Общие требования по обеспечению информационной безопасности

Гост р 53114-2008 защита информации. обеспечение информационной безопасности в организации. основные термины и определения, гост р от 18 декабря 2008 года №53114-2008

ГОСТ Р 53114-2008

Группа Т00

ОКС 35.020

Дата введения 2009-10-01

Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»), Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл»)

2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации».

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму.

За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры, — светлым, а синонимы — курсивом.

Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.

1 Область применения

Настоящий стандарт устанавливает основные термины, применяемые при проведении работ по стандартизации в области обеспечения информационной безопасности в организации.

Термины, установленные настоящим стандартом, рекомендуется использовать в нормативных документах, правовой, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

Настоящий стандарт применяется совместно с ГОСТ 34.003, ГОСТ 19781, ГОСТ Р 22.0.02, ГОСТ Р 51897, ГОСТ Р 50922, ГОСТ Р 51898, ГОСТ Р 52069.

0, ГОСТ Р 51275, ГОСТ Р ИСО 9000, ГОСТ Р ИСО 9001, ГОСТ Р ИСО 14001, ГОСТ Р ИСО/ МЭК 27001, ГОСТ Р ИСО/МЭК 13335-1, [1], [2].

Термины, приведенные в настоящем стандарте, соответствуют положениям Федерального Закона Российской Федерации от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» [3], Федерального Закона Российской Федерации от 27 июля 2006 г.

N 149-ФЗ «Об информации, информационных технологиях и защите информации» [4], Федерального Закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» [5], Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации от 9 сентября 2000 г. Пр-1895 [6].

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы.

Термины и определения

ГОСТ 19781 Обеспечение систем обработки информации программное. Термины и определения

ГОСТ Р 22.0.02 Безопасность в чрезвычайных ситуациях. Термины и определения

ГОСТ Р ИСО 9000 Системы менеджмента качества.

Основные положения и словарь

ГОСТ Р ИСО 9001 Системы менеджмента качества. Требования

ГОСТ Р ИСО 14001 Системы экологического менеджмента. Требования и руководство по применению

ГОСТ Р ИСО/МЭК 13335-1 Информационная технология.

Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности.

Системы менеджмента информационной безопасности. Требования

ГОСТ Р 50922 Защита информации. Основные термины и определения

ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию.

Общие положения

ГОСТ Р 51897 Менеджмент риска. Термины и определения

ГОСТ Р 51898 Аспекты безопасности. Правила включения в стандарты

ГОСТ Р 52069.0 Защита информации. Система стандартов.

Основные положения

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3.1 Общие понятия

3.1.1

безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.[ГОСТ Р 50922-2006, статья 2.4.5]

3.1.2

безопасность информационной технологии: Состояние защищенности информационной технологии, при котором обеспечивается выполнение изделием, реализующим информационную технологию, предписанных функций без нарушений безопасности обрабатываемой информации.[Р 50.1.056-2005]

3.1.3

информационная сфера: Совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.[Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. Пр-1895]

3.1.4 информационная инфраструктура: Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам.

3.1.5

объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.[ГОСТ Р 51275-2006, пункт 3.1]

3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.

Примечание — К активам организации могут относиться:

— информационные активы, в том числе различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и т.д.) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение);

— ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и прочие);

— процессы (технологические, информационные и пр.);

3.1.7

ресурс системы обработки информации: Средство системы обработки информации, которое может быть выделено процессу обработки данных на определенный интервал времени.Примечание — Основными ресурсами являются процессоры, области основной памяти, наборы данных, периферийные устройства, программы.[ГОСТ 19781-90, статьят 93]

3.1.8 информационный процесс: Процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации.

3.1.9

3.1.10

техническое обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех технических средств, используемых при функционировании АС.[ГОСТ Р 34.003-90*, статья 2.5]

_________________
* Вероятно ошибка оригинала. Следует читать ГОСТ 34.003-90. Здесь и далее. — Примечание изготовителя базы данных.

