Средства обеспеченияжүктеу 0.87 Mb.
Pdf просмотр
бет1/17
Дата14.09.2017
өлшемі0.87 Mb.
#16135
  1   2   3   4   5   6   7   8   9   ...   17

 
 
 
 
 
ҚАЗАҚСТАН РЕСПУБЛИКАСЫНЫҢ МЕМЛЕКЕТТІК СТАНДАРТЫ 
 
 
 
 
 
 
 
 
Ақпараттық технологиялар 
ҚАМСЫЗДАНДЫРУ ҚҰРАЛДАРЫ 
Ақпарат қорғанысын басқару бойынша ережелер жинағы 
 
Информационные технологии 
СРЕДСТВА ОБЕСПЕЧЕНИЯ 
Свод правил по управлению защитой информации 
 
ҚР СТ ИСО/МЭК 27002-2009 
(ISO/IEC 27002:2005, IDT) 
 
 
 
 
 
 
Ресми басылым 
 
 
 
 
 
 
Қазақстан Республикасы Индустрия жəне сауда министрлігінің 
Техникалық реттеу жəне метрология комитеті 
(Мемстандарт) 
 
Астана 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 
 
 
 
 
ҚАЗАҚСТАН РЕСПУБЛИКАСЫНЫҢ МЕМЛЕКЕТТІК СТАНДАРТЫ 
 
 
 
 
 
 
 
 
Ақпараттық технологиялар 
 
ҚАМСЫЗДАНДЫРУ ҚҰРАЛДАРЫ 
 
Ақпарат қорғанысын басқару бойынша ережелер жинағы 
 
 
ҚР СТ ИСО/МЭК 27002-2009 
(ISO/IEC 27002:2005, IDT) 
 
 
 
 
 
 
Ресми басылым 
 
 
 
 
 
 
 
Қазақстан Республикасы Индустрия жəне сауда министрлігінің 
Техникалық реттеу жəне метрология комитеті 
(Мемстандарт) 
 
Астана 

ҚР СТ ИСО/МЭК 27002-2009 
 
 
II 
Алғысөз 
 
1 Қазақстан Республикасы Индустрия жəне сауда министрлігінің Техникалық реттеу 
жəне  метрология  комитетінің  «Қазақстан  стандарттау  жəне  сертификаттау  институты» 
республикалық  мемлекеттік  кəсіпорны  жəне  «Автоматты  бірдейлендіру»  № 61 
стандарттау бойынша техникалық комитеті  ƏЗІРЛЕП ЕНГІЗДІ 
 
Қазақстан Республикасы Индустрия жəне сауда министрлігінің Техникалық реттеу 
жəне  метрология  комитеті  төрағасының 2009-жылғы 17-қарашадағы  № 564-од      
бұйрығымен БЕКІТІЛІП ҚОЛДАНЫСҚА ЕНГІЗІЛДІ 
 
3  Осы  стандарт ISO/IEC 27002:2005 Information technology – Security techniques – 
Code of practice for information security management (Ақпараттық  технологиялар. 
Қамсыздандыру құралдары. Ақпарат қорғанысын басқару бойынша ережелер жинағы) 
Аудармасы ағылшын тілінен (en) 
Сəйкестік деңгейі  – бірдей (IDT) 
 
4 БІРІНШІ ТЕКСЕРУ МЕРЗІМІ                                                                2014 жыл 
   ТЕКСЕРУ КЕЗЕҢДІЛІГІ                                                                               5 жыл 
 
5 АЛҒАШ РЕТ ЕНГІЗІЛДІ  
 
Осы  стандартқа  енгізілген  өзгерістер  туралы  ақпарат  «Стандарттау  бойынша 
нормативтік құжаттар» сілтемесінде, ал өзгерістер мəтіні – ай сайын жарық көретін 
«Мемлекеттік  стандарттар»  ақпараттық  сілтемесінде  жарияланады.  Осы  стандарт 
қайта  қаралған  (жойылған)  немесе  ауыстырылған  жағдайда  тиісті  ақпарат 
«Мемлекеттік стандарттар» ақпараттық сілтемесінде жарияланады 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Осы  стандарт  Қазақстан  Республикасы  Индустрия  жəне  сауда  министрлігінің 
Техникалық  реттеу  жəне  метрология  комитетінің  рұқсатынсыз  ресми  басылым  ретінде 
толықтай немесе ішінара басылып шығарыла, көбейтіле жəне таратыла алмайды 
 

