• hjem
  •  > 
  • Sikkerhed
  •  > 
  • Informationssikkerhedsstandarder. Informationsbeskyttelse, der sikrer informationssikkerhed i en organisation, grundlæggende termer og definitioner

Informationssikkerhedsstandarder. Informationsbeskyttelse, der sikrer informationssikkerhed i en organisation, grundlæggende termer og definitioner

Internationale standarder

  • BS 7799-1:2005 - British Standard BS 7799 første del. BS 7799 Part 1 - Code of Practice for Information Security Management beskriver de 127 kontroller, der kræves for at bygge informationssikkerhedsstyringssystemer(ISMS) af organisationen, bestemt på grundlag af de bedste eksempler på global erfaring (best practice) på dette område. Dette dokument tjener som en praktisk guide til at oprette et ISMS
  • BS 7799-2:2005 - British Standard BS 7799 er anden del af standarden. BS 7799 Del 2 - Informationssikkerhedsstyring - specifikation for informspecificerer ISMS-specifikationen. Anden del af standarden bruges som kriterier under den officielle certificeringsprocedure for organisationens ISMS.
  • BS 7799-3:2006 - British Standard BS 7799 tredje del af standarden. En ny standard inden foring
  • ISO/IEC 17799:2005 - "Informationsteknologi - Sikkerhedsteknologier - Praksis for administration af informationssikkerhed." International standard baseret på BS 7799-1:2005.
  • ISO/IEC 27000 - Ordforråd og definitioner.
  • ISO/IEC 27001 - "Informationsteknologi - Sikkerhedsteknikker - Inform- Krav." International standard baseret på BS 7799-2:2005.
  • ISO/IEC 27002 - Nu: ISO/IEC 17799:2005. "Informationsteknologier - Sikkerhedsteknologier - Praktiske regler for informationssikkerhedsstyring." Udgivelsesdato: 2007.
  • ISO/IEC 27005 - Nu: BS 7799-3:2006 - Vejledning oming.
  • Tysk informationssikkerhedsagentur. IT Baseline Protection Manual - Standard sikkerhedsforanstaltninger.

Statslige (nationale) standarder for Den Russiske Føderation

  • GOST R 50922-2006 - Informationsbeskyttelse. Grundlæggende udtryk og definitioner.
  • R 50.1.053-2005 - Informationsteknologier. Grundlæggende begreber og definitioner inden for teknisk informationssikkerhed.
  • GOST R 51188-98 - Informationsbeskyttelse. Test af software for computervirus. Model manual.
  • GOST R 51275-2006 - Informationsbeskyttelse. Informationsobjekt. Faktorer, der påvirker information. Generelle bestemmelser.
  • GOST R ISO/IEC 15408-1-2012 - Informationsteknologi. Metoder og midler til at sikre sikkerhed. Kriterier for vurdering af informationsteknologiers sikkerhed. Del 1. Indledning og generel model.
  • GOST R ISO/IEC 15408-2-2013 - Informationsteknologi. Metoder og midler til at sikre sikkerhed. Kriterier for vurdering af informationsteknologiers sikkerhed. Del 2. Funktionelle sikkerhedskrav.
  • GOST R ISO/IEC 15408-3-2013 - Informationsteknologi. Metoder og midler til at sikre sikkerhed. Kriterier for vurdering af informationsteknologiers sikkerhed. Del 3. Sikkerhedskrav.
  • GOST R ISO/IEC 15408 - "Generelle kriterier for vurdering af informationsteknologiers sikkerhed" - en standard, der definerer værktøjer og metoder til vurdering af sikkerheden af ​​informationsprodukter og -systemer; den indeholder en liste over krav, som resultaterne af uafhængige sikkerhedsvurderinger kan sammenlignes med - hvilket giver forbrugeren mulighed for at træffe beslutninger om produkternes sikkerhed. Omfanget af anvendelsen af ​​de "Generelle kriterier" er beskyttelsen af ​​information mod uautoriseret adgang, ændring eller lækage og andre beskyttelsesmetoder implementeret af hardware og software.
  • GOST R ISO/IEC 17799 - "Informationsteknologier. Praktiske regler for informationssikkerhedsstyring." Direkte anvendelse af den internationale standard med tilføjelse af ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 - "Informationsteknologier. Sikkerhedsmetoder. Informationssikkerhedsstyringssystem. Krav". Den direkte anvendelse af den internationale standard er ISO/IEC 27001:2005.
  • GOST R 51898-2002: Sikkerhedsaspekter. Regler for optagelse i standarder.

Vigtigheden af ​​at sikre informationssikkerhed er svær at overvurdere, da behovet for at lagre og overføre data er en integreret del af at drive enhver virksomhed.

Forskellige metoder til informationssikkerhed afhænger af, i hvilken form den opbevares, men for at systematisere og effektivisere dette område er det nødvendigt at etablere, da standardisering er en vigtig kvalitetsbestemmelse i vurderingen af ​​de leverede tjenester.

Enhver levering af informationssikkerhed kræver kontrol og verifikation, som ikke kun kan udføres ved individuel vurdering uden at tage hensyn til internationale og statslige standarder.

Dannelsen af ​​sker efter en klar definition af dens funktioner og grænser. Informationssikkerhed er at sikre fortroligheden, integriteten og tilgængeligheden af ​​data.

For at fastslå informationssikkerhedens tilstand er en kvalitativ vurdering mest anvendelig, da det er muligt at udtrykke graden af ​​sikkerhed eller sårbarhed i procent, men det giver ikke et fuldstændigt og objektivt billede.

For at vurdere og revidere informationssystemers sikkerhed kan du anvende en række instruktioner og anbefalinger, som indebærer regulatorisk støtte.

Statslige og internationale

Overvågning og vurdering af sikkerhedstilstanden udføres ved at kontrollere deres overensstemmelse med statslige standarder (GOST, ISO) og internationale standarder (Iso, Common criteris for IT-sikkerhed).

Det internationale sæt af standarder udviklet af International Organization for Standardization (ISO) er et sæt af praksis og anbefalinger til implementering af informationssikkerhedssystemer og udstyr.

ISO 27000 er en af ​​de mest anvendelige og udbredte vurderingsstandarder, inklusive mere end 15 bestemmelser, og sekventielt nummereret.

