Les normes de sécurité signifient une documentation obligatoire qui définit des approches pour évaluer le niveau de sécurité existant. De plus, ces documents établissent certaines règles établies pour la sécurité des systèmes dans leur ensemble.
Les normes de sécurité de l'information visent à mettre en œuvre certaines fonctions, notamment :
- développer certaines terminologies et concepts utilisés dans le domaine de la sécurité des données ;
- constitution d'une échelle nécessaire pour mesurer le niveau de sécurité ;
- effectuer des évaluations de produits convenues ;
- une augmentation significative de la compatibilité des produits utilisés pour la sécurité ;
- accumulation de connaissances sur les meilleures pratiques pour établir un état d'équilibre ;
- fournir des informations sur les meilleures pratiques aux groupes de personnes intéressés, par exemple, les fournisseurs de sécurité, les experts dans le domaine, les directeurs, les administrateurs et tout autre utilisateur de systèmes d'information ;
- établir des exigences visant à rendre obligatoire la mise en œuvre de certaines normes, leur donnant force juridique.
Normes de sécurité internationales
Les normes internationales de durabilité sont un ensemble de pratiques et de recommandations visant à mettre en œuvre des systèmes garantissant la protection des données.
L'une des normes internationales, BS 7799, vise à formuler l'objectif de protection des données d'information. Selon ce certificat, le but de la sécurité est d'assurer le bon fonctionnement de l'entreprise, ainsi que la capacité de prévenir ou de réduire au minimum possible les dommages résultant de la violation des exigences établies en matière de durabilité.
Une autre des principales normes internationales, ISO 27002, contient une liste complète de conseils pratiques sur la résilience de l'information. Ces conseils s'adressent aux employés qui, dans le cadre de leur travail, sont responsables de la création, de la mise en œuvre et de la maintenance ultérieure de systèmes de durabilité pour ces technologies.
Normes internationales de sécurité de l'information : ISO 27001
Le complexe représenté par les certificats internationaux désigne un ensemble de certaines pratiques et recommandations visant à mettre en œuvre des systèmes et des équipements de moyens technologiques de protection.
Si l'on prend en compte certaines règles établies par le certificat international ISO 27001 2013, la sécurité des technologies en question doit être représentée par certaines caractéristiques.
Cette ISO vous permet de diviser un seul système en quatre sections. La norme ISO 27001 est basée sur celle-ci, qui définit les exigences de base pour la gestion de la qualité. Basées sur les normes de normalisation russes, ces exigences doivent être respectées par toute organisation souhaitant démontrer sa capacité à fournir des produits répondant aux besoins des clients.
Notre entreprise vous aidera. Le coût d'un tel service est de 30 000 roubles.
Normes internationales de sécurité : ISO 17799
La norme ISO 17799 a été créée par l'Organisation internationale en 2000. Conformément à ses exigences, lors de la création d'un cadre de résilience considéré comme efficace, une attention particulière doit être accordée à une approche intégrée visant à gérer la sécurité. C'est pour cette raison que les mesures visant à garantir certaines exigences établies en matière d'information sont considérées comme un élément de contrôle :
- sa confidentialité ;
- fiabilité des informations;
- disponibilité;
- l'intégrité des informations fournies.
Système national de normes de sécurité de l'information
Le système national de normalisation est représenté par un ensemble de certificats nationaux et de classificateurs panrusses. Cette structure comprend non seulement les certificats eux-mêmes, mais également les règles relatives à leur développement et à leur application ultérieure.
En Fédération de Russie, un certificat national peut être demandé sur une base volontaire, quel que soit le pays ou le lieu d'origine.
Dans le même temps, il existe une règle selon laquelle un tel système national n'est appliqué que s'il existe une marque de conformité.
La norme russe GOST R ISO 17799 définit tous les échantillons visant à assurer la sécurité des informations comme des normes visant à maintenir la confidentialité. Par conséquent, seuls certains employés capables d'assurer l'intégrité, la disponibilité et la sécurité des informations peuvent être autorisés à travailler avec de telles technologies.
GOST R ISO 27001 est la norme principale, contenant une liste exhaustive des fonctionnalités que doit avoir toute méthode permettant d'assurer la sécurité de chaque technologie de l'information.
Les échantillons nationaux de GOST ISO IEC 15408, compilés sur la base de l'ISO internationale dans le domaine des technologies pertinentes, visent à garantir la comparabilité des résultats obtenus à la suite d'une évaluation indépendante.
La satisfaction des exigences présentées dans ce GOST ISO RF est obtenue en établissant une liste unifiée d'exigences pouvant être présentées à certaines technologies dans ce domaine, ainsi qu'aux mesures de confiance utilisées pour évaluer ces technologies afin d'assurer leur sécurité.
En Fédération de Russie, les produits technologiques peuvent être vendus sous plusieurs formes :
- matériel;
- logiciel;
- logiciel et matériel.
Les résultats obtenus lors du processus d'évaluation de la conformité dans ce domaine avec l'ISO russe de la Fédération de Russie permettent de déterminer si les technologies inspectées satisfont aux exigences de sécurité de l'État établies pour elles.
En règle générale, les certificats russes GOST ISO RF sont utilisés :
- comme guide pour le développement de produits technologiques ;
- comme guide sur l'état de sécurité technologique des produits ;
- comme évaluation des produits technologiques lors de leur achat.
En Russie, les normes GOST R ISO/IEC 17799-2005 "Technologies de l'information. Règles pratiques" sont actuellement en vigueur en Russie. gestion de la sécurité de l'information"(traduction authentique de ISO/IEC 17799:2000) et GOST R ISO/IEC 27001-2006 "Technologies de l'information. Méthodes et moyens pour assurer la sécurité. Systèmes de gestion de la sécurité de l'information. Exigences" (traduction de la norme ISO/IEC 27001:2005). Malgré quelques divergences internes liées aux différentes versions et fonctionnalités de traduction, la présence de normes nous permet d'amener le système gestion de la sécurité de l'information conformément à leurs exigences et, le cas échéant, certifier.
GOST R ISO/IEC 17799 :2005 « Technologies de l'information. Règles pratiques pour la gestion de la sécurité de l'information »
Examinons maintenant le contenu de la norme. L'introduction indique que "l'information, les processus qui la soutiennent, les systèmes d'information et l'infrastructure de réseau sont des atouts essentiels d'une organisation. La confidentialité, l'intégrité et la disponibilité de l'information peuvent contribuer de manière significative à la compétitivité, à la liquidité, à la rentabilité, à la conformité et à la conformité." réputation commerciale organisation." Ainsi, nous pouvons dire que cette norme considère les questions de sécurité de l'information, y compris du point de vue de l'effet économique.
Trois groupes de facteurs sont indiqués qui doivent être pris en compte lors de l'élaboration d'exigences dans le domaine de la sécurité de l'information. Ce:
- évaluation des risques de l’organisation. Grâce à l'évaluation des risques, les menaces pesant sur les actifs de l'organisation sont identifiées, évaluation de la vulnérabilité les actifs concernés et la probabilité que les menaces se produisent, ainsi qu'une évaluation des conséquences possibles ;
- les exigences légales, statutaires, réglementaires et contractuelles qui doivent être respectées par l'organisation, ses partenaires commerciaux, sous-traitants et prestataires de services ;
- un ensemble spécifique de principes, d'objectifs et d'exigences développés par une organisation concernant le traitement de l'information.
Une fois les exigences déterminées, commence l’étape de sélection et de mise en œuvre des mesures qui garantiront une réduction des risques à un niveau acceptable. Sélection d'événements par gestion de la sécurité de l'information devraient être basés sur le rapport entre le coût de leur mise en œuvre, l'effet de réduction des risques et des pertes possibles en cas de faille de sécurité. Des facteurs qui ne peuvent être exprimés en termes monétaires, comme la perte de réputation, doivent également être pris en compte. Une liste possible d'activités est donnée dans la norme, mais il est à noter qu'elle peut être complétée ou constituée indépendamment en fonction des besoins de l'organisation.
Énumérons brièvement les sections de la norme et les mesures de protection des informations qui y sont proposées. Le premier groupe concerne la politique de sécurité. Il est nécessaire qu'il soit élaboré, approuvé par la direction de l'organisation, publié et porté à la connaissance de tous les employés. Il devrait déterminer la procédure à suivre pour travailler avec les ressources d’information de l’organisation, les devoirs et responsabilités des employés. La politique est revue périodiquement pour refléter l'état actuel du système et les risques identifiés.
La section suivante aborde les questions organisationnelles liées à la sécurité de l'information. La norme recommande de créer des conseils de direction (avec la participation de la haute direction de l'entreprise) pour approuver la politique de sécurité, nommer les responsables, répartition des responsabilités et coordination de la mise en œuvre des activités pour gestion de la sécurité de l'information Dans l'organisation. Le processus d'obtention de l'autorisation d'utiliser des outils de traitement de l'information (y compris de nouveaux logiciels et matériels) dans l'organisation doit également être décrit afin que cela n'entraîne pas de problèmes de sécurité. Il est également nécessaire de déterminer la procédure d'interaction avec d'autres organisations sur les questions de sécurité de l'information, de consultations avec des spécialistes « externes » et de vérification (audit) indépendante de la sécurité de l'information.
Lors de la fourniture d'un accès aux systèmes d'information à des spécialistes d'organisations tierces, une attention particulière doit être accordée aux questions de sécurité. Une évaluation des risques liés aux différents types d'accès (physique ou logique, c'est-à-dire à distance) de ces spécialistes aux différentes ressources organisationnelles doit être réalisée. La nécessité de fournir l'accès doit être justifiée et les contrats avec des tiers et des organisations doivent inclure des exigences concernant le respect de la politique de sécurité. Il est proposé de faire de même en cas d'implication d'organismes tiers dans le traitement de l'information (externalisation).
La section suivante de la norme est consacrée aux questions de classification et la gestion d'actifs. Pour garantir la sécurité des informations d'une organisation, il est nécessaire que tous les actifs informationnels clés soient comptabilisés et attribués à des propriétaires responsables. Nous suggérons de commencer par un inventaire. La classification suivante est donnée à titre d'exemple :
- actifs informationnels (bases de données et fichiers de données, documentation du système etc.);
- actifs logiciels (logiciels d'application, logiciels système, outils et utilitaires de développement) ;
- actifs physiques (matériel informatique, matériel de communication, supports de stockage, autres équipements techniques, mobilier, locaux) ;
- services (services informatiques et de communication, services publics de base).
Ensuite, il est proposé de classer les informations afin de déterminer leur priorité, leur nécessité et leur degré de protection. Dans le même temps, les informations pertinentes peuvent être évaluées en tenant compte de leur importance critique pour l'organisation, par exemple du point de vue de leur intégrité et de leur disponibilité. Après cela, il est proposé d'élaborer et de mettre en œuvre une procédure d'étiquetage lors du traitement de l'information. Des procédures d'étiquetage doivent être définies pour chaque niveau de classification afin de prendre en compte les types de traitement d'informations suivants :
- copier;
- stockage;
- transmission par courrier, fax et e-mail ;
- transmission vocale, y compris téléphone mobile, messagerie vocale, répondeurs ;
- destruction.
La section suivante aborde les questions de sécurité liées au personnel. La norme détermine que les responsabilités en matière de respect des exigences de sécurité sont réparties dès la phase de sélection du personnel, incluses dans les contrats de travail et contrôlées tout au long de la période de travail du salarié. En particulier, lors de l'embauche d'un salarié permanent, il est recommandé de vérifier l'authenticité des documents soumis par le candidat, l'exhaustivité et l'exactitude du curriculum vitae, ainsi que les recommandations qui lui sont soumises. Il est recommandé aux employés de signer un accord de confidentialité indiquant quelles informations sont confidentielles ou sensibles. La responsabilité disciplinaire des employés qui enfreignent les politiques et procédures de sécurité de l'organisation doit être déterminée. Si nécessaire, cette responsabilité devrait perdurer pendant une période déterminée après la cessation d'emploi.
