Jauni viesi IB jeb kā FSTEC maina metodisko bāzi. Kādi ir informācijas drošības standarti? Nacionālie informācijas drošības standarti
| Dokumenta nosaukums: | |
| Dokumenta numurs: | 53113.1-2008 |
| Dokumenta veids: | GOST R |
| Saņēmēja iestāde: | Rosstandart |
| Statuss: | Aktīvs |
| Publicēts: | |
| Pieņemšanas datums: | 2008. gada 18. decembris |
| Sākuma datums: | 2009. gada 1. oktobris |
| Pārskatīšanas datums: | 2018. gada 01. oktobris |
GOST R 53113.1-2008 Informācijas tehnoloģijas (IT). Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret informācijas drošības apdraudējumiem, kas īstenoti, izmantojot slēptos kanālus. 1. daļa. Vispārīgie noteikumi
GOST R 53113.1-2008
Grupa T00
KRIEVIJAS FEDERĀCIJAS NACIONĀLAIS STANDARTS
Informāciju tehnoloģijas
INFORMĀCIJAS TEHNOLOĢIJU UN AUTOMATIZĒTO SISTĒMU AIZSARDZĪBA NO INFORMĀCIJAS DROŠĪBAS APDRAUDĒJUMIEM, IZMANTOJOT SLĒPUMUS KANĀLI
1. daļa
Vispārīgi noteikumi
Informāciju tehnoloģijas. Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret drošības apdraudējumiem, ko rada slēpto kanālu izmantošana. 1. daļa. Vispārīgie principi
OKS 35.040
Ievadīšanas datums 2009-10-01
Priekšvārds
Priekšvārds
1 IZSTRĀDĀJA Sabiedrība ar ierobežotu atbildību "Cryptocom"
2 IEVĒROJA Federālā tehnisko noteikumu un metroloģijas aģentūra
3 APSTIPRINĀTS UN STĀŠĀS SPĒKĀ ar Federālās Tehnisko noteikumu un metroloģijas aģentūras rīkojumu, kas datēts ar 2008. gada 18. decembri N 531-st
4 IEVADS PIRMO REIZI
5 REPUBLIKĀCIJA. 2018. gada oktobris
Šī standarta piemērošanas noteikumi ir noteikti 2015. gada 29. jūnija federālā likuma N 162-FZ "Par standartizāciju Krievijas Federācijā" 26. pants. Informācija par izmaiņām šajā standartā tiek publicēta ikgadējā (uz kārtējā gada 1. janvāri) informācijas rādītājā "Nacionālie standarti", bet oficiālais izmaiņu un grozījumu teksts tiek publicēts ikmēneša informācijas rādītājā "Nacionālie standarti". Šī standarta pārskatīšanas (aizstāšanās) vai atcelšanas gadījumā attiecīgs paziņojums tiks publicēts nākamajā ikmēneša informācijas indeksa "Nacionālie standarti" numurā. Attiecīgā informācija, paziņojumi un teksti tiek ievietoti arī publiskajā informācijas sistēmā - Federālās tehnisko noteikumu un metroloģijas aģentūras oficiālajā tīmekļa vietnē internetā (www.gost.ru)
Ievads
Izkliedēto informācijas sistēmu un tehnoloģiju izstrāde, ieviešana un izmantošana, importētas programmatūras un aparatūras platformu izmantošana bez projektēšanas dokumentācijas ir izraisījusi informācijas drošības (IS) apdraudējumu klases rašanos, kas saistīta ar tā saukto slēpto informācijas kanālu izmantošanu. , “neredzams” tradicionālajiem informācijas drošības līdzekļiem.
Tradicionālie informācijas drošības rīki, piemēram, piekļuves kontroles rīki, ugunsmūri un ielaušanās atklāšanas sistēmas, kontrolē tikai tās informācijas plūsmas, kas iet caur to pārraidei paredzētajiem kanāliem. Informācijas apmaiņas iespēja ārpus šī ietvara, izmantojot slepenos kanālus (CC), netiek ņemta vērā.
Sistēmās, kurām nepieciešams paaugstināts uzticamības līmenis, ir jāņem vērā drošības apdraudējumi, kas rodas no iespējamības, ka, izmantojot CS, tiek veikta neatļauta darbība.
IC bīstamība informācijas tehnoloģijām (IT) un automatizētajām sistēmām (AS) un citiem organizācijas aktīviem ir saistīta ar kontroles trūkumu, aizsargājot informācijas plūsmas, kas var izraisīt informācijas noplūdi, pārkāpt informācijas resursu integritāti un programmatūru datorsistēmās vai radīt citus šķēršļus IT ieviešanai.
Lai nodrošinātu automatizētajā sistēmā apstrādātās informācijas aizsardzību, nepieciešams apzināt un neitralizēt visus iespējamos nesankcionētās darbības informācijas kanālus – gan tradicionālos, gan slēptos.
Šis standarts ir daļa no savstarpēji saistītu standartu sērijas, ko vieno vispārpieņemtais nosaukums "Informācijas tehnoloģija. Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret informācijas drošības apdraudējumiem, kas īstenoti, izmantojot slēptos kanālus", tostarp:
- vispārīgie noteikumi;
- ieteikumi informācijas, IT un AS aizsardzības organizēšanai pret uzbrukumiem, izmantojot CS.
Vispārējie noteikumi definē risināmos uzdevumus, analizējot drošības sistēmu, apraksta drošības sistēmas klasifikāciju un nodrošina aktīvu klasifikāciju pēc drošības sistēmas izmantošanas uzbrukumu bīstamības pakāpes.
Būtisks IT un AS sistēmu drošības aspekts ir uzticēšanās drošības sistēmām. Uzticības nodrošināšana tiek veikta, veicot programmatūras un aparatūras produktu padziļinātu analīzi vai pārbaudi no to drošības viedokļa. Daudzos gadījumos šī analīze ir sarežģīta, jo tās ieviešanai trūkst avota datu, tas ir, pirmkodu, dizaina un testēšanas dokumentācijas, kā rezultātā tiek apdraudēti informācijas resursi, kurus var ieviest, izmantojot nezināmas programmatūras un aparatūras sistēmas un saskarnes. mijiedarbības programmatūras un aparatūras produktiem.
Prasības uzticamībai informācijas drošībai ir noteiktas GOST R ISO/IEC 15408-3, saskaņā ar kuru sistēmām ar paredzamo ticamības līmeni (EAL), sākot ar EAL5, tiek nodrošināta obligāta IC analīze. Izmantojot ārvalstu ražotāju aparatūru un programmatūras produktus, ja nav dizaina, testa dokumentācijas un pirmkodu, nav iespējams garantēt, ka nav potenciāli ļaunprātīgu komponentu, kas iekļauti ar nolūku vai radušies nejauši (piemēram, programmatūras ievainojamība). Tādējādi prasība analizēt IC Krievijas Federācijā ir nepieciešams nosacījums to sistēmu drošai darbībai, kuras apstrādā vērtīgu informāciju vai izmanto importētu aparatūru un programmatūru, tostarp sistēmām ar EAL zem EAL5.
Ieteikumi informācijas, IT un AS aizsardzības organizēšanai pret uzbrukumiem, izmantojot CS, nosaka CS meklēšanas un pretdarbības CS procedūru.
Šis standarts tika izstrādāts kā GOST R ISO/IEC 15408-3, GOST R ISO/IEC 27002 (attiecībā uz pasākumiem, lai novērstu informācijas drošības apdraudējumus, kas īstenoti, izmantojot drošības sistēmas) un.
1 izmantošanas joma
Šis standarts nosaka drošības sistēmas klasifikāciju un definē drošības sistēmas analīzes laikā risināmos uzdevumus, kas ir nepieciešama sastāvdaļa, lai noteiktu turpmāko procedūru informācijas aizsardzībai pret uzbrukumiem, izmantojot sistēmu, kā arī nosaka IT un AS produktu un sistēmu drošības sistēmas analīzes veikšanas kārtība, kuras rezultāti tiek izmantoti, novērtējot uzticību informācijas sistēmām un IT aizsardzības pasākumiem.
Šis standarts ir paredzēts klientiem, izstrādātājiem un IT lietotājiem, jo viņi formulē prasības IT produktu un sistēmu izstrādei, iegādei un lietošanai, kas paredzēti, lai apstrādātu, uzglabātu vai pārsūtītu informāciju, kas ir pakļauta aizsardzībai saskaņā ar normatīvo aktu prasībām. dokumenti vai informācijas īpašnieka noteiktās prasības. Šis standarts ir paredzēts arī sertifikācijas institūcijām un testēšanas laboratorijām, veicot drošības novērtējumus un IT un AS drošības sertifikāciju, kā arī analītiskajām vienībām un drošības dienestiem, lai salīdzinātu draudus vērtīgiem informācijas aktīviem ar iespējamu kaitējumu drošības sistēmai.
2 Normatīvās atsauces
Šajā standartā tiek izmantotas normatīvās atsauces uz šādiem standartiem:
GOST R ISO/IEC 15408-3 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas kritēriji. 3. daļa: Drošības uzticības sastāvdaļas
GOST R ISO/IEC 27002 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības pārvaldības normu un noteikumu kopums
Piezīme - Izmantojot šo standartu, ieteicams pārbaudīt atsauces standartu derīgumu publiskajā informācijas sistēmā - Federālās tehnisko noteikumu un metroloģijas aģentūras oficiālajā vietnē internetā vai izmantojot ikgadējo informācijas indeksu "Nacionālie standarti" , kas publicēts ar kārtējā gada 1. janvāri, un par ikmēneša informācijas indeksa "Nacionālie standarti" kārtējā gada jautājumiem. Ja tiek aizstāts atsauces standarts bez datuma, ieteicams izmantot šī standarta pašreizējo versiju, ņemot vērā visas šajā versijā veiktās izmaiņas. Ja tiek aizstāts datēts atsauces standarts, ieteicams izmantot šī standarta versiju ar iepriekš norādīto apstiprināšanas (pieņemšanas) gadu. Ja pēc šī standarta apstiprināšanas atsauces standartā, uz kuru ir izdarīta atsauce ar datumu, tiek veiktas izmaiņas, kas ietekmē minēto noteikumu, ieteicams šo noteikumu piemērot, neņemot vērā šīs izmaiņas. Ja atsauces standarts tiek atcelts bez aizstāšanas, tad noteikumu, kurā sniegta atsauce uz to, ieteicams piemērot tajā daļā, kas šo atsauci neietekmē.
3 Termini un definīcijas
Šajā standartā tiek lietoti šādi termini ar atbilstošām definīcijām:
3.1 automatizēta sistēma: Sistēma, kas sastāv no personāla un viņu darbību automatizācijas rīku komplekta, ieviešot informācijas tehnoloģijas noteikto funkciju veikšanai.
3.2 likumpārkāpēja aģents: Persona, programmatūra, programmaparatūra vai aparatūra, kas darbojas pārkāpēja vārdā.
3.3 aktīviem(aktīvi): jebkas, kam ir vērtība organizācijai un kas ir tās īpašumā.
Piezīme. Organizācijas līdzekļi var ietvert:
- skaitļošanas, telekomunikāciju un citi resursi;
- informācijas aktīvi, t.sk. dažāda veida informāciju šādos to dzīves cikla posmos: ģenerēšana (radīšana), apstrāde, uzglabāšana, pārraide, iznīcināšana;
- trešām personām sniegtie produkti un pakalpojumi.
3.4 piekļuves bloķēšana (informācijai): Leģitīmu lietotāju piekļuves informācijai pārtraukšana vai kavēšana.
3.5 ļaunprātīga programmatūra: Programma, kas izstrādāta, lai nodrošinātu nesankcionētu piekļuvi un (vai) ietekmi uz informāciju vai informācijas sistēmas resursiem.
3.6 Slēpto kanālu analīzes dziļums: Slēptā kanāla un tā īpašību identificēšanai izmantoto līdzekļu sarežģītības atšķirības pakāpe.
3.7 pārliecība pārliecība: pamats pārliecībai, ka objekts atbilst drošības mērķiem.
3.8 Slēptā kanāla identifikācija: Slēpta kanāla pastāvēšanas iespējas identificēšana un tā vietas noteikšana klasifikācijā.
3.9 ierobežotas pieejamības informācija: Informācijas veids, kuram ir ierobežota piekļuve un kuras izpaušana var kaitēt citu personu, sabiedrības un valsts interesēm.
3.10 Informācijas drošība(informācijas drošība): visi aspekti, kas saistīti ar informācijas vai tās apstrādes līdzekļu konfidencialitātes, integritātes, pieejamības, nenoliegšanas, pārskatatbildības, autentiskuma un uzticamības definēšanu, sasniegšanu un uzturēšanu.
3.11 Informācijas sistēma: Organizatoriski sakārtots dokumentu (dokumentu masīvu) un informācijas tehnoloģiju kopums, tajā skaitā datortehnoloģiju un sakaru izmantošana, kas realizē informācijas procesus.
Piezīme. Informācijas sistēmas ir paredzētas informācijas glabāšanai, apstrādei, meklēšanai, izplatīšanai, pārsūtīšanai un sniegšanai.
3.12 informāciju tehnoloģijas: Datortehnoloģiju izmantošanas paņēmieni, metodes un metodes datu vākšanas, uzglabāšanas, apstrādes, pārsūtīšanas un izmantošanas funkciju veikšanā.
3.13 informācijas objekts: Programmas elements, kas satur programmā cirkulējošo informāciju.
Piezīme - Atkarībā no programmēšanas valodas kā informācijas objekti var kalpot mainīgie, masīvi, ieraksti, tabulas, faili, RAM fragmenti utt.
3.14 informācijas plūsma informācijas plūsma: mijiedarbības process starp informācijas avotu un tās saņēmēju.
Piezīme. Informācijas plūsma var būt atļauta vai neatļauta. Informācijas plūsma starp objektiem X un Y pastāv, ja vidējā savstarpējā informācija I (X, Y) ir lielāka par 0. Informācijas plūsmas matemātisko modeli var definēt kā ierobežota stāvokļa mašīnu, kurā ziņojuma avots nosūta ievades vārdu uz iekārtas ievadi, un ziņojuma adresāts redz iekārtas izvades secību.
3.15 visaptveroša slepeno kanālu analīze Izsmeļoša slēptā kanāla analīze: analīze, kurā nepieciešams uzrādīt papildu pierādījumus, kas liecina, ka slēptā kanāla identifikācijas plāns ir pietiekams, lai noteiktu, vai ir izmēģinātas visas iespējamās slepeno kanālu izmeklēšanas.
3.16 atslēga: Kriptogrāfisko datu transformācijas algoritma dažu parametru specifisks slepenais stāvoklis, kas nodrošina vienas transformācijas atlasi no visu iespējamo transformāciju kopas dotajam algoritmam.
3.17 komunikācijas kanāls: Informācijas nesēju kopums, kas nogādā ziņojumu no avota uz saņēmēju.
3.18 kritiskie objekti: Objekti, kuru darbības pārtraukšana vai pārtraukšana izraisa kontroles zaudēšanu, infrastruktūras iznīcināšanu, neatgriezeniskas negatīvas izmaiņas vai valsts, subjekta vai administratīvi teritoriālās vienības ekonomikas iznīcināšanu vai ievērojamu dzīvības drošības pasliktināšanos. šajās teritorijās ilgstoši dzīvojošie iedzīvotāji.