I henhold til ISO 27000 stander informationssikkerhed ikke kun dens integritet, fortrolighed og tilgængelighed, men også ægthed, pålidelighed, fejltolerance og identificerbarhed. Konventionelt kan denne serie af standarder opdeles i 4 sektioner:

  • overblik over og introduktion til terminologi, beskrivelse af begreber brugt på sikkerhedsområdet;
  • obligatoriske krav til etstem, en detaljeret beskrivelse af metoder og midler til at styre systemet. Er hovedstandarden for denne gruppe;
  • revisionsanbefalinger, vejledning om sikkerhedskontrol;
  • standarder, der anbefaler praksis for implementering, udvikling og forbedring af etstem.

Statslige omfatter en række regler og dokumenter, der består af mere end 30 bestemmelser (GOST).

Forskellige standarder har ikke kun til formål at etablere generelle vurderingskriterier, såsom GOST R ISO/IEC 15408, som indeholder metodiske retningslinjer for sikkerhedsvurdering og en liste over krav til ledelsessystemet. De kan være specifikke og også indeholde praktisk vejledning.

Korrekt organisering af lageret og dets regelmæssige overvågning af dets drift vil hjælpe med at eliminere tyveri af råvarer og materielle aktiver, hvilket negativt påvirker enhver virksomheds økonomiske velfærd, uanset dens form for ejerskab.

På tidspunktet for lanceringen gennemgår lagerautomatiseringssystemet yderligere to faser: intern test og dataudfyldning. Efter en sådan forberedelse starter systemet fuldt ud. Læs mere om automatisering her.

Den indbyrdes sammenhæng og sæt af teknikker fører til udviklingen af ​​generelle bestemmelser og til sammensmeltningen af ​​international og statslig standardisering. GOST'er i Den Russiske Føderation indeholder således tilføjelser og referencer til internationale ISO-standarder.

En sådan interaktion er med til at udvikle et samlet system for overvågning og evaluering, som igen i væsentlig grad øger effektiviteten af ​​at anvende disse bestemmelser i praksis, objektiv vurdering af arbejdsresultater og generelt forbedre.

Sammenligning og analyse af nationale og internationale standardiseringssystemer

Antallet af europæiske standardiseringsstandarder til sikring og kontrol af informationssikkerhed overstiger væsentligt de juridiske standarder, der er fastsat af Den Russiske Føderation.

I nationale statsstandarder er de gældende bestemmelser om beskyttelse af information mod mulig hacking, lækage og trusler om tab. Udenlandske sikkerhedssystemer specialiserer sig i at udvikle standarder for dataadgang og autentificering.

Der er også forskelle i bestemmelserne vedrørende implementering af kontrol og revision af systemer. Derudover er praksis med at anvende og implementere informfor europæisk standardisering manifesteret i næsten alle livets områder, og Den Russiske Føderations standarder er hovedsageligt rettet mod at bevare materielt velvære.

Konstant opdaterede statsstandarder indeholder dog det nødvendige minimumssæt af krav til at skabe et kompetentstem.

Informationssikkerhedsstandarder for datatransmission

At drive forretning involverer lagring, udveksling og transmission af data via internettet. I den moderne verden foregår valutatransaktioner, kommercielle aktiviteter og pengeoverførsler ofte online, og det er kun muligt at sikre informationssikkerheden for denne aktivitet ved at anvende en kompetent og professionel tilgang.

Der er mange standarder på internettet, der sikrer sikker lagring og transmission af data, velkendte antivirusprogrammer, specielle protokoller til finansielle transaktioner og mange andre.

Udviklingshastigheden af ​​informationsteknologier og -systemer er så stor, at den væsentligt overgår skabelsen af ​​protokoller og ensartede standarder for deres anvendelse.

En af de populære sikre dataoverførselsprotokoller er SSL (Secure Socket Layer), udviklet af amerikanske specialister. Det giver dig mulighed for at beskytte data ved hjælp af kryptografi.

Fordelen ved denne protokol er muligheden for verifikation og autentificering, for eksempel umiddelbart før dataudveksling. Brugen af ​​sådanne systemer ved overførsel af data er dog ret rådgivende, da brugen af ​​disse standarder ikke er obligatorisk for iværksættere.

For at åbne en LLC skal du have et charter for virksomheden. En procedure, der udvikles i overensstemmelse med lovgivningen i Den Russiske Føderation. Du kan skrive det selv, tage en standardprøve som vejledning, eller du kan kontakte specialister, der vil skrive det.

En håbefuld forretningsmand, der planlægger at udvikle sin egen virksomhed som individuel iværksætter, skal angive den økonomiske aktivitetskode i overensstemmelse med OKVED ved udfyldelse af ansøgningen. Detaljer her.

For at udføre sikre transaktioner og operationer blev SET-transmissionsprotokollen (Security Electronic Transaction) udviklet, som gør det muligt at minimere risici ved udførelse af kommercielle og handelsmæssige operationer. Denne protokol er en standard for Visa- og Master Card-betalingssystemer, der tillader brugen af ​​et betalingssystems sikkerhedsmekanisme.

Udvalg, der standardiserer internetressourcer, er frivillige, derfor er de aktiviteter, de udfører, ikke lovlige og obligatoriske.

Imidlertid er bedrageri på internettet i den moderne verden anerkendt som et af de globale problemer; derfor er det simpelthen umuligt at sikre informationssikkerhed uden brug af specielle teknologier og deres standardisering.

Security Management Systems - Specification with guidance for use" (Systems - specifications with guidance for use). På grundlag heraf blev ISO/IEC 27001:2005 "Information Technology" standarden udviklet. Sikkerhedsteknikker. Informationssikkerhedsstyringssystemer. Krav", for overholdelse af hvilke certificeringer kan udføres.

I Rusland er standarderne GOST R ISO/IEC 17799-2005 "Informationsteknologi. Praktiske regler" i kraft i øjeblikket informationssikkerhedsstyring"(autentisk oversættelse af ISO/IEC 17799:2000) og GOST R ISO/IEC 27001-2006 "Informationsteknologi. Metoder og midler til at sikre sikkerhed. Informationssikkerhedsstyringssystemer. Krav" (oversættelse af ISO/IEC 27001:2005). På trods af nogle interne uoverensstemmelser forbundet med forskellige versioner og oversættelsesfunktioner giver tilstedeværelsen af ​​standarder os mulighed for at bringe systemet informationssikkerhedsstyring i overensstemmelse med deres krav og om nødvendigt attestere.

GOST R ISO/IEC 17799:2005 "Informationsteknologi. Praktiske regler for informationssikkerhedsstyring"

Lad os nu overveje indholdet af standarden. I indledningen hedder det, at "information, de processer, der understøtter den, informationssystemer og netværksinfrastruktur er væsentlige aktiver for en organisation. Fortrolighed, integritet og tilgængelighed af information kan i væsentlig grad bidrage til konkurrenceevne, likviditet, rentabilitet, compliance og forretningsomdømme organisation." Således kan vi sige, at denne standard overvejer informationssikkerhedsspørgsmål, herunder ud fra et synspunkt om økonomisk effekt.

