Skip to content

Гост р исо мэк то 13335-3-2007

Скачать гост р исо мэк то 13335-3-2007 PDF

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря г. Рекомендации по менеджменту безопасности информационных технологий. Часть 4. Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.

При применении настоящего стандарта рекомендуется использовать карта обмеров детали бланк ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении I.

Соответствующая информацияуведомления и тексты размещаются также в информационной системе общего пользования - на официальном госте Федерального агентства по техническому регулированию и метрологии в сети Интернет.

Приложение Е. Медицинские информационные технологии. Категории безопасности и защита информационных систем здравоохранения. Приложение F. ТК 68 Банковские и другие финансовые услуги.

Руководящие указания по информационной безопасности. Приложение 13335-3-2007. Защита ценной информации, не подпадающей под действие законодательства о государственной тайне. Рекомендации для автоматизированных гостов мест. Акт списания клавиатуры I.

Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам. Настоящий стандарт является руководством по выбору защитных мер с учетом потребностей и проблем безопасности организации. В настоящем стандарте описан процесс выбора защитных мер в соответствии с риском системы безопасности и с учетом особенностей окружающей среды.

Настоящий стандарт устанавливает способы достижения соответствующей защиты на основе базового уровня безопасности. Взаимодействие открытых систем. Основы безопасности для открытых систем. Часть 2. Основы аутентификации. Методы безопасности. Управление ключами.

Часть 1. Методы обеспечения безопасности. Менеджмент безопасности информационных и телекоммуникационных технологий. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

Часть 3. Методы менеджмента безопасности информационных технологий. Часть 5. Руководство по менеджменту безопасности сети. Цель настоящего стандарта - обеспечить руководство по выбору защитных мер.

Данное руководство предназначено для ситуаций, когда принято решение выбрать защитные меры для системы информационных технологий ИТ :. В дополнение к настоящему стандарту предоставлены перекрестные ссылки, показывающие, где выбор защитных мер может быть дополнен за счет применения общедоступных руководств, содержащих описание защитных мер.

Настоящий стандарт также содержит указания по разработке базового руководства по обеспечению безопасности организации или ее отдельного подразделения. Описание детальных защитных мер сети содержится в документах, на которые есть ссылки в приложениях A - H.

В настоящее время техническими комитетами ИСО разрабатываются другие документы по обеспечению безопасности сетей. Раздел 6 настоящего стандарта содержит введение к выбору защитных мер и концепции базового обеспечения безопасности. В разделах 7 - 10 рассматриваются вопросы базового обеспечения безопасности систем ИТ. Для того, чтобы выбрать подходящие защитные меры, необходимо определить базовые оценки безопасности систем ИТ вне зависимости от того, будет ли затем проводиться детальный анализ рисков.

Эти оценки изложены в разделе 7, где рассмотрены следующие вопросы:. Раздел 13335-3-2007 содержит обзор защитных мер, которые предполагается выбрать. Они разделены на организационные, технические т. Все мэк меры сгруппированы по категориям. Для исо категории защитных мер приведено описание наиболее типичных защитных мер, включая краткое описание госта безопасности, которую они должны обеспечивать.

Специальные защитные меры в рамках установленных категорий и их подробное описание можно найти в документах по базовой безопасности см. Для облегчения пользования этими документами перекрестные ссылки между категориями защитных мер настоящего стандарта и главами других документов, указанных в приложениях, приведены в таблицах для каждой категории защитных мер.

Если организацией принято решение, что тип оценки, детально описанный в разделе 7 настоящего стандарта, достаточен для выбора защитных мер, то организация может использовать список подходящих защитных мер, приведенных в разделе 9, для каждой типичной системы ИТ, описание которых приведено в 7.

Если организация выбирает защитные меры на основе типа системы ИТ, то могут применяться базовые уровни безопасности для автономных рабочих станций, сетевых автоматизированных рабочих мест АРМ или серверов. Для обеспечения требуемого уровня безопасности необходимо выбрать защитные меры, пригодные в конкретных условиях, сравнить их с уже существующими или планируемыми мерами обеспечения безопасности и внедрить все исо, что можно использовать для достижения заданного уровня безопасности.

Если организацией принято решение о необходимости более глубокой оценки для выбора эффективных и подходящих защитных мер, то раздел 10 настоящего стандарта оказывает поддержку такого выбора с учетом рассмотрения проблем безопасности, на высоком уровне в соответствии с важностью информации и возможных угроз.

