Администрация Смоленской области — Официальный портал органов власти
Настоящие стандарты не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии.
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России
ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России
ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России
ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России
ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования
ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения
ГОСТ Р 53131-2008 (ИСО/МЭК ТО 24762-2008). Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения
ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России
ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России
ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средста обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий
ГОСТ Р ИСО/МЭК ТО 13335-4-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 4. Выбор защитных мер
ГОСТ Р ИСО/МЭК ТО 13335-5-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети
ГОСТ Р ИСО/МЭК 15408-1-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России
ГОСТ Р ИСО/МЭК 15408-2-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России
ГОСТ Р ИСО/МЭК 15408-3-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России
ГОСТ Р ИСО/МЭК ТО 15443-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы
ГОСТ Р ИСО/МЭК ТО 15443-2-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 2. Методы доверия
ГОСТ Р ИСО/МЭК ТО 15443-3-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 3. Анализ методов доверия
ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью
ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технолоогия. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности
ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
ГОСТ Р ИСО/МЭК 27001-2006. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
ГОСТ Р ИСО/МЭК 27005-2009. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции
В соответствии с гост р исо/мэк 13335-1:
– целостность – это свойство сохранения правильности и полноты активов;
– доступность – это свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта;
– конфиденциальность – это свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса;
– подотчетность – это свойство, обеспечивающее однозначное прослеживание действий любого логического объекта;
– аутентичность – это свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.
– неотказуемость – это способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты;
– достоверность – это свойство соответствия предусмотренному поведению и результатам.
Безопасность информации (согласно Руководящему документу ФСТЭК) – это состояние защищенности информации, обрабатываемой средствами ВТ или АС, от внутренних и внешних угроз.
Средства ЗИ – это технические, программные средства, вещества или материалы, предназначенные для защиты информации.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
– обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
– соблюдение конфиденциальности;
– реализацию права на доступ к информации.
4 ВОПРОС Билет 25 | (Системность, комплексность, непрерывность защиты, разумная достаточность…) |
1. К основным принципам обеспечения информационной безопасности можно отнести:
– системность;
Системный подход к защите АС предполагает необходимость учета всех взаимосвязей, взаимодействующих и изменяющихся во времени элементов, условий и факторов: при всех видах информационной деятельности и информационного проявления, во всех структурных элементах, при всех режимах функционирования, при всех этапах жизненного цикла, с учетом взаимодействия объекта защиты со внешней средой.
– комплексность;
В распоряжении специалистов по ИБ должен иметься широкий спектр методов и средств защиты АС: современные средства вычислительной техники, прикладные программы. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существующие каналы реализации угроз.
– непрерывность защиты;
Защита информации – непрерывный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Перерывы в работе средств защиты информации могут быть использованы злоумышленниками для анализа применяемых методов защиты, внедрения специальных программных, аппаратных и других средств преодоления средств защиты после восстановления её функционирования.
– разумная достаточность защиты;
Создать абсолютно непреодолимую систему защиты не возможно. Например, криптографические средства защиты в большинстве случаев не гарантируют абсолютную стойкость, а лишь обеспечивают конфиденциальность информации в течение приемлемого для защищающейся стороны времени. Высокоэффективная система защиты дорого стоит и использует при работе существенную часть ресурсов АС. В этом случае имеет смысл говорить о некотором приемлемом уровне безопасности. Необходимо правильно выбрать этот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
– гибкость управления и применения;
Очень часто система и средства ее защиты создаются в неопределенных условиях. Поэтому для обеспечения возможности изменения уровня защищенности системы средства защиты должны обладать определенной гибкостью. Особенно это свойство важно тогда, когда внешние условия с течением времени меняются или когда средства защиты необходимо устанавливать на работающую систему, не нарушая процесс её нормального функционирования. В таких ситуациях свойство гибкости спасает владельцев АС от принятия кардинальных мер по замене средств защиты на новые.
– открытость алгоритмов защиты;
Суть принципа открытости алгоритмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структуры организации и алгоритмов функционирования её систем. Однако, информация о системе защиты не обязательно должна быть общедоступна, поэтому необходимо обеспечить защиту от угрозы раскрытия параметров системы.
– простота применения защитных мер и средств.
Механизмы защиты должны быть просты в использовании и не должны требовать знания специальных языков или действий, требующих дополнительных затрат при работе обычных пользователей.