ҚР СТ ИСО/МЭК 27002-2009 
 
 
III
Мазмұны 
 
 
Кіріспе IV 

Қолданылу саласы 1 

Нормативтік сілтемелер 1 

Терминдер мен анықтамалар, осы стандарттың құрылымы жəне 
тараулары, негізгі қауіпсіздік категориялары 
 


Қауіп-қатерлерді бағалау жəне өңдеу 4 

Қауіпсіздік саясаты 6 

Ақпараттық қауіпсіздікті ұйымдастыру 8 

Активтерді басқару 18 

Қызметкермен байланысты қауіпсіздік ережелері 21 

Физикалық қорғаныс жəне қоршаған орта əсерінен қорғау 28 
10 
Деректерді тапсыру ісін жəне операциялық қызметтерді басқару 35 
11 
Қатынауды бақылау 58 
12 
Ақпараттық  жүйелерді əзірлеу, ендіру жəне қызмет жасау 76 
13 
Ақпараттық қауіпсіздік оқиғаларын басқару 88 
14 
Бизнес үздіксіздігін басқару 93 
15 
Талаптарға сəйкестік 98 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

ҚР СТ ИСО/МЭК 27002-2009 
 
 
IV 
Кіріспе 
 
1 Ақпараттық қауіпсіздік дегеніміз не?  
Ақпарат - бұл ұйымның басқа активтері сияқты  актив, құнды, осыған сəйкес тиісті 
дəрежеде қорғалуы тиіс. Ақпараттық қауіпсіздік  бизнес үздіксіздігіне, залалды азайтуға, 
инвестициядан барынша табыс түсіруге, сонымен қатар бизнестің əлеуетті мүмкіндіктерін 
іске  асыруға  сенімділікті  қамтамасыз  ету  мақсатында  қауіптердің  кең  диапазонынан 
қорғайды.  Осындай  өзара  байланысты  жақтардың  қарқындап  өсуі  нəтижесінде,  бүгінгі 
күні  ақпарат  осалдықтар  мен  қауіп-қатердің  күн  санап  өскен  ортасы  мен  орасан  зор 
шеңберінде  қалып  отыр  (Ақпараттық  Жүйелердің  жəне  Желілердің  Қауіпсіздігі  үшін 
ОЭСР-дің нұсқауларын қараңыз). 
Ақпарат  түрлі  нысандарда  бола  алады.  Ол  басып  шығарылады  немесе  қағазға 
жазылады,  электронды  түрде  сақталады,  почта  арқылы  немесе  электронды  байланыс 
құралдары  арқылы  жіберіледі,  үлдірде  бейнелене  алады  немесе  ауызша  беріледі.  Оның  
берілу  нысанына,  тарату  немесе  сақтау  құралдарына  қарамастан,  ол  тиісті  дəрежеде 
қорғалуы тиіс. 
Ақпараттық  қауіпсіздікке  саясаттар,  əдістер,  процедуралар,  бағдарламалық 
қамсыздандырудың  ұйымдастыру  құрылымдары  жəне  қызметтері  ұсынатын  ақпараттық 
қауіпсіздікті  басқару  бойынша  тиісті  іс-шаралар    жиынтығын  іске  асыру  арқылы  қол 
жеткізуге болады. Осы шаралар қажет болған жерлерде ендірілуі, белгіленуі, жетілдірілуі 