Источник: http://docs.cntd.ru/document/464661160

Методические рекомендации по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов города Москвы — ISO27000.ru

Аннотация

Настоящий документ определяет рекомендации по формированию требований обеспечения информационной безопасности в информационных системах и ресурсах органах исполнительной власти города Москвы, государственных органах и учреждениях города Москвы (далее ИСиР). Положения Методических рекомендаций распространяются на все информационно-телекоммуникационные системы государственных органов и организаций города Москвы и предназначены для должностных лиц государственных органов и учреждений города Москвы, участвующих в создании, модернизации и эксплуатации информационных систем и ресурсов.

Введение. 5

1.Требования к видам обеспечения информационной безопасности ИСиР. 9

1.1. Правовое, нормативное, методическое обеспечения ИБ. 9

1.2. Техническое обеспечение ИБ. 14

1.3. Организационное обеспечение ИБ. 22

2. Рекомендации по определению объекта защиты и категории защищаемой информации. 30

3. Рекомендации по описанию процесса обеспечения ИБ ИСиР. 33

3.1. Порядок формирования модели обеспечения ИБ. 33

3.2. Модели угроз 36

3.3. Оценка применимости моделей угроз в задачах обеспечения ИБ ИСиР. 43

3.4. Модель защиты.. 47

3.5. Показатели информационной безопасности. 54

3.6. Применение критериев оценки риска в модели обеспечения ИБ. 59

4. Рекомендации по определению уровня ИБ.. 63

4.1. Программирование уровня ИБ. 63

4.2. Способ определения и оценки класса защищенности объекта защиты от НСД по модели обеспечения ИБ. 65

4.3. Определение уровня информационной безопасности АС с использованием общих и частных показателей ИБ. 68

5. Рекомендации по заданию требований по уровню ИБ.. 74

6. Рекомендации по способам формирования и контроля уровня защиты ИСиР 76

6.1. Рекомендации по формированию состава мер обеспечения ИБ. 76

6.2. Способ проверки организации защиты информационных ресурсов ИСиР на основе требований нормативного обеспечения ИБ. 86

Приложения. 94

П1.1. Свод задач государственной политики обеспечения информационной безопасности города Москва. 94

П.2. Документы правового нормативного обеспечения информационной безопасности. 101

П.3.1.Общий классификатор угроз безопасности информационно-коммуникационных технологий. 106

П3.2. Типовые угрозы информационной безопасности АС.. 112

П4. Требования информационной безопасности. 125

Источники. 154

Введение

Общие цели, задачи и основные направления обеспечения информационной безопасности – защиты информации, как важной составной части информационной сферы общественных отношений России, определены в документах государственного строительства.

Указами Президента РФ введены в действие Концепция национальной безопасности Российской Федерации /1/ и Доктрина информационной безопасности Российской Федерации /2/. В Центральной федеральном округе РФ действует Концепция защиты информации /3/.

Основы государственной политики города Москвы по обеспечению информационной безопасности (ИБ) открытых и конфиденциальных информационных ресурсов города, учитывающие и дополняющие положения нормативно-правовой база РФ, определены Концепцией информационной безопасности в органах исполнительной власти города Москвы /4/.

Задачи правового, нормативного, научно-методического, технического и организационного обеспечения ИБ на доктринальном уровне определены как с точки зрения национальной безопасности, национальных интересов в информационной сфере так и, в прямой постановке, в выше указанных нормативно-правовых документах, государственных и международных нормативно-технических документах /5-14/.

Анализ поставленных задач обеспечения ИБ (приложение 1) выявляет их взаимосвязи, обусловленные политическими, экономическими, социальными корнями личных, общественных интересов и отраженные в требованиях по реализации принципа открытости общества в деятельности государственных органов, по соблюдению служебной тайны и др. Кроме того, постоянное совершенствование новых информационных технологий, хроническое запаздывание практики нормативно-правового обеспечения ИБ по сравнению с техническим выдвигает новые и новые проблемы обеспечения защиты информации. Причем упредить условия их порождающие на современном мировом и государственном уровнях развития информатики как правило не удается /15-17 и др./.

Указанные обстоятельства обуславливают главенство государственной политики при формировании видов обеспечения безопасности, в частности необходимость разработки научно-методических подходов по формированию требований обеспечения ИБ города Москвы, представленных настоящим документом.

https://www.youtube.com/watch?v=24QQXONSClc

На основе рассмотренных положений госполитики в области информационной безопасности должны формироваться общие требования по видам обеспечения ИБ: правового; нормативного; научно-методического; технического и организационного (формулируются в 1 разделе Методических рекомендаций), задающих руководства для решения поставленных задач обеспечения ИБ в городе Москве, методологию определения соответствующих подходов и рекомендации для определения, контроля требований и выполненных мероприятий по обеспечению ИБ (рассматриваются во 2-6 разделах).