Der er angivet tre grupper af faktorer, som skal tages i betragtning ved udvikling af krav på informationssikkerhedsområdet. Det her:

  • organisations risikovurdering. Gennem risikovurdering identificeres trusler mod organisationens aktiver, sårbarhedsvurdering relevante aktiver og sandsynligheden for, at trusler opstår, samt en vurdering af mulige konsekvenser;
  • juridiske, lovbestemte, regulatoriske og kontraktmæssige krav, som skal opfyldes af organisationen, dens handelspartnere, entreprenører og tjenesteudbydere;
  • et specifikt sæt af principper, mål og krav udviklet af en organisation vedrørende behandling af oplysninger.

Når kravene er fastlagt, begynder stadiet med udvælgelse og implementering af foranstaltninger, der sikrer risikoreduktion til et acceptabelt niveau. Udvalg af arrangementer ved informationssikkerhedsstyring bør baseres på forholdet mellem omkostningerne ved deres implementering, effekten af ​​at reducere risici og mulige tab i tilfælde af et sikkerhedsbrud. Faktorer, der ikke kan udtrykkes i penge, såsom tab af omdømme, bør også tages i betragtning. En mulig liste over aktiviteter er angivet i standarden, men det bemærkes, at den kan suppleres eller dannes selvstændigt ud fra organisationens behov.

Lad os kort opremse afsnittene i standarden og deltninger, der foreslås i dem. Den første gruppe vedrører sikkerhedspolitik. Det kræves, at det er udviklet, godkendt af ledelsen i organisationen, offentliggjort og gjort opmærksom på alle medarbejdere. Det bør fastlægge proceduren for arbejdet med organisationens informationsressourcer, medarbejdernes pligter og ansvar. Politikken revideres med jævne mellemrum for at afspejle systemets aktuelle tilstand og identificerede risici.

Det næste afsnit behandler organisatoriske spørgsmål relateret til informationssikkerhed. Standarden anbefaler, at der oprettes ledelsesråd (med deltagelse af virksomhedens øverste ledelse) til at godkende sikkerhedspolitikken, udpege ansvarlige personer, fordeling af ansvar og koordinering af gennemførelse af aktiviteter vedr informationssikkerhedsstyring I organisationen. Processen for at opnå tilladelse til at bruge informationsbehandlingsværktøjer (herunder ny software og hardware) i organisationen bør ligeledes beskrives, så dette ikke fører til sikkerhedsproblemer. Det er også nødvendigt at fastlægge proceduren for interaktion med andre organisationer om informationssikkerhedsspørgsmål, konsultationer med "eksterne" specialister og uafhængig verifikation (revision) af informationssikkerhed.

Når der gives adgang til informationssystemer til specialister fra tredjepartsorganisationer, skal der lægges særlig vægt på sikkerhedsspørgsmål. En vurdering af de risici, der er forbundet med forskellige typer adgang (fysisk eller logisk, dvs. fjernadgang) af sådanne specialister til forskellige organisatoriske ressourcer skal udføres. Behovet for at give adgang skal begrundes, og kontrakter med tredjeparter og organisationer skal indeholde krav om overholdelse af sikkerhedspolitikken. Det foreslås at gøre det samme i tilfælde af inddragelse af tredjepartsorganisationer i informationsbehandling (outsourcing).

Det næste afsnit af standarden er afsat til spørgsmål om klassificering og formueforvaltning. For at sikre informationssikkerheden i en organisation er det nødvendigt, at alle vigtige informationsaktiver er redegjort for og tildelt ansvarlige ejere. Vi foreslår at starte med en opgørelse. Følgende klassifikation er givet som et eksempel:

  • informationsaktiver (databaser og datafiler, system dokumentation etc.);
  • softwareaktiver (applikationssoftware, systemsoftware, udviklingsværktøjer og hjælpeprogrammer);
  • fysiske aktiver (computerudstyr, kommunikationsudstyr, lagermedier, andet teknisk udstyr, møbler, lokaler);
  • tjenester (computer- og kommunikationstjenester, grundlæggende forsyningsvirksomheder).

Dernæst foreslås det at klassificere oplysninger for at bestemme deres prioritet, nødvendighed og beskyttelsesgrad. Samtidig kan den relevante information vurderes under hensyntagen til, hvor kritisk den er for organisationen, for eksempel med henblik på at sikre dens integritet og tilgængelighed. Herefter foreslås det at udvikle og implementere en mærkningsprocedure ved behandling af oplysninger. Mærkningsprocedurer bør defineres for hvert klassifikationsniveau for at rumme følgende typer informationsbehandling:

  • kopiering;
  • opbevaring;
  • transmission via post, fax og e-mail;
  • stemmetransmission, inklusive mobiltelefoner, telefonsvarer, telefonsvarer;
  • ødelæggelse.

Det næste afsnit omhandler sikkerhedsspørgsmål relateret til personale. Standarden bestemmer, at ansvaret for overholdelse af sikkerhedskravene er fordelt på personaleudvælgelsesstadiet, inkluderet i ansættelseskontrakter og overvåget gennem hele medarbejderens ansættelsesperiode. Især, når du ansætter en fast medarbejder, anbefales det at kontrollere ægtheden af ​​de dokumenter, der er indsendt af ansøgeren, fuldstændigheden og nøjagtigheden af ​​CV'et og de anbefalinger, der er sendt til ham. Det anbefales, at medarbejdere underskriver en fortrolighedsaftale, hvori det fremgår, hvilke oplysninger der er fortrolige eller følsomme. Disciplinært ansvar for medarbejdere, der overtræder organisationens sikkerhedspolitikker og -procedurer, skal fastlægges. Hvor det er nødvendigt, bør dette ansvar fortsætte i en nærmere angivet periode efter at have forladt ansættelsen.

Brugerne skal trænes sikkerhedsprocedurer og korrekt brug af informationsbehandlingsværktøjer for at minimere mulige risici. Hertil kommer proceduren for at informere om brud på informationssikkerheden, som skal gøres bekendt med personalet. En lignende procedure bør følges i tilfælde af softwarefejl. Sådanne hændelser skal registreres og analyseres for at identificere tilbagevendende problemer.

