Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 19 декабря 2006 г. N 317-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ЧАСТЬ 1
КОНЦЕПЦИЯ И МОДЕЛИ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ И ТЕЛЕКОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ
Information technology. Security techniques.
Part 1. Concepts and models for information
and communications technology security management
ISO/IEC 13335-1:2004
Information technology - Security techniques - Management
of information and communications technology security -
Part 1: Concepts and models for information and
communications technology security management
(IDT)
ГОСТ Р ИСО/МЭК 13335-1-2006
Группа Т00
ОКС 13.110
35.020
Дата введения
1 июня 2007 года
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".
Сведения о стандарте
1. Подготовлен Обществом с ограниченной ответственностью "ЛИНС-М" (ООО "Линс-М") на основе собственного аутентичного перевода стандарта, указанного в пункте 4, а также Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ ГНИИИ ПТЗИ ФСТЭК России).
2. Внесен Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков".
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2006 г. N 317-ст.
4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 13335-1:2004 "Информационная технология. Методы обеспечения безопасности. Менеджмент безопасности информационных и телекоммуникационных технологий. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ISO/IEC 13335-1:2004 "Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management").
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (пункт 3.5).
5. Введен впервые.
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
1. Область применения
Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.
Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. Настоящий стандарт не разрабатывает конкретных подходов к управлению безопасностью.
2. Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 17799, ИСО/МЭК 13335-4, а также следующие термины с соответствующими определениями:
2.1. Подотчетность (accountability): свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.
[ИСО/МЭК 7498-2]
2.2. Активы (asset): все, что имеет ценность для организации.
2.3. Аутентичность (authenticity): свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Примечание. Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.
2.4. Доступность (availability): свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.
[ИСО/МЭК 7498-2]
2.5. Базовые защитные меры (baseline controls): минимальный набор защитных мер, установленный для системы или организации.
2.6. Конфиденциальность (confidentiality): свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
[ИСО/МЭК 7498-2]
2.7. Контроль (control): -
Примечание. В контексте безопасности информационно-телекоммуникационных технологий термин "контроль" может считаться синонимом "защитной меры" (см. 2.24).
2.8. Рекомендации (guidelines): описание, поясняющее действия и способы их выполнения, необходимые для достижения установленных целей.
2.9. Воздействие (impact): результат нежелательного инцидента информационной безопасности.
2.10. Инцидент информационной безопасности (information security incident): любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
Примечание. Инцидентами информационной безопасности являются:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политик или рекомендаций;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
2.11. Безопасность информационно-телекоммуникационных технологий (безопасность ИТТ) (ICT security): все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий.
2.12. Политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) (ICT security policy): правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
2.13. Средство(а) обработки информации (information processing facility(ies)): любая система обработки информации, сервис или инфраструктура, или их физические места размещения.
2.14. Информационная безопасность (information security): все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
2.15. Целостность (integrity): свойство сохранения правильности и полноты активов.
2.16. Неотказуемость (non-repudiation): способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.
[ИСО/МЭК 13888-1, ИСО/МЭК 7498-2]
2.17. Достоверность (reliability): свойство соответствия предусмотренному поведению и результатам.
2.18. Остаточный риск (residual risk): риск, остающийся после его обработки.
2.19. Риск (risk): потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Примечание. Определяется как сочетание вероятности события и его последствий.
2.20. Анализ риска (risk analysis): систематический процесс определения величины риска.
2.21. Оценка риска (risk assessment): процесс, объединяющий идентификацию риска, анализ риска и оценивание риска.
2.22. Менеджмент риска (risk management): полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий.
2.23. Обработка риска (risk treatment): процесс выбора и осуществления мер по модификации риска.
2.24. Защитная мера (safeguard): сложившаяся практика, процедура или механизм обработки риска.
Примечание. Следует заметить, что понятие "защитная мера" может считаться синонимом понятию "контроль" (см. 2.7).
2.25. Угроза (threat): потенциальная причина инцидента, который может нанести ущерб системе или организации.
2.26. Уязвимость (vulnerability): слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
3. Концепции безопасности и взаимосвязи
3.1. Принципы безопасности
Для просмотра документа целиком скачайте его >>>