Национальный стандарт РФ ГОСТ Р ИСО/МЭК 13335-1-2006 "Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2006 г. N 317-ст)
Information technology. Security techniques. Part 1. Concepts and models for information and communications technology security management
Дата введения 1 июня 2007 г.
Введен впервые
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
1 Область применения
Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.
Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. Настоящий стандарт не разрабатывает конкретных подходов к управлению безопасностью.
2 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 17799, ИСО/МЭК 13335-4, а также следующие термины с соответствующими определениями:
2.1 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.
[ИСО/МЭК 7498-2]
2.2 активы (asset): Все, что имеет ценность для организации.
2.3 аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Примечание - Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.
2.4 доступность (availability): Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.
[ИСО/МЭК 7498-2]
2.5 базовые защитные меры (baseline controls): Минимальный набор защитных мер, установленный для системы или организации.
2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
[ИСО/МЭК 7498-2]
2.7 контроль (control): -
примечание - В контексте безопасности информационно-телекоммуникационных технологий термин "контроль" может считаться синонимом "защитной меры"(см. 2.24).
2.8 рекомендации (guidelines): Описание, поясняющее действия и способы их выполнения, необходимые для достижения установленных целей.
2.9 воздействие (impact): Результат нежелательного инцидента информационной безопасности.
2.10 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
Примечание - Инцидентами информационной безопасности являются:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политик или рекомендаций;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
2.11 безопасность информационно-телекоммуникационных технологий (безопасность ИТТ) (ICT security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий.
2.12 политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) (ICT security policy): Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
2.13 средство(а) обработки информации (information processing facility(ies)): Любая система обработки информации, сервис или инфраструктура, или их физические места размещения.
2.14 информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
2.15 целостность (integrity): Свойство сохранения правильности и полноты активов.
2.16 неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.
[ИСО/МЭК 13888-1, ИСО/МЭК 7498-2]
2.17 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.
2.18 остаточный риск (residual risk): Риск, остающийся после его обработки.
2.19 риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Примечание - Определяется как сочетание вероятности события и его последствий.
2.20 анализ риска (risk analysis): Систематический процесс определения величины риска.
2.21 оценка риска (risk assessment): Процесс, объединяющий идентификацию риска, анализ риска и оценивание риска.
2.22 менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий.
2.23 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.