Les utilisateurs doivent être formés procédures de sécurité et l'utilisation correcte des outils de traitement de l'information pour minimiser les risques possibles. Par ailleurs, la procédure d'information sur violations de la sécurité de l'information, qui doit être familiarisé avec le personnel. Une procédure similaire doit être suivie en cas de panne logicielle. De tels incidents doivent être enregistrés et analysés pour identifier les problèmes récurrents.
La section suivante de la norme aborde les questions de protection physique et environnementale. Il est précisé que « les moyens de traitement des informations de service critiques ou importantes doivent être situés dans des zones de sécurité désignées par un certain périmètre de sécurité avec des barrières de protection et des contrôles d'intrusion appropriés. Ces zones doivent être physiquement protégées des accès non autorisés, des dommages et des chocs." Outre l'organisation du contrôle d'accès aux zones protégées, les modalités d'exécution des travaux dans celles-ci et, le cas échéant, les modalités d'organisation de l'accès des visiteurs doivent être déterminées. Il est également nécessaire pour assurer la sécurité des équipements (y compris ceux qui sont utilisés à l'extérieur de l'organisation) afin de réduire le risque d'accès non autorisé aux données et de les protéger contre la perte ou les dommages. Ce groupe d'exigences comprend également la protection contre les pannes de courant et la protection des réseaux câblés. Des procédures de maintenance de l'équipement doivent également être définies qui tiennent compte des exigences de sécurité et des procédures d'élimination ou de réutilisation en toute sécurité de l'équipement. Par exemple, il est recommandé que les supports de stockage jetables contenant des informations sensibles soient physiquement détruits ou écrasés de manière sécurisée plutôt que d'utiliser des supports de stockage jetables contenant des informations sensibles. fonctions standard d’effacement des données.
Afin de minimiser les risques d'accès non autorisé ou d'endommagement des documents papier, des supports de stockage et des supports de traitement de l'information, il est recommandé de mettre en œuvre une politique de « bureau propre » pour les documents papier et les supports de stockage amovibles, ainsi qu'une politique de « écran propre » pour les documents papier et les supports de stockage amovibles. matériel de traitement de l’information. L'équipement, les informations ou les logiciels ne peuvent être retirés des locaux de l'organisation qu'avec l'autorisation appropriée.
Le titre de la section suivante de la norme est « Gestion du transfert de données et des activités opérationnelles ». Il exige que les responsabilités et les procédures associées au fonctionnement de toutes les installations de traitement de l'information soient établies. Par exemple, les changements de configuration dans les installations et les systèmes de traitement de l'information doivent être contrôlés. Il est nécessaire de mettre en œuvre le principe de séparation des responsabilités en ce qui concerne les fonctions de gestion, l'exécution de certaines tâches et domaines.
Il est recommandé de séparer les environnements de développement, de test et de production des logiciels. Les règles de transfert des logiciels du statut en cours de développement au statut accepté en exploitation doivent être définies et documentées.
Des risques supplémentaires surviennent lors du recours à des sous-traitants tiers pour gérer les installations de traitement de l’information. Ces risques doivent être identifiés à l'avance et des mesures appropriées doivent être prises pour gestion de la sécurité de l'information convenu avec l'entrepreneur et inclus dans le contrat.
Pour fournir la capacité de traitement et de stockage nécessaire, il est nécessaire d'analyser les exigences de performance actuelles, ainsi que de prévoir celles à venir. Ces prévisions doivent prendre en compte les nouvelles exigences fonctionnelles et système, ainsi que les plans actuels et futurs de développement des technologies de l'information dans l'organisation. Les exigences et les critères d'adoption de nouveaux systèmes doivent être clairement définis, convenus, documentés et testés.
Des mesures doivent être prises pour prévenir et détecter l'introduction de logiciels malveillants tels que les virus informatiques, les vers de réseau, les chevaux de Troie et bombes logiques. Il est à noter que la protection contre les logiciels malveillants doit reposer sur une compréhension des exigences de sécurité, des contrôles d'accès aux systèmes appropriés et une gestion appropriée des changements.
La procédure à suivre pour effectuer les opérations auxiliaires, qui incluent la sauvegarde des logiciels et des données, doit être déterminée 1 À titre d'exemple, l'atelier n° 10 examine l'organisation des sauvegardes dans Windows Server 2008. enregistrer les événements et les erreurs et, si nécessaire, surveiller l’état du matériel. Les dispositifs de redondance pour chaque système individuel doivent être testés régulièrement pour garantir qu'ils répondent aux exigences des plans de continuité des activités.
Assurer la sécurité des informations sur les réseaux et protéger infrastructure de soutien, l'introduction de fonds est nécessaire contrôle de sécurité et la protection des services connectés contre tout accès non autorisé.
Une attention particulière est portée à la sécurité des différents types de supports de stockage : documents, supports de stockage informatiques (bandes, disques, cassettes), données d'entrée/sortie et documentation du système contre tout dommage. Il est recommandé d'établir une procédure d'utilisation des supports de stockage informatiques amovibles (procédure de contrôle du contenu, de stockage, de destruction, etc.). Comme indiqué ci-dessus, les supports de stockage doivent être éliminés en toute sécurité après utilisation.
Afin d'assurer la protection des informations contre toute divulgation non autorisée ou toute utilisation abusive, il est nécessaire d'établir des procédures de traitement et de stockage des informations. Ces procédures devraient être conçues en tenant compte catégorisation informations et agir en relation avec les documents, les systèmes informatiques, les réseaux, les ordinateurs portables, les communications mobiles, le courrier, la messagerie vocale, les communications vocales en général, les appareils multimédias, l'utilisation du fax et tout autre objet important, tel que formulaires, chèques et factures. Documentation système peut contenir certaines informations importantes et doit donc également être protégé.
Le processus d'échange d'informations et de logiciels entre organisations doit être maîtrisé et conforme à la législation en vigueur. En particulier, la sécurité des supports d'informations lors de la transmission doit être assurée, déterminée politique d'utilisation systèmes de messagerie électronique et de bureautique. Des précautions doivent être prises pour protéger l'intégrité des informations publiées électroniquement, telles que les informations sur un site Web. Un processus d’autorisation formalisé approprié est également requis avant que ces informations ne soient rendues publiques.
La section suivante de la norme est consacrée aux questions de contrôle d'accès.
Il est nécessaire que les règles de contrôle d'accès et les droits de chaque utilisateur ou groupe d'utilisateurs soient clairement définis par la politique de sécurité. Les utilisateurs et les prestataires de services doivent être sensibilisés à la nécessité de se conformer à ces exigences.
En utilisant authentification par mot de passe, il est nécessaire d'exercer un contrôle sur les mots de passe des utilisateurs. En particulier, les utilisateurs doivent signer un document s'engageant à maintenir une totale confidentialité des mots de passe. Il est nécessaire d'assurer la sécurité du processus d'obtention d'un mot de passe pour l'utilisateur et, si celui-ci est utilisé, de la gestion par les utilisateurs de leurs mots de passe (changement forcé du mot de passe après la première connexion, etc.).
L’accès aux services réseau internes et externes doit être contrôlé. Les utilisateurs doivent avoir un accès direct uniquement aux services pour lesquels ils ont été autorisés. Une attention particulière doit être portée à l'authentification des utilisateurs distants. Sur la base de l'évaluation des risques, il est important de déterminer le niveau de protection requis afin de sélectionner la méthode d'authentification appropriée. La sécurité de l'utilisation des services réseau doit également être surveillée.
De nombreux appareils réseau et informatiques disposent de capacités intégrées de diagnostic et de gestion à distance. Des mesures de sécurité doivent également s'appliquer à ces installations.
Lorsque les réseaux sont partagés par plusieurs organisations, les exigences en matière de politique de contrôle d'accès doivent être définies pour en tenir compte. Il peut également être nécessaire d'introduire des mesures supplémentaires pour gestion de la sécurité de l'information pour limiter la capacité des utilisateurs à se connecter.
Au niveau du système d'exploitation, des mesures de sécurité des informations doivent être utilisées pour restreindre l'accès aux ressources informatiques 2 Un exemple d'organisation du contrôle d'accès aux fichiers et dossiers dans Windows Server 2008 sera abordé dans le travail de laboratoire n°9.. Ça fait référence à identification et authentification terminaux et utilisateurs. Il est recommandé que tous les utilisateurs disposent d'identifiants uniques, qui ne doivent contenir aucune indication sur le niveau de privilège de l'utilisateur. Dans les systèmes gestion des mots de passe des capacités interactives efficaces doivent être fournies pour soutenir la qualité requise 3 Un exemple de gestion de la qualité des mots de passe dans les systèmes d'exploitation Windows est abordé dans le travail de laboratoire n°3.. L'utilisation des utilitaires système doit être limitée et soigneusement contrôlée.
Il est conseillé de prévoir une alarme au cas où l'utilisateur pourrait devenir la cible de violences 4 Un exemple de ceci serait les mots de passe de connexion « sous la contrainte ». Si l'utilisateur saisit un tel mot de passe, le système affiche le processus de connexion normal de l'utilisateur, puis simule un échec pour empêcher les attaquants d'accéder aux données.(si un tel événement est jugé probable). Les responsabilités et les procédures pour répondre à une telle alarme doivent être définies.
Les terminaux desservant des systèmes à haut risque, lorsqu'ils sont situés dans des endroits facilement accessibles, devraient être éteints après une certaine période d'inactivité afin d'empêcher l'accès de personnes non autorisées. Une restriction sur la durée pendant laquelle les terminaux sont autorisés à se connecter aux services informatiques pourrait également être introduite.
Des mesures de sécurité des informations doivent également être appliquées au niveau des applications. Il peut notamment s'agir d'une restriction d'accès pour certaines catégories utilisateurs. Les systèmes qui traitent des informations importantes doivent être dotés d’un environnement informatique dédié (isolé).
La surveillance du système est nécessaire pour détecter les écarts par rapport aux exigences de la politique de contrôle d'accès et fournir des preuves en cas d'incident de sécurité des informations. Les résultats du suivi doivent être examinés régulièrement. Le journal d'audit peut être utilisé pour enquêter sur des incidents. Un réglage (synchronisation) correct de l'horloge de l'ordinateur est donc très important.
Lors de l'utilisation d'appareils portables, tels que des ordinateurs portables, il est nécessaire de prendre des mesures spéciales pour contrecarrer la compromission d'informations exclusives. Des politiques formalisées devraient être adoptées pour traiter les risques associés au travail avec des appareils portables, en particulier dans des environnements non sécurisés.
La section suivante de la norme est intitulée « Développement et maintenance de systèmes ». Déjà au stade développement des systèmes d'information il est nécessaire de veiller à ce que les exigences de sécurité soient prises en compte. Et pendant le fonctionnement du système, il est nécessaire d'éviter la perte, la modification ou l'utilisation abusive des données des utilisateurs. À cette fin, il est recommandé que les systèmes d'application fournissent une confirmation de l'exactitude de la saisie et de la sortie des données, le contrôle du traitement des données dans système, authentification messages, journalisation des actions des utilisateurs.
Pour garantir la confidentialité, l’intégrité et authentification des données Des mesures de sécurité cryptographiques peuvent être utilisées.
Garantir l’intégrité des logiciels joue un rôle important dans le processus de sécurité des informations. Pour minimiser les dommages aux systèmes d'information, la mise en œuvre des changements doit être strictement contrôlée. De temps en temps, il est nécessaire d'apporter des modifications aux systèmes d'exploitation. Dans ces cas, il est nécessaire d’analyser et de tester les systèmes d’application pour s’assurer qu’il n’y a pas d’impact négatif sur leur fonctionnalité et leur sécurité. Dans la mesure du possible, il est recommandé d'utiliser des progiciels prêts à l'emploi sans modification.
Un problème connexe est la lutte contre les chevaux de Troie et l’utilisation de canaux de fuite secrets. Une contre-mesure consiste à utiliser un logiciel obtenu auprès de fournisseurs de confiance et à surveiller intégrité du système.