3.19 informācijas pārsūtīšanas mehānisms: Ieviesta metode informācijas pārsūtīšanai no sūtītāja adresātam.
3.20 informācijas izmaiņas: Mērķtiecīga informācijas pasniegšanas formas un satura maiņa.
3.21 informācijas drošības pārkāpējs(pretinieks): indivīds (subjekts), kurš nejauši vai tīši izdarījis darbības, kuru rezultātā tiek pārkāpta informācijas drošība, to apstrādājot ar tehniskiem līdzekļiem informācijas sistēmās.
3.22 nesankcionēta piekļuve informācijai(nesankcionēta piekļuve informācijai): Piekļuve informācijai vai darbības ar informāciju, kas pārkāpj piekļuves kontroles noteikumus, izmantojot standarta līdzekļus, ko nodrošina datortehnoloģijas vai automatizētas sistēmas.
Piezīme. Piekļuve objektam ietver arī piekļuvi tajā ietvertajai informācijai.
3.23 objekts(objekts): sistēmas pasīva sastāvdaļa, kas uzglabā, saņem vai pārraida informāciju.
3.24 bīstamības novērtējums: Iespējamās postošās ietekmes pakāpes noteikšana.
3.25 aptuvenais ticamības līmenis novērtējuma garantijas līmenis: pārliecības komponentu pakete, kas atspoguļo kādu pozīciju tajā iepriekš definētajā pārliecības skalā.
Piezīme - Uzticības komponentu pakete ir noteikta saskaņā ar GOST R ISO/IEC 15408-3 prasībām.
3.26 piekļuves parole(parole): piekļuves subjekta identifikators, kas ir viņa (subjekta) noslēpums.
3.27 Personīgā informācija: Jebkura informācija, kas attiecas uz personu, kas identificēta vai noteikta, pamatojoties uz šādu informāciju (personas datu subjekts).
Piezīme - personas datu subjekta uzvārds, vārds, uzvārds, gads, mēnesis, dzimšanas datums un vieta, kā arī adrese, ģimene, sociālais, mantiskais stāvoklis, izglītība, profesija, ienākumi un cita informācija var tikt izmantota kā personas dati.
3.28 informācijas drošības politika informācijas drošības politika: dokumentētu noteikumu, procedūru, prakses vai vadlīniju kopums informācijas drošības jomā, kas nosaka organizācijas darbības.
3.29 produkts(produkts): programmatūras, programmaparatūras un/vai informācijas tehnoloģiju aparatūras komplekts, kas nodrošina noteiktu funkcionalitāti un ir paredzēts tiešai lietošanai vai iekļaušanai dažādās sistēmās.
3.30 slēptā kanāla jauda Slēptā kanāla jauda: informācijas apjoms, ko var pārraidīt pa slēpto kanālu laika vienībā vai attiecībā pret kādu citu mērījumu skalu.
3.31 sistēma(sistēma): īpašs informācijas tehnoloģiju iemiesojums ar noteiktu mērķi un darbības nosacījumiem.
3.32 sistemātiska slepeno kanālu analīze Sistemātiska slēpto kanālu analīze: Analīze, kurā informācijas tehnoloģiju un automatizēto sistēmu sistēmas izstrādātājam ir jāidentificē slēptie kanāli strukturētā un atkārtojamā veidā, nevis slēpto kanālu identificēšanai ar noteiktu metodi, kas piemērojama konkrētai situācijai.
PIEZĪME Slēptie kanāli parasti tiek identificēti saskaņā ar drošības plānu.
3.33 slēptais kanāls(slēptais kanāls): saziņas kanāls, ko nav paredzējis informācijas tehnoloģiju un automatizēto sistēmu izstrādātājs un ko var izmantot drošības politikas pārkāpšanai.
3.34 pārraides vide: Informācijas nodošanas procesa fiziska realizācija.
3.35 priekšmets(subjekts): sistēmas aktīvs komponents, ko parasti attēlo lietotājs, process vai ierīce, kas var izraisīt informācijas plūsmu no objekta uz objektu vai mainīt sistēmas stāvokli.
3.36 drošības apdraudējums(draudi): apstākļu un faktoru kopums, kas rada potenciālu vai faktisku apdraudējumu saistībā ar informācijas noplūdi un/vai neatļautu un/vai netīšu ietekmi uz to.
3.37 autorizēts lietotājs(autorizēts lietotājs): lietotājs, kurš saskaņā ar drošības politiku ir pilnvarots veikt darbību.
3.38 bojājumi: Negatīvās sekas, kas izriet no īpašuma bojājumiem.
3.39 ievainojamība: Sistēmas īpašums, ar kuru var pārkāpt informācijas tehnoloģiju sistēmas un automatizēto sistēmu informācijas drošību.
4 Vispārīgi noteikumi
4.1. Šis standarts nosaka šādu procedūru sistēmas bīstamības pakāpes noteikšanai organizācijas aktīviem, sistēmas identificēšanai un apkarošanai:
- aktīvu klasifikācija atkarībā no uzbrukumu bīstamības pakāpes, izmantojot CS, ņemot vērā iespējamos aktīvu drošības apdraudējumus;
- nepieciešamā apdrošināšanas sistēmas analīzes dziļuma noteikšana atkarībā no aktīvu veida;
- kvalitātes kontroles sistēmas analīzes veikšana, kas ietver šādu uzdevumu veikšanu:
SC identificēšana (atklāšana),
VK kapacitātes novērtējums un to slēptās funkcionēšanas radītā apdraudējuma novērtējums;
- pasākumi aizsardzībai pret apdraudējumiem, kas īstenoti, izmantojot drošības sistēmu, tostarp šādu uzdevumu izpilde:
pieņemt lēmumus par aizsardzības pasākumu īstenošanu, lai novērstu noteiktos drošības apdraudējumus,
iebildumi pret IC ieviešanu līdz tās iznīcināšanai.
4.2. Aizsargāto aktīvu klasifikācija atkarībā no uzbrukumu bīstamības pakāpes, izmantojot CC, ir dota 7. sadaļā.
4.3. Drošības sistēmas analīzes dziļumu nosaka aktīvu vērtība, tas ir, zaudējumi, kas var tikt nodarīti, izmantojot drošības sistēmu īstenoto drošības apdraudējumu īstenošanas rezultātā, tas ir, riski, kas izriet no šo draudu klātbūtne. Šādu draudu klasifikācija ir dota 6. sadaļā.
4.4. CS identifikācija nosaka subjektus (avotu un saņēmēju), starp kuriem CS potenciāli var pastāvēt, parametrus, manipulējot ar informāciju pārraida, parametrus, kuru variācijas dēļ informācija tiek nolasīta, informācijas pārraides līdzekli. , loģiskie nosacījumi, saskaņā ar kuriem informācija tiek pārraidīta. SC identificēšanu var veikt gan sistēmas izstrādes laikā, pārbaudot iespējamos noplūdes kanālus vai iedarbības kanālus, gan sistēmas darbības laikā, novērojot pazīmes, kas norāda uz SC klātbūtni. Pēdējā gadījumā SC tiek identificēti, uzraugot sistēmas parametrus. Informācijas drošības dokumentācijā jāatspoguļo, kuras drošības sistēmu klases var identificēt, izmantojot izmantoto uzraudzības sistēmu.
4.5. Identificēto SC kapacitāte tiek novērtēta, izmantojot formālas, tehniskas vai modelēšanas metodes.
4.6. Pieņemot lēmumus par aizsardzības pasākumu ieviešanu, lai novērstu drošības apdraudējumus, kas tiek īstenoti, izmantojot CS, ir jāņem vērā iespējamais organizācijas līdzekļu bojājuma risks, kas ir saistīts arī ar CS caurlaidspēju.
4.7. Cīņa pret bīstamām SC var tikt veikta, izmantojot šādus līdzekļus un metodes:
- IT vai AS arhitektūras izveide, kas ļauj bloķēt IC vai padarīt to caurlaidspēju tik zemu, ka kanāli kļūst nekaitīgi. Šo metodi izmanto IT vai AS projektēšanas stadijā;
- tehnisko līdzekļu izmantošana, kas ļauj bloķēt SC vai samazināt to caurlaidspēju zem noteiktā līmeņa;
- programmatūras un aparatūras rīku izmantošana, kas ļauj identificēt bīstamo SC darbību sistēmas darbības laikā. IK darbības pazīmju identificēšana var dot iespēju bloķēt to ietekmi uz informācijas resursiem;
- organizatorisko un tehnisko pasākumu piemērošana SC likvidēšanai vai to kapacitātes samazināšanai līdz drošai vērtībai.
5 Slēpto kanālu klasifikācija
5.1 CS saskaņā ar informācijas pārraides mehānismu ir sadalīts:
- SC no atmiņas;
- SC pēc laika;
- slēptie statistikas kanāli.
5.2. Sistēmas, kuru pamatā ir atmiņa, ir balstītas uz atmiņas klātbūtni, kurā raidošais subjekts ieraksta informāciju un uztverošais subjekts to nolasa.
Atmiņas kanālu slēpšanu nosaka tas, ka ārējais novērotājs nezina vietu atmiņā, kur tiek ierakstīta slēptā informācija.
Uz atmiņu balstītās sistēmas ietver atmiņas resursu izmantošanu, taču drošības sistēmu izstrādātāji neņem vērā atmiņas izmantošanas veidu, un tāpēc to nevar noteikt ar izmantotajiem drošības rīkiem.
5.3. CS laikā pieņem, ka subjekts, kas pārraida informāciju, ar pārraidītās informācijas palīdzību modulē kādu laikā mainīgu procesu, un subjekts, kurš saņem informāciju, spēj demodulēt pārraidīto signālu, savlaicīgi novērojot informācijas pārnešanas procesu. Piemēram, daudzuzdevumu operētājsistēmā (OS) centrālais procesors ir koplietots informācijas un skaitļošanas resurss lietojumprogrammām. Modulējot CPU laiku, lietojumprogrammas var pārsūtīt viena otrai nelegālus datus.
5.4. Slēpto statistikas kanālu izmanto, lai pārraidītu informāciju par izmaiņām varbūtības sadalījuma parametros jebkuram sistēmas raksturlielumam, ko var uzskatīt par nejaušu un aprakstīt ar varbūtības statistikas modeļiem.
Šādu kanālu slepenība ir balstīta uz to, ka informācijas saņēmējam ir mazāka nenoteiktība, nosakot sistēmas novēroto raksturlielumu sadalījumu parametrus, nekā novērotājam, kuram nav zināšanu par sociālā tīkla struktūru.
Piemēram, reālas, bet maz ticamas kombinācijas parādīšanās nosūtītajā paketē noteiktā laika periodā var liecināt par kļūmi datorsistēmā.
Savukārt 5.5 CS no atmiņas ir sadalīts:
- SC, pamatojoties uz informācijas slēpšanu strukturētajos datos;
- SC, pamatojoties uz informācijas slēpšanu nestrukturētajos datos.
5.6. SC, kuru pamatā ir informācijas slēpšana strukturētajos datos, izmanto datu iegulšanu informācijas objektos ar formāli aprakstītu struktūru un formāliem apstrādes noteikumiem. Piemēram, iekšējais faila formāts, ko izmanto mūsdienu tekstapstrādes programmas, satur vairākus laukus, kas netiek parādīti, rediģējot failu, tāpēc tos var izmantot slēptās informācijas ievietošanai.
5.7 SC, kuru pamatā ir informācijas slēpšana nestrukturētajos datos, izmanto datu iegulšanu informācijas objektos, neņemot vērā formāli aprakstīto struktūru (piemēram, slēptās informācijas ierakstīšana attēla vismazāk nozīmīgajos bitos, kas neizraisa redzamus attēla kropļojumus).
5.8 SC pēc caurlaides ir sadalīts:
- maza joslas platuma kanāls;
- lielas ietilpības kanāls.
5.9 CS ir maza joslas platuma kanāls, ja tā jauda ir pietiekama, lai pārraidītu minimāla apjoma vērtīgus informācijas objektus (piemēram, kriptogrāfiskās atslēgas, paroles) vai komandas laika periodā, kurā šī pārraide ir svarīga.
5.10 CS ir liela joslas platuma kanāls, ja tā jauda ļauj pārraidīt vidēja un liela izmēra informācijas objektus (piemēram, teksta failus, attēlus, datu bāzes) laika periodā, kurā šie informācijas objekti ir vērtīgi.
Sarežģītu problēmu risināšanai var izmantot SC kombināciju, kuras pamatā ir dažādi pārraides mehānismi.
6 Drošības apdraudējumu klasifikācija, kas īstenota, izmantojot slēptos kanālus
6.1. Drošības apdraudējumi, ko var ieviest, izmantojot CS, ietver:
- ļaunprātīgu programmu un datu ieviešana;
- uzbrucējs izdod komandas aģentam izpildei;
- kriptogrāfisko atslēgu vai paroļu noplūde;
- atsevišķu informācijas objektu noplūde.
6.2. Šo draudu īstenošana var izraisīt:
- informācijas līdzekļu konfidencialitātes pārkāpums;
- IT un AS funkcionalitātes traucējumi;
- piekļuves bloķēšana resursiem;
- datu un programmatūras integritātes pārkāpums.
6.3. Sistēmas, kas ir visvairāk pakļautas uzbrukumiem, izmantojot CS, ir:
- vairāku lietotāju sadalītās sistēmas;
- sistēmas ar piekļuvi globālajiem tīkliem;
- sistēmas, kurās izmanto kriptogrāfijas drošības pasākumus;
- sistēmas, kurās tiek izmantota daudzlīmeņu (obligātā) piekļuves kontroles politika;
- sistēmas, kurās programmatūras un aparatūras aģentus nevar noteikt (programmatūras un aparatūras ar nepieejamu pirmkodu izmantošanas un projektēšanas dokumentācijas trūkuma dēļ).
6.4. Saistība starp apdraudējumiem, kas ieviesti, izmantojot CS, un CS veidiem atkarībā no to caurlaidspējas ir parādīta 1. tabulā.
1. tabula. Saistība starp draudiem, kas īstenoti, izmantojot slēptos kanālus, un slēpto kanālu veidiem atkarībā no to kapacitātes
Slēpto kanālu veids |
||
Slēptie kanāli ar mazu joslas platumu | Slēptie kanāli ar lielu joslas platumu |
|
Ļaunprātīgas programmatūras un datu ievadīšana | ||
Uzbrucējs, kas aģentam sūta komandas izpildei | ||
Kriptogrāfisko atslēgu vai paroļu noplūde | ||
Atsevišķu informācijas objektu noplūde | ||
Piezīme - “+” zīme nozīmē, ka pastāv saikne starp draudiem un atbilstošo slēptā kanāla veidu; zīme "-" nozīmē, ka savienojums nepastāv. |
||
7 Aktīvu klasifikācija pēc uzbrukumu bīstamības pakāpes, izmantojot slēptos kanālus
7.1 Atkarībā no uzbrukumu bīstamības pakāpes, izmantojot CS, organizācijas aizsargātie aktīvi tiek iedalīti šādās klasēs:
1. klase - līdzekļi, kas satur informāciju, kuras jutīguma pakāpi pret uzbrukumiem, kas īstenoti, izmantojot automatizētu sistēmu, nosaka īpašnieks.