тиіс  жəне  ұйымның  ақпараттық  қауіпсіздік  мақсаттарына  қол  жеткізуін  қамтамасыз  етуі 
тиіс.   
2 Ақпараттық қауіпсіздік қажеттілігі  
Ақпарат  жəне  оны  қуаттайтын  процестер,  ақпараттық  жүйелер  жəне  желілік 
инфрақұрылым ұйымның маңызды активтері болып табылады. Ақпараттың құпиялылығы, 
тұтастығы жəне қолайлылығы ұйымның бəсекеге қабілеттілігін, табыстылығын, заңнамаға 
сəйкестілігін жəне іскерлік беделінің артуына елеулі əсер етуі мүмкін. 
Ұйымдар,  олардың  ақпараттық  жүйелері  жəне  желілері  компьютерлік  алаяқтық. 
Шпиондық, зиян келтірушілік, тағылық, өрт немесе су тасқыны сияқты түрлі қауіпсіздік 
қауіптермен  жиі  қақтығысып  отыр.  Компьютерлік  вирустар,  компьютерлік  сындырулар 
жəне  қызмет  жасау  кезінде  тоқтап  қалу  түріндегі  шабуылдар  сияқты  мұндай    залал 
негіздері өте кең тарауда, əрі одан сайын əсерін күшейтіп,  баса-көктеу үстінде. 
Ақпараттық  жүйелер  мен  желілерге  тəуелділік  ұйымның  қауіпсіздік  қатерлеріне 
қатысты күн өткен сайын осал бола түсетінін білдіреді. Жалпы қолданыстағы желілер мен 
жекеше  желілердің  өзара  байланыстылығы,  сонымен  қатар  ақпараттық  ресурстарды 
бірлесіп қолдану ақпаратқа қатынауды басқаруды қиындатуда.  Деректерді таратып өңдеп 
пайдалану тенденциясы орталықтандырылған бақылауды əлсіретеді. 
Көптеген  ақпараттық  жүйелерді  жобалаған  кезде  қауіпсіздік  мəселелері 
ескерілмеген.  Техникалық  құралдар  арқылы  қол  жеткізілетін  қауіпсіздік  деңгейі  біраз 
шектеулер  қатарына  ие  болады  жəне  осыған  сəйкес,  тиісті  ұйымдастыру  шараларымен 
сүйемелденуі  тиіс.  Ақпараттық  қауіпсіздікті  басқарудың  қажетті  шараларын  таңдау 
мұқият жоспарлауды жəне жан-жақты зерттеуді қажет етеді.  
Ақпараттық  қауіпсіздікті  басқару  ісі,  ең  аз  дегенде,  ұйымның  барлық 
қызметкерлерінің  қатысуына  мұқтаж  болады.  Сонымен  қатар,  жабдықтаушылардың, 
клиенттердің немесе акционерлердің қатысуы  талап етілуі мүмкін.  Бұдан басқа, тараптық 
ұйымдардың мамандарының кеңестері талап етілуі мүмкін. 
3 Ақпараттық қауіпсіздік талаптарын қалай белгілеуге болады  
Ұйым  өзінің  ақпараттық  қауіпсіздік  талаптарын  төмендегі  үш  факторды  ескере 
отырып белгілеуі тиіс: 