Dans les cas où une organisation tierce est impliquée dans le développement de logiciels, il est nécessaire de prévoir des mesures pour contrôler la qualité et l'exactitude du travail effectué.
La section suivante de la norme est consacrée à la gestion de la continuité des activités. Au stade initial, il est censé identifier les événements susceptibles de provoquer une interruption des processus métiers (panne d'équipement, incendie, etc.). Dans ce cas, il est nécessaire d’évaluer les conséquences, puis d’élaborer des plans de redressement. L'adéquation des plans doit être confirmée par des tests, et eux-mêmes doivent être périodiquement révisés pour tenir compte des changements survenant dans le système.
La dernière section de la norme traite des questions de conformité. Tout d'abord, cela concerne la conformité du système et la procédure de son fonctionnement aux exigences légales. Cela inclut les questions de respect des droits d'auteur (y compris les logiciels), de protection des informations personnelles (employés, clients) et de prévention de l'utilisation abusive des outils de traitement de l'information. En utilisant moyens cryptographiques protection des informations, ils doivent se conformer à la législation en vigueur. La procédure de collecte des preuves en cas de litiges liés à des incidents dans le domaine de la sécurité des systèmes d'information doit également être minutieusement élaborée.
Les systèmes d'information eux-mêmes doivent respecter la politique de sécurité organisation et normes utilisées. La sécurité des systèmes d’information doit être régulièrement analysée et évaluée. Dans le même temps, il est nécessaire de respecter les mesures de sécurité lors de la réalisation d'un audit de sécurité afin que cela n'entraîne pas de conséquences indésirables (par exemple, la panne d'un serveur critique due à un audit).
En résumé, on peut noter que la norme aborde un large éventail de problématiques liées à la garantie de la sécurité des systèmes d'information. Des recommandations pratiques sont données dans un certain nombre de domaines.
Normes internationales
- BS 7799-1:2005 - Norme britannique BS 7799, première partie. BS 7799 Partie 1 - Code de bonnes pratiques pour la gestion de la sécurité de l'information décrit les 127 contrôles requis pour construire systèmes de gestion de la sécurité de l'information(ISMS) de l'organisation, déterminé sur la base des meilleurs exemples d'expérience mondiale (meilleures pratiques) dans ce domaine. Ce document sert de guide pratique pour créer un SMSI
- BS 7799-2:2005 - La norme britannique BS 7799 est la deuxième partie de la norme. BS 7799 Partie 2 - Gestion de la sécurité de l'information - spécification pour les systèmes de gestion de la sécurité de l'information spécifie la spécification ISMS. La deuxième partie de la norme est utilisée comme critère lors de la procédure officielle de certification du SMSI de l'organisation.
- BS 7799-3:2006 - British Standard BS 7799, troisième partie de la norme. Une nouvelle norme en matière de gestion des risques liés à la sécurité de l’information
- ISO/IEC 17799 :2005 – « Technologies de l’information – Technologies de sécurité – Pratiques de gestion de la sécurité de l’information ». Norme internationale basée sur BS 7799-1:2005.
- ISO/IEC 27000 - Vocabulaire et définitions.
- ISO/IEC 27001:2005 - "Technologies de l'information - Techniques de sécurité - Systèmes de gestion de la sécurité de l'information - Exigences." Norme internationale basée sur BS 7799-2:2005.
- ISO/IEC 27002 - Maintenant : ISO/IEC 17799:2005. "Technologies de l'information - Technologies de sécurité - Règles pratiques pour la gestion de la sécurité de l'information." Date de sortie : 2007.
- ISO/IEC 27005 - Maintenant : BS 7799-3:2006 - Guide sur la gestion des risques liés à la sécurité de l'information.
- Agence allemande de sécurité de l'information. Manuel de protection informatique de base - Mesures de sécurité standard.
Normes nationales (nationales) de la Fédération de Russie
- GOST R 50922-2006 - Protection des informations. Termes et définitions de base.
- R 50.1.053-2005 - Technologies de l'information. Termes et définitions de base dans le domaine de la sécurité de l'information technique.
- GOST R 51188-98 - Protection des informations. Logiciel de test de virus informatiques. Manuel du modèle.
- GOST R 51275-2006 - Protection des informations. Objet d'information. Facteurs influençant l'information. Dispositions générales.
- GOST R ISO/IEC 15408-1-2008 - Technologies de l'information. Méthodes et moyens pour assurer la sécurité. Critères d'évaluation de la sécurité des technologies de l'information. Partie 1. Introduction et modèle général.
- GOST R ISO/IEC 15408-2-2008 - Technologies de l'information. Méthodes et moyens pour assurer la sécurité. Critères d'évaluation de la sécurité des technologies de l'information. Partie 2. Exigences de sécurité fonctionnelle.
- GOST R ISO/IEC 15408-3-2008 - Technologies de l'information. Méthodes et moyens pour assurer la sécurité. Critères d'évaluation de la sécurité des technologies de l'information. Partie 3. Exigences en matière d'assurance de sécurité.
- GOST R ISO/IEC 15408 - « Critères généraux d'évaluation de la sécurité des technologies de l'information » - une norme qui définit les outils et méthodes d'évaluation de la sécurité des produits et systèmes d'information ; il contient une liste d'exigences auxquelles peuvent être comparés les résultats d'évaluations indépendantes de sécurité, permettant ainsi au consommateur de prendre des décisions concernant la sécurité des produits. Le champ d'application des « Critères généraux » est la protection des informations contre l'accès non autorisé, la modification ou la fuite, ainsi que d'autres méthodes de protection mises en œuvre par le matériel et les logiciels.
- GOST R ISO/IEC 17799 - « Technologies de l'information. Règles pratiques pour la gestion de la sécurité de l’information. Application directe de la norme internationale avec l'ajout de la norme ISO/IEC 17799:2005.
- GOST R ISO/IEC 27001 - « Technologies de l'information. Méthodes de sécurité. Système de gestion de la sécurité de l'information. Exigences". L'application directe de la norme internationale est ISO/IEC 27001:2005.
- GOST R 51898-2002 : Aspects de sécurité. Règles à inclure dans les normes.
Documents directeurs
- RD SVT. Protection contre les NSD. Indicateurs de sécurité du NSD à l'information - contient une description des indicateurs de sécurité des systèmes d'information et des exigences pour les classes de sécurité.
voir également
- Capacités non déclarées
Liens externes
- Normes internationales de gestion de la sécurité de l’information
Fondation Wikimédia. 2010.
Il est difficile de surestimer l’importance d’assurer la sécurité des informations, car la nécessité de stocker et de transférer des données fait partie intégrante de la gestion de toute entreprise.
Diverses méthodes de sécurité de l'information dépendent de la forme sous laquelle elles sont stockées. Cependant, afin de systématiser et de rationaliser ce domaine, il est nécessaire d'établir des normes de sécurité de l'information, car la normalisation est un déterminant important de la qualité dans l'évaluation des services fournis.
Toute fourniture de sécurité de l'information nécessite un contrôle et une vérification, qui ne peuvent être effectués uniquement par une évaluation individuelle, sans tenir compte des normes internationales et étatiques.
La formation de normes de sécurité de l'information intervient après une définition claire de ses fonctions et de ses limites. La sécurité de l’information consiste à garantir la confidentialité, l’intégrité et la disponibilité des données.
Pour déterminer l'état de la sécurité de l'information, une évaluation qualitative est la plus applicable, car il est possible d'exprimer le degré de sécurité ou de vulnérabilité en pourcentage, mais cela ne donne pas une image complète et objective.
Pour évaluer et auditer la sécurité des systèmes d'information, vous pouvez appliquer un certain nombre d'instructions et de recommandations, qui impliquent un soutien réglementaire.
Normes nationales et internationales de sécurité de l'information
Le suivi et l'évaluation de l'état de sécurité s'effectuent en vérifiant leur conformité aux normes étatiques (GOST, ISO) et internationales (Iso, Critères communs de sécurité informatique).
L'ensemble international de normes élaborées par l'Organisation internationale de normalisation (ISO) est un ensemble de pratiques et de recommandations pour la mise en œuvre de systèmes et d'équipements de sécurité de l'information.
La norme ISO 27000 est l'une des normes d'évaluation les plus applicables et les plus répandues, comprenant plus de 15 dispositions numérotées de manière séquentielle.
Selon les critères d'évaluation de la normalisation ISO 27000, la sécurité de l'information n'est pas seulement son intégrité, sa confidentialité et sa disponibilité, mais aussi son authenticité, sa fiabilité, sa tolérance aux pannes et son identification. Classiquement, cette série de normes peut être divisée en 4 sections :
- aperçu et introduction à la terminologie, description des termes utilisés dans le domaine de la sécurité ;
- exigences obligatoires pour un système de gestion de la sécurité de l'information, une description détaillée des méthodes et moyens de gestion du système. Est-ce la norme principale de ce groupe ;
- recommandations d'audit, conseils en matière de contrôles de sécurité ;
- normes qui recommandent des pratiques pour la mise en œuvre, le développement et l’amélioration d’un système de gestion de la sécurité de l’information.
Les normes nationales de sécurité de l'information comprennent un certain nombre de réglementations et de documents comprenant plus de 30 dispositions (GOST).
Diverses normes ne visent pas seulement à établir des critères d'évaluation généraux, comme GOST R ISO/IEC 15408, qui contient des lignes directrices méthodologiques pour l'évaluation de la sécurité et une liste d'exigences pour le système de gestion. Ils peuvent être spécifiques et contenir également des conseils pratiques.
Une bonne organisation de l'entrepôt et le contrôle régulier de son fonctionnement contribueront à éliminer le vol de marchandises et de biens matériels, qui affecte négativement le bien-être financier de toute entreprise, quelle que soit sa forme de propriété.
Au moment du lancement, le système d'automatisation d'entrepôt passe par deux étapes supplémentaires : les tests internes et le remplissage des données. Après une telle préparation, le système démarre complètement. En savoir plus sur l’automatisation ici.
L'interrelation et l'ensemble des techniques conduisent à l'élaboration de dispositions générales et à la fusion de la normalisation internationale et étatique. Ainsi, les GOST de la Fédération de Russie contiennent des ajouts et des références aux normes ISO internationales.
Une telle interaction contribue à développer un système unifié de suivi et d'évaluation, qui, à son tour, augmente considérablement l'efficacité de l'application de ces dispositions dans la pratique, en évaluant objectivement les résultats du travail et en les améliorant généralement.
Comparaison et analyse des systèmes de normalisation nationaux et internationaux
Le nombre de normes européennes de normalisation visant à assurer et à contrôler la sécurité de l'information dépasse largement les normes juridiques établies par la Fédération de Russie.
Dans les normes nationales, les dispositions en vigueur concernent la protection des informations contre d'éventuels piratages, fuites et menaces de perte. Les systèmes de sécurité étrangers se spécialisent dans l’élaboration de normes pour l’accès aux données et l’authentification.
Il existe également des différences dans les dispositions relatives à la mise en œuvre du contrôle et de l'audit des systèmes. En outre, la pratique d'application et de mise en œuvre du système de gestion de la sécurité de l'information de la normalisation européenne se manifeste dans presque tous les domaines de la vie, et les normes de la Fédération de Russie visent principalement à préserver le bien-être matériel.
Cependant, les normes nationales constamment mises à jour contiennent l'ensemble minimum d'exigences nécessaires pour créer un système de gestion de la sécurité de l'information compétent.
Normes de sécurité de l'information pour la transmission de données
Faire des affaires implique de stocker, d’échanger et de transmettre des données via Internet. Dans le monde moderne, les transactions en devises, les activités commerciales et les transferts de fonds ont souvent lieu en ligne, et il n'est possible d'assurer la sécurité des informations de cette activité qu'en appliquant une approche compétente et professionnelle.
Il existe de nombreuses normes sur Internet qui garantissent un stockage et une transmission sécurisés des données, des programmes de protection antivirus bien connus, des protocoles spéciaux pour les transactions financières et bien d'autres.