2.klase - aktīvi, kas satur ierobežotas pieejamības informāciju vai personas datus un tiek apstrādāti sistēmās, kurām ir tehniskas saskarnes ar atvērtiem tīkliem vai publiskām datorsistēmām, kā arī datorsistēmās, kas nenodrošina aizsardzību pret noplūdi pa tehniskajiem kanāliem.
3.šķira - līdzekļi, kas satur informāciju, kas veido valsts noslēpumu.
7.2. Turklāt pastāv īpaša aktīvu klase, kas ir neaizsargāta pret apdraudējumiem, ko rada zema joslas platuma drošības sistēmas. Šajā grupā ietilpst:
A klase - aktīvi, kas saistīti ar kritisko objektu darbību. Piemēram, komandas, kas spēj inicializēt destruktīvu ietekmi uz šāda veida objektu, pārsūtīšanu var veikt, izmantojot CS ar zemu caurlaidspēju.
B klase - aktīvi, kas satur atslēgu/paroles informāciju, tostarp kriptogrāfiskās informācijas aizsardzības sistēmu atslēgas un paroles piekļuvei citiem aktīviem. Piemēram, atslēgas/paroles informācijas noplūde, izmantojot apdrošināšanas sistēmu, var apdraudēt visas informācijas sistēmas darbību.
Bibliogrāfija
Vadošais dokuments. | |||
Atslēgas vārdi: slēptie kanāli, slēpto kanālu analīze, slēpto kanālu klasifikācija, uzbrukumi, izmantojot slēptos kanālus, drošības apdraudējumi, kas īstenoti, izmantojot slēptos kanālus, aktīvu klasifikācija pēc uzbrukumu bīstamības pakāpes, izmantojot slēptos kanālus |
|||
Elektroniskā dokumenta teksts
sagatavojusi AS Kodeks un pārbaudīta pret:
oficiālā publikācija
M.: Standartinform, 2018
GOST R 53113.1-2008 Informācijas tehnoloģijas (IT). Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret informācijas drošības apdraudējumiem, kas īstenoti, izmantojot slēptos kanālus. 1. daļa. Vispārīgie noteikumi
| Dokumenta nosaukums: | |
| Dokumenta numurs: | 53113.1-2008 |
| Dokumenta veids: | GOST R |
| Saņēmēja iestāde: | Rosstandart |
| Statuss: | Aktīvs |
| Publicēts: | Oficiālā publikācija. M.: Standartinform, 2018 |
| Pieņemšanas datums: | 2008. gada 18. decembris |
| Sākuma datums: | 2009. gada 1. oktobris |
| Pārskatīšanas datums: | 2018. gada 01. oktobris |
GOST R 53113.1-2008 Informācijas tehnoloģijas (IT). Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret informācijas drošības apdraudējumiem, kas īstenoti, izmantojot slēptos kanālus. 1. daļa. Vispārīgie noteikumi
Informācijas drošības nodrošināšanas nozīmi ir grūti pārvērtēt, jo datu glabāšanas un pārsūtīšanas nepieciešamība ir jebkura biznesa neatņemama sastāvdaļa.
Dažādas informācijas drošības metodes ir atkarīgas no formas, kādā tā tiek glabāta, tomēr, lai sistematizētu un sakārtotu šo jomu, nepieciešams noteikt informācijas drošības standartus, jo standartizācija ir svarīgs kvalitātes noteicējs sniegto pakalpojumu novērtēšanā.
Jebkurš informācijas drošības nodrošinājums prasa kontroli un pārbaudi, ko nevar veikt tikai individuāli izvērtējot, neņemot vērā starptautiskos un valsts standartus.
Informācijas drošības standartu veidošana notiek pēc tam, kad ir skaidri noteiktas tās funkcijas un robežas. Informācijas drošība ir datu konfidencialitātes, integritātes un pieejamības nodrošināšana.
Informācijas drošības stāvokļa noteikšanai vispiemērotākais ir kvalitatīvais novērtējums, jo drošības vai ievainojamības pakāpi var izteikt procentos, taču tas nedod pilnīgu un objektīvu priekšstatu.
Lai novērtētu un pārbaudītu informācijas sistēmu drošību, varat izmantot vairākas instrukcijas un ieteikumus, kas nozīmē regulējuma atbalstu.
Valsts un starptautiskie informācijas drošības standarti
Drošības stāvokļa uzraudzība un novērtēšana tiek veikta, pārbaudot to atbilstību valsts standartiem (GOST, ISO) un starptautiskajiem standartiem (Iso, Kopējie IT drošības kritēriji).
Starptautiskās standartizācijas organizācijas (ISO) izstrādātais starptautiskais standartu kopums ir informācijas drošības sistēmu un iekārtu ieviešanas prakses un ieteikumu kopums.
ISO 27000 ir viens no vispiemērotākajiem un visizplatītākajiem novērtēšanas standartiem, kas ietver vairāk nekā 15 noteikumus un ir secīgi numurēts.
Saskaņā ar ISO 27000 standartizācijas vērtēšanas kritērijiem informācijas drošība ir ne tikai tās integritāte, konfidencialitāte un pieejamība, bet arī autentiskums, uzticamība, kļūdu tolerance un identificējamība. Parasti šo standartu sēriju var iedalīt 4 sadaļās:
- pārskats un ievads terminoloģijā, drošības jomā lietoto terminu apraksts;
- obligātās prasības informācijas drošības pārvaldības sistēmai, detalizēts sistēmas pārvaldības metožu un līdzekļu apraksts. Ir šīs grupas galvenais standarts;
- audita ieteikumi, drošības kontroles norādījumi;
- standarti, kas iesaka praksi informācijas drošības pārvaldības sistēmas ieviešanai, izstrādei un uzlabošanai.
Valsts informācijas drošības standarti ietver vairākus noteikumus un dokumentus, kas sastāv no vairāk nekā 30 noteikumiem (GOST).
Dažādi standarti ir vērsti ne tikai uz vispārīgu vērtēšanas kritēriju noteikšanu, piemēram, GOST R ISO/IEC 15408, kas satur metodiskās vadlīnijas drošības novērtējumam un prasību sarakstu vadības sistēmai. Tie var būt specifiski un satur arī praktiskus norādījumus.
Pareiza noliktavas organizēšana un regulāra tās darbības uzraudzība palīdzēs novērst preču un materiālo vērtību zādzību, kas negatīvi ietekmē jebkura uzņēmuma finansiālo labklājību neatkarīgi no tā īpašuma formas.
Līdz palaišanas brīdim noliktavas automatizācijas sistēma iziet vēl divus posmus: iekšējo testēšanu un datu aizpildīšanu. Pēc šādas sagatavošanas sistēma pilnībā ieslēdzas. Vairāk par automatizāciju lasiet šeit.
Savstarpējā saistība un metožu kopums noved pie vispārīgu noteikumu izstrādes un starptautiskās un valsts standartizācijas apvienošanas. Tādējādi Krievijas Federācijas GOST satur papildinājumus un atsauces uz starptautiskajiem ISO standartiem.
Šāda mijiedarbība palīdz veidot vienotu uzraudzības un vērtēšanas sistēmu, kas savukārt būtiski paaugstina šo noteikumu piemērošanas efektivitāti praksē, objektīvi novērtējot darba rezultātus un kopumā uzlabojot.
Nacionālo un starptautisko standartizācijas sistēmu salīdzināšana un analīze
Eiropas standartizācijas standartu skaits informācijas drošības nodrošināšanai un kontrolei ievērojami pārsniedz Krievijas Federācijas noteiktos juridiskos standartus.
Nacionālajos valsts standartos dominē noteikumi par informācijas aizsardzību pret iespējamu uzlaušanu, noplūdi un zaudēšanas draudiem. Ārvalstu drošības sistēmas specializējas datu piekļuves un autentifikācijas standartu izstrādē.
Atšķirības ir arī noteikumos, kas attiecas uz sistēmu kontroles un audita ieviešanu. Turklāt Eiropas standartizācijas informācijas drošības vadības sistēmas piemērošanas un ieviešanas prakse izpaužas gandrīz visās dzīves jomās, un Krievijas Federācijas standarti galvenokārt ir vērsti uz materiālās labklājības saglabāšanu.
Tomēr pastāvīgi atjauninātie valsts standarti satur nepieciešamo minimālo prasību kopumu, lai izveidotu kompetentu informācijas drošības pārvaldības sistēmu.
Informācijas drošības standarti datu pārraidei
Uzņēmējdarbība ietver datu uzglabāšanu, apmaiņu un pārsūtīšanu, izmantojot internetu. Mūsdienu pasaulē valūtas darījumi, komercdarbība un naudas līdzekļu pārskaitījumi bieži notiek tiešsaistē, un šīs darbības informācijas drošību iespējams nodrošināt, tikai pielietojot kompetentu un profesionālu pieeju.
Internetā ir daudz standartu, kas nodrošina drošu datu uzglabāšanu un pārsūtīšanu, labi zināmas pretvīrusu aizsardzības programmas, speciāli finanšu darījumu protokoli un daudzi citi.
Informācijas tehnoloģiju un sistēmu attīstības ātrums ir tik liels, ka ievērojami apsteidz protokolu un vienotu to izmantošanas standartu izveidi.
Viens no populārākajiem drošas datu pārraides protokoliem ir SSL (Secure Socket Layer), ko izstrādājuši amerikāņu speciālisti. Tas ļauj aizsargāt datus, izmantojot kriptogrāfiju.
Šī protokola priekšrocība ir verifikācijas un autentifikācijas iespēja, piemēram, tieši pirms datu apmaiņas. Taču šādu sistēmu izmantošana, pārsūtot datus, ir diezgan ieteikusi, jo uzņēmējiem šo standartu izmantošana nav obligāta.
Lai atvērtu LLC, jums ir nepieciešama uzņēmuma harta. Procedūra, kas tiek izstrādāta saskaņā ar Krievijas Federācijas tiesību aktiem. Varat to uzrakstīt pats, kā ceļvedi ņemt standarta paraugu vai sazināties ar speciālistiem, kas to uzrakstīs.
Topošajam uzņēmējam, kurš plāno attīstīt savu biznesu kā individuālais uzņēmējs, aizpildot pieteikumu, jānorāda saimnieciskās darbības kods saskaņā ar OKVED. Sīkāka informācija šeit.
Drošu darījumu un operāciju veikšanai tika izstrādāts SET (Security Electronic Transaction) pārraides protokols, kas ļauj minimizēt riskus, veicot komercdarbības un tirdzniecības operācijas. Šis protokols ir Visa un Master Card maksājumu sistēmu standarts, kas ļauj izmantot maksājumu sistēmas drošības mehānismu.
Komitejas, kas standartizē interneta resursus, ir brīvprātīgas, tāpēc to veiktās darbības nav likumīgas un obligātas.
Tomēr krāpšana internetā mūsdienu pasaulē tiek atzīta par vienu no globālajām problēmām, tāpēc informācijas drošību nodrošināt vienkārši nav iespējams bez speciālu tehnoloģiju izmantošanas un to standartizācijas.
GOST R 53114-2008 Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijā. Pamattermini un definīcijas
TEHNISKĀS REGULĒŠANAS UN METROLOĢIJAS FEDERĀLĀ AĢENTŪRA
Priekšvārds
Standartizācijas mērķi un principi Krievijas Federācijā ir noteikti ar 2002. gada 27. decembra Federālo likumu Nr. 184-FZ “Par tehniskajiem noteikumiem”, un Krievijas Federācijas nacionālo standartu piemērošanas noteikumi ir GOST R 1.0-2004 “Standartizācija”. Krievijas Federācijā. Pamatnoteikumi"
Standarta informācija
1 IZSTRĀDĀJA Federālā valsts iestāde “Federālā tehniskās un eksporta kontroles dienesta tehniskās informācijas drošības problēmu valsts pētniecības testēšanas institūts” (FGU “GNIIII PTZI FSTEC of Russia”), sabiedrība ar ierobežotu atbildību “Pētniecības un ražošanas uzņēmums “Kristall” (OOO NPF "Crystal")
2 IEVADS Federālās tehnisko noteikumu un metroloģijas aģentūras Tehnisko regulējumu un standartizācijas departaments
3 APSTIPRINĀTS UN STĀŠĀS SPĒKĀ ar Federālās Tehnisko noteikumu un metroloģijas aģentūras rīkojumu, kas datēts ar 2008. gada 18. decembri Nr. 532-st
4 IEVADS PIRMO REIZI
Informācija par izmaiņām šajā standartā tiek publicēta katru gadu publicētajā informācijas rādītājā “Nacionālie standarti”, bet izmaiņu un grozījumu teksts tiek publicēts ikmēneša publicētajā informācijas rādītājā “Nacionālie standarti”. Šī standarta pārskatīšanas (aizstāšanās) vai atcelšanas gadījumā attiecīgs paziņojums tiks publicēts ikmēneša publicētajā informācijas rādītājā “Nacionālie standarti”. Attiecīgā informācija, paziņojumi un teksti tiek ievietoti arī publiskajā informācijas sistēmā - Federālās tehnisko noteikumu un metroloģijas aģentūras oficiālajā tīmekļa vietnē internetā
|
1 izmantošanas joma 3 Termini un definīcijas 3.1. Vispārīgi jēdzieni 3.2. Noteikumi, kas saistīti ar informācijas aizsardzības objektu 3.3. Noteikumi, kas saistīti ar informācijas drošības apdraudējumiem 3.4. Noteikumi, kas saistīti ar organizācijas informācijas drošības pārvaldību 3.5. Noteikumi, kas saistīti ar organizācijas informācijas drošības uzraudzību un novērtēšanu 3.6. Noteikumi, kas saistīti ar organizācijas informācijas drošības kontrolēm Terminu alfabētiskais rādītājs A pielikums (uzziņai) Vispārējo tehnisko jēdzienu termini un definīcijas B pielikums (uzziņai) Pamatjēdzienu savstarpējā saistība informācijas drošības jomā organizācijā Bibliogrāfija |
Ievads
Šajā standartā noteiktie termini ir sakārtoti sistemātiskā secībā, atspoguļojot jēdzienu sistēmu šajā zināšanu jomā.
Katrai koncepcijai ir viens standartizēts termins.
Kvadrātiekavu klātbūtne terminoloģiskajā rakstā nozīmē, ka tajā ir iekļauti divi termini, kuriem ir kopīgi terminu elementi. Šie termini ir atsevišķi uzskaitīti alfabētiskajā rādītājā.
Termina daļu, kas ietverta iekavās, var izlaist, lietojot terminu standartizācijas dokumentos, savukārt iekavās neiekļautā termina daļa veido tā saīsināto formu. Pēc standartizētajiem terminiem ir to īsās formas, kas atdalītas ar semikolu un apzīmētas ar saīsinājumiem.
Dotās definīcijas vajadzības gadījumā var mainīt, ieviešot tajās atvasinātās pazīmes, atklājot tajos lietoto terminu nozīmes, norādot definētā jēdziena tvērumā iekļautos objektus.