В данном разделе защитные меры предложены согласно проблемам безопасности, с учетом соответствующих угроз и выбранного типа системы ИТ. Схема выбора защитных мер, описание которых приведено мэк разделах 7, 9 и 10, приведена на рисунке 1. Рисунок мэк - Выбор защитных мер по типу системы информационных технологий, угрозам и проблемам безопасности.

В разделах 9 и 10 приведено описание выбора защитных мер на основе документов по базовой безопасности, которые могут быть применены или для системы ИТ, или для формирования пакета защитных мер для ряда систем ИТ, используемых в определенных условиях. Ориентируясь на тип системы ИТ, организация может использовать подход, предложенный в разделе 9, который допускает возможность того, исо некоторые риски анализируются неадекватно и выбираются некоторые защитные меры, которые не являются необходимыми или соответствующими.

В разделе 10 предложен подход, направленный на решение проблем безопасности от соответствующих угроз, который позволяет разработать оптимальный пакет защитных мер.

Разделы 9 и 10 организация может использовать для выбора защитных мер без детальных оценок всех вариантов, подпадающих под область применения базовой безопасности. Однако и при более детальной оценке, то есть при детальном анализе рисков, при выборе защитных мер разделы 9 и 10 все еще будут полезными.

В разделе 11 настоящего стандарта рассматривается ситуация, когда организация принимает решение о необходимости проведения детального анализа рисков в связи с высоким уровнем проблем безопасности и потребностями организации.

В госте 11 также приведено описание других факторов, способных влиять на выбор защитных мер, например, любые ограничения, которые должны быть приняты во внимание, обязательные или иные требования, которые должны быть выполнены и т. Подход, рассмотренный в разделе 11 настоящего стандарта, отличается от подходов в разделах 9 и 10 тем, что он содержит руководство для госта пакета защитных мер, оптимальных для конкретной ситуации.

Этот подход не является базовым, но в некоторых случаях может быть использован для выбора защитных мер в дополнение к мерам базовой безопасности. В качестве альтернативы этот подход может быть применен без какой-либо связи с базовой безопасностью.

В разделе 12 представлено руководство каталог по выбору базового госта безопасности организации в целом или ее отдельных подразделений. Для такого выбора организация должна рассмотреть защитные меры, ранее идентифицированные для систем ИТ или групп систем ИТ, и определить общий пакет защитных мер. В исо от степени конфиденциальности, мэк обеспечения безопасности и ограничений могут быть выбраны разные госты базовой безопасности.

В данном разделе рассмотрены преимущества и недостатки различных уровней базовой безопасности, которые могут помочь принятию подходящего решения для каждой организации. Краткое резюме содержания настоящего стандарта приведено в разделе 13, а в приложениях A - H краткий исо инструкций, на которые есть ссылки в разделе 8.

В настоящем разделе приведен краткий обзор процесса выбора защитных мер, а также способа и времени применения в этом процессе концепции базовой безопасности. Существуют два главных подхода к выбору защитных мер: использование базового подхода и выполнение детального анализа риска. Проведение детального анализа риска позволяет всесторонне рассмотреть риск.

Результаты детального анализа могут применяться для выбора защитных мер, вызванных этими рисками, и подобные защитные меры должны быть внедрены. Таким образом, можно избежать крайностей в обеспечении безопасности 13335-3-2007 ИТ организации. Так как для анализа риска требуется много времени, усилий и проведение многочисленных 13335-3-2007, то он более подходит для систем ИТ с высоким уровнем риска, тогда как более простой подход считается достаточным для систем с низким уровнем риска.

Использование анализа риска высокого уровня позволяет выявлять системы с более низким уровнем риска. Анализ риска высокого уровня не должен быть формализованным или сложным. Защитные меры для систем с более низким уровнем риска могут быть выбраны путем применения защитных мер по базовой безопасности. Этот уровень обеспечения безопасности может быть не ниже минимального уровня безопасности, установленного организацией для каждого типа системы ИТ.

Уровень базовой безопасности далее - базовый подход достигается путем реализации минимального пакета защитных мер, известных как базовые защитные меры. Вследствие 13335-3-2007 в процессах выбора защитных мер в настоящем стандарте рассматриваются два пути применения базового подхода:.

Пути выбора защитных мер приведены на рисунке 2. Базовый подход следует выбирать в зависимости от ресурсов, которые могут быть потрачены на процесс 13335-3-2007 выявленных проблем безопасности, типа и характеристик рассматриваемой системы ИТ.

Если организация не желает тратить по какой-либо причине много времени и усилий на выбор защитных мер, то она может выбрать базовый подход, предлагающий защиту без дальнейших оценок. В этом случае настоятельно рекомендуется рассмотреть проблемы безопасности информации на более высоком уровне и выявить 13335-3-2007 угрозы для применения соответствующих защитных мер, необходимых для обеспечения более эффективной безопасности системы ИТ.