La vitesse de développement des technologies et des systèmes d'information est si grande qu'elle dépasse largement la création de protocoles et de normes uniformes pour leur utilisation.
L'un des protocoles de transfert de données sécurisés les plus populaires est SSL (Secure Socket Layer), développé par des spécialistes américains. Il vous permet de protéger les données grâce à la cryptographie.
L'avantage de ce protocole est la possibilité de vérification et d'authentification, par exemple juste avant l'échange de données. Cependant, l'utilisation de tels systèmes lors du transfert de données est plutôt consultative, puisque l'utilisation de ces normes n'est pas obligatoire pour les entrepreneurs.
Pour ouvrir une SARL, vous avez besoin d'une charte de l'entreprise. Une procédure en cours d'élaboration conformément à la législation de la Fédération de Russie. Vous pouvez l'écrire vous-même, prendre un échantillon standard comme guide ou contacter des spécialistes qui l'écriront.
Un aspirant homme d'affaires envisageant de développer sa propre entreprise en tant qu'entrepreneur individuel doit indiquer le code d'activité économique conformément à l'OKVED lors du remplissage de la demande. Détails ici.
Pour réaliser des transactions et des opérations sécurisées, le protocole de transmission SET (Security Electronic Transaction) a été développé, qui permet de minimiser les risques lors de la réalisation d'opérations commerciales et commerciales. Ce protocole est un standard pour les systèmes de paiement Visa et Master Card, permettant l'utilisation d'un mécanisme de sécurité du système de paiement.
Les comités qui normalisent les ressources Internet sont volontaires, donc les activités qu'ils mènent ne sont ni légales ni obligatoires.
Cependant, la fraude sur Internet dans le monde moderne est reconnue comme l'un des problèmes mondiaux, il est donc tout simplement impossible d'assurer la sécurité de l'information sans l'utilisation de technologies spéciales et leur standardisation.
Nom:
Protection des données. Assurer la sécurité des informations dans l'organisation.
Valide
Date d'introduction :
Date d'annulation :
Remplacé par:
Texte GOST R 53114-2008 Protection des informations. Assurer la sécurité des informations dans l'organisation. Termes et définitions de base
AGENCE FÉDÉRALE DE RÉGLEMENTATION TECHNIQUE ET DE MÉTROLOGIE
NATIONAL
STANDARD
RUSSE
FÉDÉRATION
Protection des données
ASSURER LA SÉCURITÉ DE L'INFORMATION DANS L'ORGANISATION
Termes et définitions de base
Publication officielle
Forme d'Oteidarten
GOST R 53114-2008
Préface
Les objectifs et principes de la normalisation dans la Fédération de Russie sont établis par la loi fédérale n° 184-FZ du 27 décembre 2002 « sur la réglementation technique », et les règles d'application des normes nationales de la Fédération de Russie sont GOST R 1.0-2004 « Normalisation en Fédération de Russie. Dispositions de base »
Informations standards
1 DÉVELOPPÉ par l'Institution d'État fédérale « Institut national de recherche et de test sur les problèmes de sécurité de l'information technique du Service fédéral de contrôle technique et des exportations » (FGU « GNIIII PTZI FSTEC de Russie »), Société à responsabilité limitée « Société de recherche et de production « Kristall » (OOO NPF "Cristal")
2 INTRODUIT par le Département de réglementation technique et de normalisation de l'Agence fédérale de réglementation technique et de métrologie
3 APPROUVÉ ET ENTRÉ EN VIGUEUR par arrêté de l'Agence fédérale de réglementation technique et de métrologie du 18 décembre 2008 n° 532-st
48CONDUITE POUR LA PREMIÈRE FOIS
Les informations sur les modifications apportées à cette norme sont publiées dans l'index d'information publié annuellement « Normes nationales » et le texte des changements et amendements est publié dans l'index d'information publié mensuellement « Normes nationales ». En cas de révision (remplacement) ou d'annulation de cette norme, l'avis correspondant sera publié dans l'index d'information publié mensuellement « Normes nationales ». Les informations, notifications et textes pertinents sont également publiés dans le système d'information public - sur le site officiel de l'Agence fédérale de réglementation technique et de métrologie sur Internet.
© SGandartinform.2009
Cette norme ne peut être entièrement ou partiellement reproduite, répliquée ou distribuée en tant que publication officielle sans l'autorisation de l'Agence fédérale de réglementation technique et de métrologie.
GOST R 53114-2008
1 domaine d'utilisation................................................ ... ....1
3 Termes et définitions............................................................ ..... ..2
3.1 Concepts généraux................................................................ .... .....2
3.2 Termes liés à l'objet de la protection des informations.................................................. ...4
3.3 Termes liés aux menaces à la sécurité de l'information..................................7
3.4 Termes liés à la gestion organisationnelle de la sécurité de l'information......8
3.5 Termes liés au contrôle et à l'évaluation de la sécurité de l'information d'une organisation. ... 8
3.6 Termes liés aux contrôles de sécurité des informations
organisations................................................................. ....... .......9
Index alphabétique des termes............................................................ .....11
Annexe A (pour référence) Termes et définitions des concepts techniques généraux..................................13
Annexe B (pour référence) Interrelation des concepts de base dans le domaine de la sécurité de l'information dans une organisation............................... ......................15
Bibliographie................................................. .......16
GOST R 53114-2008
Introduction
Les termes établis par cette norme sont classés dans un ordre systématique, reflétant le système de concepts dans ce domaine de connaissances.
Il existe un terme standardisé pour chaque concept.
La présence de crochets dans un article de terminologie signifie qu'il comprend deux termes qui ont des éléments de terme communs. Ces termes sont répertoriés séparément dans l'index alphabétique.
La partie d'un terme entre parenthèses peut être omise lors de l'utilisation du terme dans les documents de normalisation, tandis que la partie du terme non incluse entre parenthèses forme sa forme abrégée. Après les termes standardisés se trouvent leurs formes courtes, séparées par des points-virgules, représentées par des abréviations.
Les définitions données peuvent être modifiées si nécessaire en y introduisant des caractéristiques dérivées. révélant le sens des termes qui y sont utilisés, indiquant les objets inclus dans le champ du concept défini.
Les modifications ne doivent pas affecter la portée et le contenu des concepts définis dans cette norme.
Les termes normalisés sont écrits en gras, leurs formes abrégées figurent dans le texte et dans l'index alphabétique, y compris les abréviations. - clair et synonymes - italique.
Les termes et définitions des concepts techniques généraux nécessaires à la compréhension du texte de la partie principale de cette norme sont donnés à l'Annexe A.
GOST R 53114-2008
NORME NATIONALE DE LA FÉDÉRATION DE RUSSIE
Protection des données
ASSURER LA SÉCURITÉ DE L'INFORMATION 8 ORGANISATIONS
Termes et définitions de base
Protection des informations. Disposition en matière de sécurité de l'information Dans l'organisation.
Termes et définitions de base
Date d'introduction - 2009-10-01
1 domaine d'utilisation
Cette norme établit les termes de base utilisés lors de la réalisation de travaux de normalisation dans le domaine de la sécurité de l'information dans une organisation.
Les termes établis par cette norme sont recommandés pour une utilisation dans les documents réglementaires, la documentation juridique, technique, organisationnelle et administrative, la littérature scientifique, pédagogique et de référence.
Cette norme est appliquée conjointement avec GOST 34.003. GOST 19781. GOST R 22.0.02. GOST R 51897. GOST R 50922. GOST R 51898, GOST R 52069.0. GOST R 51275. GOST R ISO 9000. GOST R ISO 9001. GOST R IS014001. GOST R ISO/IEC 27001. GOST R ISO/IEC13335-1. . (2J.
Les termes donnés dans cette norme sont conformes aux dispositions de la loi fédérale de la Fédération de Russie du 27 décembre 2002 M"184*FZ "Règlement technique" |3]. Loi fédérale de la Fédération de Russie du 27 juillet 2006 n° 149-FZ « Sur l'information, les technologies de l'information et la protection de l'information ». Loi fédérale de la Fédération de Russie du 27 juillet 2006 n° 152-FZ « sur les données personnelles ». Doctrines de sécurité de l'information de la Fédération de Russie, approuvées par le Président de la Fédération de Russie le 9 septembre 2000 Pr -1895.
2 Références normatives
GOST R 22.0.02-94 Sécurité dans les situations d'urgence. Termes et définitions des concepts de base
GOST R ISO 9000-2001 Systèmes de gestion de la qualité. Fondamentaux et vocabulaire
GOST R ISO 9001-2008 Systèmes de gestion de la qualité. Exigences
GOST R IS0 14001-2007 Systèmes de gestion environnementale. Exigences et instructions d'utilisation
GOST R ISO/IEC 13335-1-2006 Technologies de l'information. Méthodes et moyens pour assurer la sécurité. Partie 1. Concept et modèles de gestion de la sécurité des technologies de l'information et des télécommunications
GOST R ISO/IEC 27001-2006 Technologies de l'information. Méthodes et moyens pour assurer la sécurité. Systèmes de gestion de la sécurité de l'information. Exigences
GOST R 50922-2006 Protection des informations. Termes et définitions de base
GOST R 51275-2006 Protection des informations. Objet d'information. Facteurs influençant l'information. Dispositions générales
GOST R 51897-2002 Gestion des risques. Termes et définitions
Publication officielle
GOST R 53114-2008
GOST R51898-2003 Aspects de sécurité. Règles d'inclusion dans les normes GOST R 52069.0-2003 Protection des informations. Système de normes. Dispositions de base de GOST 34.003-90 Technologie de l'information. Ensemble de normes pour les systèmes automatisés. Systèmes automatisés. Termes et définitions
GOST 19781-90 Logiciel pour les systèmes de traitement de l'information. Termes et définitions
Remarque - Lors de l'utilisation de cette norme, il est conseillé de vérifier la validité des normes de référence dans le système d'information public - sur le site officiel de l'Agence fédérale de réglementation technique et de métrologie sur Internet ou selon l'index d'information publié annuellement « National Standards", qui a été publié au 1er janvier de l'année en cours, et selon les index d'information mensuels correspondants publiés dans l'année en cours. Si la norme de référence est remplacée (modifiée), alors lorsque vous utilisez cette norme, vous devez être guidé par la norme remplacée (modifiée). Si un étalon de référence est annulé sans remplacement, alors la disposition dans laquelle une référence à cet étalon est donnée s'applique à la partie n'affectant pas cette référence.
3 Termes et définitions
3.1 Concepts généraux
sécurité des informations [données] : L'état de sécurité des informations [données], dans lequel leur [leur] confidentialité, leur disponibilité et leur intégrité sont assurées.
[GOST R 50922-2006. paragraphe 2.4.5]
sécurité des technologies de l’information : L’état de la sécurité des technologies de l’information. qui garantit la sécurité des informations pour lesquelles elles sont utilisées pour le traitement. et la sécurité de l'information du système d'information dans lequel il est mis en œuvre.
[R 50.1.056-2006. paragraphe 2.4.5]
sphère d'information : La totalité de l'information, l'infrastructure de l'information, les sujets. effectuer la collecte, la formation, la diffusion et l'utilisation de l'information, ainsi que les systèmes de régulation des relations sociales qui surviennent dans ce cas.
3.1.4 infrastructure d'information : ensemble d'objets d'informatisation qui permettent aux consommateurs d'accéder aux ressources d'information.
objet d'informatisation : Un ensemble de ressources informationnelles, d'outils et de systèmes de traitement de l'information utilisés conformément à une technologie de l'information donnée, ainsi que les installations de support, les locaux ou les installations (bâtiments, ouvrages, moyens techniques) dans lesquels ces outils et systèmes sont installés, ou locaux et installations, destinés à mener des négociations confidentielles.
[GOST R 51275-2006. article 3.1]
3.1.6 actifs de l'organisation : Tous. ce qui a de la valeur pour l'organisation dans l'intérêt d'atteindre ses objectifs et est à sa disposition.