ГОСТ Р ИСО/МЭК 13335-1-2006: Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
Терминология ГОСТ Р ИСО/МЭК 13335-1-2006: Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий оригинал документа:
2.2 активы (asset): Все, что имеет ценность для организации.
Определения термина из разных документов: активы2.20 анализ риска (risk analysis): Систематический процесс определения величины риска.
2.3 аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Примечание — Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.
2.5 базовые защитные меры (baseline controls): Минимальный набор защитных мер, установленный для системы или организации.
2.11 безопасность информационно-телекоммуникационных технологий (безопасность ИТТ) (ICT security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий.
2.9 воздействие (impact): Результат нежелательного инцидента информационной безопасности.
2.17 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.
2.4 доступность (availability): Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.
[ИСО/МЭК 7498-2]
2.24 защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска.
Примечание — Следует заметить, что понятие «защитная мера» может считаться синонимом понятию «контроль» (см. 2.7).
2.14 информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
2.10 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
Примечание — Инцидентами информационной безопасности являются:
— утрата услуг, оборудования или устройств;
— системные сбои или перегрузки;
— ошибки пользователей;
— несоблюдение политик или рекомендаций;
— нарушение физических мер защиты;
— неконтролируемые изменения систем;
— сбои программного обеспечения и отказы технических средств;
— нарушение правил доступа.
2.7 контроль (control): —
Примечание — В контексте безопасности информационно-телекоммуникационных технологий термин «контроль» может считаться синонимом «защитной меры» (см. 2.24).
Определения термина из разных документов: контроль2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
[ИСО/МЭК 7498-2]
2.22 менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий.
2.16 неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.
[ИСО/МЭК 13888-1, ИСО/МЭК 7498-2]
2.23 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.
2.18 остаточный риск (residual risk): Риск, остающийся после его обработки.
2.21 оценка риска (risk assessment): Процесс, объединяющий идентификацию риска, анализ риска и оценивание риска.
2.1 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.
[ИСО/МЭК 7498-2]
2.12 политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ)
2.8 рекомендации (guidelines): Описание, поясняющее действия и способы их выполнения, необходимые для достижения установленных целей.
2.19 риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Примечание — Определяется как сочетание вероятности события и его последствий.
Определения термина из разных документов: риск2.13 средство(а) обработки информации (information processing facility(ies)): Любая система обработки информации, сервис или инфраструктура, или их физические места размещения.
2.25 угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации.
Определения термина из разных документов: угроза2.26 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
2.15 целостность (integrity): Свойство сохранения правильности и полноты активов.
Словарь-справочник терминов нормативно-технической документации. academic.ru. 2015.
Классификатор стандартов и документов по ИБ в РФ
Все стандарты доступны для скачивания только для предварительного ознакомления. Для коммерческих целей и для работы советуем приобрести документы в соответствующих организациях!!!
Перечень доступных стандартов и ссылки для закачки
Стандарты РФ ГОСТ Р ИСО/МЭК 13335-1-2006 – Информационная технология — Методы и средства обеспечения безопасности – Часть 1: Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. Аналог ISO/IEC 13335-1:2004.
Gost_13335_1
ГОСТ Р ИСО/МЭК 13335-3-2007 — Информационная технология — Методы и средства обеспечения безопасности — Часть 3: Методы менеджмента безопасности информационных технологий. Аналог ISO/IEC TR 13335-3:1998. Gost_13335_3
ГОСТ Р ИСО/МЭК 13335-4-2007 — Информационная технология — Методы и средства обеспечения безопасности — Часть 4: Выбор защитных мер. Аналог ISO/IEC TR 13335-4:2000. Gost_13335_4
ГОСТ Р ИСО/МЭК 13335-5-2006 — Информационная технология — Методы и средства обеспечения безопасности — Часть 5: Руководство по менеджменту безопасности сети. Аналог ISO/IEC TR 13335-5:2001. Gost_13335_5
ГОСТ Р ИСО/МЭК 13569-200х (проект, первая редакция 10.05.2007) — Финансовые услуги – Рекомендации по информационной безопасности. Аналог ISO/IEC TR 13569:2005. Gost_13569
ГОСТ Р ИСО/МЭК 15288-2005 — Информационная технология – Системная инженерия – Процессы жизненного цикла систем. Аналог ISO/IEC 15288:2002. Gost_15288
ГОСТ Р ИСО/МЭК 15408-1-2-3-2002 — Информационная технология — Методы и средства обеспечения безопасности – Критерии оценки безопасности информационных технологий – Часть 1: Введение и общая модель. Часть 2: Функциональные требования безопасности. Часть 3: Требования доверия и безопасности. Аналог ISO/IEC 15408-1-2-3-1999. Gost_15408_2002
ГОСТ Р ИСО/МЭК 15408-1-2-3-200х (проект, окончательная редакция, 2007, взамен ГОСТ Р ИСО/МЭК 15408-1-2002) — Информационная технология — Методы и средства обеспечения безопасности – Критерии оценки безопасности информационных технологий – Часть 1: Введение и общая модель. Часть 2: Функциональные требования безопасности. Часть 3: Требования доверия и безопасности. Аналог ISO/IEC 15408-1-2-3-2005.
