|
ФЕДЕРАЛЬНОЕ АГЕНТСТВО |
||
|
|
НАЦИОНАЛЬНЫЙ СТАНДАРТ российской ФЕДЕРАЦИИ |
ГОСТ Р 53131- 2008 (ИСО/МЭК ТО 24762:2008) |
Защита информации
РЕКОМЕНДАЦИИ ПО УСЛУГАМ
ВОССТАНОВЛЕНИЯ ПОСЛЕ ЧРЕЗВЫЧАЙНЫХ
СИТУАЦИЙ ФУНКЦИЙ И МЕХАНИЗМОВ
БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ
И ТЕЛЕКОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ
Общие положения
ISO/IEC TR 24762:2008
Information technology - Security techniques - Guidelines for
information and communications technology
disaster recovery services
(MOD)
|
|
Москва Стандартинформ 2011 |
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»
Сведения о стандарте
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») и Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России») на основе аутентичного перевода на русский язык стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации № 362 «Защита информации»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. № 533-ст
4 Настоящий стандарт является модифицированным по отношению к международному стандарту ИСО/МЭК ТО 24762-2008 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по услугам по восстановлению информационно-коммуникационных технологий после бедствий» (ISO/IEC TR 24762:2008 «Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services») путем введения дополнительных положений и изменения его структуры, обоснование которых приведено во введении к настоящему стандарту
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5)
6 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемом информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Содержание
|
1 Область применения 2 Нормативные ссылки 3 Термины, определения и сокращения 4 Восстановление и обеспечение информационной безопасности информационных и телекоммуникационных систем организации при чрезвычайной ситуации и обеспечение непрерывности деятельности организации 4.1 Общая информация 4.2 Аспекты обеспечения условий непрерывности в информационной сфере организации 4.3 Роль совета директоров и исполнительных органов организации 4.4 Идентификация недостатков 4.5 Непрерывность сервисов в изменяющейся среде и обеспечение информационной безопасности информационных и телекоммуникационных систем 5 Понимание рисков непрерывности и их влияния на цели деятельности организации и восстановление защитных мер обеспечения информационной безопасности информационных и телекоммуникационных систем 6 Восстановление после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий 6.1 Организационная основа 6.2 Вопросы системы менеджмента информационной безопасности организации и менеджмента непрерывности бизнеса 6.3 Восстановление и обеспечение функционирования процессов системы менеджмента информационной безопасности организации и защитных мер информационной безопасности при чрезвычайных ситуациях Приложение А (обязательное) Восстановление информационно-коммуникационных технологий после чрезвычайной ситуации Приложение В (обязательное) Средства восстановления информационно-коммуникационных технологий после чрезвычайной ситуации Приложение С (обязательное) Выбор площадок для восстановления Приложение ДА (справочное) Сведения о соответствии ссылочных национальных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте Приложение ДБ (справочное) Терминологические статьи международного стандарта ИСО/МЭК ТО 24762, которые применены в настоящем стандарте с модификацией их содержания Приложение ДВ (справочное) Сопоставление структуры настоящего стандарта со структурой международного стандарта ИСО/МЭК ТО 24762 Библиография
|
Введение
Основное конкурентное преимущество любого современного бизнеса лежит в его информационной сфере. Конкурентное преимущество имеет тот, кто быстрее, точнее и на более длительный срок прогнозирует развитие тех или иных направлений деятельности или возможных проблем и рисков, потребностей бизнеса; кто быстрее и адекватнее реагирует на значимые для деятельности организации события и способен извлекать пользу (преимущества) даже из неблагоприятных ситуаций.
Для реализации вышеупомянутых условий обеспечения конкурентного преимущества требуется высокоорганизованная, высокотехнологичная и автоматизированная информационная сфера, в которой должны поддерживаться эффективные процессы. Такая информационная сфера, основанная только на глобальных данных (ранее - преимущественно на локальных), будет более уязвимой. Однако с точки зрения бизнеса основной причиной уязвимости информационной сферы является неопределенность состояния ее информационной базы, создающая иногда значительную стохастическую составляющую (риски) бизнеса. Понесенные потери могут иметь естественные причины, не связанные с нарушениями безопасности.
Подразделение организации, обеспечивающее ее безопасность, не может и не должно отвечать за все. Такой «привилегией» обладает только высшее руководство организации, и все ошибки - организационные, управленческие, ошибки в результате неадекватной и неэффективной деятельности - являются ошибками системы корпоративного управления организаций. Все остальные подразделения организации разделяют общую ответственность в объеме определенной им конкретной деятельности, в том числе и в части обеспечения безопасности. Область ответственности подразделения безопасности организации - злонамеренная активность, негативно влияющая на цели бизнеса, а самая сложная ее задача - противодействие злонамеренному использованию стохастичности бизнеса, то есть противодействие скрытому, невидимому злоумышленнику.
Одна из важнейших задач подразделения безопасности - формализация собственной деятельности в рамках организации (корпорации), т.е. определение совместно с высшим руководством организации роли и ответственности подразделения безопасности в организации. Роль подразделения безопасности должна определяться совокупностью процессов, которые это подразделение будет поддерживать, и механизмов включения этих процессов в общее корпоративное управление, поддержки этих процессов правами (каналами влияния на объект и степенью влияния), ресурсами и ответственностью.
