специфицировать разделение файлов между индивидами и/или группами;

Пользователи должны идентифицировать себя прежде чем выполнять какие-либо иные действия, контролируемые надежной вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа;

– С учетом гарантированности:

Надежная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от попыток слежения за ходом работы. Ресурсы, контролируемые базой, могут составлять определенное подмножество всех субъектов и объектов системы.

Должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов надежной вычислительной базы.

Защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты надежной вычислительной базы.

Отдельный фрагмент документации (глава, том) должен описывать защитные механизмы, предоставляемые надежной вычислительной базой, и их взаимодействие между собой, содержать рекомендации по их использованию.

Руководство должно содержать сведения о функциях и привилегиях, которыми управляет системный администратор посредством механизмов безопасности.

Разработчик системы должен представить экспертному совету документ, содержащий план тестов, процедуры прогона тестов и результаты тестов.

Должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации надежной вычислительной базы. Если база состоит из нескольких модулей, должен быть описан интерфейс между ними.

Аналогично документируются требования к каждому классу, который определяет набор конкретных оценок надежности компьютерных систем.

Однако следует отметить, что описанный подход был ориентирован на оценку отдельных программно-технических комплексов, поэтому в 1987 году Национальным центром компьютерной безопасности США была дополнительно опубликована интерпретация «Оранжевой книги» для сетевых конфигураций.

Международные стандарты

• BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
• BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
• BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
• ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
• ISO/IEC 27000 - Словарь и определения.
• ISO/IEC 27001:2005 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
• ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
• ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
• German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

• ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
• Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
• ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
• ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
• ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
• ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
• ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
• ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
• ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
• ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
• ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

Руководящие документы

• РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.

См. также

• Недекларированные возможности

Внешние ссылки

• Международные стандарты управления информационной безопасностью

Wikimedia Foundation . 2010 .

Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопасности - создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Многие правительственные организации и частные компании приобретают только такие системы, которые удовлетворяют определенным наборам требований. Наиболее значимые стандарты информационной безопасности: критерии безопасности компьютерных систем Министерства обороны США, US TCSEC (US Trusted Computer Systems Evaluation Criteria , «Оранжевая книга»; европейский Стандарт European ITSEC (Information Technology Security Evaluation Criteria ).

Британский институт стандартов (BSI ) при участии коммерческих организаций: Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности. Стандарт был утвержден в 1998 г. и получил название «BS 7799 управление информационной безопасностью организации вне зависимости от сферы деятельности компании». Служба безопасности, информационный отдел, руководство компании должны работать согласно принятому регламенту. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, Швеция и Нидерланды. В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 .

Группа государств, объединив свои усилия в рамках Международной организации по стандартизации (ISO) , разработала новый стандарт безопасности ISO 15408 , призванный отразить возросший уровень сложности технологий и растущую потребность в международной стандартизации. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации Информационных Технологий (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

Стандарт пришел на смену старым методикам оценки. Он получил известность как Стандарт Common Criteria for Information Technology Security Evaluation (CCITSE – общие критерии оценки безопасности информационных технологий) и был утвержден в качестве международного в 1999 году. Страны, ратифицировавшие Common Criteria , рассчитывают, что использование этого стандарта приведет к повышению надежности продуктов, в которых применяются технологии защиты данных. Он поможет потребителям информационных технологий лучше ориентироваться при выборе программного обеспечения, и будет способствовать повышению уверенности пользователей в безопасности информационных продуктов.

В соответствии с требованиями Common Criteria продукты определенного класса (например, операционные системы) оцениваются на соответствие ряду функциональных критериев и критериев надежности – «профилей защиты» (Protection Profiles ). Существуют различные определения профилей защиты в отношении операционных систем, брандмауэров, смарт-карт и прочих продуктов, которые должны соответствовать определенным требованиям в области безопасности. Например, профиль защиты систем с разграничением доступа (Controlled Access Protection Profile) действует в отношении операционных систем и должен заменить старый уровень защиты С2. Стандарт Common Criteria также устанавливает ряд гарантированных уровней соответствия Evaluation Assurance Levels (EAL) , используемых при оценке продуктов.