Gost_15408_2007
ГОСТ Р ИСО/МЭК 17799-2005 — Информационная технология – Практические правила управления безопасностью. Аналог ISO/IEC 17799:2000.
Gost_17799
ГОСТ Р ИСО/МЭК 18044-200х (проект, первая редакция 2007) — Информационная технология — Методы и средства обеспечения безопасности – Менеджмент инцидентов информационной безопасности. Аналог ISO/IEC TR 18044:2004. Gost_18044
ГОСТ Р ИСО/МЭК 18045-200х (проект, окончательная редакция, 2007) — Информационная технология — Методы и средства обеспечения безопасности – Методология оценки безопасности информационных технологий. Аналог ISO/IEC 18045:2005. Gost_18045
ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности.Оценка безопасности автоматизированных систем. Gost_19791
ГОСТ Р ИСО/МЭК 20000-1-2-200х (проект, первая редакция 2007) — Информационная технология – Управление услугами. Часть 1: Общие положения и словарь. Часть 2: Практическое руководство. Аналог ISO/IEC 20000-1-2:2005.
Gost_20000_1_2
ГОСТ Р ИСО/МЭК 27001-2005 — Информационная технология – Методы защиты – Системы менеджмента защиты – Требования. Аналог ISO/IEC 27001:2005. Gost_27001
ГОСТ Р 51897-2002 — Менеджмент риска. Термины и определения. Gost_51897
ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты. Gost_51898
ГОСТ Р 51901.1-2002 — Управление надежностью — Анализ риска технологических систем. Gost_51901_1
ГОСТ Р 51901.2-2005 — Менеджмент риска — Системы менеджмента надежности. Аналог IEC 60300-1:2003. Gost_51901_2
ГОСТ Р 51901.5-2005 — Менеджмент риска – Руководство по применению методов анализа надежности. Аналог IEC 60300-3:2003. Gost_51901_5
ГОСТ Р 51901.14-2005 — Менеджмент риска — Метод структурной схемы надежности. Аналог IEC 61078:1991. Gost_51901_14
ГОСТ Р 51901.16-2005 — Менеджмент риска — Повышение надежности – Статистические критерии и методы оценки. Аналог IEC 61164:1995.
Gost_51901_16
ГОСТ Р МЭК 61160-2006 — Менеджмент риска — Формальный анализ проекта. Аналог IEC 61160:1992. Gost_61160
Перспективная программа развития национальных стандартов, обеспечивающих их гармонизацию с международными стандартами в научно-технической и производственной сферах на 2008-2012 годы
Grafik_gostov
ГОСТ Р ИСО/МЭК 19794-2-2005 — Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца — контрольные точки. Аналог ISO/IEC 19794-2:2005.
GOST2019794-2-2005
ГОСТ Р ИСО/МЭК 19794-4-2006 — Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца. Аналог ISO/IEC 19794-4:2005.
GOST2019794-4-2006
ГОСТ Р ИСО/МЭК 19794-5-2006 — Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица. Аналог ISO/IEC 19794-5:2005.
GOST2019794-5-2006
ГОСТ Р ИСО/МЭК 19794-6-2006 Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза. Аналог ISO/IEC 19794-6:2005.
GOST2019794-6-2006
ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.
GOST2050922-2006
ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию.
GOST2051275-2006
МЕЖДУНАРОДНЫЙ СТАНДАРТ ИСО/МЭК 2005. Информационные технологии. Свод правил по управлению защитой информации.
ISO/IEC 27002:2005
ISO27002_2005
Постановление Правительства РФ №687 от 150908 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
687_150908
(закачать документы по ссылке)
1. РС БР ИББС-2.3-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.
2. РС БР ИББС-2.2-2009. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.
МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
3. СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОБЩИЕ ПОЛОЖЕНИЯ.
