Нормативная документация
ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения

Содержание

Предисловие

Введение

1 Область применения

2 Нормативные ссылки

3 Термины, определения и сокращения

4 Восстановление и обеспечение информационной безопасности информационных и телекоммуникационных систем организации при чрезвычайной ситуации и обеспечение непрерывности деятельности организации

5 Понимание рисков непрерывности и их влияния на цели деятельности организации и восстановление защитных мер обеспечения информационной безопасности информационных и телекоммуникационных систем

6 Восстановление после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий

Приложение А (обязательное) Восстановление информационно- коммуникационных технологий после чрезвычайной ситуации

Приложение В (обязательное) Средства восстановления информационно- коммуникационных технологий после чрезвычайной ситуации

Приложение C (обязательное) Выбор площадок для восстановления

Приложение ДА (справочное) Сведения о соответствии ссылочных национальных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте

Приложение ДБ (справочное) Терминологические статьи международного стандарта ИСО/МЭК ТО 24762, которые применены в настоящем стандарте с модификацией их содержания

Приложение ДВ (справочное) Сопоставление структуры настоящего стандарта со структурой международного стандарта ИСО/МЭК ТО 24762

Библиография















3 Термины, определения и сокращения

3.1 В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1.1 вычислительное и взаимосвязанное оборудование (computing and related  equipment): Компьютерное, сетевое, телекоммуникационное и периферийное оборудование, которое поддерживает мероприятия организации по обработке информации.

(3.1, IDT)

   

3.1.2 системы ИКТ (ICT systems): Аппаратные, программные и программно-аппаратные средства компьютеров, телекоммуникационное и сетевое оборудование или другие электронные системы обработки информации и взаимосвязанное оборудование.

(3.2, IDT)

Примечание — Системы ИКТ включают любое оборудование или взаимосвязанные системы, или подсистемы оборудования, которые используют при приобретении, хранении, манипулировании, управлении, перемещении, контроле, отображении, коммутации, обмене, передаче или приеме данных/информации.

 

3.1.3 информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
[ГОСТ Р ИСО/МЭК 13335-1—2006, пункт 2.14], [1]

(3.3, MOD)

   

3.1.4

информационная безопасность организации (information security of organization): Состояние защищенности интересов (целей) организации в условиях угроз в информационной сфере.

Примечания
1 Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности может быть определена значимостью информационных активов для интересов (целей) организации.

2 Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.


3.1.5 инфраструктура (infrastructure): Мощности и оборудование, делающие возможными услуги восстановления ИКТ после чрезвычайной ситуации, включающие энергоснабжение, телекоммуникационные соединения и средства контроля влияния внешней среды (перечень может быть расширен).

(3.4, IDT)

3.1.6 организация (organization): Юридическое лицо, которое имеет в собственности, хозяйственном ведении или оперативном управлении обособленное имущество и отвечает по своим обязательствам этим имуществом, может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, нести обязанности, быть истцом и ответчиком в суде, а также имеющее самостоятельный баланс или смету и зарегистрированное в установленном порядке.
[ГОСТ Р 1.4—2004, пункт 3.3], [2]

(3.5, MOD)

   

3.1.7

чрезвычайная ситуация; ЧС: Обстановка на определенной территории или акватории, сложившаяся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, которые могут повлечь или повлекли за собой человеческие жертвы, ущерб здоровью людей или окружающей природной среде, значительные материальные потери и нарушение условий жизнедеятельности людей.

Примечание — Чрезвычайные ситуации различают по характеру источника (природные, техногенные, биолого-социальные, военные) и по масштабам (локальные, местные, территориальные, региональные, федеральные, трансграничные).
[ГОСТ Р 22.0.02—94, статья 2.1.1], [3]

3.1.8

чрезвычайная ситуация (в организации): Внезапное, незапланированное катастрофическое событие, которое не позволяет организации выполнять критичные бизнес-процессы в требуемом для бизнеса объеме.

3.1.9

непредвиденная ситуация: Рисковое событие, связанное с неблагоприятными внешними событиями природного и техногенного характера, а также с действиями субъектов (групп субъектов), приводящими к невозможности функционирования организации или ее служб/подразделений в обычном, регламентируемом соответствующими стандартами режиме.

3.1.10

событие информационной безопасности: Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.
[ГОСТ Р ИСО/МЭК 27001—2006, пункт 3.5]

3.1.11

инцидент информационной безопасности: Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Примечание — Инцидентами информационной безопасности являются:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политики или рекомендаций по информационной безопасности;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
[ГОСТ Р ИСО/МЭК 27001—2006, пункт 3.6]

3.1.12

система менеджмента информационной безопасности; СМИБ: Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Примечание — Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределению ответственности, практическую деятельность, процедуры, процессы и ресурсы.
[ГОСТ Р ИСО/МЭК 27001—2006, пункт 3.7]

3.1.13

защитная мера: Сложившаяся практика, процедура или механизм обработки риска.