Det næste afsnit af standarden omhandler spørgsmål om fysisk og miljømæssig beskyttelse. Det hedder, at ”midler til behandling af kritiske eller vigtige serviceoplysninger skal være placeret i sikkerhedszoner udpeget af en bestemt sikkerhedsomkreds med passende beskyttelsesbarrierer og indtrængningskontrol. Disse områder skal være fysisk beskyttet mod uautoriseret adgang, skader og påvirkning." Udover at organisere adgangskontrol til beskyttede områder skal proceduren for udførelse af arbejde i dem og om nødvendigt procedurer for tilrettelæggelse af besøgsadgang fastlægges. nødvendigt for at sikre sikkerheden af ​​udstyr (herunder , som bruges uden for organisationen) for at reducere risikoen for uautoriseret adgang til data og beskytte dem mod tab eller beskadigelse Denne gruppe af krav omfatter også beskyttelse mod strømsvigt og kabelnetværksbeskyttelse. Uskal også defineres, som tager højde for sikkerhedskrav og procedurer for sikker bortskaffelse eller genbrug af udstyr. Det anbefales f.eks., at engangslagringsmedier, der indeholder følsomme oplysninger, fysisk destrueres eller overskrives på en sikker måde i stedet for at bruge standard funktioner til sletning af data.

For at minimere risikoen for uautoriseret adgang til eller beskadigelse af papirdokumenter, lagringsmedier og informationsbehandlingsmedier anbefales det at implementere en "clean desk"-politik for papirdokumenter og flytbare lagringsmedier, samt en "clean screen"-politik vedr. informationsbehandlingsudstyr. Udstyr, information eller software må kun fjernes fra organisationens lokaler med passende tilladelse.

Titlen på næste afsnit af standarden er "Styring af dataoverførsel og operationelle aktiviteter." Det kræver, at det ansvar og de procedurer, der er forbundet med driften af ​​alleer, er fastlagt. For eksempel skal konfigurationsændringer i inog -systemer kontrolleres. Det er påkrævet at implementere princippet om adskillelse af ansvar i forhold til ledelsesfunktioner, varetagelse af visse opgaver og områder.

Det anbefales at adskille udviklings-, test- og produktionsmiljøer for software. Reglerne for overførsel af software fra status under udvikling til status accepteret til drift skal defineres og dokumenteres.

Yderligere risici opstår ved brug af tredjepartsleverandører til at administrereer. Sådanne risici skal identificeres på forhånd, og der skal træffes passende foranstaltninger informationssikkerhedsstyring aftalt med entreprenøren og indgår i kontrakten.

For at give den nødvendige behandlings- og lagerkapacitet er det nødvendigt at analysere de nuværende præstationskrav samt forudsige fremtidige. Disse prognoser bør tage højde for nye funktions- og systemkrav samt nuværende og fremtidige planer for udvikling af informationsteknologi i organisationen. Krav og kriterier for indførelse af nye systemer skal være klart defineret, aftalt, dokumenteret og testet.

Der skal træffes foranstaltninger for at forhindre og opdage introduktionen af ​​ondsindet software såsom computervirus, netværksorme, trojanske heste og logiske bomber. Det bemærkes, at beskyttelse mod malware bør være baseret på en forståelse af sikkerhedskrav, passende systemadgangskontroller og korrekt ændringsstyring.

Proceduren for udførelse af hjælpeoperationer, som inkluderer backup af software og data, skal fastlægges 1 Som et eksempel ser lab #10 på at organisere sikkerhedskopier i Windows Server 2008. logning af hændelser og fejl og, hvor det er nødvendigt, overvågning af hardwarestatus. Redundansordninger for hvert enkelt system bør testes regelmæssigt for at sikre, at de opfylder kravene i forretningskontinuitetsplaner.

For at sikre informationssikkerheden på netværk og beskytte understøttende infrastruktur, er indførelse af midler påkrævet sikkerhedskontrol og beskyttelse af tilsluttede tjenester mod uautoriseret adgang.

Der lægges særlig vægt på sikkerheden af ​​forskellige typer lagringsmedier: dokumenter, computerlagringsmedier (bånd, diske, kassetter), input/outputdata og systemdokumentation fra skader. Det anbefales at etablere en procedure for brug af flytbare computerlagringsmedier (procedure for indholdskontrol, lagring, destruktion osv.). Som nævnt ovenfor skal opbevaringsmedier bortskaffes sikkert og sikkert efter brug.

For at sikre beskyttelsen af ​​oplysninger mod uautoriseret videregivelse eller misbrug er det nødvendigt at etablere procedurer for behandling og opbevaring af oplysninger. Disse procedurer bør udformes under hensyntagen kategorisering information og handle i forhold til dokumenter, computersystemer, netværk, bærbare computere, mobilkommunikation, post, voicemail, talekommunikation generelt, multimedieenheder, faxbrug og andre vigtige objekter, såsom formularer, checks og regninger. System dokumentation kan indeholde visse vigtige oplysninger, og skal derfor også beskyttes.

Processen med at udveksle information og software mellem organisationer skal kontrolleres og overholde gældende lovgivning. Især skal informationsbærernes sikkerhed under transmission sikres, fastlægges brugspolitik e-mail og elektroniske kontorsystemer. Der bør udvises omhu for at beskytte integriteten af ​​information offentliggjort elektronisk, såsom information på et websted. En passende formaliseret godkendelsesproces er også påkrævet, før sådanne oplysninger gøres offentligt tilgængelige.

Det næste afsnit af standarden er afsat til adgangskontrolproblemer.

Det kræves, at adgangskontrolreglerne og rettighederne for hver bruger eller gruppe af brugere er klart defineret af sikkerhedspolitikken. Brugere og tjenesteudbydere skal gøres opmærksomme på behovet for at overholde disse krav.

Ved brug af adgangskodegodkendelse, er det nødvendigt at udøve kontrol over brugeradgangskoder. Især skal brugere underskrive et dokument, der accepterer at opretholde fuldstændig fortrolighed af adgangskoder. Det er påkrævet for at sikre sikkerheden i processen med at få en adgangskode til brugeren og, hvis denne bruges, for brugerne at administrere deres adgangskoder (tvungen adgangskodeændring efter første login osv.).

Adgang til både interne og eksterne netværkstjenester skal kontrolleres. Brugere bør kun have direkte adgang til de tjenester, som de er autoriseret til. Der skal lægges særlig vægt på autentificering af fjernbrugere. Baseret på risikovurderingen er det vigtigt at bestemme det nødvendige beskyttelsesniveau for at vælge den passende autentificeringsmetode. Sikkerheden ved brug af netværkstjenester skal også overvåges.

Mange netværks- og computerenheder har indbyggede fjerndiagnosticerings- og administrationsfunktioner. Sikkerhedsforanstaltninger skal også gælde for disse faciliteter.