Сертификация на более высокий уровень EAL означает более высокую степень уверенности в том, что система защиты продукта работает правильно и эффективно. Профили защиты для уровней EAL1-EAL4 являются общими для всех стран, поддерживающих стандарт Common Criteria . Для высших уровней EAL5-EAL7 профили защиты индивидуально разрабатываются каждой страной для учета национальных особенностей защиты государственных секретов. Поэтому EAL4 является высшим уровнем, которого могут достигнуть продукты, не создававшиеся изначально с учетом соответствия требованиям EAL5-EAL7 .

Признание соответствия того или иного продукта стандарту Common Criteria происходит лишь после прохождения им весьма строгой и длительной процедуры проверки.

Данный стандарт является гарантией качества: принимая решение о приобретении информационного продукта, пользователи могут оценить его на основе результатов строгого независимого тестирования, учитывающего весь комплекс критериев. Таким образом, стандарт Common Criteria способствует повышению требований к качеству продуктов и позволяет утверждать, что продукт обладает надежной защитой. Преимущества стандарта Common Criteria :

Стандарт помогает пользователям объективно оценивать защищенность информационных продуктов;

Пользователи могут применять четкие и универсальные критерии для оценки собственных потребностей и выбора необходимого уровня защиты;

Пользователям становится проще определить, соответствует ли конкретный продукт их требованиям в области безопасности;

Пользователи могут доверять оценкам, сделанным в ходе аттестации на соответствие стандарту, поскольку оценивание производится независимой тестирующей лабораторией; государственные структуры и крупные компании все чаще ориентируются на этот стандарт при принятии решений о покупке;

Поскольку Common Criteria является международным стандартом, организации, использующие сертифицированные по этому стандарту продукты, будут удовлетворять требованиям безопасности, которые предъявляются к филиалам этой организации в каждой стране.

Стандарт Common Criteria ISO 15408 является также государственным стандартом России. С 1 января 2004 года были введены в действие следующие государственные стандарты:

ГОСТ Р ИСО/МЭК 15408-1-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;

ГОСТ Р ИСО/МЭК 15408-2-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2.Функциональные требования безопасности;

ГОСТ Р ИСО/МЭК 15408-3-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3.Требования доверия к безопасности.

Главные преимущества стандартов - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Принятие новых стандартов и взаимное международное признание сертификатов стандарта Common Criteria позволяют:

Пользователям сократить свои затраты на сертификацию продуктов;

Сертифицирующим органам привлечь дополнительный поток заказов на сертификацию из-за рубежа;

Производителям российских высокотехнологичных продуктов получить международные сертификаты в России;

Среди различных стандартов по безопасности информационных технологий, существующих в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи открытых систем; нормативных документов по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем; документов, ориентированных преимущественно на защиту государственной тайны (табл. 6.1.)

Таблица 6.1.

Нормативные документы, регламентирующие оценку защищенности информационных технологий

Безопасность программных продуктов начинается с качественно написанного и прошедшего всестороннее тестирование кода. Затем используются технологии поиска, исправления и ликвидации найденных уязвимых мест в системе защиты. На последнем этапе производится проверка на соответствие общепризнанным стандартам.

Пример. В октябре 2002 года корпорация Microsoft для платформы Microsoft Windows 2000 получила международный сертификат по «Общим критериям» для самого широкого среди сертифицированных операционных систем спектра реальных сценариев применения, определенных условиями стандарта Common Criteria . 12 февраля 2004 года представителями Государственной технической комиссии при Президенте Российской Федерации операционная система Microsoft Windows XP (Service Pack 1a) была сертифицирована на соответствие российским требованиям по безопасности информации.