Izmaiņas nedrīkst ietekmēt šajā standartā definēto jēdzienu darbības jomu un saturu.
Standartizētie termini ir rakstīti treknrakstā, to īsās formas tekstā un alfabētiskajā rādītājā, ieskaitot saīsinājumus, ir gaišā krāsā, bet sinonīmi ir slīprakstā.
Vispārējo tehnisko jēdzienu termini un definīcijas, kas nepieciešami šī standarta galvenās daļas teksta izpratnei, ir sniegti A pielikumā.
Vārds:
Datu aizsardzība. Informācijas drošības nodrošināšana organizācijā.
Derīgs
Ievadīšanas datums:
Atcelšanas datums:
Aizvietots ar:
Teksts GOST R 53114-2008 Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijā. Pamattermini un definīcijas
TEHNISKĀS REGULĒŠANAS UN METROLOĢIJAS FEDERĀLĀ AĢENTŪRA
VALSTS
STANDARTS
KRIEVU
FEDERĀCIJA
Datu aizsardzība
INFORMĀCIJAS DROŠĪBAS NODROŠINĀŠANA ORGANIZĀCIJĀ
Pamattermini un definīcijas
Oficiālā publikācija
Oteidartenform
GOST R 53114-2008
Priekšvārds
Standartizācijas mērķi un principi Krievijas Federācijā ir noteikti ar 2002. gada 27. decembra Federālo likumu Nr. 184-FZ “Par tehniskajiem noteikumiem”, un Krievijas Federācijas nacionālo standartu piemērošanas noteikumi ir GOST R 1.0-2004 “Standartizācija”. Krievijas Federācijā. Pamatnoteikumi »
Standarta informācija
1 IZSTRĀDĀJA Federālā valsts iestāde “Federālā tehniskās un eksporta kontroles dienesta tehniskās informācijas drošības problēmu valsts pētniecības testēšanas institūts” (FGU “GNIIII PTZI FSTEC of Russia”), sabiedrība ar ierobežotu atbildību “Pētniecības un ražošanas uzņēmums “Kristall” (OOO NPF "Crystal")
2 IEVADS Federālās tehnisko noteikumu un metroloģijas aģentūras Tehnisko regulējumu un standartizācijas departaments
3 APSTIPRINĀTS UN STĀŠĀS SPĒKĀ ar Federālās Tehnisko noteikumu un metroloģijas aģentūras rīkojumu, kas datēts ar 2008. gada 18. decembri Nr. 532-st
4 8BRAUKTS PIRMO REIZI
Informācija par izmaiņām šajā standartā tiek publicēta katru gadu publicētajā informācijas rādītājā “Nacionālie standarti” un izmaiņu un grozījumu teksts tiek publicēts ikmēneša publicētajā informācijas rādītājā “Nacionālie standarti”. Šī standarta pārskatīšanas (aizstāšanās) vai atcelšanas gadījumā attiecīgs paziņojums tiks publicēts ikmēneša publicētajā informācijas rādītājā “Nacionālie standarti”. Attiecīgā informācija, paziņojumi un teksti tiek ievietoti arī publiskajā informācijas sistēmā - Federālās tehnisko noteikumu un metroloģijas aģentūras oficiālajā tīmekļa vietnē internetā
© Sgandartinform.2009
Šo standartu nevar pilnībā vai daļēji reproducēt, pavairot vai izplatīt kā oficiālu publikāciju bez Federālās tehnisko noteikumu un metroloģijas aģentūras atļaujas.
GOST R 53114-2008
1 izmantošanas joma................................................ ......1
3 Termini un definīcijas.................................................. ..... ...2
3.1 Vispārīgi jēdzieni................................................ ..... .....2
3.2 Noteikumi, kas saistīti ar informācijas aizsardzības objektu................................................ ...4
3.3. Noteikumi, kas saistīti ar informācijas drošības apdraudējumiem...................................7
3.4. Ar organizācijas informācijas drošības pārvaldību saistītie noteikumi......8
3.5. Noteikumi, kas saistīti ar organizācijas informācijas drošības kontroli un novērtēšanu. ... 8
3.6. Noteikumi, kas saistīti ar informācijas drošības kontrolēm
organizācijas................................................. ........ ..9
Terminu alfabētiskais rādītājs.................................................. .....11
A pielikums (uzziņai) Vispārīgo tehnisko jēdzienu termini un definīcijas................................13
B pielikums (uzziņai) Pamatjēdzienu savstarpējā saistība informācijas drošības jomā organizācijā................................... ......................15
Bibliogrāfija.................................................. .......16
GOST R 53114-2008
Ievads
Šajā standartā noteiktie termini ir sakārtoti sistemātiskā secībā, atspoguļojot jēdzienu sistēmu šajā zināšanu jomā.
Katrai koncepcijai ir viens standartizēts termins.
Kvadrātiekavu klātbūtne terminoloģijas rakstā nozīmē, ka tajā ir iekļauti divi termini, kuriem ir kopīgi terminu elementi. Šie termini ir atsevišķi uzskaitīti alfabētiskajā rādītājā.
Termina daļu, kas ietverta iekavās, var izlaist, lietojot terminu standartizācijas dokumentos, savukārt iekavās neiekļautā termina daļa veido tā saīsināto formu. Pēc standartizētajiem terminiem ir to īsās formas, kas atdalītas ar semikolu un apzīmētas ar saīsinājumiem.
Dotās definīcijas vajadzības gadījumā var mainīt, ieviešot tajās atvasinātos raksturlielumus. atklājot tajos lietoto terminu nozīmes, norādot definētā jēdziena tvērumā iekļautos objektus.
Izmaiņas nedrīkst ietekmēt šajā standartā definēto jēdzienu darbības jomu un saturu.
Standartizētie termini ir rakstīti treknrakstā, to īsās formas ir tekstā un alfabētiskajā rādītājā, ieskaitot saīsinājumus. - gaišs, un sinonīmi - slīpraksts.
Vispārējo tehnisko jēdzienu termini un definīcijas, kas nepieciešami šī standarta galvenās daļas teksta izpratnei, ir sniegti A pielikumā.
GOST R 53114-2008
KRIEVIJAS FEDERĀCIJAS NACIONĀLAIS STANDARTS
Datu aizsardzība
INFORMĀCIJAS DROŠĪBAS NODROŠINĀŠANA 8 ORGANIZĀCIJAS
Pamattermini un definīcijas
Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijā.
Pamattermini un definīcijas
Ievadīšanas datums - 2009-10-01
1 izmantošanas joma
Šis standarts nosaka pamatjēdzienus, kas tiek lietoti, veicot standartizācijas darbu informācijas drošības jomā organizācijā.
Šajā standartā noteiktie termini ir ieteicami lietošanai normatīvajos dokumentos, juridiskajā, tehniskajā un organizatoriskajā un administratīvajā dokumentācijā, zinātniskajā, izglītības un uzziņu literatūrā.
Šis standarts tiek piemērots kopā ar GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.
Šajā standartā norādītie termini atbilst Krievijas Federācijas 2002. gada 27. decembra federālā likuma M"184*FZ "Tehniskie noteikumi" |3] noteikumiem. Krievijas Federācijas 2006. gada 27. jūlija federālais likums Nr. 149-FZ “Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību”. Krievijas Federācijas 2006. gada 27. jūlija federālais likums Nr.152-FZ “Par personas datiem”. Krievijas Federācijas informācijas drošības doktrīnas, ko apstiprinājis Krievijas Federācijas prezidents 2000. gada 9. septembrī Pr -1895.
2 Normatīvās atsauces
GOST R 22.0.02-94 Drošība ārkārtas situācijās. Pamatjēdzienu termini un definīcijas
GOST R ISO 9000-2001 Kvalitātes vadības sistēmas. Pamati un vārdu krājums
GOST R ISO 9001-2008 Kvalitātes vadības sistēmas. Prasības
GOST R IS0 14001-2007 Vides pārvaldības sistēmas. Prasības un lietošanas instrukcijas
GOST R ISO/IEC 13335-1-2006 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. 1.daļa. Informācijas un telekomunikāciju tehnoloģiju drošības vadības koncepcija un modeļi
GOST R ISO/IEC 27001-2006 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības vadības sistēmas. Prasības
GOST R 50922-2006 Informācijas aizsardzība. Pamattermini un definīcijas
GOST R 51275-2006 Informācijas aizsardzība. Informācijas objekts. Faktori, kas ietekmē informāciju. Vispārīgi noteikumi
GOST R 51897-2002 Riska pārvaldība. Termini un definīcijas
Oficiālā publikācija
GOST R 53114-2008
GOST R51898-2003 Drošības aspekti. Noteikumi iekļaušanai standartos GOST R 52069.0-2003 Informācijas aizsardzība. Standartu sistēma. Pamatnoteikumi GOST 34.003-90 Informācijas tehnoloģija. Standartu komplekts automatizētām sistēmām. Automatizētās sistēmas. Termini un definīcijas
GOST 19781-90 Programmatūra informācijas apstrādes sistēmām. Termini un definīcijas
Piezīme - Izmantojot šo standartu, ieteicams pārbaudīt atsauces standartu derīgumu publiskajā informācijas sistēmā - Federālās tehnisko noteikumu un metroloģijas aģentūras oficiālajā tīmekļa vietnē internetā vai saskaņā ar katru gadu publicēto informācijas indeksu “Valsts. Standarti”, kas publicēts uz kārtējā gada 1. janvāri , un atbilstoši kārtējā gadā publicētajiem atbilstošajiem mēneša informācijas indeksiem. Ja atsauces standarts tiek aizstāts (mainīts), tad, lietojot šo standartu, jāvadās pēc aizstātā (mainītā) standarta. Ja atsauces standarts tiek atcelts bez aizstāšanas, tad noteikums, kurā sniegta atsauce uz to, attiecas uz daļu, kas šo atsauci neietekmē.
3 Termini un definīcijas
3.1. Vispārīgi jēdzieni
informācijas [datu] drošība: informācijas [datu] drošības stāvoklis, kurā tiek nodrošināta tās [to] konfidencialitāte, pieejamība un integritāte.
[GOST R 50922-2006. 2.4.5. punkts]
informācijas tehnoloģiju drošība: informācijas tehnoloģiju drošības stāvoklis. kas nodrošina tās informācijas drošību, kuras apstrādei tā tiek izmantota. un tās informācijas sistēmas informācijas drošība, kurā tā tiek ieviesta.
[R 50.1.056-2006. 2.4.5. punkts]
informācijas sfēra: Informācijas kopums, informācijas infrastruktūra, priekšmeti. veicot informācijas vākšanu, veidošanu, izplatīšanu un izmantošanu, kā arī šajā gadījumā radušos sociālo attiecību regulēšanas sistēmas.
3.1.4. informācijas infrastruktūra: Informatizācijas objektu kopums, kas nodrošina patērētājiem pieeju informācijas resursiem.
informatizācijas objekts: Informācijas resursu, rīku un informācijas apstrādes sistēmu kopums, ko izmanto saskaņā ar doto informācijas tehnoloģiju, kā arī atbalsta telpas, telpas vai iekārtas (ēkas, būves, tehniskie līdzekļi), kuros šie rīki un sistēmas ir uzstādīti, vai telpas un telpas, kas paredzētas konfidenciālu sarunu vešanai.
[GOST R 51275-2006. 3.1. punkts]
3.1.6. organizācijas aktīvi: Visi. kas ir vērtīgs organizācijai tās mērķu sasniegšanas interesēs un ir tās rīcībā.
Piezīme. Organizācijas līdzekļi var ietvert:
Informācijas aktīvi, tostarp dažāda veida informācija, kas cirkulē informācijas sistēmā (pakalpojums, vadība, analītiskā, biznesa utt.) visos dzīves cikla posmos (ģenerēšana, uzglabāšana, apstrāde, pārraide, iznīcināšana):
Resursi (finanšu, cilvēku, skaitļošanas, informācijas, telekomunikāciju un citi):
Procesi (tehnoloģijas, informācijas uc);
Ražoti produkti vai sniegtie pakalpojumi.
GOST R 53114-2008
informācijas apstrādes sistēmas resurss: Informācijas apstrādes sistēmas iekārta, ko var piešķirt datu apstrādes procesam uz noteiktu laika intervālu.
Piezīme. Galvenie resursi ir procesori, galvenās atmiņas zonas, datu kopas. perifērijas ierīces, programmas.
[GOST 19781-90. 93. punkts)
3.1.8 informācijas process: izveides, vākšanas, apstrādes, uzkrāšanas, uzglabāšanas, meklēšanas process. informācijas izplatīšana un izmantošana.
informāciju tehnoloģijas; IT: Meklēšanas, vākšanas, uzglabāšanas, apstrādes, nodrošināšanas procesi, metodes. informācijas izplatīšana un šādu procesu un metožu veikšanas veidi. [Krievijas Federācijas federālais likums, datēts ar 2002. gada 27. decembri, Nr. 184-FZ. 2. panta 2. punkts]
automatizētās sistēmas tehniskais atbalsts; AES tehniskais nodrošinājums: Visu AES darbībā izmantoto tehnisko līdzekļu kopums.
[GOST R 34.003-90. 2.5. punkts]
automatizētas sistēmas programmatūra; AS programmatūra: programmu kopums datu nesējos un programmu dokumenti, kas paredzēti atkļūdošanai, darbībai un AS funkcionalitātes pārbaudei.
[GOST R 34.003-90. 2.7. punkts]
automatizētās sistēmas informatīvais atbalsts; AS informatīvais atbalsts: Dokumentu veidlapu, klasifikatoru, normatīvā regulējuma un ieviesto risinājumu kopums par AS darbības laikā izmantotās informācijas apjomu, izvietojumu un pastāvēšanas formām.
[GOST R 34.003-90. 2.8. punkts]
3.1.13. serviss; Pakalpojums: izpildītāja darbību rezultāts, lai apmierinātu patērētāja vajadzības.
Piezīme - 8 organizācija, indivīds vai process var darboties kā pakalpojuma veicējs (patērētājs).
3.1.14 informācijas tehnoloģiju pakalpojumi: IT pakalpojumi: Informācijas funkcionālo iespēju kopums un. iespējams, ar informāciju nesaistīta tehnoloģija, kas tiek nodrošināta galalietotājiem kā pakalpojums.
PIEZĪME IT pakalpojumu piemēri ir ziņojumapmaiņa, biznesa lietojumprogrammas, failu un drukas pakalpojumi, tīkla pakalpojumi utt.
3.1.15. kritiskās informācijas infrastruktūras sistēma; galvenās informācijas infrastruktūras sistēma: FIAC: informācijas pārvaldības vai informācijas telekomunikāciju sistēma, kas pārvalda vai sniedz informāciju kritiskam objektam vai procesam, vai tiek izmantota sabiedrības un pilsoņu oficiālai informēšanai, kuras darbības traucējumi vai pārtraukšana (destruktīvas darbības rezultātā) informācijas ietekme, kā arī kļūmes vai neveiksmes) var izraisīt ārkārtas situāciju ar būtiskām negatīvām sekām.
3.1.18. kritisks objekts: objekts vai process, kura darbības nepārtrauktības traucējumi var radīt būtiskus bojājumus.