Remarque : Les actifs d'une organisation peuvent inclure :
Les actifs informationnels, regroupant les différents types d'informations circulant dans le système d'information (service, gestion, analytique, métier, etc.) à toutes les étapes du cycle de vie (génération, stockage, traitement, transmission, destruction) :
Ressources (financières, humaines, informatiques, informationnelles, télécommunications et autres) :
Processus (technologiques, informationnels, etc.) ;
Produits manufacturés ou services fournis.
GOST R 53114-2008
ressource du système de traitement de l'information : installation du système de traitement de l'information qui peut être allouée au processus de traitement des données pendant un certain intervalle de temps.
Remarque - Les principales ressources sont les processeurs, les zones de mémoire principales et les ensembles de données. périphériques, programmes.
[GOST 19781-90. paragraphe 93)
3.1.8 processus d'information : Le processus de création, de collecte, de traitement, d'accumulation, de stockage, de recherche. diffusion et utilisation de l’information.
informatique; Informatique : Processus, méthodes de recherche, de collecte, de stockage, de traitement, de mise à disposition. diffusion d’informations et moyens de mettre en œuvre ces processus et méthodes. [Loi fédérale de la Fédération de Russie du 27 décembre 2002 n° 184-FZ. article 2. paragraphe 2)]
support technique du système automatisé; Support technique de la centrale nucléaire : Ensemble de tous les moyens techniques utilisés dans le fonctionnement de la centrale nucléaire.
[GOST R 34.003-90. article 2.5]
logiciels de systèmes automatisés; Logiciel AS : Ensemble de programmes sur supports de stockage et de documents de programmes destinés au débogage, au fonctionnement et au test des fonctionnalités de l'AS.
[GOST R 34.003-90. paragraphe 2.7]
support d'information du système automatisé; support informationnel de l'AS : Un ensemble de formulaires documentaires, de classificateurs, de cadre réglementaire et de solutions mises en œuvre sur le volume, le placement et les formes d'existence des informations utilisées dans l'AS lors de son fonctionnement.
[GOST R 34.003-90. article 2.8]
3.1.13 service ; service : Le résultat des activités de l’artiste interprète pour satisfaire les besoins du consommateur.
Remarque - 8 une organisation, un individu ou un processus peut agir en tant qu'interprète (consommateur) d'un service.
3.1.14 services informatiques : Services informatiques : L'ensemble des capacités fonctionnelles d'information et. éventuellement une technologie autre que l'information fournie aux utilisateurs finaux en tant que service.
REMARQUE Les exemples de services informatiques incluent la messagerie, les applications métier, les services de fichiers et d'impression, les services réseau, etc.
3.1.15 système d'infrastructure d'information critique ; système d'infrastructure d'information clé : FIAC : Système de gestion de l'information ou de télécommunication de l'information qui gère ou fournit des informations à un objet ou un processus critique, ou est utilisé pour informer officiellement la société et les citoyens, dont la perturbation ou l'interruption du fonctionnement (à la suite d'une influences de l'information, ainsi que des échecs ou des échecs) peuvent conduire à une urgence avec des conséquences négatives importantes.
3.1.18 objet critique : Un objet ou un processus dont la perturbation de la continuité de fonctionnement pourrait causer des dommages importants.
GOST R 53114-2008
Remarque - Des dommages peuvent être causés aux biens des personnes physiques ou morales. propriété de l'État ou de la municipalité, de l'environnement, ainsi que nuire à la vie ou à la santé des citoyens.
système d'information sur les données personnelles : un système d'information qui est un ensemble de données personnelles contenues dans une base de données, ainsi que des technologies de l'information et des moyens techniques qui permettent le traitement de ces données personnelles à l'aide d'outils d'automatisation ou sans l'utilisation de tels outils.
données personnelles : Toute information relative à une personne physique identifiée ou déterminée sur la base de telles informations (objet des données personnelles), notamment son nom, son prénom. patronyme, année mois, date et lieu de naissance, adresse, famille, situation sociale, situation patrimoniale, éducation, profession, revenus, autres informations.
3.1.19 système automatisé dans un modèle protégé ; AS dans un modèle protégé : système automatisé qui met en œuvre la technologie de l'information pour exécuter des fonctions établies conformément aux exigences des normes et/ou des documents réglementaires sur la protection de l'information.
3.2 Termes liés à l'objet de la protection des informations
3.2.1 sécurité des informations de l'organisation ; Intelligence organisationnelle : L'état de protection des intérêts de l'organisation face aux menaces dans la sphère de l'information.
Remarque - La sécurité est obtenue en garantissant un ensemble de propriétés de sécurité des informations - confidentialité, intégrité, disponibilité des actifs informationnels et de l'infrastructure de l'organisation. La priorité des propriétés de sécurité de l'information est déterminée par l'importance des actifs informationnels pour les intérêts (objectifs) de l'organisation.
objet de la protection de l'information : information ou support d'information, ou processus d'information. qui doivent être protégées conformément à la finalité de protection des informations.
[GOST R 50922-2006. clause 2.5.1]
3.2.3 processus protégé (technologie de l'information) : processus utilisé par la technologie de l'information pour traiter des informations protégées avec le niveau de sécurité requis.
3.2.4 violation de la sécurité de l'information de l'organisation : violation de la sécurité de l'information de l'organisation : Action illégale accidentelle ou intentionnelle d'un individu (sujet, objet) en relation avec les actifs de l'organisation, dont la conséquence est une violation de la sécurité de l'information lorsque ils sont traités par des moyens techniques dans les systèmes d'information, entraînant des conséquences négatives (dommages/préjudices) pour l'organisation.
urgence; situation imprévue ; Urgence : situation sur un certain territoire ou dans une zone d'eau qui s'est développée à la suite d'un accident, d'un phénomène naturel dangereux, d'une catastrophe, d'une catastrophe naturelle ou autre pouvant entraîner des pertes de vies humaines ou entraîner des pertes humaines, des dommages à la santé humaine. ou l'environnement, des pertes matérielles importantes et une perturbation des conditions de vie des populations.
Remarque - Les situations d'urgence se distinguent par la nature de la source (naturelle, artificielle, biologique-sociale et militaire) et par l'échelle (locale, locale, territoriale, régionale, fédérale et transfrontalière).
(GOST R 22.0.02-94. Article 2.1.1)
GOST R 53114-2008
3.2.6
situation dangereuse : Circonstances dans lesquelles les personnes, les biens ou l'environnement sont en danger.
(GOST R 51898-2003. paragraphe 3.6)
3.2.7
incident de sécurité des informations : tout événement inattendu ou indésirable susceptible de perturber les opérations ou la sécurité des informations.
Remarque - Les incidents de sécurité des informations sont :
Perte de services, d'équipements ou d'appareils :
Pannes ou surcharges du système :
Erreurs de l'utilisateur.
Violation des mesures de protection physique :
Modifications incontrôlées des systèmes.
Pannes logicielles et pannes matérielles :
Violation des règles d'accès.
(GOST R ISO/IEC 27001 -2006. Article 3.6)
3.2.8 événement : survenance ou présence d'un certain ensemble de circonstances.
Remarques
1 La nature, la probabilité et les conséquences de l’événement peuvent ne pas être entièrement connues.
2 Un événement peut se produire une ou plusieurs fois.
3 La probabilité associée à un événement peut être estimée.
4 Un événement peut consister en la non-survenance d'une ou plusieurs circonstances.
5 Un événement imprévisible est parfois appelé « incident ».
6 Un événement au cours duquel aucune perte ne se produit est parfois appelé une condition préalable à un incident (incident), une condition dangereuse, une combinaison dangereuse de circonstances, etc.
3.2.9 risque : L'impact des incertitudes sur le processus de réalisation des objectifs.
Remarques
1 Les objectifs peuvent avoir différents aspects : aspects financiers, sanitaires, de sécurité et environnementaux, et peuvent être fixés à différents niveaux : au niveau stratégique, au niveau organisationnel, au niveau du projet, du produit et du processus.
3 Le risque est souvent exprimé en termes de combinaison des conséquences d'un événement ou d'un changement de circonstances et de leur probabilité.
3.2.10
Évaluation des risques : un processus qui combine l'identification des risques, l'analyse des risques et la quantification des risques.
(GOST R ISO/IEC 13335-1 -2006, paragraphe 2.21 ]
3.2.11 évaluation des risques liés à la sécurité de l'information (de l'organisation) ; évaluation des risques liés à la sécurité de l'information (organisation) : processus global d'identification, d'analyse et de détermination de l'acceptabilité du niveau de risque de sécurité de l'information d'une organisation.
3.2.12 identification des risques : processus de détection, de reconnaissance et de description des risques.
Remarques
1 L'identification des risques comprend l'identification des sources de risques, des événements et de leurs causes, ainsi que de leurs conséquences possibles.
NOTE 2 L'identification des risques peut inclure des données statistiques, une analyse théorique, des points de vue éclairés et des opinions d'experts, ainsi que les besoins des parties prenantes.
GOST R 53114-2008
analyse des risques : utilisation systématique d’informations pour identifier les sources de risque et quantifier le risque.
(GOST R ISO/IEC 27001-2006. Article 3.11)
3.2.14 détermination de l'acceptabilité du risque : processus de comparaison des résultats d'une analyse de risque avec des critères de risque pour déterminer l'acceptabilité ou la tolérabilité du niveau de risque.
REMARQUE La détermination de l'acceptabilité du niveau de risque aide à prendre des décisions de traitement
3.2.15 gérer le risque de sécurité de l’information de l’organisation ; Traitement des risques liés à la sécurité des informations organisationnelles : processus d'élaboration et/ou de sélection et de mise en œuvre de mesures pour gérer les risques liés à la sécurité des informations d'une organisation.
Remarques
1 Le traitement des risques peut inclure :
Éviter les risques en décidant de ne pas lancer ou poursuivre des activités qui créent des conditions
Rechercher une opportunité en décidant d'initier ou de poursuivre des activités susceptibles de créer ou d'augmenter des risques ;
Éliminer la source du risque :
Changements dans la nature et l’ampleur du risque :
Conséquences changeantes ;
Partager le risque avec une ou plusieurs autres parties.
Persistance du risque à la fois comme résultat d’une décision consciente et « par défaut ».
2 Les traitements des risques ayant des conséquences négatives sont parfois appelés atténuation, élimination, prévention. réduction, suppression et correction des risques.
3.2.16 gestion des risques : actions coordonnées pour diriger et contrôler les activités de l'organisation par rapport aux risques.
3.2.17 source de risque pour la sécurité de l’information de l’organisation ; source de risque pour la sécurité des informations organisationnelles : un objet ou une action qui peut provoquer [créer) un risque.
Remarques
1 Il n'y a pas de risque s'il n'y a pas d'interaction entre un objet, une personne ou une organisation avec la source du risque.
2 La source du risque peut être tangible ou intangible.
3.2.18 politique de sécurité de l'information (de l'organisation) ; politique de sécurité de l'information (organisation) : déclaration formelle des règles, procédures, pratiques ou lignes directrices en matière de sécurité de l'information qui guident les activités d'une organisation.
Remarque : Les stratégies doivent contenir.
Objet, principaux buts et objectifs de la politique de sécurité :
Conditions d’application de la politique de sécurité et restrictions éventuelles :
Description de la position de la direction de l'organisation concernant la mise en œuvre de la politique de sécurité et l'organisation du régime de sécurité de l'information de l'organisation dans son ensemble.
Droits et responsabilités, ainsi que le degré de responsabilité des employés quant au respect de la politique de sécurité de l'organisation.
Procédures d'urgence en cas de violation de la politique de sécurité
3.2.19 objectif de sécurité de l'information (de l'organisation) ; Objectif du SI (organisation) : résultat prédéterminé consistant à garantir la sécurité des informations d'une organisation conformément aux exigences établies dans la politique du SI (organisation).
Remarque - Le résultat de la garantie de la sécurité des informations peut être la prévention des dommages causés au propriétaire des informations en raison d'une éventuelle fuite d'informations et (ou) d'un impact non autorisé et involontaire sur les informations.