Решение задач обеспечения ИБ связано с необходимостью учёта неопределённостей в описании возможных информационных воздействий на объекты защиты при определяющей роли человеческого фактора, что в свою очередь обуславливает необходимость формализации процессов обеспечения ИБ в целом и, в частности, выделения задач обеспечения ИБ, характеризуемых своими особенностями формирования требований.

Практика обеспечения ИБ информационных систем и ресурсов города Москвы (ИСиР) прежде всего, требует идентифицировать объекты защиты и категории защищаемой информации, принятые документом /18/.

В связи с изложенным, конкретные шаги по формированию и достижению необходимого уровня информационной безопасности ИСиР должны включать:

— определение объекта защиты (ИСиР) и категории защищаемой информации;

— описание процесса (моделирование) обеспечения ИБ ИСиР;

— программирование необходимого уровня ИБ;

— задание требуемого уровня ИБ;

— определение мероприятий по защите ИСиР заданного уровня;

— оценка и контроль уровня ИБ.

Требования к обеспечению ИБ, в виде рекомендаций, должны регулировать выполнение работ по формированию и достижению необходимого уровня информационной безопасности ИСиР.

Уровень ИБ определяется как мера соответствия текущего состояния ИСиР (модели, макета, опытного образца и т.п.

) заданиям по всем видам обеспечения информационной безопасности, формулируемым как совокупность требований ИБ.

Мера соответствия может определяться качественно и количественно в виде показателей соответствия.

В зависимости от целей уровень ИБ может быть требуемым и текущим.

Требуемый уровень задается на начальном этапе создания ИСиР и может уточняться в зависимости от установленных критериев его достижения в процессе разработки и эксплуатации объекта защиты.

В соответствии с положением /18/ для ИСиР в зависимости от категории информационных ресурсов (открытых и конфиденциальных) установлено два базовых уровня ИБ.

Требования ИБ задаются численно или в виде совокупности сформулированных требований. Базовый уровень ИБ представляет собой минимально необходимую совокупность требований.

Определение и оценка уровня ИБ, адекватности создаваемых или готовых решений защиты задаваемым требованиям к уровню информационной безопасности ИСиР должны выполняться специалистами прошедшими квалификационный отбор.

Специалисты, разрабатывающие и реализующие планы мероприятий обеспечения ИБ, выполняющие работы по заданию и оценке уровня ИБ должны иметь государственный диплом специалиста в области информационной безопасности, знать множество методов, механизмов и средств защиты, владеть способами их декомпозиции и классификации в целях определения защитных свойств ИСиР, выбора взаимодополняющего комплекса универсальных и уникальных методов, пригодных для парирования широкого спектра угроз и т.п.

1.Требования к видам обеспечения информационной безопасности ИСиР

Все виды обеспечения ИБ города Москвы, исходя из ранее рассмотренных во Введении задач, должны быть сформированы на основе документов, официально изданных органами власти России и города Москвы, а также уполномоченными ими органами управления (ведомствами) и компетентными международными организациями.

Агрегирование официальных полномочий органов власти позволяет выделить следующие уровни организации и управления в области информационной безопасности.

1. Макроуровень – Российская Федерация, ее компетентные госведомства и международные организации.

2. Метауровень – город Москва и компетентные ведомства Правительства Москвы.

3. Микроуровень – предприятие, организация – владелец информационных систем и ресурсов города, ее подразделения и специалисты в области обеспечения ИБ.

Причем обеспечение ИБ нижележащего уровня иерархии базируется на всех документах вышележащих уровней.

Документальное оформление правового, нормативного и методического обеспечений ИБ должно быть обязательным для руководства при решении задач технического обеспечения ИБ города Москвы и выделено в следующие группы документов: правовые, организационно-распорядительные, нормативно-технические и методические документы.

Документы правового нормативного обеспечения ИБ макроуровня представлены в приложении 2. Правовое обеспечение ИБ города Москвы закреплено в ряде законодательных актов и концепций безопасности.

Закон города Москвы от 24.10.