GOST R 53114-2008
Piezīme - Fizisku vai juridisku personu īpašumam var tikt nodarīti bojājumi. valsts vai pašvaldības īpašumam, videi, kā arī nodarot kaitējumu iedzīvotāju dzīvībai vai veselībai.
personas datu informācijas sistēma: Informācijas sistēma, kas ir datubāzē ietverts personas datu kopums, kā arī informācijas tehnoloģijas un tehniskie līdzekļi, kas ļauj apstrādāt šādus personas datus, izmantojot automatizācijas rīkus vai neizmantojot šādus rīkus.
personas dati: jebkura informācija, kas attiecas uz personu, kas identificēta vai noteikta, pamatojoties uz šādu informāciju (personas datu subjekts), tostarp viņa uzvārds, vārds. patronīms, gads mēnesis, dzimšanas datums un vieta, adrese, ģimene, sociālais, mantiskais stāvoklis, izglītība, profesija, ienākumi, cita informācija.
3.1.19. automatizēta sistēma aizsargātā dizainā; AS aizsargātā dizainā: automatizēta sistēma, kas ievieš informācijas tehnoloģiju, lai veiktu noteiktās funkcijas saskaņā ar informācijas aizsardzības standartu un/vai normatīvo dokumentu prasībām.
3.2. Noteikumi, kas saistīti ar informācijas aizsardzības objektu
3.2.1. organizācijas informācijas drošība; Organizācijas inteliģence: organizācijas interešu aizsardzības stāvoklis, saskaroties ar apdraudējumiem informācijas sfērā.
Piezīme – Drošība tiek panākta, nodrošinot informācijas drošības īpašību kopumu – konfidencialitāti, integritāti, informācijas līdzekļu pieejamību un organizācijas infrastruktūru. Informācijas drošības īpašību prioritāti nosaka informācijas līdzekļu nozīmīgums organizācijas interesēm (mērķiem).
informācijas aizsardzības objekts: Informācija vai informācijas nesējs, vai informācijas process. kas ir jāaizsargā saskaņā ar informācijas aizsardzības mērķi.
[GOST R 50922-2006. 2.5.1. punkts]
3.2.3. aizsargāts process (informācijas tehnoloģija): process, ko informācijas tehnoloģijas izmanto, lai apstrādātu aizsargātu informāciju ar nepieciešamo tās drošības līmeni.
3.2.4. organizācijas informācijas drošības pārkāpums: organizācijas informācijas drošības pārkāpums: Personas (subjekta, objekta) nejauša vai tīša prettiesiska darbība saistībā ar organizācijas mantu, kuras sekas ir informācijas drošības pārkāpums, tas tiek apstrādāts ar tehniskiem līdzekļiem informācijas sistēmās, izraisot organizācijai negatīvas sekas (kaitējumu/kaitējumu).
ārkārtas; neparedzēta situācija; Ārkārtas situācija: situācija noteiktā teritorijā vai akvatorijā, kas izveidojusies nelaimes gadījuma, bīstamas dabas parādības, katastrofas, dabas vai citas katastrofas rezultātā, kuras rezultātā var tikt zaudētas dzīvības vai izraisīti cilvēku upuri, kaitējums cilvēku veselībai. vai vide, būtiski materiālie zaudējumi un cilvēku dzīves apstākļu traucējumi.
Piezīme. Ārkārtas situācijas izšķir pēc avota rakstura (dabisks, cilvēka radīts, bioloģiski-sociāls un militārs) un pēc mēroga (vietējais, vietējais, teritoriālais, reģionālais, federālais un pārrobežu).
(GOST R 22.0.02-94. 2.1.1. pants)
GOST R 53114-2008
3.2.6
bīstama situācija: Apstākļi, kuros ir apdraudēti cilvēki, īpašums vai vide.
(GOST R 51898-2003. 3.6. punkts)
3.2.7
informācijas drošības incidents: jebkurš negaidīts vai nevēlams notikums, kas var traucēt darbību vai informācijas drošību.
Piezīme. Informācijas drošības incidenti ir:
Pakalpojumu, aprīkojuma vai ierīču zaudēšana:
Sistēmas kļūmes vai pārslodzes:
Lietotāju kļūdas.
Fiziskās aizsardzības pasākumu pārkāpums:
Nekontrolētas izmaiņas sistēmās.
Programmatūras un aparatūras kļūmes:
Piekļuves noteikumu pārkāpšana.
(GOST R ISO/IEC 27001-2006. 3.6. pants)
3.2.8. notikums: noteikta apstākļu kopuma iestāšanās vai esamība.
Piezīmes
1 Notikuma raksturs, iespējamība un sekas var nebūt pilnībā zināmas.
2 Notikums var notikt vienu vai vairākas reizes.
3 Var noteikt ar notikumu saistīto varbūtību.
4 Notikums var sastāvēt no viena vai vairāku apstākļu neierasšanās.
5 Neprognozējamu notikumu dažreiz sauc par "incidentu".
6 Notikums, kurā nerodas zaudējumi, dažkārt tiek saukts par negadījuma (incidenta) priekšnoteikumu, bīstamu stāvokli, bīstamu apstākļu kombināciju utt.
3.2.9. risks: nenoteiktības ietekme uz mērķu sasniegšanas procesu.
Piezīmes
1 Mērķiem var būt dažādi aspekti: finanšu, veselības, drošības un vides aspekti, un tos var noteikt dažādos līmeņos: stratēģiskā līmenī, organizācijas līmenī, projekta, produkta un procesa līmenī.
3 Risks bieži tiek izteikts kā notikuma vai apstākļu maiņas seku un to iespējamības kombinācija.
3.2.10
Riska novērtējums: process, kas apvieno riska identificēšanu, riska analīzi un riska kvantitatīvo noteikšanu.
(GOST R ISO/IEC 13335-1-2006, 2.21. punkts]
3.2.11. (organizācijas) informācijas drošības riska novērtējums; informācijas drošības riska novērtējums (organizācija): Vispārējs process, kurā tiek identificēts, analizēts un noteikts organizācijas informācijas drošības riska līmeņa pieņemamība.
3.2.12. risku identificēšana: risku noteikšanas, atpazīšanas un aprakstīšanas process.
Piezīmes
1 Riska identificēšana ietver riska avotu, notikumu un to cēloņu, kā arī to iespējamo seku apzināšanu.
2. PIEZĪME Riska identificēšana var ietvert statistikas datus, teorētisko analīzi, pamatotus viedokļus un ekspertu viedokļus, kā arī ieinteresēto personu vajadzības.
GOST R 53114-2008
riska analīze: sistemātiska informācijas izmantošana riska avotu identificēšanai un riska kvantitatīvai noteikšanai.
(GOST R ISO/IEC 27001-2006. 3.11. pants)
3.2.14. riska pieņemamības noteikšana: Riska analīzes rezultātu salīdzināšanas process ar riska kritērijiem, lai noteiktu riska līmeņa pieņemamību vai pieļaujamību.
PIEZĪME Riska līmeņa pieņemamības noteikšana palīdz pieņemt lēmumus par ārstēšanu
3.2.15. rīkoties ar organizācijas informācijas drošības risku; Organizācijas informācijas drošības riska apstrāde: pasākumu izstrādes un/vai atlases un ieviešanas process, lai pārvaldītu organizācijas informācijas drošības riskus.
Piezīmes
1 Riska ārstēšana var ietvert:
Izvairīšanās no riska, pieņemot lēmumu nesākt vai neturpināt darbības, kas rada apstākļus
Meklējot iespēju, pieņemot lēmumu uzsākt vai turpināt darbības, kas var radīt vai palielināt risku;
Riska avota novēršana:
Izmaiņas riska būtībā un apmērā:
Mainīgas sekas;
Riska dalīšana ar citu pusi vai pusēm.
Riska noturība gan apzināta lēmuma rezultātā, gan “pēc noklusējuma”.
2 Riska ārstēšanu ar negatīvām sekām dažreiz sauc par mazināšanu, novēršanu, novēršanu. samazināšana, apspiešana un riska korekcija.
3.2.16. riska pārvaldība: koordinētas darbības, lai vadītu un kontrolētu organizācijas darbības saistībā ar riskiem.
3.2.17. riska avots organizācijas informācijas drošībai; organizācijas informācijas drošības riska avots: objekts vai darbība, kas var izraisīt [radīt) risku.
Piezīmes
1 Nav riska, ja nav mijiedarbības starp objektu, personu vai organizāciju ar riska avotu.
2 Riska avots var būt taustāms vai nemateriāls.
3.2.18. (organizācijas) informācijas drošības politika; informācijas drošības politika (organizācija): formāls paziņojums par informācijas drošības noteikumiem, procedūrām, praksi vai vadlīnijām, kas nosaka organizācijas darbības.
Piezīme. Politikā ir jāietver.
Drošības politikas priekšmets, galvenie mērķi un uzdevumi:
Drošības politikas piemērošanas nosacījumi un iespējamie ierobežojumi:
Organizācijas vadības nostājas apraksts attiecībā uz drošības politikas ieviešanu un organizācijas informācijas drošības režīma organizāciju kopumā.
Tiesības un pienākumi, kā arī darbinieku atbildības pakāpe par organizācijas drošības politikas ievērošanu.
Ārkārtas procedūras drošības politikas pārkāpuma gadījumā
3.2.19. informācijas drošības mērķis (organizācijas); IS (organizācijas) mērķis: Iepriekš noteikts rezultāts organizācijas informācijas drošības nodrošināšanai atbilstoši IS (organizācijas) politikā noteiktajām prasībām.
Piezīme - Informācijas drošības nodrošināšanas rezultāts var būt informācijas īpašnieka bojājumu novēršana iespējamas informācijas noplūdes un (vai) nesankcionētas un neapzinātas ietekmes uz informāciju.
3.2.20. dokumentu sistēma par informācijas drošību organizācijā; informācijas drošības dokumentu sistēma organizācijā: sakārtots dokumentu kopums, ko vieno mērķorientācija. savstarpēji saistīti, pamatojoties uz izcelsmi, mērķi, veidu, darbības jomu, vienotām prasībām to veidošanai un regulē organizācijas darbību, lai nodrošinātu informācijas drošību.
GOST R 53114-2008
3.3. Noteikumi, kas saistīti ar informācijas drošības apdraudējumiem
3.3.1. draudi organizācijas informācijas drošībai; Informācijas drošības apdraudējums organizācijai: faktoru un apstākļu kopums, kas rada organizācijas informācijas drošības pārkāpuma draudus, izraisot vai spējot radīt negatīvas sekas (kaitējumu/kaitējumu) organizācijai.
Piezīmes
1 Informācijas drošības apdraudējuma īstenošanas (izpausmes) forma ir viena vai vairāku savstarpēji saistītu informācijas drošības notikumu un informācijas drošības incidentu uzliesmojums. kas noved pie organizācijas aizsargātā objekta(-u) informācijas drošības īpašību pārkāpumiem.
2 Apdraudējumu raksturo apdraudējuma objekta, apdraudējuma avota un apdraudējuma izpausmes klātbūtne.
draudi (informācijas drošība): apstākļu un faktoru kopums, kas rada potenciālus vai faktiskus informācijas drošības pārkāpuma draudus.
[GOST R 50922-2006. 2.6.1. punkts]
3.3.3. draudu (informācijas drošības) modelis: Fizisks, matemātisks, aprakstošs informācijas drošības apdraudējuma īpašību vai raksturlielumu attēlojums.
Piezīme - īpašs normatīvais dokuments var būt informācijas drošības apdraudējuma īpašību vai raksturlielumu aprakstošs attēlojums.
ievainojamība (informācijas sistēmas); pārkāpums: Informācijas sistēmas īpašums, kas ļauj īstenot apdraudējumus tajā apstrādātās informācijas drošībai.
Piezīmes
1 Informācijas sistēmā apstrādātā drošības apdraudējuma ieviešanas nosacījums var būt informācijas sistēmas nepilnība vai vājums.
2 Ja ievainojamība atbilst draudiem, pastāv risks.
[GOST R 50922-2006. 2.6.4. punkts]
3.3.5. organizācijas informācijas drošības pārkāpējs; organizācijas informācijas drošības pārkāpējs: fiziska vai loģiska vienība, kas nejauši vai tīši izdarījusi darbību, kuras sekas ir organizācijas informācijas drošības pārkāpums.
3.3.6. nesankcionēta piekļuve: Piekļuve informācijai vai automatizētas informācijas sistēmas resursiem, kas veikta, pārkāpjot noteiktos piekļuves tiesību (vai) noteikumus.
Piezīmes
1 Neatļauta piekļuve var būt tīša vai netīša.
2 Informācijas un informācijas sistēmas resursu piekļuves tiesības un noteikumi tiek noteikti informācijas apstrādes procesiem, automatizētas informācijas sistēmas uzturēšanai un programmatūras izmaiņām. tehniskos un informācijas resursus, kā arī informācijas iegūšanu par tiem.
3.3.7. tīkla uzbrukums: darbības, izmantojot programmatūru un (vai) aparatūru un tīkla protokolu, kuru mērķis ir īstenot draudus nesankcionētai piekļuvei informācijai, ietekmēt to vai automatizētas informācijas sistēmas resursus.
Lietojumprogramma — tīkla protokols ir semantisko un sintaktisko noteikumu kopums, kas nosaka vienā datorā esošo tīkla pārvaldības programmu mijiedarbību. ar tāda paša nosaukuma programmām, kas atrodas citā datorā.
3.3.8. piekļuves bloķēšana (informācijai): personu informācijas pārtraukšana vai apgrūtināta piekļuve tai. tiesības to darīt (likumīgie lietotāji).
3.3.9. pakalpojuma atteikuma uzbrukums: tīkla uzbrukums, kas izraisa informācijas procesu bloķēšanu automatizētā sistēmā.
3.3.10. informācijas noplūde: aizsargātas informācijas nekontrolēta izplatīšana tās izpaušanas rezultātā, nesankcionēta piekļuve informācijai un aizsargātas informācijas saņemšana no ārvalstu izlūkdienestiem.
3.3.11. informācijas izpaušana: aizsargātas informācijas nesankcionēta izpaušana personām. nav pilnvarota piekļūt šai informācijai.
GOST R 53114-2008
(informācijas pārtveršana): nelikumīga informācijas saņemšana, izmantojot tehniskos līdzekļus, kas nosaka, saņem un apstrādā informatīvos signālus.
(R 50.1.053-2005, 3.2.5. punkts]
informatīvais signāls: signāls, kura parametrus var izmantot aizsargātās informācijas noteikšanai.
[R 50.1.05S-2005. 3.2.6. punkts]
3.3.14. deklarētās iespējas: Datoru aparatūras un programmatūras funkcionālās iespējas, kas nav aprakstītas vai neatbilst dokumentācijā aprakstītajām. kas var izraisīt informācijas drošības īpašību samazināšanos vai pārkāpumu.
3.3.15. viltus elektromagnētiskais starojums un traucējumi: elektromagnētiskais starojums no tehniskās informācijas apstrādes iekārtām, kas rodas kā blakusparādība un ko izraisa elektriskie signāli, kas darbojas to elektriskajās un magnētiskajās ķēdēs, kā arī šo signālu elektromagnētiskie traucējumi uz vadošām līnijām, konstrukcijām un strāvu. ķēdēm.