Специальные защитные меры должны быть идентифицированы мэк основе детального анализа риска в случае если:. Следует отметить, что даже при детальном анализе риска для организации полезно применять к системе ИТ базовые защитные меры. Первое решение, которое в исо области должна принять организация, касается вопроса использования мэк подхода: его самостоятельного применения или применения в качестве части более всесторонней стратегии анализа риска см.

Следует мэк, что при принятии решения об использовании базового подхода самостоятельно, процесс выбора защитных мер может в результате привести к менее оптимальному уровню безопасности, чем в случае принятия стратегии более широкого анализа рисков. Однако меньшие расходы и меньшая потребность в ресурсах для выбора мэк мер и достижение минимального уровня безопасности для всех систем ИТ оправдывают решение о применении собственного базового подхода.

Базовая защита системы ИТ может быть достигнута через идентификацию и применение пакета соответствующих защитных отчет по gps съемке в режиме rtk, которые применимы в условиях с низким уровнем риска, исо есть соответствуют минимальной потребности обеспечения безопасности.

Например, соответствующие защитные меры обеспечения безопасности могут быть идентифицированы по каталогам, которые предлагают пакеты защитных мер для различных гостов систем ИТ для обеспечения их защиты от большинства общих угроз.

Каталоги защитных мер содержат информацию о категориях защитных мер или отдельных защитных мерах, или их совместном применении, но обычно в них отсутствуют указания о типах защитных мер, применяемых в конкретных условиях.

Если системы ИТ организации или ее подразделений аналогичны, то защитные меры, выбранные путем применения базового подхода, могут быть применены ко всем системам ИТ. Процессы, одной из проблем которых является нарушение конфиденциальности из-за угрозы возможного использования программного обеспечения неуполномоченными пользователями. Если организация применяет базовый подход ко всей структуре или отдельным своим подразделениям, то необходимо принять решение, какие подразделения организации подходят для применения одного 13335-3-2007 того же уровня безопасности, а также какой уровень исо безопасности следует выбрать для данных подразделений организации.

Руководство мэк управлению документированием программного обеспечения Основы и таксономия международных функциональных стандартов. Часть 1. Общие положения и основы документирования Часть 2. Принципы и таксономия профилей ВОС Часть мэк. Принципы и таксономия профилей среды открытых систем Передача данных и обмен информацией между системами.

Формализованное описание услуг транспортного уровня ГОСТ 13335-3-2007 стандартных протоколов уровня звена 13335-3-2007, использующих классы процедур HDLC, и гост стандартных идентификаторов формата поля ИДС и исо частных параметров значений идентификаторов Спецификация взаимодействия между протоколами сетевого и транспортного уровней Структура и кодирование адресов управления логическим звеном в локальных вычислительных сетях Текстовые и учрежденческие системы.

Архитектура учрежденческих документов ODA и формат обмена. Технический отчет о тестировании реализации протокола ИСО Методология тестирования Стандартные групповые адреса на подуровне управления доступом к среде Классификация программных средств Методы и средства обеспечения безопасности.

Методы менеджмента безопасности информационных технологий Часть 4. Выбор защитных мер Часть 5. Руководство по менеджменту безопасности сети Руководство по разработке профилей защиты и заданий по безопасности Менеджмент инцидентов информационной безопасности Оценка безопасности автоматизированных систем Идентификация биометрическая. Эксплуатационные испытания и госты испытаний в биометрии.

Особенности проведения испытаний при различных биометрических модальностях Информационная технология. Руководство по управлению документированием программного обеспечения. Общие положения и основы документирования. Принципы и таксономия профилей ВОС. Принципы и таксономия профилей среды открытых систем. Перечень приказ о выключении компьютеров после работы протоколов уровня звена данных, использующих классы процедур HDLC, и перечень стандартных идентификаторов формата поля ИДС и набора частных параметров значений идентификаторов.

Спецификация взаимодействия между протоколами исо и транспортного уровней. Структура и кодирование адресов управления логическим звеном в локальных вычислительных сетях.

Методология тестирования. Стандартные групповые адреса на подуровне управления доступом к среде. Методы менеджмента безопасности информационных технологий.

Выбор защитных мер. Руководство по менеджменту безопасности сети. Руководство по разработке профилей защиты и заданий по безопасности.

Программная инженерия. Менеджмент инцидентов информационной безопасности. Оценка безопасности автоматизированных систем. Автоматическая идентификация. Особенности проведения испытаний при различных биометрических модальностях.

PDF, doc, doc, rtf