2001 № 52 «Об информационных ресурсах и информатизации города Москвы» регулирует правовые отношения по формированию и использованию информационных ресурсов города Москвы и созданию, эксплуатации информационных систем, содержащих указанные ресурсы. В частности, Закон регулирует деятельность и полномочия органов исполнительный власти Москвы, организаций города в области обеспечения информационной безопасности.

Источник: http://www.iso27000.ru/zakonodatelstvo/dokumenty-pravitelstva-moskvy-v-oblasti-informacionnoi-bezopasnosti/metodicheskie-rekomendacii-po-formirovaniyu-trebovanii-k-obespecheniyu-informacionnoi-bezopasnosti-informacionnyh-sistem-i-resursov-goroda-moskvy

Рекомендации по обеспечению защиты информации в информационных системах общедоступной информации Самарской области (по состоянию на 01.01.2015)

Государственные органы (далее – ОГВ), органы местного самоуправления (далее – ОМСУ) для размещения информации о своей деятельности используют сеть «Интернет» (ч.1. ст.10 [1]).

Для этих целей  используют:

— официальные сайты (ч.1. ст.10 [1]);

— информационные системы общего пользования (государственные (муниципальные) информационные системы и иные информационные системы) (п.1а [2]).

На официальном сайте ОГВ и ОМСУ размещается общедоступная информация и общедоступная информация в форме открытых данных.

Органам государственной власти субъектов Российской Федерации рекомендовано  (п.4 [2]) учитывать при подключении к сети «Интернет» следующие требования.

Технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации (ч.21 ст.13 [9]).

1. Общие требования

1.1. В целях обеспечения права пользователей информацией на доступ к этой информации государственные органы, органы местного самоуправления принимают меры по защите информации о своей деятельности в соответствии с законодательством Российской Федерации (ч.3. ст.10 [1]).

1.2.

При подключении информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, операторы этих систем обязаны обеспечить защиту информации, содержащейся в информационных системах общего пользования, от уничтожения, изменения и блокирования доступа к ней (п.1а [2]).

1.3. В целях защиты информации, размещенной на официальном сайте, должно быть обеспечено (п.6 [4], п.11 [7], п.6 [5], п.3 [3]):

б) ведение электронных журналов учета операций, выполненных с помощью программного обеспечения и технологических средств ведения официального сайта, позволяющих обеспечивать учет всех действий по размещению, изменению и удалению информации на официальном сайте, фиксировать точное время, содержание изменений и информацию об уполномоченном сотруднике органа государственной власти (органа местного самоуправления) Самарской области или операторе официального сайта, осуществившем изменения на официальном сайте;

в) ежедневное копирование всей размещенной на официальном сайте информации и электронных журналов учета операций на резервный материальный носитель, обеспечивающее возможность их восстановления;

г) защита информации от уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации [8];

д) хранение резервных материальных носителей с ежедневными копиями всей размещенной на официальном сайте информации и электронных журналов учета операций не менее одного года, с еженедельными копиями всей размещенной на официальном сайте информации — не менее двух лет, с ежемесячными копиями всей размещенной на официальном сайте информации — не менее трех лет, информация в форме открытых данных не менее десяти лет.

1.4. В целях защиты информации, размещенной в информационной системе общего пользования должна быть обеспечена разработка мер при ее проектировании и эксплуатации, направленных на выполнение требований к безопасности этой информационной системы общего пользования (п.6 [6]).

2. Мероприятия по обеспечению защиты информации [8]

2.1. Для разработки и осуществления мероприятий по защите информации назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

2.2. Защита информации достигается путем исключения неправомерных действий в отношении указанной информации. Достаточность принятых мер по защите информации оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.

2.3. Работы по защите информации являются неотъемлемой частью работ по созданию данных систем.

2.4.

2.5. Состав мероприятий по обеспечению защиты информации:

а) определение угроз безопасности информации, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

ж) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

з) проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

и) описание системы их защиты.

3. Требования по защите информации [8]

3.1.

Использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной подписи, при этом средства электронной подписи должны применяться к публикуемому информационному наполнению)[10, 11, 12, 13].

3.2. Использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции.

3.3. Использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции.

Источник: https://www.tgl.net.ru/ib/bezop-01-07-2015/