3.4. Noteikumi, kas saistīti ar organizācijas informācijas drošības pārvaldību
3.4.1. organizācijas informācijas drošības vadība; informācijas drošības organizācijas vadība; Koordinētas darbības organizācijas vadībai un vadībai tās informācijas drošības nodrošināšanas ziņā atbilstoši mainīgajiem organizācijas iekšējās un ārējās vides apstākļiem.
3.4.2. organizācijas informācijas drošības risku vadība; organizācijas informācijas drošības riska pārvaldība: koordinētas darbības, lai vadītu un pārvaldītu organizāciju saistībā ar informācijas drošības risku, lai to samazinātu.
PIEZĪME Riska pārvaldības pamatprocesi ir konteksta noteikšana, riska novērtēšana, riska ārstēšana un pieņemšana, riska uzraudzība un pārskatīšana.
informācijas drošības vadības sistēma; ISMS: daļa no vispārējās vadības sistēmas. pamatojoties uz bioenerģijas riska novērtēšanas metožu izmantošanu izstrādei, ieviešanai un darbībai. informācijas drošības uzraudzība, analīze, atbalsts un uzlabošana.
PIEZĪME Vadības sistēma ietver organizatorisko struktūru, politiku, plānošanas aktivitātes, pienākumus, praksi, procedūras, procesus un resursus.
[GOST R ISO/IEC 27001-2006. 3.7. punkts]
3.4.4 informācijas drošības loma organizācijā; Informācijas drošības loma organizācijā: konkrētu funkciju un uzdevumu kopums organizācijas informācijas drošības nodrošināšanai, kas nodrošina pieņemamu mijiedarbību starp subjektu un objektu organizācijā.
Piezīmes
1 Subjekti ietver personas no organizācijas vadītājiem, tās darbiniekiem vai procesiem, kas uzsākti viņu vārdā, lai veiktu darbības ar objektiem.
2 Objekti var būt aparatūra, programmatūra, programmatūra un aparatūra vai informācijas resurss, ar kuru tiek veiktas darbības.
3.4.5. Organizācijas informācijas drošības dienests: Organizācijas informācijas drošības vadības sistēmas organizatoriskā un tehniskā struktūra, kas īsteno noteikta uzdevuma risinājumu, kas vērsts uz organizācijas informācijas drošības apdraudējumu novēršanu.
3.5. Noteikumi, kas saistīti ar organizācijas informācijas drošības uzraudzību un novērtēšanu
3.5.1. kontrole pār organizācijas informācijas drošības nodrošināšanu; organizācijas informācijas drošības nodrošinājuma kontrole: Informācijas drošības nodrošinājuma atbilstības pārbaude organizācijā.
GOST R 53114-2008
3.5.2. uzraudzīt organizācijas informācijas drošību; organizācijas informācijas drošības uzraudzība: Pastāvīga informācijas drošības procesa uzraudzība organizācijā, lai konstatētu tā atbilstību informācijas drošības prasībām.
3.5.3. organizācijas informācijas drošības audits; informācijas drošības organizācijas audits: Sistemātisks, neatkarīgs un dokumentēts process, kurā tiek iegūti pierādījumi par organizācijas darbību informācijas drošības nodrošināšanai un informācijas drošības kritēriju izpildes pakāpes noteikšana organizācijā, kā arī iespēja veidot profesionālu auditu. spriedums par organizācijas informācijas drošības stāvokli.
3.5.4. pierādījumi (pierādījumi) par organizācijas informācijas drošības auditu; Organizācijas informācijas drošības audita dati: ieraksti, faktu paziņojumi vai cita informācija, kas attiecas uz organizācijas informācijas drošības audita kritērijiem un ko var pārbaudīt.
PIEZĪME Informācijas drošības pierādījumi var būt kvalitatīvi vai kvantitatīvi.
3.5.5. izvērtēt organizācijas informācijas drošības atbilstību noteiktajām prasībām; organizācijas informācijas drošības atbilstības noteiktajām prasībām novērtējums: Darbības, kas saistītas ar tiešu vai netiešu noteikto informācijas drošības prasību atbilstības vai neatbilstības noteikšanu organizācijā.
3.5.6. organizācijas informācijas drošības audita kritērijs; Informācijas drošības organizācijas audita kritērijs: Ar organizācijas darbību informācijas drošības jomā saistīto aktuālo normatīvo dokumentu* principu, noteikumu, prasību un rādītāju kopums.
Pielietojums – informācijas drošības audita kritēriji tiek izmantoti informācijas drošības audita pierādījumu salīdzināšanai ar tiem.
3.5.7. automatizētas sistēmas sertifikācija drošā projektā: Aizsargātas informācijas apstrādes automatizētās sistēmas noteikto funkciju izpildes visaptverošas pārbaudes process, lai nodrošinātu atbilstību standartu un/vai normatīvo dokumentu prasībām informācijas jomā. aizsardzība un dokumentu sagatavošana par tās atbilstību aizsargātās informācijas apstrādes funkcijas veikšanai konkrētajā objekta informatizācijā.
3.5.8. organizācijas informācijas drošības nodrošināšanas kritērijs; organizācijas informācijas drošības kritērijs: Rādītājs, uz kura pamata tiek novērtēta organizācijas informācijas drošības mērķa(-u) sasniegšanas pakāpe.
3.5.9. informācijas drošības efektivitāte; informācijas drošības efektivitāte: Attiecība starp sasniegto rezultātu un resursiem, kas izmantoti, lai nodrošinātu noteiktu informācijas drošības līmeni.
3.6. Noteikumi, kas saistīti ar organizācijas informācijas drošības kontrolēm
3.6.1. organizācijas informācijas drošības nodrošināšana; organizācijas informācijas drošības nodrošināšana: Darbības, kuru mērķis ir novērst (neitralizēt, novērst) iekšējos un ārējos draudus organizācijas informācijas drošībai vai samazināt kaitējumu, ko var radīt šādu apdraudējumu iespējamā īstenošana.
3.6.2. drošības līdzeklis; drošības kontrole: izveidota prakse, procedūra vai mehānisms riska pārvaldībai.
3.6.3 informācijas drošības nodrošināšanas pasākumi; informācijas drošības pasākumi: darbību kopums, kas vērsts uz informācijas drošības nodrošināšanas metožu un līdzekļu izstrādi un/vai praktisku pielietojumu.
3.6.4 organizatoriskie pasākumi informācijas drošības nodrošināšanai; organizatoriskie pasākumi informācijas drošības nodrošināšanai: Informācijas drošības nodrošināšanas pasākumi, paredzot pagaidu, teritoriālo, telpisko, tiesisko, metodisko un citu ierobežojumu noteikšanu informatizācijas objekta lietošanas nosacījumiem un darbības režīmiem.
3.6.5. informācijas drošības nodrošināšanas tehniskie līdzekļi; informācijas drošības tehniskie līdzekļi: Iekārtas, ko izmanto, lai nodrošinātu organizācijas informācijas drošību, izmantojot nekriptogrāfijas metodes.
Piezīme - Šādas iekārtas var attēlot ar aparatūru un programmatūru, kas iebūvēta aizsargātajā objektā un/vai darbojas autonomi (neatkarīgi no aizsargātā objekta).
GOST R 53114-2008
3.5.6. ielaušanās atklāšanas rīks, uzbrukumu noteikšanas rīks: programmatūra vai programmatūras-aparatūras rīks, kas automatizē datorsistēmā vai tīklā notiekošo notikumu uzraudzības procesu, kā arī neatkarīgi analizē šos notikumus, meklējot informācijas drošības incidenta pazīmes.
3.6.7. aizsardzības līdzekļi pret nesankcionētu piekļuvi: programmatūra, aparatūra vai programmatūra un aparatūra, kas izstrādāta, lai novērstu vai būtiski kavētu nesankcionētu piekļuvi.
GOST R 53114-2008
Terminu alfabētiskais rādītājs
organizācijas līdzekļi 3.1.6
riska analīze 3.2.13
Skaļruņi aizsargātā versijā 3.1.19
pakalpojumu liegšanas uzbrukums 3.3.9
tīkla uzbrukums 3.3.7
automatizētas sistēmas sertifikācija aizsargātā versijā 3.5.7
organizācijas informācijas drošības audits 3.5.3
organizācijas informācijas drošības audits 3.5.3
nodrošinājums (dati] 3.1.1
informācijas drošība 3.1.1
informācijas tehnoloģiju drošība 3.1.2
organizācijas informācijas drošība 3.2.1
piekļuves (informācijai) bloķēšana 3.3.8
pārkāpums 3.3.4
nedeklarētās spējas 3.3.14
personas dati 3.1.18
nesankcionēta piekļuve 3.3.6
Organizatoriskās informācijas drošība 3.2.1
risku identificēšana 3.2.12
informācijas infrastruktūra 3.1.4
informācijas drošības incidents 3.2.7
organizācijas informācijas drošības riska avots 3.2.17
organizācijas informācijas drošības riska avots 3.2.17
organizācijas informācijas drošības kontrole 3.5.1
organizācijas informācijas drošības kontrole 3.5.1
organizācijas informācijas drošības nodrošināšanas kritēriji 3.5.8
organizācijas IS audita kritērijs 3.5.6
organizācijas informācijas drošības audita kritērijs 3.5.6
organizācijas informācijas drošības nodrošināšanas kritērijs 3.5.8
organizācijas informācijas drošības vadība 3.4.1
organizācijas informācijas drošības vadība 3.4.1
organizācijas informācijas drošības risku vadība 3.4.2
organizācijas informācijas drošības risku vadība 3.4.2
drošības līdzeklis 3.6.2
drošības līdzeklis 3.6.2
informācijas drošības pasākumi 3.6.3
organizatoriskie informācijas drošības pasākumi 3.6.4
informācijas drošības pasākumi 3.6.3
organizatoriskie informācijas drošības pasākumi 3.4.6
draudu modelis (informācijas drošība) 3.3.3
organizācijas informācijas drošības uzraudzība 3.5.2
organizācijas informācijas drošības uzraudzība 3.5.2
organizācijas informācijas drošības pārkāpums 3.2.4
organizācijas informācijas drošības pārkāpums 3.2.4
organizācijas informācijas drošības pārkāpējs 3.3.5
organizācijas informācijas drošības pārkāpējs 3.3.5
automatizētās informācijas sistēmas atbalsts 3.1.12
automatizētās sistēmas programmatūra 3.1.11
automatizētās sistēmas tehniskais nodrošinājums 3.1.10
AS informācijas atbalsts 3.1.12
Maiņstrāvas programmatūra 3.1.11
Maiņstrāvas tehniskais atbalsts 3.1.10
organizācijas informācijas drošības nodrošināšana 3.6.1
organizācijas informācijas drošības nodrošināšana 3.6.1
organizācijas informācijas drošības risku ārstēšana 3.2.15
GOST R 53114-2008
organizācijas informācijas drošības riska pārvaldīšana 3.2.1S
informācijas aizsardzības objekts 3.2.2
informatizācijas objekts 3.1.5
kritiskais objekts 3.1.16
pieļaujamā riska līmeņa noteikšana 3.2.14
riska novērtējums 3.2.10
riska novērtējums I6 (organizācijas) 3.2.11
informācijas drošības riska novērtējums (organizācija) 3.2.11
izvērtējot organizācijas IS atbilstību noteiktajām prasībām 3.5.5
organizācijas informācijas drošības atbilstības noteiktajām prasībām novērtējums 3.5.5
pārtveršana (informācija) 3.3.12
IS politika (organizācija) 3.2.18
informācijas drošības politika (organizācija) 3.2.18
process (informācijas tehnoloģija) aizsargāts 3.2.3
informācijas process 3.1.8
informācijas izpaušana 3.3.11
informācijas apstrādes sistēmas resurss 3.1.7
informācijas drošības loma organizācijā 3.4.4
informācijas drošības loma 8 organizācijā 3.4.4
organizācijas IS audita sertifikāti (pierādījumi) 3.5.4
organizācijas informācijas drošības audita pierādījumi (pierādījumi) 3.5.4
serviss 3.1.13
informatīvais signāls 3.3.13
droša automatizēta sistēma 3.1.19
informācijas drošības dokumentu sistēma organizācijā 3.2.20
dokumentu sistēma par informācijas drošību organizācijā 3.2.20
galvenās informācijas infrastruktūras sistēma 3.1.15
kritiskās informācijas infrastruktūras sistēma 3.1.15
informācijas drošības pārvaldības sistēma 3.4.3
personas datu informācijas sistēma 3.1.17
neparedzēta situācija 3.2.5
bīstama situācija 3.2.6
ārkārtas situācija 3.2.5
organizācijas informācijas drošības dienests 3.4.6
pasākums 3.2.8
aizsardzība pret nesankcionētu piekļuvi 3.6.7
tehniskais informācijas drošības līdzeklis 3.6.5
tehniskais informācijas drošības līdzeklis 3.6.5
Uzbrukuma noteikšanas rīks 3.6.6
Ielaušanās noteikšanas rīks 3.6.6
informācijas sfēra 3.1.3
informācijas tehnoloģijas 3.1.9
draudi (informācijas drošība) 3.3.2
apdraudējums organizācijas informācijas drošībai 3.3.1
apdraudējums organizācijas informācijas drošībai 3.3.1
riska vadība 3.2.16
serviss 3.1.13
informācijas tehnoloģiju pakalpojumi 3.1.14
IT pakalpojumi 3.1.14
informācijas noplūde 3.3.10
ievainojamība (informācijas sistēma) 3.3.4
IS mērķis (organizācija) 3.2.19
informācijas drošības mērķis (organizācija) 3.2.19
elektromagnētiskais starojums un sānu traucējumi 3.3.15
IS efektivitāte 3.5.9
informācijas drošības efektivitāte 3.5.9
GOST R 53114-2008
A pielikums (atsauce)
Vispārējo tehnisko jēdzienu termini un definīcijas
organizācija: darbinieku un nepieciešamo resursu grupa ar pienākumu, pilnvaru un attiecību sadalījumu.
(GOST R ISO 9000-2001, 3.3.1. punkts]
Piezīmes
1 Organizācijas ir: uzņēmums, korporācija, firma, uzņēmums, iestāde, labdarības organizācija, mazumtirdzniecības uzņēmums, asociācija. kā arī to apakšnodaļas vai to kombinācijas.
2 Izplatīšana parasti tiek pasūtīta.
3 Organizācija var būt publiska vai privāta.
A.2. uzņēmējdarbība: saimnieciskā darbība, kas rada peļņu; jebkura veida darbība, kas rada ienākumus un ir bagātināšanas avots.
A.Z biznesa process: Organizācijas saimnieciskajā darbībā izmantotie procesi.
informācija: Informācija (ziņojumi, dati) neatkarīgi no to pasniegšanas formas.
aktīvi: visi. kas ir vērtīgs organizācijai. (GOST R ISO/IEC13335-1-2006, 2.2. punkts(
A.6 resursi: (organizācijas) aktīvi, kas tiek izmantoti vai patērēti procesa izpildes laikā. Piezīmes
1 Resursi var ietvert tādus dažādus priekšmetus kā personāls, aprīkojums, pamatlīdzekļi, instrumenti un komunālie pakalpojumi, piemēram, enerģija, ūdens, degviela un sakaru tīklu infrastruktūra.