ҚР СТ ИСО/МЭК 27002-2009 
 
 
V
Біріншіден,  ұйымның  қауіп-қатерлерін  бағалау.  Қауіп-қатерлерді  бағалау  арқылы 
ұйымның  барлық  іскерлік  стратегиясына  жəне  міндеттеріне  назар  аудара  отырып,  ұйым 
активтерінің  қауіптері  айқындалады,  тиісті  активтердің  осалдығы  жəне  қауіп  туындау 
ықтималдығы, сонымен қатар олардың  ықтимал зардаптары  бағаланады.   
Екіншіден,  ұйым,  оның  сауда  серіктестері,  мердігерлері  жəне  қызмет 
көрсетулермен 
жабдықтаушылары 
жəне 
олардың 
əлеуметтік-мəдени 
ортасы 
қанағаттандыруы тиіс заң, реттеуші жəне келісім талаптары. 
Үшіншіден,  ақпарат  өңдеуге  қатысты  ұйым  əзірлеген  спецификалық  ұстанымдар, 
мақсаттар жəне талаптар  жинағы. 
4 Ақпараттық қауіпсіздік қауіп-қатерлерін бағалау  
Ақпараттық  қауіпсіздік  талаптары  жүйелі  қауіп-қатер  бағалауының  көмегімен 
айқындалады.  Ақпараттық  қауіпсіздікті  басқару  бойынша  шаралардың  шығындары 
туралы  шешімдер  ақпараттық  қауіпсіздіктің  бұзылуы  нəтижесінде  бизнеске  келтірілетін 
ықтимал залал шамасымен салыстыра отырып, қабылданулары тиіс. 
Осындай  бағалау  нəтижелері  ақпараттық  қауіпсіздікпен  байланысты  қауіп-
қатерлерді  басқару  саласындағы  нақты  шаралар  мен  басымдықтарды  айқындауға, 
сонымен  қатар  осы  қауіп-қатерлерді  төмендету  мақсатында  ақпараттық  қауіпсіздікті 
басқару бойынша шараларды ендіруге  көмектеседі. 
Қауіп-қатер  бағалауларын  қауіп-қатер  бағалауларының  нəтижелеріне  əсер  етуі 
мүмкін өзгерістер адресациялары үшін жүйелі түрде қайталап отыру қажет. 
Қауіпсіздіктің  қауіп-қатерлері  туралы  анағұрлым  нақты  ақпаратты  «Қауіпсіздік 
қауіп-қатерлерін бағалау» 4.1-тараудан қарауыңызға болады.  
5 Ақпараттық қауіпсіздікті басқаруды бақылау элементтерін таңдау  
Ақпараттық  қауіпсіздік  талаптары    айқындалған  соң,  қауіп-қатерлерді  талап 
етілетін  деңгейге  дейін  төмендете  алатын  ақпараттық  қауіпсіздікті  басқару  бойынша 
осындай  шараларды  таңдау  жəне  енгізу  қажет.  Осы  шараларды  осы  стандарттан,  басқа 
негіздерден таңдап алуға болады, сонымен қатар  ұйымның спецификалық қажеттіліктерін 
қанағаттандыратын  ақпараттық  қауіпсіздікті  басқару  бойынша  өзіндік  шараларды 
əзірлеуге болады.  
Қауіпсіздік  шараларын  таңдау  ісі  ұйымдастыру  рұқсат  етілетін  қауіп-қатер 
өлшемдеріне,  қауіп-қатерлерді  өңдеу  опцияларына  жəне  мемлекеттік  жəне  халықаралық 
нормаларға  жəне  заңнамаға  жататын  осы  ұйымның  қолданыстағы  қауіп-қатерлерді 
басқарудың  жалпы амалдарына негізделген  шешімдеріне тəуелді. 
Осы стандартта берілген кейбір ақпараттық қауіпсіздікті басқару бойынша шаралар 
ақпараттық  қауіпсіздікті  басқаруға  арналған  жетекші  ұстанымдар  ретінде  қарастырыла 
алады  жəне  көпшілік  ұйымдарға  қолданыла  алады.  Осы  шаралар    анағұрлым  нақтырақ 
төменде, «Ақпараттық қауіпсіздікті енгізу үшін басты нүкте» тарауында берілген.  
Шараларды  таңдау  жəне  қауіп-қатерлерді  өңдеудің  басқа  опциялары  туралы 
анағұрлым нақты ақпарат «Қауіпсіздік қауіптерін өңдеу» 4.2 тарауында мазмұндалған.  
6 Ақпараттық қауіпсіздікті енгізу үшін басты нүкте  
Ақпараттық  қауіпсіздікті  басқару  бойынша  жекелеген  шаралар  ақпараттық 
қауіпсіздікті  басқаруға  арналған  жетекші  ұстанымдар  ретінде  қарастырыла  алады  жəне 
оны  енгізу  үшін  бастапқы  оңтайлы  орын  ретінде  қызмет  етеді.  Осындай  шаралар  не 
заңнаманың  түйінді  талаптарына  негізделеді,  не  ақпараттық  қауіпсіздік  саласындағы 
жалпы қабылданған тəжірибе ретінде қарастырылады. 
Заңнама тұрғысынан бақылаудың түйінді шаралары төмендегілер болып табылады: 
a) дербес деректердің құпиялылығын қамтамасыз ету (15.1.4); 
b) ұйымның есепке алу деректерін қорғау (15.1.3); 
c) интеллектілік меншіктік құқықтары (15.1.2). 

