Стандарт, термины и определения по защите информации

 

ОРГАНИЗАЦИОННАЯ ЗАЩИТА ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних  
и внешних угроз. Организационная защита обеспечивает:

• организацию охраны, режима, работу с кадрами, с документами;
• использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

• организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
• организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
• организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение  
  и уничтожение;
• организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
• организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению  
  ее защиты;
• организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения  
  и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

 

 СТАНДАРТИЗОВАННЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ

1. Защищаемая информация - информация, являющаяся предметом 
собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

2. Защита информации - защита информации: Деятельность  
по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

3. Защита информации от утечки - деятельность  
по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа  
к защищаемой информации и от получения защищаемой информации [иностранными] разведками.

4. Защита информации от несанкционированного воздействия  
- защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

5. Зашита информации от непреднамеренного воздействия  
- деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических  
и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

6. Защита информации от разглашения - деятельность  
по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

7. Защита информации от несанкционированного доступа – защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

8. Защита информации от [иностранной] разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.

9. Защита информации от [иностранной] технической разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств.

10. Защита информации от агентурной разведки - деятельность  
по предотвращению получения защищаемой информации агентурной разведкой.

11. Цель защиты информации - желаемый результат защиты информации.

12. Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели.

13. Показатель эффективности зашиты информации - мера  
или характеристика для оценки эффективности защиты информации.

14. Нормы эффективности защиты информации - значения показателей эффективности защиты информации, установленные нормативными документами.

15. Организация защиты информации - содержание и порядок действий по обеспечению защиты информации.

16. Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

17. Мероприятие по защите информации - совокупность действий по разработке и/или практическому применению способов и средств защиты информации.

18. Мероприятие по контролю эффективности защиты информации- совокупность действий по разработке и/или практическому применению методов и средств контроля эффективности защиты информации.

19. Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства  
и системы управления, предназначенные для обеспечения защиты информации.

20. Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

21. Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации.

22. Категорирование защищаемой информации [объекта защиты] 
- установление градаций важности защиты защищаемой информации [объекта защиты].

23. Метод [способ] контроля эффективности защиты информации - порядок и правила применения определенных принципов  
и средств контроля эффективности защиты информации.

24. Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.

25. Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые  
для защиты информации.

26. Средство контроля эффективности защиты информации  
- техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.

27. Контроль организации защиты информации - проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

28. Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

29. Организационный контроль эффективности зашиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.

30. Технический контроль эффективности зашиты информации  
- контроль эффективности защиты информации, проводимой  
с использованием средств контроля.

1. Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
2. Доступ к информации - получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.
3. Субъект доступа к информации - субъект доступа: участник правоотношений в информационных процессах.
4. Информационные процессы - процессы создания, обработки, хранения, защиты от внутренних и внешних угроз, передачи, получения, использования и уничтожения информации.
5. Носитель информации - физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений  
   и процессов.
6. Собственник информации - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
7. Владелец информации - субъект, осуществляющий владение  
   и пользование информацией и реализующий полномочия распоряжения  
   в пределах прав, установленных законом и/или собственником информации.
8. Пользователь [потребитель] информации - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
9. Право доступа к информации - право доступа: совокупность правил доступа к информации, установленных правовыми документами  
   или собственником, владельцем информации.
10. Правило доступа к информации - правило доступа: совокупность правил, регламентирующих порядок и условия доступа субъекта  
    к информации и ее носителям.
11. Орган защиты информации - административный орган, осуществляющий организацию защиты информации.

 

СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Международные стандарты 

• BS 7799-1:2005 — Британский стандарт BS 7799 первая часть.  
  BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
• BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
• BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
• ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся  
  на BS 7799-1:2005.
• ISO/IEC 27000 — Словарь и определения.
• ISO/IEC 27001 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
• ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Дата выхода — 2007 год.
• ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
• German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

 

Государственные (национальные) стандарты РФ

 

• ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.
• Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.
• ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
• ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
• ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
• ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
• ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
• ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
• ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005.
• ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.
• ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.