Примечание — Следует заметить, что понятие «защитная мера» может служить синонимом понятия «контроль».
[ГОСТ Р ИСО/МЭК 13335-1—2006, пункт 2.24], [1]

3.1.14

восстановление (защитных мер обеспечения ИБ ИТС): Процесс перевода защитных мер обеспечения ИБ ИТС в штатное состояние после восстановления деятельности организации при условии наличия (новой) карты рисков ИБ деятельности организации.

Примечание — Восстановление включает идентификацию карты рисков ИБ деятельности организации, настройку или замену защитных мер ИБ, регулирование и контроль состояния защитных мер ИБ, контроль работоспособности объекта и его рисков ИБ, имеющего указанные защитные меры ИБ.

3.1.15

риск: Влияние неопределенности на цели организации.

Примечания
1 Влияние неопределенности подразумевает отклонение от ожидаемого результата.
2 Цели организации могут иметь различные аспекты (финансовые аспекты, аспекты, связанные с охраной здоровья, безопасностью и внешней средой) и могут применяться на разных уровнях: на стратегическом уровне, в масштабах организации, на уровне проекта, продукта или процесса.
3 Риск часто характеризуют ссылкой на потенциальные события, их последствия или их комбинацию, а также на то, как они могут влиять на достижение целей организации.
4 Риск часто выражается в терминах комбинации последствий события или изменения обстоятельств и связанной с ними вероятностью их возникновения.

3.1.16

владелец риска: Физическое лицо или сущность (логический объект), обладающие обязанностями и полномочиями для осуществления менеджмента риска и любой связанной с ним деятельности и обработки риска.

3.1.17

менеджмент риска: Скоординированные действия по руководству и управлению, осуществляемые организацией в отношении риска.

3.1.18

ИТ-сервис (ИТ-услуга): Совокупность функциональных возможностей информационных и, возможно, неинформационных технологий, предоставляемая конечным пользователям в качестве услуги (сервиса) [4].

Примечание — Примерами ИТ-сервисов (ИТ-услуг) могут служить передача сообщений, бизнес-приложения, сервисы файлов и услуги печати, сетевые сервисы (услуги) и т. д.

3.1.19

критичный компонент (информационно-телекоммуникационной системы): Компонент информационно-телекоммуникационной системы, нарушение непрерывности функционирования которого может нанести значительный ущерб организации.

3.1.20

организационная мера (по обеспечению ИБ): Совокупность действий, определяемых нормативно-правовой документацией организации, по обеспечению ИБ без применения технических средств защиты.

3.1.21

технические средства защиты ИБ: Оборудование, используемое для защиты ИБ организации.

Примечание — Такое оборудование может быть представлено техническими и программно-техническим и средствами.

3.1.22

лицо, ответственное за информационную безопасность: Лицо, отвечающее за внедрение и поддержку программы обеспечения информационной безопасности.
[ГОСТ Р ИСО/МЭК ТО 13569—2007, пункт 3.37], [5]

3.1.23

доступность информации [ресурсов информационной системы]: Состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут беспрепятственно их реализовывать.

Примечание — К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов.
[Р 50.1.056—2005, статья 3.1.8], [6]

3.1.24

целостность (информации [ресурсов автоматизированной информационной системы]): Состояние информации [ресурсов автоматизированной информационной системы], при котором ее [их] изменение осуществляется преднамеренно только субъектами, имеющими на него право.
[Р 50.1.053—2005, статья 3.1.8], [7]


3.1.25 привлеченные провайдеры услуг (outsourced service providers): Внешние провайдеры услуг по восстановлению ИКТ после чрезвычайной ситуации.

(3.6, IDT)

3.1.26 провайдеры услуг (service providers): Внутренние группы или внешние стороны, предоставляющие организациям услуги по восстановлению ИКТ после чрезвычайной ситуации.

(3.7, IDT)

3.1.27 соглашение об уровне сервиса (service level agreement): Письменное соглашение между провайдером услуг и организацией, документирующее услуги и согласованные уровни обслуживания.

Примечание — В случае привлеченных провайдеров услуг соглашение об уровне сервиса является письменным соглашением, имеющим обязательную договорную силу.

(3.8, IDT)

3.1.28 обязательство по уровню обслуживания (service level commitment): Обязательство провайдера услуг (обычно внутреннего провайдера услуг) перед организацией, которое определяет услуги и согласованные уровни обслуживания.

(3.9, IDT)


3.2 В настоящем стандарте применены следующие сокращения:

ИБ — информационная безопасность;

ИКТ — информационно-коммуникационные технологии;

ИТ — информационные технологии;

ИТС — информационно-телекоммуникационные системы;

СМИБ — система менеджмента информационной безопасности;

ЧС — чрезвычайная ситуация.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |


books on zlibrary