ҚР СТ ИСО/МЭК 27002-2009 
 
 
VI 
Ақпараттық  қауіпсіздік  саласындағы  жалпы  танылған  тəжірибе  ретінде 
қарастырылатын  ақпараттық  қауіпсіздікті  басқару  бойынша  шаралар  төмендегілерді 
қамтиды: 
a) ақпараттық қауіпсіздік саясатын сипаттайтын құжаттың болуы  (5.1.1); 
b)  ақпараттық  қауіпсіздікті  қамтамасыз  ету  бойынша  міндеттерді  бөліп  тарату 
(6.1.3); 
c) ақпараттық қауіпсіздік мəселелерін оқыту  (8.2.2); 
d) қосымшалардағы дұрыс өңдеулер  (12.2); 
e) техникалық осалдықты басқару (12.6); 
f) бизнес үздіксіздігін басқару  (14); 
g) ақпараттық қауіпсіздікке қатысты оқиғалар туралды хабарлау  (13.2). 
Тізімделген шараларды көпшілік ұйымдарға жəне ақпараттық орталарға қолдануға 
болады. 
Осы стандартта берілген шаралар маңызды болып табылатынын айта кеткен жөн, 
қандай  да  бір  шараның  орындылығын  ұйым  қақтығысатын  қауіп-қатерлерге  қатысты 
айқындау  қажет.  Осыған  сəйкес,  жоғарыда  сипатталған  əдіс  ақпараттық  қауіпсіздікті 
қамтамасыз  ету  бойынша  шараларды  енгізу  үшін  басты    нүкте  ретінде 
қарастырылатынына  қарамастан,  ол  қауіп-қатерлерді  бағалауға  негізделген  ақпараттық 
қауіпсіздікті басқару бойынша шараларды таңдаудың  орнына жүрмейді.   
7 Табыстың маңызды факторлары  
Тəжірибе  көрсеткендей,  ұйымда  ақпараттық  қауіпсіздікті  табысты  енгізу  үшін 
төмендегі факторлар негіз болып табылады: 
a) ақпараттық қауіпсіздіктің мақсаттарының, саясатының жəне процедураларының 
бизнес мақсаттарына сай келуі; 
b) ақпараттық қауіпсіздікті енгізу амалының корпоративтік мəдениетпен келісілуі; 
c) басшылық тарапынан қолдау көрсету  жəне мүдделілік; 
d)  қауіпсіздік  талаптарын  айқын  түсіну,  қауіп-қатерлерді  бағалау  жəне  оларды 
басқару; 
e)  ұйым  басшысы  мен  қызметкерлерінің  ақпараттық  қауіпсіздік  шараларын 
қолдану қажеттілігін түсінуі; 
f)  ақпараттық  қауіпсіздік  саясатына  қатысты  нұсқаулықтарды  жəне  тиісті 
стандарттарды барлық қызметкерлер мен контрагенттерге тапсыру; 
g)  ақпараттық  қауіпсіздікті  басқару  бойынша  қызметтің  қаржыландырылуын 
қамтамасыз ету;  
h) қажетті оқытулар мен даярлықтарды қамтамасыз ету;  
i)  ақпараттық  қауіпсіздікке  жататын  оқиғаларды  басқарудың  тиімді  процестерін 
белгілеу; 
қауіпсіздік оқиғаларын бақылаудың тиімді ақпараттық процестерін белгілеу; 
j)  ақпараттық  қауіпсіздікті  басқарудың  тиімділігін  бағалау  үшін  пайдаланылатын 
жан-жақты жəне баланс жасалған өлшеулер көрсеткіштерінің жүйесі жəне оны жақсарту 
бойынша ұсыныстар. 
8 Ұйымның жеке меншік нұсқауларын əзірлеу  
Осы  стандарт  ұйымның  нақты  мұқтаждықтарына  негіздеп  нұсқау  əзірлеу  үшін 
басты нүкте ретінде бағалануы тиіс.  Осы стандартта берілген барлық нұсқаулықтар мен 
шараларды қолдану шарт емес. 
Бұдан  басқа,  осы  стандартқа  енгізілмеген  қосымша  шаралар  талап  етілуі  мүмкін. 
Мұндай  жағдайларда,  аудиторлар  мен  бизнес  бойынша  серіктестер  өткізетін  сəйкестік 
тексерістерін жеңілдететін  сілтемелерді сақтау пайдалы бола алады. 
 