2 Resursi var būt atkārtoti lietojami, atjaunojami vai patērējami.
A.7 bīstamība: objekta īpašība, kas raksturo tā spēju nodarīt bojājumus vai kaitējumu citiem objektiem. A.8 ārkārtas notikums: notikums, kas izraisa ārkārtas situāciju.
A.9 kaitējums: fizisks kaitējums vai kaitējums cilvēku veselībai vai kaitējums īpašumam vai videi.
A. 10 draudi: apstākļu un faktoru kopums, kas var izraisīt integritātes un pieejamības pārkāpumu. privātumu.
A.11 ievainojamība: objekta iekšējās īpašības, kas rada uzņēmību pret riska avota ietekmi, kas var izraisīt zināmas sekas.
A. 12 uzbrukums: Mēģinājums pārvarēt informācijas sistēmas drošības sistēmu.
Piezīmes – Uzbrukuma “veiksmes” pakāpe ir atkarīga no aizsardzības sistēmas ievainojamības un efektivitātes.
A.13 vadība: koordinētas darbības organizācijas virzīšanai un vadībai
A.14 uzņēmējdarbības (nepārtrauktības) vadība: koordinētas vadības un kontroles darbības
organizācijas biznesa procesi.
A. 15 loma: iepriekš noteikts noteikumu un procedūru kopums organizācijas darbībām, kas nodrošina pieņemamu mijiedarbību starp darbības subjektu un objektu.
Informācijas īpašnieks: Persona, kas patstāvīgi radījusi informāciju vai saņēmusi, pamatojoties uz likumu vai līgumu, tiesības atļaut vai ierobežot piekļuvi informācijai, kas noteikta pēc jebkādiem kritērijiem.
GOST R 53114-2008
infrastruktūra: ēku, iekārtu un atbalsta pakalpojumu kopums, kas nepieciešams organizācijas funkcionēšanai.
[GOST R ISO 9000-2001. 3.3.3. punkts]
A.18 audits: sistemātisks, neatkarīgs un dokumentēts audita pierādījumu iegūšanas un objektīvas novērtēšanas process, lai noteiktu, cik lielā mērā ir izpildīti saskaņotie revīzijas kritēriji.
Piezīmes
1 Iekšējos auditus, ko sauc par pirmās puses auditiem, iekšējiem mērķiem veic pati organizācija vai tās vārdā cita organizācija. Iekšējā audita rezultāti var kalpot par pamatu atbilstības deklarācijai. Daudzos gadījumos, īpaši mazajos uzņēmumos, audits ir jāveic speciālistiem (personām, kuras nav atbildīgas par revidējamo darbību).
2. PIEZĪME Ārējie auditi ietver auditus, ko sauc par otrās puses auditiem un trešās puses auditiem. Otrās puses auditus veic, piemēram, uzņēmuma darbībā ieinteresētās puses.
patērētājiem vai citiem viņu vārdā. Trešo pušu auditus veic ārējas neatkarīgas organizācijas. Šīs organizācijas veic sertifikāciju vai reģistrāciju, lai nodrošinātu atbilstību prasībām, piemēram, GOST R ISO 9001 un GOST R ISO 14001 prasībām.
3 Vienlaicīgi veiktu kvalitātes un vides vadības sistēmu auditu sauc par “visaptverošo auditu”.
4 Ja revidējamās organizācijas auditu vienlaikus veic vairākas organizācijas, tad šādu auditu sauc par “kopīgo auditu”.
A.19 Monitorings: Objekta sistemātiska vai nepārtraukta uzraudzība, nodrošinot tā parametru kontroli un/vai mērīšanu, kā arī analīzes veikšana, lai prognozētu parametru mainīgumu un pieņemtu lēmumus par korektīvo un preventīvo darbību nepieciešamību un sastāvu.
atbilstības deklarācija: Produkta atbilstības tehnisko noteikumu prasībām apliecinājuma veidlapa.
A.21 tehnoloģija: Savstarpēji saistītu metožu, metožu, objektīvas darbības paņēmienu sistēma. A.22
dokuments: informācija, kas ierakstīta materiālā nesējā ar detaļām, kas ļauj to identificēt.
[GOST R 52069.0-2003. 3.18. punkts]
A.23 informācijas apstrāde: informācijas apkopošanas, uzkrāšanas, ievades, izvades, uztveršanas, pārraidīšanas, ierakstīšanas, glabāšanas, reģistrēšanas, iznīcināšanas, pārveidošanas, parādīšanas darbību kopums.
GOST R 53114-2008
B pielikums (uzziņai)
Pamatjēdzienu attiecības informācijas drošības jomā organizācijā
Attiecības starp pamatjēdzieniem parādītas B.1. attēlā.
B.1. attēls - pamatjēdzienu saistība
GOST R 53114-2008
Bibliogrāfija
(1] R 50.1.053-2005
(2]PS0.1.056-2005
Informāciju tehnoloģijas. Pamattermini un definīcijas tehniskās informācijas drošības jomā Tehniskās informācijas drošība. Pamattermini un definīcijas
Par tehniskajiem noteikumiem
Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību
Par personas datiem
Krievijas Federācijas informācijas drošības doktrīna
UDC 351.864.1:004:006.354 OKS 35.020 LLP
Atslēgas vārdi: informācija, informācijas drošība, informācijas drošība organizācijā, draudi informācijas drošībai, informācijas drošības kritēriji
Redaktors V.N. Cops soya Tehniskais redaktors V.N. Prusakova korektors V.E. Nestorovo datoru programmatūra I.A. NapeikinoO
Piegādāts darbā 06.11.2009. Parakstīts zīmogs 12/01/2009. Formāts 60"84 Ofseta papīrs. Arial burtveidols. Ofseta druka. Usp. krāsns l. 2.32. Uch.-red. l. 1.90. Tirāža 373 »kz. Zaks. 626
FSUE "STANDARTINFORMA*. 123995 Maskava. Granātābolu por.. 4. info@goslmlo gi
Ievadīts FSUE "STANDARTINFORM" datorā.
Iespiests FSUE filiālē "STANDARTINFORM* - tips. "Maskavas printeris". 105062 Maskava. Lyalin josla.. 6.
- GOST 22731-77 Datu pārraides sistēmas, datu pārraides kontroles procedūras galvenajā režīmā pusdupleksai informācijas apmaiņai
- GOST 26525-85 Datu apstrādes sistēmas. Lietojuma rādītāji
- GOST 27771-88 Procedūras raksturlielumi saskarnē starp datu gala iekārtu un datu kanālu beigu iekārtu. Vispārīgās prasības un standarti
- GOST 28082-89 Informācijas apstrādes sistēmas. Sērijas datu pārraides kļūdu noteikšanas metodes
- GOST 28270-89 Informācijas apstrādes sistēmas. Datu apraksta faila specifikācija informācijas apmaiņai
- GOST R 43.2.11-2014 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Teksta informācijas strukturēta prezentācija ziņojumu formātos
- GOST R 43.2.8-2014 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Ziņojumu formāti tehniskajām darbībām
- GOST R 43.4.1-2011 Informācijas atbalsts aprīkojumam un operatora darbībām. “Cilvēka informācijas” sistēma
- GOST R 53633.10-2015 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta sakaru organizācijas darbības karte (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Organizācijas vadība. Organizatorisko risku vadība
- GOST R 53633.11-2015 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas darbības diagramma (eTOM).Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Organizācijas vadība. Organizācijas darbības vadība
- GOST R 53633.4-2015 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta sakaru organizācijas darbības karte (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Primārā darbība. Pakalpojumu vadība un darbība
- GOST R 53633.7-2015 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta sakaru organizācijas darbības karte (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Stratēģija, infrastruktūra un produkts. Attīstība un resursu pārvaldība
- GOST R 53633.9-2015 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta sakaru organizācijas darbības karte (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Organizācijas vadība. Organizācijas plānošanas stratēģija un attīstība
- GOST R 55767-2013 Informācijas tehnoloģijas. Eiropas IKT kompetenču ietvarstruktūra 2.0. 1.daļa. Kopējais Eiropas kompetenču ietvars IKT profesionāļiem visās rūpniecības nozarēs
- GOST R 55768-2013 Informācijas tehnoloģijas. Atvērtās režģa sistēmas modelis. Pamatnoteikumi
- GOST R 56093-2014 Informācijas aizsardzība. Automatizētas sistēmas drošā dizainā. Līdzekļi tīšas spēka elektromagnētiskās ietekmes noteikšanai. Vispārīgās prasības
- GOST R 56115-2014 Informācijas aizsardzība. Automatizētas sistēmas drošā dizainā. Aizsardzības līdzekļi pret apzinātu spēka elektromagnētisko ietekmi. Vispārīgās prasības
- GOST R 56545-2015 Informācijas aizsardzība. Informācijas sistēmu ievainojamības. Noteikumi ievainojamību aprakstīšanai
- GOST R 56546-2015 Informācijas aizsardzība. Informācijas sistēmu ievainojamības. Informācijas sistēmu ievainojamību klasifikācija
- GOST IEC 60950-21-2013 Informācijas tehnoloģiju aprīkojums. Drošības prasības. 21. daļa. Tālvadības barošanas avots
- GOST IEC 60950-22-2013 Informācijas tehnoloģiju aprīkojums. Drošības prasības. 22. daļa. Iekārtas, kas paredzētas uzstādīšanai ārpus telpām
- GOST R 51583-2014 Informācijas aizsardzība. Procedūra automatizētu sistēmu izveidei drošā dizainā. Vispārīgi noteikumi
- GOST R 55766-2013 Informācijas tehnoloģijas. Eiropas IKT kompetenču ietvarstruktūra 2.0. 3. daļa. e-CF izveide - metodisko pamatu un ekspertu pieredzes apvienošana
- GOST R 55248-2012 Elektriskā drošība. Informācijas un komunikācijas tehnoloģiju tīkliem pievienoto iekārtu saskarņu klasifikācija
- GOST R 43.0.11-2014 Informācijas atbalsts aprīkojumam un operatora darbībām. Tehnisko darbību datu bāzes
- GOST R 56174-2014 Informācijas tehnoloģijas. Atvērtās Grid vides pakalpojumu arhitektūra. Termini un definīcijas
- GOST IEC 61606-4-2014 Audio un audiovizuālais aprīkojums. Digitālās audio iekārtas sastāvdaļas. Pamatmetodes skaņas raksturlielumu mērīšanai. 4.daļa. Personālais dators
- GOST R 43.2.5-2011 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Gramatika
- GOST R 53633.5-2012 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta sakaru organizācijas darbības karte (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Stratēģija, infrastruktūra un produkts. Mārketinga un produktu piedāvājuma vadība
- GOST R 53633.6-2012 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta sakaru organizācijas darbības karte (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Stratēģija, infrastruktūra un produkts. Pakalpojumu izstrāde un vadība
- GOST R 53633.8-2012 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta sakaru organizācijas darbības karte (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Stratēģija, infrastruktūra un produkts. Piegādes ķēdes attīstība un vadība
- GOST R 43.0.7-2011 Informācijas atbalsts aprīkojumam un operatora darbībām. Hibrīda-intelektualizēta cilvēka un informācijas mijiedarbība. Vispārīgi noteikumi
- GOST R 43.2.6-2011 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Morfoloģija
- GOST R 53633.14-2016 Informācijas tehnoloģijas. Telekomunikāciju pārvaldības tīkls ir paplašināts sakaru organizācijas darbības ietvars (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Organizācijas vadība. Ieinteresēto pušu un ārējo attiecību vadība
- GOST R 56938-2016 Informācijas aizsardzība. Informācijas aizsardzība, izmantojot virtualizācijas tehnoloģijas. Vispārīgi noteikumi
- GOST R 56939-2016 Informācijas aizsardzība. Droša programmatūras izstrāde. Vispārīgās prasības
- GOST R ISO/IEC 17963-2016 Tīmekļa pakalpojumu specifikācija pārvaldībai (WS-management)
- GOST R 43.0.6-2011 Informācijas atbalsts aprīkojumam un operatora darbībām. Dabiski intelektualizēta cilvēka un informācijas mijiedarbība. Vispārīgi noteikumi
- GOST R 54817-2011 Audio, video, informācijas tehnoloģiju un sakaru iekārtu aizdegšanās nejauši, ko izraisa sveces liesma
- GOST R IEC 60950-23-2011 Informācijas tehnoloģiju aprīkojums. Drošības prasības. 23. daļa. Aprīkojums liela apjoma datu glabāšanai
- GOST R IEC 62018-2011 Informācijas tehnoloģiju iekārtu enerģijas patēriņš. Mērīšanas metodes
- GOST R 53538-2009 Vairāku pāru kabeļi ar vara vadītājiem platjoslas piekļuves shēmām. Vispārīgās tehniskās prasības
- GOST R 53633.0-2009 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Biznesa procesu vispārējā struktūra
- GOST R 53633.1-2009 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Primārā darbība. Attiecību vadīšana ar piegādātājiem un partneriem
- GOST R 53633.2-2009 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Primārā darbība. Resursu pārvaldība un darbība
- GOST R 53633.3-2009 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Dekompozīcija un procesu apraksti. eTOM 2. līmeņa procesi. Primārā darbība. Klientu attiecību vadība
- GOST R ISO/IEC 20000-2-2010 Informācijas tehnoloģija. Pakalpojumu vadība. 2. daļa: Prakses kodekss
- GOST R 43.0.3-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Pusdienas tehnoloģija tehniskajās darbībās. Vispārīgi noteikumi
- GOST R 43.0.4-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Informācija tehniskajās darbībās. Vispārīgi noteikumi
- GOST R 43.0.5-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Informācijas apmaiņas procesi tehniskajās darbībās. Vispārīgi noteikumi
- GOST R 43.2.1-2007 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Vispārīgi noteikumi
- GOST R 43.2.2-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Vispārīgi lietošanas noteikumi
- GOST R 43.2.3-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Ikonisko komponentu veidi un īpašības
- GOST R 43.2.4-2009 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Zīmju komponentu sintaktika
- GOST R 52919-2008 Informācijas tehnoloģijas. Fiziskās aizsardzības metodes un līdzekļi. Ugunsizturības klasifikācija un pārbaudes metodes. Datu telpas un konteineri
- GOST R 53114-2008 Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijā. Pamattermini un definīcijas
- GOST R 53245-2008 Informācijas tehnoloģijas. Strukturētas kabeļu sistēmas. Sistēmas galveno komponentu uzstādīšana. Pārbaudes metodes
- GOST R 53246-2008 Informācijas tehnoloģijas. Strukturētas kabeļu sistēmas. Sistēmas galveno komponentu projektēšana. Vispārīgās prasības
- GOST R IEC 60990-2010 Pieskāriena strāvas un aizsargvada strāvas mērīšanas metodes
- GOST 33707-2016 Informācijas tehnoloģijas. Vārdnīca
- GOST R 57392-2017 Informācijas tehnoloģijas. Pakalpojumu vadība. 10. daļa. Pamatjēdzieni un terminoloģija
- GOST R 43.0.13-2017 Informācijas atbalsts aprīkojumam un operatora darbībām. Speciālistu virzīta apmācība
- GOST R 43.0.8-2017 Informācijas atbalsts aprīkojumam un operatora darbībām. Mākslīgi intelektualizēta cilvēka un informācijas mijiedarbība. Vispārīgi noteikumi
- GOST R 43.0.9-2017 Informācijas atbalsts aprīkojumam un operatora darbībām. Informatīvie resursi
- GOST R 43.2.7-2017 Informācijas atbalsts aprīkojumam un operatora darbībām. Operatora valoda. Sintakse
- GOST R ISO/IEC 38500-2017 Informācijas tehnoloģijas. IT stratēģiskā vadība organizācijā
- GOST R 43.0.10-2017 Informācijas atbalsts aprīkojumam un operatora darbībām. Informācijas objekti, objektorientēta projektēšana tehniskās informācijas izveidē
- GOST R 53633.21-2017 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Dekompozīcija un procesu apraksti. Primārā darbība. Pakalpojumu vadība un darbība. eTOM 3. līmeņa procesi. Process 1.1.2.1 — SM&O procesu atbalsts un pieejamība
- GOST R 57875-2017 Telekomunikācijas. Savienojumu shēmas un zemējums telekomunikāciju centros
- GOST R 53633.22-2017 Informācijas tehnoloģijas. Telekomunikāciju vadības tīkls. Paplašināta komunikācijas organizācijas aktivitāšu shēma (eTOM). Dekompozīcija un procesu apraksti. Primārā darbība. Pakalpojumu vadība un darbība. eTOM 3. līmeņa procesi. Process 1.1.2.2. Pakalpojumu konfigurēšana un aktivizēšana
Šajā sadaļā ir sniegta vispārīga informācija un teksti par Krievijas Federācijas nacionālajiem standartiem informācijas drošības jomā GOST R.