Når netværk deles af flere organisationer, skal krav til adgangskontrol defineres for at tage højde for dette. Det kan også være nødvendigt at indføre yderligere foranstaltninger til informationssikkerhedsstyring for at begrænse brugernes mulighed for at oprette forbindelse.

På operativsystemniveau bør informbruges til at begrænse adgangen til computerressourcer 2 Et eksempel på organisering af adgangskontrol til filer og mapper i Windows Server 2008 vil blive diskuteret i laboratoriearbejde nr. 9.. Det henviser til identifikation og autentificering terminaler og brugere. Det anbefales, at alle brugere har unikke identifikatorer, som ikke bør indeholde nogen indikation af brugerens privilegieniveau. I systemer adgangskodehåndtering effektive interaktive kapaciteter skal tilvejebringes for at understøtte deres krævede kvalitet 3 Et eksempel på adgangskodekvalitetsstyring i Windows-operativsystemer er omtalt i laboratoriearbejde nr. 3.. Brugen af ​​systemværktøjer bør begrænses og kontrolleres nøje.

Det er tilrådeligt at give en alarm i tilfælde af, at brugeren kan blive et mål for vold 4 Et eksempel på dette ville være "tvangs"-login-adgangskoder. Hvis brugeren indtaster en sådan adgangskode, viser systemet brugerens normale login-proces og simulerer derefter en fejl i at forhindre angribere i at få adgang til dataene.(hvis en sådan hændelse vurderes som sandsynlig). Ansvar og procedurer for at reagere på en sådan alarm skal defineres.

Terminaler, der betjener højrisikosystemer, bør, når de er placeret på let tilgængelige steder, slukkes efter en vis periode med inaktivitet for at forhindre adgang for uautoriserede personer. Der kan også indføres en begrænsning af det tidsrum, hvor terminaler har tilladelse til at oprette forbindelse til computertjenester.

Informskal også anvendes på applikationsniveau. Dette kan især være en adgangsbegrænsning for visse kategorier brugere. Systemer, der behandler vigtig information, skal forsynes med et dedikeret (isoleret) computermiljø.

Overvågning af systemet er nødvendig for at opdage afvigelser fra adgangskontrolpolitikkens krav og levere beviser i tilfælde af en informationssikkerhedshændelse. Overvågningsresultater bør revideres regelmæssigt. Revisionsloggen kan bruges til at undersøge hændelser, så korrekt indstilling (synkronisering) af computeruret er ret vigtigt.

Når du bruger bærbare enheder, såsom bærbare computere, er det nødvendigt at træffe særlige foranstaltninger for at modvirke kompromittering af proprietære oplysninger. Der bør vedtages formaliserede politikker, der adresserer de risici, der er forbundet med at arbejde med bærbare enheder, især i usikrede miljøer.

Det næste afsnit af standarden hedder "Udvikling og vedligeholdelse af systemer." Allerede på scenen udvikling af informationssystemer det er nødvendigt at sikre, at sikkerhedskravene tages i betragtning. Og under driften af ​​systemet er det nødvendigt at forhindre tab, ændring eller misbrug af brugerdata. Til dette formål anbefales det, at applikationssystemer giver bekræftelse af rigtigheden af ​​datainput og -output, kontrol af databehandling i system, autentificering beskeder, logning af brugerhandlinger.

For at sikre fortrolighed, integritet og datagodkendelse Der kan anvendes kryptografiske sikkerhedsforanstaltninger.

Sikring af softwareintegritet spiller en vigtig rolle i informationssikkerhedsprocessen. For at minimere skader på informationssystemer bør implementeringen af ​​ændringer kontrolleres nøje. Fra tid til anden er der behov for at foretage ændringer i operativsystemerne. I disse tilfælde er det nødvendigt at analysere og teste applikationssystemerne for at sikre, at der ikke er nogen negativ indvirkning på deres funktionalitet og sikkerhed. Så vidt muligt anbefales det at bruge færdige softwarepakker uden ændringer.

Et relateret problem er at imødegå trojanske heste og brugen af ​​skjulte lækagekanaler. En modforanstaltning er at bruge software fra pålidelige leverandører og monitor systemintegritet.

I tilfælde, hvor en tredjepartsorganisation er involveret i softwareudvikling, er det nødvendigt at sørge for foranstaltninger til at kontrollere kvaliteten og rigtigheden af ​​det udførte arbejde.

Det næste afsnit af standarden er afsat til styring af forretningskontinuitet. I den indledende fase er det meningen, at det skal identificere hændelser, der kan forårsage afbrydelse af forretningsprocesser (udstyrsfejl, brand osv.). I dette tilfælde er det nødvendigt at vurdere konsekvenserne og derefter udvikle genopretningsplaner. Planernes tilstrækkelighed skal bekræftes ved test, og de skal selv periodisk revideres for at tage højde for ændringer, der sker i systemet.

Det sidste afsnit af standarden omhandler overholdelsesproblemer. Først og fremmest vedrører dette systemets overensstemmelse og proceduren for dets drift med lovkrav. Dette omfatter spørgsmål om overholdelse af ophavsret (herunder software), beskyttelse af personlige oplysninger (medarbejdere, kunder) og forebyggelse af misbrug af informationsbehandlingsværktøjer. Ved brug af kryptografiske midler informationsbeskyttelse, skal de overholde gældende lovgivning. Proceduren for indsamling af beviser i tilfælde af retssager i forbindelse med hændelser inden for informationssystemsikkerhed bør også udarbejdes grundigt.

Det skal selve informationssystemerne overholde sikkerhedspolitikken organisation og anvendte standarder. Sikkerheden i informationssystemerne skal løbende analyseres og vurderes. Samtidig er det nødvendigt at overholde sikkerhedsforanstaltninger, når der udføres en sikkerhedsrevision, så dette ikke fører til uønskede konsekvenser (f.eks. svigt af en kritisk server på grund af en revision).

For at opsummere kan det bemærkes, at standarden behandler en lang række problemstillinger i forbindelse med sikring af informationssystemers sikkerhed. Der gives praktiske anbefalinger på en række områder.