ҚР СТ ИСО/МЭК 27002-2009 
 
 
1
ҚАЗАҚСТАН РЕСПУБЛИКАСЫНЫҢ МЕМЛЕКЕТТІК СТАНДАРТЫ 
 
Ақпараттық технологиялар 
 
ҚАМСЫЗДАНДЫРУ ҚҰРАЛДАРЫ 
 
Ақпарат қорғанысын басқару бойынша ережелер жинағы 
 
Information technology – Security techniques –  
Code of practice for information security management 
 
Енгізілген күні 2010-07-01 
 
1 Қолданылу саласы 
 
Осы стандарт ұйымдастырудағы жоспарлау, іске асыру немесе шешімдерді қуаттау 
қауіпсіздігіне  жауапты  тұлғаларға  ақпараттық  қауіпсіздікті  басқару  бойынша  ережелер 
жинағын  белгілейді.  Осы  стандартта  көрсетілген  мəселелер  ақпараттық  қауіпсіздікті 
басқару ісіндегі жалпы қабылданған мақсаттарға арналған бағыттарды белгілейді. 
Осы  стандарттың  басқару  міндеттері  мен  элементтері  қауіп-қатерлерді  бағалау 
кезінде анықталған белгіленген талаптарға сəйкес болу мақсатымен ендіруге бағытталған. 
Осы  стандарт  қауіпсіздік  стандарттарын  əзірлеу  үшін  жалпы  негіздерді  жəне 
ұйымдастырудағы,  сонымен  қатар  ұйымдар  арасындағы  іскерлік  қатынастарда  сенімді 
қамтамасыз  ету  мүддесінде    басқару  қауіпсіздігі  бойынша  практикалық  іс-шараларды 
таңдауды қамтамасыз ету үшін қолданылады. 
 
2 Нормативтік сілтемелер 
 
Осы стандартты қолдану үшін мынадай сілтемелік нормативтік құжаттар қажет: 
ҚР СТ 1.9-2007 Қазақстан Республикасының Мемлекеттік техникалық реттеу жүйесі. 
Қазақстан  Республикасында  халықаралық,  өңірлік  жəне  шет  мемлекеттердің  ұлттық 
стандарттарын, стандарттау бойынша басқа да нормативтік құжаттарды қолдану тəртібі. 
ҚР  СТ  ИСО 10007:2007 Сапа  менеджменті  жүйесі.  Конфигурация  менеджменті. 
Негізгі талаптар. 
ҚР  СТ  ИСО/МЭК 11770-1-2008 Ақпараттық  технологиялар.  Қауіпсіздікті 
қамтамасыз ету əдістері жəне құралдары. Кілттерді басқару. 1-бөлім. Негізгі ережелер. 
ҚР  СТ  ИСО/МЭК 13335-1-2008 Ақпараттық  технологиялар.  Қауіпсіздікті 
қамтамасыз  ету  əдістері  жəне  құралдары.  Ақпараттық  технологиялардың  қорғанышын  
басқару. 1-бөлім.  Ақпараттық  жəне  коммуникациялық    технологиялардың  қорғанышын 
басқаруға арналған жалпы түсініктер мен үлгілер.    
ҚР  СТ  ИСО/МЭК  ТО 13335-3-2008 Ақпараттық  технологиялар.  Қауіпсіздікті 
қамтамасыз  ету  əдістері  жəне  құралдары.  Ақпараттық  жəне  коммуникациялық  
технологиялардың  қорғанышын  басқару. 3-бөлім.  Ақпараттық  технологиялардың 
қорғанышын басқару бойынша əдістемелік нұсқаулар.  
ҚР  СТ  ИСО/МЭК 15408-1-2006 Ақпараттық  технологиялар.  Қауіпсіздікті 
қамтамасыз ету əдістері жəне құралдары.  Ақпараттық технологиялар қауіпсіздігін бағалау 
критерийлері. 1-бөлім.  Кіріспе жəне жалпы үлгі. 
 
Ресми басылым 

ҚР СТ ИСО/МЭК 27002-2009 
 
 

