Присоединяйтесь!
Зарегистрированных пользователей портала: 505 290. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. ЧАСТЬ 1. КОНЦЕПЦИЯ И МОДЕЛИ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ И ТЕЛЕКОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ. ГОСТ Р ИСО/МЭК 13335-1-2006" (утв. Приказом Ростехрегулирования от 19.12.2006 N 317-ст)

Дата документа19.12.2006
Статус документаДействует
МеткиСтандарт · Приказ · Гост р · Исо/мэк

    

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

Информационная технология

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

Часть 1

 

Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

 

Information technology. Security techniques. Part 1. Concepts and models for information and communications technology security management

 

ГОСТ Р ИСО/МЭК 13335-1-2006

 

Группа Т00

 

ОКС 13.110

 

35.020

 

Дата введения 2007-06-01

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
 

Сведения о стандарте

 
    1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "ЛИНС-М" (ООО "Линс-М") на основе собственного аутентичного перевода стандарта, указанного в пункте 4, а также Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ ГНИИИ ПТЗИ ФСТЭК России)
    2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"
    3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2006 г. N 317-ст
    4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 13335-1:2004. "Информационная технология. Методы обеспечения безопасности. Менеджмент безопасности информационных и телекоммуникационных технологий. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ISO/IEC 13335-1:2004 "Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management").
    Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (пункт 3.5)
    5 ВВЕДЕН ВПЕРВЫЕ
    Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
    ВНЕСЕНА поправка, опубликованная в ИУС N 7, 2007 год
    Поправка внесена изготовителем базы данных
 

1 Область применения

 
    Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.
    Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. Настоящий стандарт не разрабатывает конкретных подходов к управлению безопасностью.
 

2 Термины и определения

 
    В настоящем стандарте применены термины по ИСО/МЭК 17799, ИСО/МЭК 13335-4, а также следующие термины с соответствующими определениями:
    2.1 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта. [ИСО/МЭК 7498-2]
    2.2 активы (asset): Все, что имеет ценность для организации.
    2.3 аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
    Примечание - Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.
    2.4 доступность (availability): Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. [ИСО/МЭК 7498-2]
    2.5 базовые защитные меры (baseline controls): Минимальный набор защитных мер, установленный для системы или организации.
    2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. [ИСО/МЭК 7498-2]
    2.7 контроль (control): -
    Примечание - В контексте безопасности информационно-телекоммуникационных технологий термин "контроль" может считаться синонимом "защитной меры" (см. 2.24).
    2.8 рекомендации (guidelines): Описание, поясняющее действия и способы их выполнения, необходимые для достижения установленных целей.
    2.9 воздействие (impact): Результат нежелательного инцидента информационной безопасности.
    2.10 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
    Примечание - Инцидентами информационной безопасности являются:
    - утрата услуг, оборудования или устройств;
    - системные сбои или перегрузки;
    - ошибки пользователей;
    - несоблюдение политик или рекомендаций;
    - нарушение физических мер защиты;
    - неконтролируемые изменения систем;
    - сбои программного обеспечения и отказы технических средств;
    - нарушение правил доступа.
    2.11 безопасность информационно-телекоммуникационных технологий (безопасность ИТТ) (ICT security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий.
    2.12 политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) (ICT security policy): Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.