3.2.20 système de documents sur la sécurité de l'information dans l'organisation ; système de documents de sécurité de l'information dans une organisation : un ensemble ordonné de documents unis par une orientation cible. interconnectés sur la base de leur origine, de leur objectif, de leur type, de leur champ d’activité, d’exigences uniformes pour leur conception et réglementant les activités de l’organisation pour assurer la sécurité de l’information.
GOST R 53114-2008
3.3 Termes liés aux menaces à la sécurité des informations
3.3.1 menace pour la sécurité des informations de l’organisation ; menace à la sécurité de l’information pour une organisation : ensemble de facteurs et de conditions qui créent un danger de violation de la sécurité de l’information d’une organisation, causant ou pouvant causer des conséquences négatives (dommages/préjudices) pour l’organisation.
Remarques
1 La forme de mise en œuvre (manifestation) d'une menace à la sécurité de l'information est le déclenchement d'un ou plusieurs événements de sécurité de l'information et incidents de sécurité de l'information interdépendants. conduisant à des violations des propriétés de sécurité de l'information des objets protégés de l'organisation.
2 Une menace se caractérise par la présence d'un objet de menace, d'une source de menace et d'une manifestation de la menace.
menace (sécurité de l'information) : ensemble de conditions et de facteurs qui créent un danger potentiel ou réel de violation de la sécurité de l'information.
[GOST R 50922-2006. clause 2.6.1]
3.3.3 modèle de menace (sécurité de l'information): représentation physique, mathématique et descriptive des propriétés ou des caractéristiques des menaces à la sécurité de l'information.
Remarque - un document réglementaire spécial peut être un type de représentation descriptive des propriétés ou des caractéristiques des menaces à la sécurité de l'information.
vulnérabilité (du système d'information) ; violation : Propriété d'un système d'information qui permet de mettre en œuvre des menaces sur la sécurité des informations qui y sont traitées.
Remarques
1 La condition de mise en œuvre d'une menace à la sécurité traitée dans le système d'information peut être une déficience ou une faiblesse du système d'information.
2 Si la vulnérabilité correspond à la menace, alors il existe un risque.
[GOST R 50922-2006. clause 2.6.4]
3.3.5 contrevenant à la sécurité des informations de l’organisation ; contrevenant à la sécurité des informations de l'organisation : individu ou entité logique qui a commis accidentellement ou intentionnellement une action dont la conséquence est une violation de la sécurité des informations de l'organisation.
3.3.6 accès non autorisé : Accès à l'information ou aux ressources d'un système d'information automatisé, effectué en violation des droits (ou) règles d'accès établies.
Remarques
1 L'accès non autorisé peut être intentionnel ou non.
2 Les droits et règles d'accès à l'information et aux ressources du système d'information sont établis pour les processus de traitement de l'information, la maintenance d'un système d'information automatisé et les modifications logicielles. ressources techniques et informationnelles, ainsi que l'obtention d'informations à leur sujet.
3.3.7 attaque de réseau : Actions utilisant des logiciels et (ou) du matériel et utilisant un protocole réseau, visant à mettre en œuvre des menaces d'accès non autorisé à l'information, à l'influencer ou aux ressources d'un système d'information automatisé.
Application - Le protocole réseau est un ensemble de règles sémantiques et syntaxiques qui déterminent l'interaction des programmes de gestion de réseau situés sur le même ordinateur. avec des programmes du même nom situés sur un autre ordinateur.
3.3.8 blocage de l'accès (aux informations) : Résiliation ou difficulté d'accès aux informations des personnes. autorisés à le faire (utilisateurs légitimes).
3.3.9 Attaque par déni de service : Attaque de réseau conduisant au blocage des processus d'information dans un système automatisé.
3.3.10 fuite d'informations : diffusion incontrôlée d'informations protégées à la suite de leur divulgation, d'un accès non autorisé à des informations et de la réception d'informations protégées par des services de renseignement étrangers.
3.3.11 divulgation d'informations : Communication non autorisée d'informations protégées à des personnes. pas autorisé à accéder à ces informations.
GOST R 53114-2008
interception (d'informations) : Réception illégale d'informations à l'aide d'un moyen technique qui détecte, reçoit et traite des signaux informatifs.
(R 50.1.053-2005, paragraphe 3.2.5]
signal informatif : signal dont les paramètres peuvent être utilisés pour déterminer les informations protégées.
[R 50.1.05S-2005. paragraphe 3.2.6]
3.3.14 capacités déclarées : Capacités fonctionnelles du matériel informatique et des logiciels qui ne sont pas décrites ou ne correspondent pas à celles décrites dans la documentation. ce qui peut conduire à une diminution ou à une violation des propriétés de sécurité des informations.
3.3.15 rayonnement et interférence électromagnétiques parasites : rayonnement électromagnétique provenant d'équipements de traitement de l'information technique, survenant comme effet secondaire et provoqué par des signaux électriques agissant dans leurs circuits électriques et magnétiques, ainsi que les interférences électromagnétiques de ces signaux sur les lignes conductrices, les structures et l'alimentation. circuits.
3.4 Termes liés à la gestion de la sécurité de l'information organisationnelle
3.4.1 gestion de la sécurité de l'information de l'organisation ; gestion de l'organisation de la sécurité de l'information; Actions coordonnées pour guider et gérer l'organisation en termes d'assurer la sécurité de ses informations conformément aux conditions changeantes de l'environnement interne et externe de l'organisation.
3.4.2 gestion des risques liés à la sécurité de l'information de l'organisation ; gestion des risques liés à la sécurité de l'information de l'organisation : actions coordonnées pour guider et gérer une organisation en ce qui concerne le risque de sécurité de l'information afin de le minimiser.
NOTE Les processus fondamentaux de gestion des risques consistent à définir le contexte, à évaluer le risque, à traiter et à accepter le risque, à surveiller et à examiner le risque.
système de gestion de la sécurité de l'information; ISMS : partie du système de gestion global. basé sur l’utilisation de méthodes d’évaluation des risques bioénergétiques pour le développement, la mise en œuvre et l’exploitation. surveillance, analyse, support et amélioration de la sécurité de l’information.
NOTE Un système de management comprend une structure organisationnelle, des politiques, des activités de planification, des responsabilités, des pratiques, des procédures, des processus et des ressources.
[GOST R ISO/CEI 27001-2006. paragraphe 3.7]
3.4.4 le rôle de la sécurité de l'information dans l'organisation ; rôle de la sécurité de l'information dans une organisation : ensemble de fonctions et de tâches spécifiques pour assurer la sécurité de l'information d'une organisation qui établissent une interaction acceptable entre un sujet et un objet dans une organisation.
Remarques
1 Les sujets comprennent des personnes parmi les dirigeants de l'organisation, son personnel ou les processus initiés en leur nom pour effectuer des actions sur des objets
2 Les objets peuvent être du matériel, des logiciels, des logiciels et du matériel, ou une ressource d'information sur laquelle des actions sont effectuées.
3.4.5 service de sécurité de l'information d'une organisation : La structure organisationnelle et technique du système de gestion de la sécurité de l'information d'une organisation qui met en œuvre la solution d'une tâche spécifique visant à contrer les menaces à la sécurité de l'information de l'organisation.
3.5 Termes liés à la surveillance et à l'évaluation de la sécurité de l'information d'une organisation
3.5.1 contrôle pour assurer la sécurité des informations de l'organisation ; contrôle des dispositions en matière de sécurité de l'information de l'organisation : vérification de la conformité des dispositions en matière de sécurité de l'information dans l'organisation.
GOST R 53114-2008
3.5.2 surveiller la sécurité de l’information de l’organisation ; Surveillance de la sécurité de l'information de l'organisation : Surveillance constante du processus de sécurité de l'information dans l'organisation afin d'établir sa conformité aux exigences de sécurité de l'information.
3.5.3 audit de la sécurité de l’information de l’organisation ; audit d'une organisation de sécurité de l'information : processus systématique, indépendant et documenté visant à obtenir des preuves des activités de l'organisation pour assurer la sécurité de l'information et établir le degré de respect des critères de sécurité de l'information dans l'organisation, ainsi qu'autoriser la possibilité de former un audit professionnel jugement sur l'état de la sécurité de l'information de l'organisation.
3.5.4 preuves (preuves) de l’audit de sécurité de l’information d’une organisation ; Données d'audit de sécurité des informations organisationnelles : enregistrements, déclarations de faits ou autres informations pertinentes pour les critères d'audit de sécurité des informations de l'organisation et pouvant être vérifiées.
NOTE Les preuves de sécurité des informations peuvent être qualitatives ou quantitatives.
3.5.5 évaluation de la conformité de la sécurité de l’information de l’organisation aux exigences établies ; évaluation de la conformité de la sécurité de l'information d'une organisation avec les exigences établies : activités impliquées dans la détermination directe ou indirecte de la conformité ou de la non-conformité aux exigences établies en matière de sécurité de l'information dans une organisation.
3.5.6 critère d’audit de la sécurité de l’information d’une organisation ; critère d'audit d'une organisation de sécurité de l'information : Un ensemble de principes, dispositions, exigences et indicateurs des documents réglementaires en vigueur* liés aux activités de l'organisation dans le domaine de la sécurité de l'information.
Application - Les critères d'audit de sécurité de l'information sont utilisés pour comparer les éléments probants d'audit de sécurité de l'information avec eux.
3.5.7 certification d'un système automatisé de conception sécurisée : processus de vérification complète de l'exécution des fonctions spécifiées d'un système automatisé de traitement d'informations protégées pour vérifier la conformité aux exigences des normes et/ou des documents réglementaires dans le domaine de l'information. protection et préparation de documents sur sa conformité avec l'exercice de la fonction de traitement des informations protégées dans une installation d'informatisation spécifique.
3.5.8 critère pour assurer la sécurité des informations de l'organisation ; critère de sécurité de l'information de l'organisation : indicateur sur la base duquel le degré de réalisation des objectifs de sécurité de l'information de l'organisation est évalué.
3.5.9 efficacité de la sécurité de l'information ; efficacité de la sécurité de l'information : relation entre le résultat obtenu et les ressources utilisées pour assurer un niveau donné de sécurité de l'information.
3.6 Termes liés aux contrôles de sécurité de l'information d'une organisation
3.6.1 assurer la sécurité des informations de l'organisation ; assurer la sécurité des informations d'une organisation : activités visant à éliminer (neutraliser, contrer) les menaces internes et externes à la sécurité des informations d'une organisation ou à minimiser les dommages résultant de la mise en œuvre éventuelle de telles menaces.
3.6.2 mesure de sécurité ; contrôle de sécurité : pratique, procédure ou mécanisme établi pour gérer les risques.
3.6.3 mesures pour assurer la sécurité des informations ; mesures de sécurité de l'information : ensemble d'actions visant au développement et/ou à l'application pratique de méthodes et de moyens permettant d'assurer la sécurité de l'information.
3.6.4 mesures organisationnelles pour assurer la sécurité de l'information ; mesures organisationnelles pour assurer la sécurité de l'information : Mesures visant à assurer la sécurité de l'information, prévoyant l'établissement de restrictions temporaires, territoriales, spatiales, juridiques, méthodologiques et autres sur les conditions d'utilisation et les modes de fonctionnement d'un objet d'informatisation.
3.6.5 moyens techniques pour assurer la sécurité de l'information ; moyens techniques de sécurité de l'information : Équipement utilisé pour assurer la sécurité de l'information d'une organisation à l'aide de méthodes non cryptographiques.
Remarque - De tels équipements peuvent être représentés par du matériel et des logiciels intégrés à l'objet protégé et/ou fonctionnant de manière autonome (indépendant de l'objet protégé).
GOST R 53114-2008
3.5.6 outil de détection d'intrusion, outil de détection d'attaque : Un outil logiciel ou logiciel-matériel qui automatise le processus de surveillance des événements survenant dans un système informatique ou un réseau, et analyse également de manière indépendante ces événements à la recherche de signes d'un incident de sécurité de l'information.