ҚР  СТ  ИСО 15489-1:2001 Ақпарат  жəне  құжаттама.  Оперативтік  есеп. 1-бөлім. 
Жалпы ережелер. 
ҚР  СТ  ИСО/МЭК 18028-4-2007 Ақпараттық  технологиялар.  Қорғанышты 
қамтамасыз  ету  əдістері.  Ақпараттық  технологиялар  торын  қорғау. 3-бөлім.  Қашықтан 
қатынауды қорғау. 
ҚР СТ ИСО 19011:2002 Сапа менеджменті жүйесінің аудиті жəне/немесе қоршаған 
ортаны қорғау бойынша ұсыныстар. 
ИСО/МЭК  Жетекші құжат 2:1996 Стандарттау жəне аралас қызмет түрлері.  
Жалпы сөздік.* 
ИСО/МЭК  Жетекші құжат 73:2002 Қауіп-қатерді басқару. Сөздік. Стандарттардағы 
пайдалану бойынша жетекші нұсқаулар.* 
ИСО/МЭК 9796-2:2002 Ақпараттық  технологиялар.  Қауіпсіздікті  қамтамасыз  ету 
əдістері.  Хабарламаның  қалпына  келтірілуін  қамтамасыз  ететін  цифрлық  қолтаңбаның 
сызбасы. 2-бөлім.  Бүтін санды жіктеу негізіндегі механизмдер.*  
ИСО/МЭК 9796-3:2006 Ақпараттық  технологиялар.  Қауіпсіздікті  қамтамасыз  ету 
əдістері.  Хабарламаның  қалпына  келтірілуін  қамтамасыз  ететін  цифрлық  қолтаңбаның 
сызбасы.  3- бөлім.  Дискреттік логарифм негізіндегі механизмдер.* 
ИСО/МЭК 12207:2008 Ақпараттық  технологиялар.  Бағдарламалық  қамсыздандыру 
өмірлік циклының процестері.*  
ИСО/МЭК 14888-1:2008 Ақпараттық 
технологиялар. 
Қорғау 
əдістері. 
Қосымшасымен бірге цифрлық қолтаңба.  1-бөлім. Жалпы ережелер.* 
ИСО/МЭК ТО 18044:2004 Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету 
əдістері. Ақпараттық қауіпсіздік инциденттерінің менеджменті.* 
 
ЕСКЕРТПЕ    Осы  стандартты  пайдаланған  кезде  сілтеме  стандарттар  мен  жіктеуіштердің 
қолданыстағы  жылдағы  жай-күйі  бойынша  жыл  сайын  басылып  шығатын  «Стандарттау  бойынша 
нормативтік құжаттар сілтемесі» ақпараттық сілтемесі бойынша жəне ағымдағы жылы жарияланған сəйкес 
ай  сайын  басылып  шығатын  ақпараттық  сілтемелер  бойынша  тексерген  дұрыс.  Егер  сілтеме  құжат 
ауыстырылса, (өзгертілсе), онда осы стандартты пайдаланған кезде ауыстырылған (өзгертілген) стандартты 
басшылыққа алу керек. Егер сілтеме құжат ауыстырылмай жойылса, онда оған сілтеме берілген ереже осы 
сілтемені қозғамайтын бөлікте қолданылады. 
 
3 Терминдер мен анықтамалар, осы стандарттың құрылымы жəне тараулары, 
негізгі қауіпсіздік категориялары  
 
3.1 Терминдер мен анықтамалар 
Осы стандартта тиісті анықтамалары бар төмендегі терминдер қолданылады: 
3.1.1  Активтер (asset): ҚР  СТ  ИСО/МЭК 13335-1-ге  сəйкес  ұйымдастыруға 
арналғанның барлығы. 
3.1.2 Бақылау (control): Саясатты, процедураларды, ұсыныстарды, нұсқаулықтарды 
немесе  əкімшілік,  техникалық,  басқару  немесе  құқықтық  сипатқа  ие  болуы  мүмкін 
ұйымдастырушылық құрылымдарды қоса алғанда қауіп-қатерді басқару құралдары.  
 
ЕСКЕРТПЕ  «Бақылау»  термині  сонымен  қатар  қауіпсіздік  шараларының  немесе 
қарсы əрекет синонимі ретінде пайдаланылады. 
 
3.1.3  Ұсыныстар  (guideline):  Олардың  орындалуы  ҚР  СТ    ИСО/МЭК 13335-1-ге 
сəйкес  белгіленген  мақсаттарға  қол  жеткізу  үшін  қажетті  əрекеттер  мен  тəсілдерді 
түсіндіретін сипаттаулар. 
____________ 
* ҚР СТ 1.9-ға сəйкес қолданылады. 

Каталог: jspui -> bitstream

жүктеу 0.87 Mb.

Поделитесь с Вашими друзьями:
  1   2   3   4   5   6   7   8   9   ...   17
©emirb.org 2022
әкімшілігінің қараңыз

    Басты бет