Det sker ikke ret tit, at jeg mister nogle russiske inaf syne. Men så skete det;-(Den eneste begrundelse er, at det, der blev udeladt, er af rådgivende karakter - vi taler om GOST'er om informationsbeskyttelse. Blandt de nye GOST'er, som jeg ikke har stødt på før, blev opdaget:

  • GOST R 53110-2008. System til sikring af informationssikkerhed i et offentligt kommunikationsnetværk. Generelle bestemmelser
  • GOST R 53111-2008. Stabilitet i det offentlige kommunikationsnets funktion. Krav og verifikationsmetoder
  • GOST R 53109-2008. System til sikring af informationssikkerhed i et offentligt kommunikationsnetværk. Informationssikkerhpas
  • GOST R 53114-2008. Data beskyttelse. Sikring af informationssikkerhed i organisationen. Grundlæggende udtryk og definitioner
  • GOST R 53113.1-2008. Informationsteknologi. Beskyttelse af informationsteknologier og automatiserede systemer mod informationssikkerhedstrusler implementeret ved hjælp af hemmelige kanaler. Del 1. Almindelige bestemmelser
  • GOST R 53112-2008. Data beskyttelse. Komplekser til måling af parametre for falsk elektromagnetisk stråling og interferens. Tekniske krav og prøvningsmetoder
  • GOST R 53115-2008. Data beskyttelse. Test af tekniske midler til informationsbehandling for overholdelse af kravene til sikkerhed mod uautoriseret adgang. Metoder og midler
  • GOST R 53113.2-2009. Informationsteknologi. Beskyttelse af informationsteknologier og automatiserede systemer mod informationssikkerhedstrusler implementeret ved hjælp af hemmelige kanaler. Del 2. Anbefalinger til organisering af beskyttelsen af ​​information, informationsteknologier og automatiserede systemer mod angreb ved hjælp af hemmelige kanaler
  • GOST R ISO/IEC TIL 19791-2008. Informationsteknologi. Metoder og midler til at sikre sikkerhed. Sikkerhedsvurdering af automatiserede systemer
  • GOST R ISO/IEC 21827-2010. Informationsteknologi. Metoder og midler til at sikre sikkerhed. Design af sikkerhedssystemer. Procesmodenhedsmodel
  • GOST R 53131-2008. Data beskyttelse. Anbefalinger for disaster recovery services for informations- og telekommunikationsteknologis sikkerhedsfunktioner og -mekanismer. Generelle bestemmelser.
  • GOST R 54581-2011 Informationsteknologi. Metoder og midler til at sikre sikkerhed. Grundlæggende om tillid til it-sikkerhed. Del 1: Oversigt og grundlæggende
  • GOST R 54583-2011. Informationsteknologi. Metoder og midler til at sikre sikkerhed. Grundlæggende om tillid til informationsteknologisikkerhed. Del 3. Analyse af tillidsmetoder
  • GOST R 54582-2011. Informationsteknologi. Metoder og midler til at sikre sikkerhed. Grundlæggende om tillid til informationsteknologisikkerhed. Del 2. Tillidsmetoder.
Næsten alle disse GOST'er er tilgængelige på webstedet Rostekhregulirovanie i det offentlige domæne.
Der blev også udviklet og vedtaget flere standarder for biometri (nogle er stadig under udvikling), såvel som de tidligere nævnte GOSTs 18028 om netværkssikkerhedsstyring, 27006 om krav til ISMS-revisorer, 27004 om ISMS-målinger, 27005 om inforog 27033 -1 om netværkssikkerhed.

Planer for 2013 omfatter udvikling af meget interessante og værdige GOST-standarder (noget af arbejdet er allerede begyndt):

  • "Sårbarheder i informationssystemer. Klassificering af sårbarheder i informationssystemer",
    "Sårbarheder i informationssystemer. Regler for beskrivelse af sårbarheder",
  • "Sårbarheder i informationssystemer. Indhold og procedure for udførelse af arbejde med at identificere og vurdere sårbarheder i informationssystemer",
  • "Procedure for at skabe automatiserede systemer i et sikkert design. Generelle bestemmelser" (i stedet for den nuværende version af GOST 51583-2000),
  • "Dokumentation om teknisk beskyttelse af information på en informationsfacilitet. Generelle bestemmelser",
  • "Informationssystemer og informationsobjekter. Trusler mod informationssikkerheden. Generelle bestemmelser",
  • "Informationssikkerhedsteknologi. Nomenklatur af kvalitetsindikatorer" (i stedet for den nuværende GOST R 52447-2005)",
  • "Grundlæggende udtryk og definitioner" (i stedet for den nuværende version af GOST R 50922-2006),
  • "Krav til informationsbeskyttelse i informationssystemer bygget ved hjælp af virtualiseringsteknologi. Generelle bestemmelser",
  • "Krav til beskyttelse af information, der behandles ved hjælp af cloud computing-teknologier. Generelle bestemmelser",
  • "Krav til informationsbeskyttelse i informationssystemer bygget ved hjælp af supercomputer- og netteknologier"
  • og en række standarder for informationskrigsførelse.
Det er også planlagt at udvikle/tilpasse/harmonisere GOST R ISO/IEC 27007 "Informationsteknologi. Metoder og midler til at sikre sikkerhed. Retningslinjer for revision afstemet."

Planerne er meget ambitiøse og værdige. FSTEC reorienterer sig lidt - fra udvikling af rent interne reguleringsdokumenter til et nationalt metodisk grundlag. Denne tilgang kan kun hilses velkommen.

Dette afsnit giver generel information og tekster af nationale standarder i Den Russiske Føderation inden for informationssikkerhed GOST R.