В связи с усилением зависимости деятельности организации от непрерывности ее информационных процессов, доступности и готовности компонентов информационной сферы в разряд критических переходят аспекты, связанные с обеспечением непрерывности бизнеса. Руководство организаций все чаще ощущает зависимость их деятельности от сбоев, в том числе связанных с рисковыми событиями в информационной сфере.
В настоящем стандарте представлены рекомендации по планированию деятельности, связанной с восстановлением функций и механизмов безопасности информационных и телекоммуникационных технологий после чрезвычайных ситуаций в контексте общего процесса обеспечения непрерывности деятельности организации.
Основаниями разработки национального стандарта, модифицированного по отношению к международному стандарту, являются:
- различия в объектах стандартизации национального и международного стандартов, обусловленные потребностями в обеспечении информационной безопасности субъектов российской экономики и поддержке деятельности специализированных подразделений организаций;
- международный стандарт не учитывает государственные интересы и направлен на удовлетворение потребностей бизнеса (организаций, провайдеров услуг, групп организаций, связанных взаимными соглашениями, которые используют услуги аутсорсинга электронной обработки данных) в части восстановления информационных и коммуникационных технологий (ИКТ) после чрезвычайных ситуаций.
Объект стандартизации международного стандарта - услуги по восстановлению ИКТ после чрезвычайных ситуаций, в то время как объектом стандартизации гармонизированного модифицированного национального стандарта являются услуги по восстановлению после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий, а предметом стандартизации - общие положения.
Изменения, введенные в настоящий стандарт по отношению к международному стандарту, обусловлены необходимостью наиболее полного достижения целей национальной стандартизации в области защиты информации.
Структура настоящего стандарта по отношению к международному стандарту ИСО/МЭК ТО 24762 изменена в целях обеспечения ее соответствия правилам, установленным в разделе 3 ГОСТ Р 1.5 в части объекта и аспекта стандартизации.
Разделы 5, 6 и 8 международного стандарта ИСО/МЭК ТО 24762, как содержащие вспомогательную информацию относительно объекта и аспекта стандартизации настоящего стандарта, приведены в приложениях А, В и С настоящего стандарта с учетом сохранения перекрестных ссылок, имеющихся в указанных разделах. Отдельные слова в тексте данных приложений стандарта, измененные в целях учета аспекта стандартизации настоящего стандарта и для сохранения перекрестных ссылок, выделены курсивом.
Раздел 7 и приложение А международного стандарта ИСО/МЭК ТО 24762 исключены, как не имеющие непосредственного отношения к объекту и аспекту стандартизации настоящего стандарта.
Настоящий стандарт дополнен разделами 4, 5 и подразделом 6.1, содержащими положения, устанавливающие требования к объекту и аспекту стандартизации настоящего стандарта.
Положения подразделов 6.2 и 6.3 настоящего стандарта, устанавливающие требования к системе менеджмента информационной безопасности организации, замещают положения раздела 9 международного стандарта ИСО/МЭК ТО 24762, не отвечающие объекту и аспекту стандартизации настоящего стандарта.
Положения введенных разделов и подразделов выделены путем заключения их в рамки из тонких линий.
Для выделения разделов 1 и 2, модифицированных по отношению к тексту ИСО/МЭК ТО 24762, использована одиночная вертикальная полужирная линия, которая расположена на полях соответственно слева (четные страницы) и справа (нечетные страницы) от текста.
Сопоставление структуры настоящего стандарта со структурой примененной в нем части международного стандарта ИСО/МЭК ТО 24762 приведено в таблице ДВ.1 (приложение ДВ).
В настоящем стандарте некоторые терминологические статьи приведены в иной редакции, чем в ИСО/МЭК ТО 24762. Для выделения этих статей использована одиночная вертикальная полужирная линия, которая расположена на полях соответственно слева (четные страницы) и справа (нечетные страницы) от текста, модифицированного по отношению к соответствующему тексту ИСО/МЭК ТО 24762. Исходные по отношению к указанным терминологические статьи ИСО/МЭК ТО 24762 приведены в приложении ДБ настоящего стандарта.
В настоящий стандарт включен ряд дополнительных статей с терминами. Эти статьи заключены в рамки из тонких линий.
В целях идентификации терминологических статей настоящего стандарта, гармонизированных со статьями ИСО/МЭК ТО 24762, для этих статей в скобках (справа) приведены номер соответствующей статьи ИСО/МЭК ТО 24762 и условное обозначение степени их соответствия:
- IDT - идентичные статьи;
- MOD - модифицированные статьи.
Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в области стандартизации.
Для каждого понятия установлен один стандартизованный термин.
Заключенная в круглые скобки часть термина может быть опущена при использовании термина. При этом не входящая в круглые скобки часть термина образует его краткую форму.
Наличие квадратных скобок в терминологической статье означает, что в нее включены два или более термина, имеющие общие элементы.
Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, - светлым.
ГОСТ Р 53131-2008
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
|
Защита информации РЕКОМЕНДАЦИИ ПО УСЛУГАМ ВОССТАНОВЛЕНИЯ ПОСЛЕ Общие положения Information protection. Guidelines for disaster recovery services of information and |
Дата введения - 2009-10-01
{gcontent}
https://nebegun.ru/doc/59684.rar
{/gcontent}