3.6.7 moyens de protection contre les accès non autorisés : Logiciels, matériels ou logiciels et matériels conçus pour empêcher ou entraver de manière significative les accès non autorisés.
GOST R 53114-2008
Index alphabétique des termes
actifs de l'organisation 3.1.6
analyse des risques 3.2.13
Haut-parleurs en version protégée 3.1.19
attaque par déni de service 3.3.9
attaque réseau 3.3.7
certification d'un système automatisé en version protégée 3.5.7
audit de la sécurité des informations de l’organisation 3.5.3
audit de la sécurité des informations de l’organisation 3.5.3
sécurité (données] 3.1.1
sécurité des informations 3.1.1
sécurité des technologies de l'information 3.1.2
sécurité des informations de l’organisation 3.2.1
bloquer l'accès (à l'information) 3.3.8
violation 3.3.4
capacités non déclarées 3.3.14
données personnelles 3.1.18
accès non autorisé 3.3.6
Sécurité des informations organisationnelles 3.2.1
identification des risques 3.2.12
infrastructure de l'information 3.1.4
incident de sécurité de l'information 3.2.7
source du risque organisationnel en matière de sécurité des informations 3.2.17
source de risque pour la sécurité de l'information de l'organisation 3.2.17
contrôle de la sécurité de l'information de l'organisation 3.5.1
contrôle de la sécurité de l'information de l'organisation 3.5.1
critères pour assurer la sécurité de l'information de l'organisation 3.5.8
critère d’audit du SI organisationnel 3.5.6
critère d'audit de la sécurité de l'information de l'organisation 3.5.6
critère pour assurer la sécurité des informations de l'organisation 3.5.8
gestion de la sécurité de l’information de l’organisation 3.4.1
gestion de la sécurité de l’information de l’organisation 3.4.1
gestion des risques liés à la sécurité de l’information de l’organisation 3.4.2
gestion des risques liés à la sécurité de l’information de l’organisation 3.4.2
mesure de sécurité 3.6.2
mesure de sécurité 3.6.2
mesures de sécurité des informations 3.6.3
mesures organisationnelles de sécurité des informations 3.6.4
mesures de sécurité des informations 3.6.3
mesures organisationnelles de sécurité des informations 3.4.6
modèle de menace (sécurité de l'information) 3.3.3
surveillance de la sécurité des informations de l’organisation 3.5.2
surveillance de la sécurité des informations de l'organisation 3.5.2
violation de la sécurité de l'information de l'organisation 3.2.4
violation de la sécurité de l'information de l'organisation 3.2.4
contrevenant à la sécurité des informations de l'organisation 3.3.5
contrevenant à la sécurité de l'information d'une organisation 3.3.5
support du système d'information automatisé 3.1.12
logiciel de système automatisé 3.1.11
support technique du système automatisé 3.1.10
Support d'information AS 3.1.12
Logiciel CA 3.1.11
Assistance technique CA 3.1.10
assurer la sécurité des informations de l'organisation 3.6.1
assurer la sécurité de l'information de l'organisation 3.6.1
traitement des risques liés à la sécurité de l'information par l'organisation 3.2.15
GOST R 53114-2008
gérer le risque de sécurité de l'information de l'organisation 3.2.1S
objet de protection des informations 3.2.2
objet d'informatisation 3.1.5
objet critique 3.1.16
détermination du niveau de risque acceptable 3.2.14
évaluation des risques 3.2.10
évaluation des risques I6 (organisations) 3.2.11
évaluation des risques liés à la sécurité de l'information (organisation) 3.2.11
évaluer la conformité du SI de l'organisation aux exigences établies 3.5.5
évaluation de la conformité de la sécurité de l'information de l'organisation avec les exigences établies 3.5.5
interception (renseignements) 3.3.12
Politique SI (organisation) 3.2.18
politique de sécurité de l'information (organisation) 3.2.18
processus (technologie de l'information) protégé 3.2.3
processus d'information 3.1.8
divulgation d'informations 3.3.11
ressource du système de traitement de l'information 3.1.7
rôle de la sécurité de l'information dans l'organisation 3.4.4
rôle de la sécurité de l'information 8 dans l'organisation 3.4.4
certificats (preuves) de l'audit SI d'une organisation 3.5.4
preuve (preuve) de l’audit de sécurité de l’information d’une organisation 3.5.4
service 3.1.13
signal informatif 3.3.13
système automatisé sécurisé 3.1.19
système de documents sur la sécurité de l'information dans l'organisation 3.2.20
système de documents sur la sécurité de l'information dans l'organisation 3.2.20
système d’infrastructure d’information clé 3.1.15
système d’infrastructure d’information critique 3.1.15
système de gestion de la sécurité de l'information 3.4.3
système d'information sur les données personnelles 3.1.17
situation imprévue 3.2.5
situation dangereuse 3.2.6
situation d'urgence 3.2.5
service de sécurité de l'information de l'organisation 3.4.6
événement 3.2.8
protection contre les accès non autorisés 3.6.7
outil de sécurité des informations techniques 3.6.5
outil de sécurité des informations techniques 3.6.5
Outil de détection d'attaque 3.6.6
Outil de détection d'intrusion 3.6.6
sphère informationnelle 3.1.3
technologies de l'information 3.1.9
menace (sécurité de l'information) 3.3.2
menace pour la sécurité de l'information de l'organisation 3.3.1
menace pour la sécurité de l'information de l'organisation 3.3.1
gestion des risques 3.2.16
service 3.1.13
services informatiques 3.1.14
Prestations informatiques 3.1.14
fuite d'informations 3.3.10
vulnérabilité (système d'information) 3.3.4
Objectif SI (organisation) 3.2.19
objectif de sécurité de l'information (organisation) 3.2.19
rayonnement électromagnétique et interférences latérales 3.3.15
Efficacité du SI 3.5.9
efficacité de la sécurité de l’information 3.5.9
GOST R 53114-2008
Annexe A (référence)
Termes et définitions de concepts techniques généraux
organisation : Un groupe de travailleurs et de ressources nécessaires avec la répartition des responsabilités, des pouvoirs et des relations.
(GOST R ISO 9000-2001, paragraphe 3.3.1]
Remarques
1 Les organisations comprennent : une société, une société, une firme, une entreprise, une institution, un organisme de bienfaisance, une entreprise de commerce de détail, une association. ainsi que leurs subdivisions ou une combinaison de celles-ci.
2 La distribution est généralement ordonnée.
3 Une organisation peut être publique ou privée.
A.2 entreprise : Activité économique génératrice de profit ; tout type d’activité génératrice de revenus et source d’enrichissement.
Processus métier A.Z : Processus utilisés dans les activités économiques d’une organisation.
information : Informations (messages, données) quelle que soit la forme de leur présentation.
Actifs : Tous. ce qui a de la valeur pour l'organisation. (GOST R ISO/IEC13335-1-2006, paragraphe 2.2(
A.6 ressources : actifs (d'une organisation) qui sont utilisés ou consommés pendant l'exécution d'un processus. Remarques
1 Les ressources peuvent inclure des éléments aussi divers que le personnel, l’équipement, les immobilisations, les outils et les services publics tels que l’énergie, l’eau, le carburant et l’infrastructure des réseaux de communication.
2 Les ressources peuvent être réutilisables, renouvelables ou consommables.
A.7 danger : Propriété d'un objet qui caractérise sa capacité à causer des dommages ou des dommages à d'autres objets. A.8 événement d'urgence : événement conduisant à une situation d'urgence.
A.9 Dommage : Dommage physique ou atteinte à la santé humaine ou atteinte aux biens ou à l'environnement.
A. 10 menace : un ensemble de conditions et de facteurs pouvant entraîner une violation de l'intégrité et de la disponibilité. confidentialité.
A.11 vulnérabilité : Propriétés internes d'un objet qui créent une susceptibilité aux effets d'une source de risque pouvant entraîner certaines conséquences.
A. Attaque 12 : Tentative de s'affranchir du système de sécurité d'un système d'information.
Notes - Le degré de « réussite » d'une attaque dépend de la vulnérabilité et de l'efficacité du système de défense.
A.13 gestion : Activités coordonnées pour la direction et la gestion de l'organisation
A.14 gestion (continuité) des activités : activités coordonnées de gestion et de contrôle
processus d'affaires de l'organisation.
A. 15 rôle : Un ensemble prédéterminé de règles et de procédures pour les activités d'une organisation qui établissent une interaction acceptable entre le sujet et l'objet de l'activité.
propriétaire d'informations : personne qui a créé des informations de manière indépendante ou a reçu, sur la base d'une loi ou d'un accord, le droit d'autoriser ou de restreindre l'accès à des informations déterminées par tout critère.
GOST R 53114-2008
infrastructure : L’ensemble des bâtiments, équipements et services de support nécessaires au fonctionnement d’une organisation.
[GOST R ISO 9000-2001. clause 3.3.3]
A.18 Audit : Processus systématique, indépendant et documenté visant à obtenir des éléments probants et à les évaluer objectivement afin de déterminer dans quelle mesure les critères d'audit convenus ont été remplis.
Remarques
1 Les audits internes, appelés audits de première partie, sont réalisés à des fins internes par l'organisation elle-même ou en son nom par une autre organisation. Les résultats de l'audit interne peuvent servir de base à une déclaration de conformité. Dans de nombreux cas, notamment dans les petites entreprises, l'audit doit être réalisé par des spécialistes (des personnes qui ne sont pas responsables de l'activité auditée).
NOTE 2 Les audits externes comprennent les audits appelés audits de seconde partie et audits de tierce partie. Les audits de seconde partie sont effectués par exemple par des parties intéressées par les activités de l'entreprise.
consommateurs ou autres en leur nom. Les audits tiers sont effectués par des organismes externes indépendants. Ces organisations effectuent une certification ou un enregistrement pour vérifier le respect des exigences, par exemple les exigences de GOST R ISO 9001 et GOST R ISO 14001.
3 Un audit des systèmes de management de la qualité et de l'environnement réalisé simultanément est appelé « audit global ».
4 Si l'audit de l'organisme audité est effectué simultanément par plusieurs organismes, alors un tel audit est appelé « audit conjoint ».
A.19 surveillance : Surveillance systématique ou continue d'un objet, assurant le contrôle et/ou la mesure de ses paramètres, ainsi que la réalisation d'analyses pour prédire la variabilité des paramètres et prendre des décisions sur la nécessité et la composition des actions correctives et préventives.
déclaration de conformité : Une forme de confirmation de la conformité du produit aux exigences des règlements techniques.
Technologie A.21 : Un système de méthodes, méthodes, techniques d'activité objective interconnectées. A.22
document : Information enregistrée sur un support tangible avec des détails permettant de l'identifier.
[GOST R 52069.0-2003. paragraphe 3.18]
A.23 traitement de l'information : Ensemble des opérations de collecte, d'accumulation, de saisie, de sortie, de réception, de transmission, d'enregistrement, de stockage, d'enregistrement, de destruction, de transformation, d'affichage, effectuées sur l'information.
GOST R 53114-2008
Annexe B (pour référence)
La relation des concepts de base dans le domaine de la sécurité de l'information dans une organisation
La relation entre les concepts de base est illustrée à la Figure B.1.
Figure B.1 - relation entre les concepts de base
GOST R 53114-2008
Bibliographie
(1] R 50.1.053-2005
(2]PS0.1.056-2005
Informatique. Termes et définitions de base dans le domaine de la sécurité de l'information technique. Sécurité de l'information technique. Termes et définitions de base
À propos de la réglementation technique
À propos de l'information, des technologies de l'information et de la protection de l'information
À propos des données personnelles
Doctrine de sécurité de l'information de la Fédération de Russie
UDC 351.864.1:004:006.354 OKS 35.020 LLP
Mots clés : information, sécurité de l'information, sécurité de l'information dans une organisation, menaces pour la sécurité de l'information, critères de sécurité de l'information
L'éditeur V.N. Cops soja Rédacteur technique V.N. Prusakova Correcteur V.E. Nestorovo Logiciel informatique I.A. NapeikinoO
Livré pour recrutement le 11/06/2009. Cachet signé le 12/01/2009. Format 60"84 Papier offset. Police Arial. Impression offset. Usp. four l. 2.32. Uch.-éd. l. 1,90. Tirage 373 »kz. Zach. 626
FSUE "STANDARTINFORM*. 123995 Moscou. Grenade por.. 4. info@goslmlo gi
Tapé dans FSUE "STANDARTINFORM" sur un PC.
