Статус документа
Статус документа

     
     ГОСТ Р ИСО/МЭК 13335-1-2006

Группа Т00

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Часть 1

Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий

Information technology. Security techniques.
Part 1. Concepts and models for information and
communications technology security management

     

ОКС 13.110
        35.020

Дата введения 2007-06-01

     

Предисловие


Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "ЛИНС-М" (ООО "Линс-М") на основе собственного аутентичного перевода стандарта, указанного в пункте 4, а также Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ ГНИИИ ПТЗИ ФСТЭК России)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2006 г. N 317-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 13335-1:2004. "Информационная технология. Методы обеспечения безопасности. Менеджмент безопасности информационных и телекоммуникационных технологий. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ISO/IEC 13335-1:2004 "Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management").

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (пункт 3.5)

5 ВВЕДЕН ВПЕРВЫЕ


Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет


ВНЕСЕНА поправка, опубликованная в ИУС N 7, 2007 год

Поправка внесена изготовителем базы данных

     1 Область применения


Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. Настоящий стандарт не разрабатывает конкретных подходов к управлению безопасностью.

     2 Термины и определения


В настоящем стандарте применены термины по ИСО/МЭК 17799, ИСО/МЭК 13335-4, а также следующие термины с соответствующими определениями:

2.1 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.

[ИСО/МЭК 7498-2]

2.2 активы (asset): Все, что имеет ценность для организации.

2.3 аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Примечание - Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.

2.4 доступность (availability): Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.

[ИСО/МЭК 7498-2]

2.5 базовые защитные меры (baseline controls): Минимальный набор защитных мер, установленный для системы или организации.

2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.

[ИСО/МЭК 7498-2]

2.7 контроль (control): -

Примечание - В контексте безопасности информационно-телекоммуникационных технологий термин "контроль" может считаться синонимом "защитной меры" (см. 2.24).

2.8 рекомендации (guidelines): Описание, поясняющее действия и способы их выполнения, необходимые для достижения установленных целей.

2.9 воздействие (impact): Результат нежелательного инцидента информационной безопасности.

2.10 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Примечание - Инцидентами информационной безопасности являются:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политик или рекомендаций;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

2.11 безопасность информационно-телекоммуникационных технологий (безопасность ИТТ) (ICT security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий.

2.12 политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) (ICT security policy): Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

2.13 средство(а) обработки информации (information processing facility(ies)): Любая система обработки информации, сервис или инфраструктура, или их физические места размещения.

2.14 информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

2.15 целостность (integrity): Свойство сохранения правильности и полноты активов.

2.16 неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.

[ИСО/МЭК 13888-1, ИСО/МЭК 7498-2]

2.17 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.

2.18 остаточный риск (residual risk): Риск, остающийся после его обработки.

2.19 риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.

Примечание - Определяется как сочетание вероятности события и его последствий.

2.20 анализ риска (risk analysis): Систематический процесс определения величины риска.

2.21 оценка риска (risk assessment): Процесс, объединяющий идентификацию риска, анализ риска и оценивание риска.

2.22 менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий.

2.23 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.

2.24 защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска.

Примечание - Следует заметить, что понятие "защитная мера" может считаться синонимом понятию "контроль" (см. 2.7).

2.25 угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации.

2.26 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.

     3 Концепции безопасности и взаимосвязи

     3.1 Принципы безопасности


Для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:

- менеджмент риска - активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;

- обязательства - важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ;

- служебные обязанности и ответственность - руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала;

- цели, стратегии и политика - управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации;

- управление жизненным циклом - управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.

Ниже с позиций фундаментальных принципов безопасности приведено описание основных компонентов безопасности, вовлеченных в процесс управления безопасностью, и их связи. Приведены характеристики каждого компонента и указаны основные сопряженные с ним факторы.

     3.2 Активы


Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства. Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту. Активы включают в себя (но не ограничиваются):

- материальные активы (например вычислительные средства, средства связи, здания);

- информацию (данные) (например документы, базы данных);

- программное обеспечение;

- способность производить продукт или предоставлять услугу;

- людей;

- нематериальные ресурсы (например престиж фирмы, репутацию).

Невозможно разработать и поддерживать успешную программу по безопасности, если не идентифицированы активы организации. Во многих случаях процесс идентификации активов и установления их ценности может быть проведен на верхнем уровне и не требует дорогостоящей, детальной и длительной процедуры. Степень детализации данной процедуры должна определяться отношением величины временных и финансовых затрат к ценности активов. Во всех случаях степень детализации должна быть установлена, исходя из целей безопасности.

Характеристики активов, которые необходимо рассмотреть, включают в себя следующие величины: ценность, чувствительность активов, и имеющиеся защитные меры. Наличие конкретных угроз уязвимости влияет на требования к защите активов. Внешние условия, социальная и правовая среда, в которых организация осуществляет свою деятельность, могут влиять на активы, их свойства и характеристики. Особенности в упомянутых условиях могут иметь существенное значение для международных организаций и трансконтинентального использования ИТТ.

Доступ к полной версии документа ограничен
Полный текст этого документа доступен на портале с 20 до 24 часов по московскому времени 7 дней в неделю.
Также этот документ или информация о нем всегда доступны в профессиональных справочных системах «Техэксперт» и «Кодекс».
Нужен полный текст и статус документов ГОСТ, СНИП, СП?
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно
Реклама. Рекламодатель: Акционерное общество "Информационная компания "Кодекс". 2VtzqvQZoVs