Aktuel liste over moderne GOST'er udviklet i de seneste år og planlagt til udvikling. Certificeringssystem for informationssikkerhedsværktøjer i henhold til informationssikkerhedskrav nr. ROSS RU.0001.01BI00 (FSTEC i Rusland). DEN RUSSISKE FØDERATIONS STATSTANDARD. Data beskyttelse. PROCEDURE FOR OPRETTELSE AF AUTOMATISKE SYSTEMER I SIKKER UDFØRELSE. Generelle bestemmelser. Moskva DEN RUSSISKE FØDERATIONS STATSTANDARD. Computer faciliteter. Beskyttelse mod uautoriseret adgang til information. Generelle tekniske krav. Dato for introduktion 1996-01-01 National standard for Den Russiske Føderation. Data beskyttelse. Grundlæggende udtryk og definitioner. Beskyttelse af information. Grundlæggende udtryk og definitioner. Dato for introduktion 2008-02-01 DEN RUSSISKE FØDERATIONS STATSTANDARD. DATA BESKYTTELSE. SYSTEM AF STANDARDER. GRUNDLÆGGENDE BESTEMMELSER (INFORMATIONSSIKKERHED. SYSTEM AF STANDARDER. GRUNDLÆGGENDE PRINCIPPER) DEN RUSSISKE FØDERATIONS STATSTANDARD. Data beskyttelse. TEST SOFTWARE FOR TILSTEDEVÆRELSE AF COMPUTERVIRUS. Modelmanual (Informationssikkerhed. Softwaretest for eksistensen af ​​computervirus. Eksempelmanualen). Informationsteknologi. Beskyttelse af informationsteknologier og automatiserede systemer mod informationssikkerhedstrusler implementeret ved hjælp af hemmelige kanaler. Del 1. Almindelige bestemmelser Informationsteknologi. Beskyttelse af informationsteknologier og automatiserede systemer mod informationssikkerhedstrusler implementeret ved hjælp af hemmelige kanaler. Del 2. Anbefalinger til organisering af beskyttelsen af ​​information, informationsteknologier og automatiserede systemer mod angreb ved hjælp af hemmelige kanaler Informationsteknologi. Metoder og midler til at sikre sikkerhed. Vejledning til udvikling af sikkerhedsprofiler og sikkerhedsopgaver Automatisk identifikation. Biometrisk identifikation. Ydelsestest og testrapporter i biometri. Del 3. Funktioner ved test for forskellige biometriske modaliteter Informationsteknologi. Metoder og midler til at sikre sikkerhed. Metode til vurdering af informationsteknologisikkerhed GOST R ISO/IEC 15408-1-2008 Informationsteknologi. Metoder og midler til at sikre sikkerhed. Kriterier for vurdering af informationsteknologiers sikkerhed. Del 1. Introduktion og generel model (Informationsteknologi. Sikkerhedsteknikker. Evalueringskriterier for IT-sikkerhed. Del 1. Introduktion og generel model) GOST R ISO/IEC 15408-2-2008 - Informationsteknologi. Metoder og midler til at sikre sikkerhed. Kriterier for vurdering af informationsteknologiers sikkerhed. Del 2. Funktionelle sikkerhedskrav (Informationsteknologi. Sikkerhedsteknikker. Evalueringskriterier for IT-sikkerhed. Del 2. Sikkerhedsfunktionskrav) GOST R ISO/IEC 15408-3-2008 Informationsteknologi. Metoder og midler til at sikre sikkerhed. Kriterier for vurdering af informationsteknologiers sikkerhed. Del 3. Sikkerhedskrav (Informationsteknologi. Sikkerhedsteknikker. Evalueringskriterier for IT-sikkerhed. Del 3. Sikkerhedskrav) GOST R 53109-2008 System til sikring af informationssikkerhed i et offentligt kommunikationsnetværk. Informationssikkerhpas. Informationssikkerhed for det offentlige kommunikationsnetværk. Pas af organisationens kommunikation af informationssikkerhed. Ikrafttrædelsesdato: 30/09/2009. GOST R 53114-2008 Informationsbeskyttelse. Sikring af informationssikkerhed i organisationen. Grundlæggende udtryk og definitioner. Beskyttelse af information. Informationssikkerhedsforsyning i organisationer. Grundlæggende udtryk og definitioner. Ikrafttrædelsesdato: 30/09/2009. GOST R 53112-2008 Informationsbeskyttelse. Komplekser til måling af parametre for falsk elektromagnetisk stråling og interferens. Tekniske krav og prøvningsmetoder. Informationsbeskyttelse. Faciliteter til måling af elektromagnetisk sidestråling og pickup-parametre. Tekniske krav og prøvningsmetoder. Ikrafttrædelsesdato: 30/09/2009. GOST R 53115-2008 Informationsbeskyttelse. Test af tekniske midler til informationsbehandling for overholdelse af kravene til sikkerhed mod uautoriseret adgang. Metoder og midler. Informationsbeskyttelse. Overensstemmelsestest af tekniske intil beskyttelse af uautoriseret adgang. Metoder og teknikker. Ikrafttrædelsesdato: 30/09/2009. GOST R 53113.2-2009 Informationsteknologi. Beskyttelse af informationsteknologier og automatiserede systemer mod informationssikkerhedstrusler implementeret ved hjælp af hemmelige kanaler. Del 2. Anbefalinger til organisering af beskyttelsen af ​​information, informationsteknologier og automatiserede systemer mod angreb ved hjælp af hemmelige kanaler. Informationsteknologi. Beskyttelse af informationsteknologi og automatiserede systemer mod sikkerhedstrusler ved brug af hemmelige kanaler. Del 2. Anbefalinger om beskyttelse af information, informationsteknologi og automatiserede systemer mod hemmelige kanalangreb. Ikrafttrædelsesdato: 12/01/2009. GOST R ISO/IEC TIL 19791-2008 Informationsteknologi. Metoder og midler til at sikre sikkerhed. Sikkerhedsvurdering af automatiserede systemer. Informationsteknologi. Sikkerhedsteknikker. Sikkerhedsvurdering af driftssystemer. Ikrafttrædelsesdato: 30/09/2009. GOST R 53131-2008 Informationsbeskyttelse. Anbefalinger for disaster recovery services for informations- og telekommunikationsteknologis sikkerhedsfunktioner og -mekanismer. Generelle bestemmelser. Informationsbeskyttelse. Retningslinjer for gendannelsestjenester for informations- og kommunikatiog -mekanismer. Generel. Ikrafttrædelsesdato: 30/09/2009. GOST R 54581-2011 Informationsteknologi. Metoder og midler til at sikre sikkerhed. Grundlæggende om tillid til it-sikkerhed. Del 1: Oversigt og grundlæggende. Informationsteknologi. Sikkerhedsteknikker. En ramme for it-sikkerhedssikring. Del 1. Overblik og rammer. Ikrafttrædelsesdato: 07/01/2012. GOST R ISO/IEC 27033-1-2011 Informationsteknologi. Metoder og midler til at sikre sikkerhed. Netværkssikkerhed. Del 1: Oversigt og koncepter. Informationsteknologi. Sikkerhedsteknikker. Netværkssikkerhed. Del 1. Overblik og begreber. Ikrafttrædelsesdato: 