Pašreizējais mūsdienu GOST saraksts, kas izstrādāts pēdējos gados un paredzēts attīstībai. Informācijas drošības rīku sertifikācijas sistēma atbilstoši informācijas drošības prasībām Nr. ROSS RU.0001.01BI00 (Krievijas FSTEC). KRIEVIJAS FEDERĀCIJAS VALSTS STANDARTS. Datu aizsardzība. AUTOMATIZĒTO SISTĒMU IZVEIDE DROŠĀ IZPILDE. Vispārīgi noteikumi. Maskava KRIEVIJAS FEDERĀCIJAS VALSTS STANDARTS. Datortehnika. Aizsardzība pret nesankcionētu piekļuvi informācijai. Vispārīgās tehniskās prasības. Ieviešanas datums 1996-01-01 Krievijas Federācijas nacionālais standarts. Datu aizsardzība. Pamattermini un definīcijas. Informācijas aizsardzība. Pamattermini un definīcijas. Ievadīšanas datums 2008-02-01 KRIEVIJAS FEDERĀCIJAS VALSTS STANDARTS. DATU AIZSARDZĪBA. STANDARTU SISTĒMA. PAMATA NOTEIKUMI (INFORMĀCIJAS DROŠĪBA. STANDARTU SISTĒMA. PAMATPRINCIPI) KRIEVIJAS FEDERĀCIJAS VALSTS STANDARTS. Datu aizsardzība. PROGRAMMATŪRAS TESTĒŠANA DATORVĪRUSU KĀRTĪBAI. Modeļa rokasgrāmata (Informācijas drošība. Programmatūras testēšana datorvīrusu esamībai. Rokasgrāmatas paraugs). Informāciju tehnoloģijas. Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret informācijas drošības apdraudējumiem, kas īstenoti, izmantojot slēptos kanālus. 1. daļa. Vispārīgie noteikumi Informāciju tehnoloģijas. Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret informācijas drošības apdraudējumiem, kas īstenoti, izmantojot slēptos kanālus. 2. daļa. Ieteikumi informācijas, informācijas tehnoloģiju un automatizēto sistēmu aizsardzības organizēšanai no uzbrukumiem, izmantojot slēptos kanālus Informāciju tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Norādījumi aizsardzības profilu un drošības uzdevumu izstrādei Automātiskā identifikācija. Biometriskā identifikācija. Veiktspējas testi un testu ziņojumi biometrijā. 3. daļa. Dažādu biometrisko modalitātes testēšanas iezīmes Informāciju tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas metodika GOST R ISO/IEC 15408-1-2008 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas kritēriji. 1.daļa. Ievads un vispārējais modelis (Informācijas tehnoloģija. Drošības tehnikas. IT drošības vērtēšanas kritēriji. 1.daļa. Ievads un vispārējais modelis) GOST R ISO/IEC 15408-2-2008 - Informācijas tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas kritēriji. 2. daļa. Funkcionālās drošības prasības (Informācijas tehnoloģija. Drošības tehnikas. IT drošības novērtēšanas kritēriji. 2. daļa. Drošības funkcionālās prasības) GOST R ISO/IEC 15408-3-2008 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas tehnoloģiju drošības novērtēšanas kritēriji. 3. daļa. Drošības nodrošināšanas prasības (Informācijas tehnoloģija. Drošības tehnikas. IT drošības novērtēšanas kritēriji. 3. daļa. Drošības garantijas prasības) GOST R 53109-2008 Sistēma publiskā sakaru tīkla informācijas drošības nodrošināšanai. Informācijas drošības sakaru organizācijas pase. Publisko sakaru tīklu nodrošināšanas sistēmas informācijas drošība. Informācijas drošības komunikāciju organizācijas pase. Stājas spēkā: 30.09.2009. GOST R 53114-2008 Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijā. Pamattermini un definīcijas. Informācijas aizsardzība. Informācijas drošības nodrošināšana organizācijās. Pamattermini un definīcijas. Stājas spēkā: 30.09.2009. GOST R 53112-2008 Informācijas aizsardzība. Kompleksi viltus elektromagnētiskā starojuma un traucējumu parametru mērīšanai. Tehniskās prasības un pārbaudes metodes. Informācijas aizsardzība. Iekārtas sānu elektromagnētiskā starojuma un uztveršanas parametru mērīšanai. Tehniskās prasības un pārbaudes metodes. Stājas spēkā: 30.09.2009. GOST R 53115-2008 Informācijas aizsardzība. Informācijas apstrādes tehnisko līdzekļu pārbaude drošības pret nesankcionētu piekļuvi prasībām. Metodes un līdzekļi. Informācijas aizsardzība. Tehniskās informācijas apstrādes iekārtu atbilstības pārbaude nesankcionētas piekļuves aizsardzības prasībām. Metodes un tehnikas. Stājas spēkā: 30.09.2009. GOST R 53113.2-2009 Informācijas tehnoloģijas. Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret informācijas drošības apdraudējumiem, kas īstenoti, izmantojot slēptos kanālus. 2. daļa. Ieteikumi informācijas, informācijas tehnoloģiju un automatizēto sistēmu aizsardzības organizēšanai no uzbrukumiem, izmantojot slēptos kanālus. Informāciju tehnoloģijas. Informācijas tehnoloģiju un automatizēto sistēmu aizsardzība pret drošības apdraudējumiem, ko rada slēpto kanālu izmantošana. 2. daļa. Ieteikumi informācijas, informācijas tehnoloģiju un automatizēto sistēmu aizsardzībai pret slēptu kanālu uzbrukumiem. Stājas spēkā: 12.01.2009. GOST R ISO/IEC TO 19791-2008 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Automatizēto sistēmu drošības novērtējums. Informāciju tehnoloģijas. Drošības tehnikas. Operatīvo sistēmu drošības novērtējums. Stājas spēkā: 30.09.2009. GOST R 53131-2008 Informācijas aizsardzība. Rekomendācijas avārijas seku likvidēšanas dienestiem informācijas un telekomunikāciju tehnoloģiju drošības funkcijām un mehānismiem. Vispārīgi noteikumi. Informācijas aizsardzība. Informācijas un komunikāciju tehnoloģiju drošības funkciju un mehānismu atkopšanas pakalpojumu vadlīnijas. Ģenerālis. Stājas spēkā: 30.09.2009. GOST R 54581-2011 Informācijas tehnoloģijas. Drošības nodrošināšanas metodes un līdzekļi. Uzticības pamati IT drošībai. 1. daļa: Pārskats un pamati. Informāciju tehnoloģijas. Drošības tehnikas. IT drošības nodrošināšanas sistēma. 1. daļa. Pārskats un ietvars. Stājas spēkā: 01.07.2012. GOST R ISO/IEC 27033-1-2011 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Tīkla drošība. 1. daļa: Pārskats un jēdzieni. Informāciju tehnoloģijas. Drošības tehnikas. Tīkla drošība. 1. daļa. Pārskats un jēdzieni. Stājas spēkā: 01.01.2012. GOST R ISO/IEC 27006-2008 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Prasības institūcijām, kas veic informācijas drošības pārvaldības sistēmu auditu un sertifikāciju. Informāciju tehnoloģijas. Drošības tehnikas. Prasības institūcijām, kas nodrošina informācijas drošības pārvaldības sistēmu auditu un sertifikāciju. Stājas spēkā: 30.09.2009. GOST R ISO/IEC 27004-2011 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības vadība. Mērījumi. Informāciju tehnoloģijas. Drošības tehnikas. Informācijas drošības vadība. Mērīšana. Stājas spēkā: 01.01.2012. GOST R ISO/IEC 27005-2010 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības risku vadība. Informāciju tehnoloģijas. Drošības tehnikas. Informācijas drošības risku vadība. Stājas spēkā: 12.01.2011. GOST R ISO/IEC 31010-2011 Riska vadība. Riska novērtēšanas metodes (Risk management. Riska novērtēšanas metodes). Stājas spēkā: 12.01.2012 GOST R ISO 31000-2010 Riska vadība. Riska vadība.Principi un vadlīnijas. Stājas spēkā: 31.08.2011 GOST 28147-89 Informācijas apstrādes sistēmas. Kriptogrāfiskā aizsardzība. Kriptogrāfiskās konversijas algoritms. Stājas spēkā: 30.06.1990. GOST R ISO/IEC 27013-2014 “Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Vadlīnijas par ISO/IEC 27001 un ISO/IEC 20000-1 kombinētu izmantošanu — spēkā 2015. gada 1. septembrī. GOST R ISO/IEC 27033-3-2014 “Tīkla drošība. 3. daļa. Atsauces tīkla scenāriji. Draudi, projektēšanas metodes un pārvaldības jautājumi” – stājas spēkā 2015. gada 1. novembrī GOST R ISO/IEC 27037-2014 “Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Digitālo pierādījumu identificēšanas, vākšanas, izguves un saglabāšanas vadlīnijas – spēkā 2015. gada 1. novembrī. GOST R ISO/IEC 27002-2012 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības pārvaldības normu un noteikumu kopums. Informāciju tehnoloģijas. Drošības tehnikas. Informācijas drošības pārvaldības prakses kodekss. Stājas spēkā: 01.01.2014. OKS kods 35.040. GOST R 56939-2016 Informācijas aizsardzība. Droša programmatūras izstrāde. Vispārīgās prasības (Informācijas aizsardzība. Droša programmatūras izstrāde. Vispārīgās prasības). Stājas spēkā: 01.06.2017. GOST R 51583-2014 Informācijas aizsardzība. Procedūra automatizētu sistēmu izveidei drošā dizainā. Vispārīgi noteikumi. Informācijas aizsardzība. Aizsargātās operētājsistēmas veidošanas secība. Ģenerālis. 01.09.2014 GOST R 7.0.97-2016 Informācijas, bibliotēkas un izdevējdarbības standartu sistēma. Organizatoriskā un administratīvā dokumentācija. Prasības dokumentu sagatavošanai (Informācijas, bibliotēku un izdevējdarbības standartu sistēma. Organizatoriskā un administratīvā dokumentācija. Prasības dokumentu noformēšanai). Stājas spēkā: 01.07.2017. OKS kods 01.140.20. GOST R 57580.1-2017 Finanšu (banku) darījumu drošība. Finanšu organizāciju informācijas aizsardzība. Organizatorisko un tehnisko pasākumu pamatsastāvs - Finanšu (banku) operāciju drošība. Finanšu organizāciju informācijas aizsardzība. Organizatorisko un tehnisko pasākumu pamatkomplekts. GOST R ISO 22301-2014 Darbības nepārtrauktības vadības sistēmas. Vispārīgās prasības - Darbības nepārtrauktības vadības sistēmas. Prasības. GOST R ISO 22313-2015 Darbības nepārtrauktības vadība. Ieviešanas rokasgrāmata – darbības nepārtrauktības vadības sistēmas. Norādījumi īstenošanai. GOST R ISO/IEC 27031-2012 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Ceļvedis informācijas un komunikāciju tehnoloģiju gatavībai uzņēmējdarbības nepārtrauktībai — informācijas tehnoloģija. Drošības tehnikas. Vadlīnijas informācijas un komunikācijas tehnoloģiju gatavībai darbības nepārtrauktībai. GOST R IEC 61508-1-2012 Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 1. daļa. Vispārīgās prasības. Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 1. daļa. Vispārīgās prasības. Ievadīšanas datums 2013-08-01. GOST R IEC 61508-2-2012 Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 2. daļa. Sistēmas prasības. Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 2. daļa. Prasības sistēmām. Ievadīšanas datums 2013-08-01. GOST R IEC 61508-3-2012 ELEKTRISKĀS, ELEKTRONISKAS, PROGRAMĒJAMĀS ELEKTRONISKĀS, AR DROŠĪBAS SISTĒMU FUNKCIONĀLĀ DROŠĪBA. Programmatūras prasības. IEC 61508-3:2010 Elektrisko/elektronisko/programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība — 3. daļa: Programmatūras prasības (IDT). GOST R IEC 61508-4-2012 ELEKTRONISKO, ELEKTRONISKO, PROGRAMĒMU ELEKTRONisko, AR DROŠĪBU SAISTĪTO SISTĒMU FUNKCIONĀLĀ DROŠĪBA 4. daļa Termini un definīcijas. Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 4. daļa. Termini un definīcijas. Ievadīšanas datums 2013-08-01. . GOST R IEC 61508-6-2012 Elektrisko, elektronisko, programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība. 6. daļa. GOST R IEC 61508-2 un GOST R IEC 61508-3 lietošanas vadlīnijas. IEC 61508-6:2010. Elektrisko/elektronisko/programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība — 6. daļa: IEC 61508-2 un IEC 61508-3 (IDT) piemērošanas vadlīnijas. GOST R IEC 61508-7-2012 Elektrisko sistēmu funkcionālā drošība, Ar drošību saistīto elektrisko, elektronisko, programmējamo elektronisko sistēmu funkcionālā drošība. 7. daļa. Metodes un līdzekļi. Elektriski elektroniski programmējamu elektronisku ar drošību saistītu sistēmu funkcionālā drošība. 7. daļa. Metodes un pasākumi. Ievadīšanas datums 2013-08-01. GOST R 53647.6-2012. Darbības nepārtrauktības vadība. Prasības personas informācijas pārvaldības sistēmai datu aizsardzības nodrošināšanai