Imprimé à la succursale de la FSUE "STANDARTINFORM* - type. "Imprimante de Moscou". 105062 Moscou. Voie Lyalin.. 6.
- GOST 22731-77 Systèmes de transmission de données, procédures de contrôle de liaison de données en mode principal pour l'échange d'informations semi-duplex
- GOST 26525-85 Systèmes de traitement des données. Métriques d'utilisation
- GOST 27771-88 Caractéristiques procédurales à l'interface entre l'équipement terminal de données et l'équipement de terminaison de canal de données. Exigences et normes générales
- GOST 28082-89 Systèmes de traitement de l'information. Méthodes de détection des erreurs dans la transmission de données en série
- GOST 28270-89 Systèmes de traitement de l'information. Spécification du fichier de description des données pour l’échange d’informations
- GOST R 43.2.11-2014 Support d'information pour les activités de l'équipement et de l'opérateur. Langue de l'opérateur. Présentation structurée des informations textuelles dans des formats de message
- GOST R 43.2.8-2014 Support d'information pour les activités de l'équipement et de l'opérateur. Langue de l'opérateur. Formats de messages pour les activités techniques
- GOST R 43.4.1-2011 Support d'information pour les activités de l'équipement et des opérateurs. Système « Homme-information »
- GOST R 53633.10-2015 Technologies de l'information. Réseau de contrôle des télécommunications. Carte des activités de l'organisation des communications étendues (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Gestion de l'organisation. Gestion des risques organisationnels
- GOST R 53633.11-2015 Technologies de l'information. Réseau de contrôle des télécommunications. Diagramme d'activité de l'organisation de communication étendue (eTOM) Décomposition et descriptions des processus. Processus eTOM niveau 2. Gestion de l'organisation. Gestion de la performance organisationnelle
- GOST R 53633.4-2015 Technologies de l'information. Réseau de contrôle des télécommunications. Carte des activités de l'organisation des communications étendues (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Activité principale. Gestion et exploitation des services
- GOST R 53633.7-2015 Technologies de l'information. Réseau de contrôle des télécommunications. Carte des activités de l'organisation des communications étendues (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Stratégie, infrastructure et produit. Développement et gestion des ressources
- GOST R 53633.9-2015 Technologies de l'information. Réseau de contrôle des télécommunications. Carte des activités de l'organisation des communications étendues (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Gestion de l'organisation. Stratégie de planification et développement de l'organisation
- GOST R 55767-2013 Technologie de l'information. Cadre européen de compétences en TIC 2.0. Partie 1. Cadre européen commun de compétences pour les professionnels des TIC pour tous les secteurs industriels
- GOST R 55768-2013 Technologie de l'information. Modèle d'un système de grille ouvert. Dispositions de base
- GOST R 56093-2014 Protection des informations. Systèmes automatisés dans une conception sécurisée. Moyens pour détecter les influences électromagnétiques de force intentionnelle. Exigences générales
- GOST R 56115-2014 Protection des informations. Systèmes automatisés dans une conception sécurisée. Moyens de protection contre les influences électromagnétiques de force intentionnelle. Exigences générales
- GOST R 56545-2015 Protection des informations. Vulnérabilités des systèmes d'information. Règles de description des vulnérabilités
- GOST R 56546-2015 Protection des informations. Vulnérabilités des systèmes d'information. Classification des vulnérabilités des systèmes d'information
- GOST IEC 60950-21-2013 Équipement informatique. Exigences de sécurité. Partie 21. Alimentation à distance
- GOST IEC 60950-22-2013 Équipement informatique. Exigences de sécurité. Partie 22. Équipement destiné à être installé à l'extérieur
- GOST R 51583-2014 Protection des informations. La procédure de création de systèmes automatisés dans une conception sécurisée. Dispositions générales
- GOST R 55766-2013 Technologie de l'information. Cadre européen de compétences en TIC 2.0. Partie 3. Création de l'e-CF - combinant fondements méthodologiques et expérience d'experts
- GOST R 55248-2012 Sécurité électrique. Classification des interfaces pour les équipements connectés aux réseaux des technologies de l'information et de la communication
- GOST R 43.0.11-2014 Support d'information pour les activités de l'équipement et de l'opérateur. Bases de données dans les activités techniques
- GOST R 56174-2014 Technologies de l'information. Architecture de services d'un environnement Grid ouvert. Termes et définitions
- GOST IEC 61606-4-2014 Équipement audio et audiovisuel. Composants d'équipement audio numérique. Méthodes de base pour mesurer les caractéristiques sonores. Partie 4. Ordinateur personnel
- GOST R 43.2.5-2011 Support d'information pour les activités de l'équipement et des opérateurs. Langue de l'opérateur. Grammaire
- GOST R 53633.5-2012 Technologies de l'information. Réseau de contrôle des télécommunications. Carte des activités de l'organisation des communications étendues (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Stratégie, infrastructure et produit. Gestion du marketing et de l'offre produit
- GOST R 53633.6-2012 Technologies de l'information. Réseau de contrôle des télécommunications. Carte des activités de l'organisation des communications étendues (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Stratégie, infrastructure et produit. Développement et gestion de services
- GOST R 53633.8-2012 Technologies de l'information. Réseau de contrôle des télécommunications. Carte des activités de l'organisation des communications étendues (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Stratégie, infrastructure et produit. Développement et gestion de la chaîne d'approvisionnement
- GOST R 43.0.7-2011 Support d'information pour les activités de l'équipement et de l'opérateur. Interaction homme-information hybridée et intellectualisée. Dispositions générales
- GOST R 43.2.6-2011 Support d'information pour les activités de l'équipement et de l'opérateur. Langue de l'opérateur. Morphologie
- GOST R 53633.14-2016 Technologies de l'information. Le réseau de gestion des télécommunications est un cadre opérationnel d'organisation des communications étendu (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Gestion de l'organisation. Gestion des parties prenantes et des relations extérieures
- GOST R 56938-2016 Protection des informations. Protection des informations lors de l'utilisation des technologies de virtualisation. Dispositions générales
- GOST R 56939-2016 Protection des informations. Développement de logiciels sécurisés. Exigences générales
- GOST R ISO/IEC 17963-2016 Spécification des services Web pour la gestion (WS-management)
- GOST R 43.0.6-2011 Support d'information pour les activités de l'équipement et de l'opérateur. Interaction homme-information naturellement intellectualisée. Dispositions générales
- GOST R 54817-2011 Allumage d'équipements audio, vidéo, informatiques et de communication provoqué accidentellement par la flamme d'une bougie
- GOST R IEC 60950-23-2011 Équipement informatique. Exigences de sécurité. Partie 23. Équipement pour stocker de gros volumes de données
- GOST R IEC 62018-2011 Consommation d'énergie des équipements informatiques. Méthodes de mesure
- GOST R 53538-2009 Câbles multipaires avec conducteurs en cuivre pour circuits d'accès à large bande. Exigences techniques générales
- GOST R 53633.0-2009 Technologies de l'information. Réseau de contrôle des télécommunications. Schéma étendu d'activités d'organisation de la communication (eTOM). Structure générale des processus métier
- GOST R 53633.1-2009 Technologie de l'information. Réseau de contrôle des télécommunications. Schéma étendu d'activités d'organisation de la communication (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Activité principale. Gestion des relations avec les fournisseurs et partenaires
- GOST R 53633.2-2009 Technologies de l'information. Réseau de contrôle des télécommunications. Schéma étendu d'activités d'organisation de la communication (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Activité principale. Gestion et exploitation des ressources
- GOST R 53633.3-2009 Technologie de l'information. Réseau de contrôle des télécommunications. Schéma étendu d'activités d'organisation de la communication (eTOM). Décomposition et descriptions des processus. Processus eTOM niveau 2. Activité principale. Gestion de la relation client
- GOST R ISO/IEC 20000-2-2010 Technologies de l'information. La gestion des services. Partie 2 : Code de bonnes pratiques
- GOST R 43.0.3-2009 Support d'information pour les activités de l'équipement et de l'opérateur. Technologie du midi dans les activités techniques. Dispositions générales
- GOST R 43.0.4-2009 Support d'information pour les activités de l'équipement et de l'opérateur. Informations sur les activités techniques. Dispositions générales
- GOST R 43.0.5-2009 Support d'information pour les activités de l'équipement et de l'opérateur. Processus d'échange d'informations dans les activités techniques. Dispositions générales
- GOST R 43.2.1-2007 Support d'information pour les activités de l'équipement et des opérateurs. Langue de l'opérateur. Dispositions générales
- GOST R 43.2.2-2009 Support d'information pour les activités de l'équipement et de l'opérateur. Langue de l'opérateur. Dispositions générales d'utilisation
- GOST R 43.2.3-2009 Support d'information pour les activités de l'équipement et des opérateurs. Langue de l'opérateur. Types et propriétés des composants emblématiques
- GOST R 43.2.4-2009 Support d'information pour les activités de l'équipement et des opérateurs. Langue de l'opérateur. Syntaxe des composants du signe
- GOST R 52919-2008 Technologie de l'information. Méthodes et moyens de protection physique. Classification et méthodes d'essais pour la résistance au feu. Salles de données et conteneurs
- GOST R 53114-2008 Protection des informations. Assurer la sécurité des informations dans l'organisation. Termes et définitions de base
- GOST R 53245-2008 Technologies de l'information. Systèmes de câbles structurés. Installation des principaux composants du système. Méthodes d'essai
- GOST R 53246-2008 Technologies de l'information. Systèmes de câbles structurés. Conception des principaux composants du système. Exigences générales
- GOST R IEC 60990-2010 Méthodes de mesure du courant de contact et du courant du conducteur de protection
- GOST 33707-2016 Technologies de l'information. Dictionnaire
- GOST R 57392-2017 Technologies de l'information. La gestion des services. Partie 10. Concepts de base et terminologie
- GOST R 43.0.13-2017 Support d'information pour les activités de l'équipement et de l'opérateur. Formation dirigée de spécialistes
- GOST R 43.0.8-2017 Support d'information pour les activités de l'équipement et de l'opérateur. Interaction homme-information artificiellement intellectualisée. Dispositions générales
- GOST R 43.0.9-2017 Support d'information pour les activités de l'équipement et de l'opérateur. Ressources d'information
- GOST R 43.2.7-2017 Support d'information pour les activités de l'équipement et des opérateurs. Langue de l'opérateur. Syntaxe
- GOST R ISO/IEC 38500-2017 Technologies de l'information. Gestion stratégique de l'informatique dans une organisation
- GOST R 43.0.10-2017 Support d'information pour les activités de l'équipement et de l'opérateur. Objets informationnels, conception orientée objet dans la création d'informations techniques
- GOST R 53633.21-2017 Technologies de l'information. Réseau de contrôle des télécommunications. Schéma étendu d'activités d'organisation de la communication (eTOM). Décomposition et descriptions des processus. Activité principale. Gestion et exploitation des services. Processus eTOM niveau 3. Processus 1.1.2.1 - Prise en charge et disponibilité des processus SM&O
- GOST R 57875-2017 Télécommunications. Schémas de connexion et mise à la terre dans les centres de télécommunications
- GOST R 53633.22-2017 Technologies de l'information. Réseau de contrôle des télécommunications. Schéma étendu d'activités d'organisation de la communication (eTOM). Décomposition et descriptions des processus. Activité principale. Gestion et exploitation des services. Processus eTOM niveau 3. Processus 1.1.2.2 - Configuration et activation des services