01/01/2012. GOST R ISO/IEC 27006-2008 Informationsteknologi. Metoder og midler til at sikre sikkerhed. Krav til organer, der udfører revision og certificering afstemer. Informationsteknologi. Sikkerhedsteknikker. Krav til organer, der leverer revision og certificering afstemer. Ikrafttrædelsesdato: 30/09/2009. GOST R ISO/IEC 27004-2011 Informationsteknologi. Metoder og midler til at sikre sikkerhed. Informationssikkerhedsstyring. Målinger. Informationsteknologi. Sikkerhedsteknikker. Informationssikkerhedsstyring. Måling. Ikrafttrædelsesdato: 01/01/2012. GOST R ISO/IEC 27005-2010 Informationsteknologi. Metoder og midler til at sikre sikkerhed. Informationssikkerhedsrisikostyring. Informationsteknologi. Sikkerhedsteknikker. Informationssikkerhedsrisikostyring. Ikrafttrædelsesdato: 12/01/2011. GOST R ISO/IEC 31010-2011 Risikostyring. Risikovurderingsmetoder (Risk management. Risk assessment methods). Ikrafttrædelsesdato: 12/01/2012 GOST R ISO 31000-2010 Risikostyring. Risikostyring Principper og retningslinjer. Ikrafttrædelsesdato: 31.08.2011 GOST 28147-89 Informationsbehandlingssystemer. Kryptografisk beskyttelse. Kryptografisk konverteringsalgoritme. Ikrafttrædelsesdato: 30-06-1990. GOST R ISO/IEC 27013-2014 "Informationsteknologi. Metoder og midler til at sikre sikkerhed. Vejledning om kombineret brug af ISO/IEC 27001 og ISO/IEC 20000-1 - gældende 1. september 2015. GOST R ISO/IEC 27033-3-2014 "Netværkssikkerhed. Del 3. Referencenetværksscenarier. Trusler, designmetoder og ledelsesspørgsmål” – træder i kraft 1. november 2015 GOST R ISO/IEC 27037-2014 "Informationsteknologi. Metoder og midler til at sikre sikkerhed. Retningslinjer for identifikation, indsamling, genfinding og opbevaring af digitalt bevismateriale – gældende 1. november 2015. GOST R ISO/IEC 27002-2012 Informationsteknologi. Metoder og midler til at sikre sikkerhed. Sæt af normer og regler for informationssikkerhedsstyring. Informationsteknologi. Sikkerhedsteknikker. Code of practice for informationssikkerhedsstyring. Ikrafttrædelsesdato: 01/01/2014. OKS-kode 35.040. GOST R 56939-2016 Informationsbeskyttelse. Sikker softwareudvikling. Generelle krav (Informationsbeskyttelse. Sikker softwareudvikling. Generelle krav). Ikrafttrædelsesdato: 06/01/2017. GOST R 51583-2014 Informationsbeskyttelse. Proceduren for at skabe automatiserede systemer i et sikkert design. Generelle bestemmelser. Informationsbeskyttelse. Sekvens af dannelse af beskyttet operationelt system. Generel. 09/01/2014 GOST R 7.0.97-2016 System af standarder for information, bibliotek og udgivelse. Organisatorisk og administrativ dokumentation. Krav til udarbejdelse af dokumenter (System af standarder om information, bibliotekar og publicering. Organisatorisk og administrativ dokumentation. Krav til præsentation af dokumenter). Ikrafttrædelsesdato: 07/01/2017. OKS-kode 01.140.20. GOST R 57580.1-2017 Sikkerhed for finansielle (bank-) transaktioner. Beskyttelse af oplysninger om finansielle organisationer. Den grundlæggende sammensætning af organisatoriske og tekniske foranstaltninger - Sikkerhed for finansielle (bank-) operationer. Informationsbeskyttelse af finansielle organisationer. Grundlæggende sæt af organisatoriske og tekniske foranstaltninger. GOST R ISO 22301-2014 Forretningskontinuitetsstyringssystemer. Generelle krav - Forretningskontinuitetsstyringssystemer. Krav. GOST R ISO 22313-2015 Forretningskontinuitetsstyring. Implementeringsvejledning - Forretningskontinuitetsstyringssystemer. Vejledning til implementering. GOST R ISO/IEC 27031-2012 Informationsteknologi. Metoder og midler til at sikre sikkerhed. En guide til informations- og kommunikationsteknologi-beredskab til forretningskontinuitet - informationsteknologi. Sikkerhedsteknikker. Retningslinjer for informations- og kommunikationsteknologisk parathed til forretningskontinuitet. GOST R IEC 61508-1-2012 Funktionel sikkerhed af elektriske, elektroniske, programmerbare elektroniske sikkerhedsrelaterede systemer. Del 1. Generelle krav. Funktionel sikkerhed af elektriske, elektroniske, programmerbare elektroniske sikkerhedsrelaterede systemer. Del 1. Generelle krav. Dato for introduktion 2013-08-01. GOST R IEC 61508-2-2012 Funktionel sikkerhed af elektriske, elektroniske, programmerbare elektroniske sikkerhedsrelaterede systemer. Del 2. Systemkrav. Funktionel sikkerhed af elektriske, elektroniske, programmerbare elektroniske sikkerhedsrelaterede systemer. Del 2. Krav til systemer. Dato for introduktion 2013-08-01. GOST R IEC 61508-3-2012 FUNKTIONEL SIKKERHED FOR ELEKTRISKE, ELEKTRONISKE, PROGRAMMERBARE ELEKTRONISKE, SIKKERHEDSRELATEREDE SYSTEMER. Softwarekrav. IEC 61508-3:2010 Funktionel sikkerhed af elektriske/elektroniske/programmerbare elektroniske sikkerhedsrelaterede systemer - Del 3: Softwarekrav (IDT). GOST R IEC 61508-4-2012 FUNKTIONEL SIKKERHED FOR ELEKTRISKE, ELEKTRONISKE, PROGRAMMERBARE ELEKTRONISKE, SIKKERHEDSRELATEREDE SYSTEMER Del 4 Begreber og definitioner. Funktionel sikkerhed af elektriske, elektroniske, programmerbare elektroniske sikkerhedsrelaterede systemer. Del 4. Begreber og definitioner. Dato for introduktion 2013-08-01. . GOST R IEC 61508-6-2012 Funktionel sikkerhed af elektriske, elektroniske, programmerbare elektroniske sikkerhedsrelaterede systemer. Del 6. Retningslinjer for brug af GOST R IEC 61508-2 og GOST R IEC 61508-3. IEC 61508-6:2010. Funktionel sikkerhed af elektriske/elektroniske/programmerbare elektroniske sikkerhedsrelaterede systemer - Del 6: Retningslinjer for anvendelse af IEC 61508-2 og IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 Funktionel sikkerhed af elektriske systemer, Funktionel sikkerhed af elektriske, elektroniske, programmerbare elektroniske systemer relateret til sikkerhed. Del 7. Metoder og midler. Funktionel sikkerhed af elektrisk elektronisk programmerbare elektroniske sikkerhedsrelaterede systemer. Del 7. Teknikker og foranstaltninger. Dato for introduktion 2013-08-01. GOST R 53647,6-2012. Ledelse af forretningskontinuitet. Krav til et styringssystem for personoplysninger for at sikre databeskyttelse