Нормативная документация -> ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения ->
Введение
Основное конкурентное преимущество любого современного бизнеса лежит в его информационной сфере. Конкурентное преимущество имеет тот, кто быстрее, точнее и на более длительный срок прогнозирует развитие тех или иных направлений деятельности или возможных проблем и рисков, потребностей бизнеса: кто быстрее и адекватнее реагирует на значимые для деятельности организации события и способен извлекать пользу (преимущества) даже из неблагоприятных ситуаций.
Для реализации вышеупомянутых условий обеспечения конкурентного преимущества требуется высокоорганизованная, высокотехнологичная и автоматизированная информационная сфера, в которой должны поддерживаться эффективные процессы. Такая информационная сфера, основанная только на глобальных данных (ранее — преимущественно на локальных), будет более уязвимой. Однако с точки зрения бизнеса основной причиной уязвимости информационной сферы является неопределенность состояния ее информационной базы, создающая иногда значительную стохастическую составляющую (риски) бизнеса. Понесенные потери могут иметь естественные причины, не связанные с нарушениями безопасности.
Подразделение организации, обеспечивающее ее безопасность, не может и не должно отвечать за все. Такой «привилегией» обладает только высшее руководство организации, и все ошибки — организационные, управленческие, ошибки в результате неадекватной и неэффективной деятельности — являются ошибками системы корпоративного управления организаций. Все остальные подразделения организации разделяют общую ответственность в объеме определенной им конкретной деятельности, в том числе и в части обеспечения безопасности. Область ответственности подразделения безопасности организации — злонамеренная активность, негативно влияющая на цели бизнеса, а самая сложная ее задача — противодействие злонамеренному использованию стохастичности бизнеса, то есть противодействие скрытому, невидимому злоумышленнику.
Одна из важнейших задач подразделения безопасности — формализация собственной деятельности в рамках организации (корпорации), т. е. определение совместно с высшим руководством организации роли и ответственности подразделения безопасности в организации. Роль подразделения безопасности должна определяться совокупностью процессов, которые это подразделение будет поддерживать, и механизмов включения этих процессов в общее корпоративное управление, поддержки этих процессов правами (каналами влияния на объект и степенью влияния), ресурсами и ответственностью.
В связи с усилением зависимости деятельности организации от непрерывности ее информационных процессов, доступности и готовности компонентов информационной сферы в разряд критических переходят аспекты, связанные с обеспечением непрерывности бизнеса. Руководство организаций все чаще ощущает зависимость их деятельности от сбоев, в том числе связанных с рисковыми событиями в информационной сфере.
В настоящем стандарте представлены рекомендации по планированию деятельности, связанной с восстановлением функций и механизмов безопасности информационных и телекоммуникационных технологий после чрезвычайных ситуаций в контексте общего процесса обеспечения непрерывности деятельности организации.
Основаниями разработки национального стандарта, модифицированного по отношению к международному стандарту, являются:
— различия в объектах стандартизации национального и международного стандартов, обусловленные потребностями в обеспечении информационной безопасности субъектов российской экономики и поддержке деятельности специализированных подразделений организаций;
— международный стандарт не учитывает государственные интересы и направлен на удовлетворение потребностей бизнеса (организаций, провайдеров услуг, групп организаций, связанных взаимными соглашениями, которые используют услуги аутсорсинга электронной обработки данных) в части восстановления информационных и коммуникационных технологий (ИКТ) после чрезвычайных ситуаций.
Объект стандартизации международного стандарта — услуги по восстановлению ИКТ после чрезвычайных ситуаций, в то время как объектом стандартизации гармонизированного модифицированного национального стандарта являются услуги по восстановлению после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий, а предметом стандартизации — общие положения.
Изменения, введенные в настоящий стандарт по отношению к международному стандарту, обусловлены необходимостью наиболее полного достижения целей национальной стандартизации в области защиты информации.
Структура настоящего стандарта по отношению к международному стандарту ИСО/МЭК ТО 24762 изменена в целях обеспечения ее соответствия правилам, установленным в разделе 3 ГОСТ Р 1.5 в части объекта и аспекта стандартизации.
Разделы 5, 6 и 8 международного стандарта ИСО/МЭК ТО 24762, как содержащие вспомогательную информацию относительно объекта и аспекта стандартизации настоящею стандарта, приведены в приложениях А, В и С настоящего стандарта с учетом сохранения перекрестных ссылок, имеющихся в указанных разделах. Отдельные слова в тексте данных приложений стандарта, измененные в целях учета аспекта стандартизации настоящего стандарта и для сохранения перекрестных ссылок, выделены курсивом.
Раздел 7 и приложение А международного стандарта ИСО/МЭК ТО 24762 исключены, как не имеющие непосредственного отношения к объекту и аспекту стандартизации настоящего стандарта.
Настоящий стандарт дополнен разделами 4, 5 и подразделом 6.1, содержащими положения, устанавливающие требования к объекту и аспекту стандартизации настоящего стандарта.
Положения подразделов 6.2 и 6.3 настоящего стандарта, устанавливающие требования к системе менеджмента информационной безопасности организации, замещают положения раздела 9 международного стандарта ИСО/МЭК ТО 24762, не отвечающие объекту и аспекту стандартизации настоящего стандарта.
Положения введенных разделов и подразделов выделены путем заключения их в рамки из тонких линий.
Для выделения разделов 1 и 2, модифицированных по отношению к тексту ИСО/МЭК ТО 24762, использована одиночная вертикальная полужирная линия, которая расположена на полях соответственно слева (четные страницы) и справа (нечетные страницы) от текста.
Сопоставление структуры настоящего стандарта со структурой примененной в нем части международного стандарта ИСО/МЭК ТО 24762 приведено в таблице ДВ.1 (приложение ДВ).
В настоящем стандарте некоторые терминологические статьи приведены в иной редакции, чем в ИСО/МЭК ТО 24762. Для выделения этих статей использована одиночная вертикальная полужирная линия, которая расположена на полях соответственно слева (четные страницы) и справа (нечетные страницы) от текста, модифицированного по отношению к соответствующему тексту ИСО/МЭК ТО 24762. Исходные по отношению к указанным терминологические статьи ИСО/МЭК ТО 24762 приведены в приложении ДБ настоящего стандарта.
В настоящий стандарт включен ряд дополнительных статей с терминами. Эти статьи заключены в рамки из тонких линий.
В целях идентификации терминологических статей настоящего стандарта, гармонизированных со статьями ИСО/МЭК ТО 24762, для этих статей в скобках (справа) приведены номер соответствующей статьи ИСО/МЭК ТО 24762 и условное обозначение степени их соответствия:
— IDT — идентичные статьи;
— MOD — модифицированные статьи.
Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в области стандартизации.
Для каждого понятия установлен один стандартизованный термин.
Заключенная в круглые скобки часть термина может быть опущена при использовании термина. При этом не входящая в круглые скобки часть термина образует его краткую форму.
Наличие квадратных скобок в терминологической статье означает, что в нее включены два или более термина, имеющие общие элементы.
Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, — светлым.