4. СТО БР ИББС-1.0-20хх. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.
ОБЩИЕ ПОЛОЖЕНИЯ.
5. СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КРЕДИТНО- ФИНАНСОВОЙ СФЕРЕ.
6. СТО БР ИББС-1.0-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.
ОБЩИЕ ПОЛОЖЕНИЯ.
7. СТО БР ИББС-1.2-2007. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.
МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0-2006.
8. Отраслевая частная модель угроз безопасности персональных данных
при их обработке в информационных системах персональных данных
организаций банковской системы Российской Федерации
9. РС БР ИББС-2.4-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.
10. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ВЫПОЛНЕНИЮ ЗАКОНОДАТЕЛЬНЫХ ТРЕБОВАНИЙ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.
11. СТО БР ИББС-2.1-2007. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. РУКОВОДСТВО ПО САМООЦЕНКЕ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0.
12. СТО БР ИББС-1.2-20хх. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО ИББС-1.0-20ХХ.
13. СТО БР ИББС-2.1-2009. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0-2008.
14 РС БР ИББС-2.0-2007. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ДОКУМЕНТАЦИИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ
СТО БР ИББС-1.0.
15. РС БР ИББС-2.2-2009. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.
МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
16. СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ.
17. СТО БР ИББС-1.0-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ.
18. СТО БР ИББС-1.1-2007. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Полезные документы по ИБ
1.Пример отчетов проведения ИБ/IT аудита
Audit_samples
2. Файл в Excel для подсчета оценок в самооценке соответствия ИББС.
sec
3. Положение об отделе ИБ
polojenie_OIB
4. Политика ИБ
politika_IB
5. Положение о порядке обращения и информацией ограниченного доступа.
info_ogr
6. Защита от несанкционированного доступа (ЯЦИТ.00109-04 90 06)
zashita_dostupa
7. Требования к серверной комнате
servernay_komnata
8. Формы по работе с персональными данными
forma_pers
Дополнительные ссылки на стандарты по ИТ-безопасности (в РФ)
1. На нашем сайте разделы «Стандартизация в РФ», «Пакет проектов профилей защиты», Стандартизация в РБ, Международные стандарты в области безопасности
2. Стандарты и методики по ИБ на форуме bankir.ru
3. Полная база ГОСТов РФ см. здесь
4. Шаблоны документов по ИБ (Комплекты типовых документов по информационной безопасности)
5. Рабочие шаблоны документов по персональным данным
6. Стандарты информационной безопасности в кредитно-финансовой сфере
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:
Извините, комментирование на данный момент закрыто.
ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий /
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ → Информационные технологии (ИТ) в целом *Включая общие аспекты информационно-технологического оборудования
ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий
Настоящий стандарт устанавливает методы менеджмента безопасности информационных технологий. В основе этих методов лежат общие принципы, установленные ИСО/МЭК 13335-1. Стандарт будет полезен при внедрении мероприятий по обепечению безопасности информационных технологий. Для полного понимания настоящего стандарта, необходимо знание концепций и моделей менеджмента и планирования безопасности информационных технологий, установленных ИСО/МЭК 13335-1
| Название на англ.: | Information technology. Security techniques. Part 3. Techniques for the management of information technology security |
| Тип документа: | стандарт |
| Статус документа: | заменён |
| Число страниц: | 49 |
| Дата актуализации текста: | 01.08.2013 |
| Дата актуализации описания: | 01.08.2013 |
| Дата издания: | 31.07.2007 |
| Дата введения в действие: | 01.09.2007 |
| Дата последнего изменения: | 22.05.2013 |
| Дата завершения срока действия: | 01.12.2011 |
| Заменяющий: | ГОСТ Р ИСО/МЭК 27005-2010 |
Вопрос-ответ
Заказать сертификат
НОУ ИНТУИТ | Вопрос
Государственные стандарты ФСТЭК
1. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России
2. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России
3. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России
4. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России
5. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
6. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования
7. ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения
8. ГОСТ Р 53131-2008 (ИСО/МЭК ТО 24762-2008). Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения
9. ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России
10. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России
11. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средста обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
12. ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий
13. ГОСТ Р ИСО/МЭК ТО 13335-4-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 4. Выбор защитных мер
14. ГОСТ Р ИСО/МЭК 15408-1-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России
15. ГОСТ Р ИСО/МЭК 15408-2-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России
16. ГОСТ Р ИСО/МЭК 15408-3-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России
17. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью
18. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции
19. ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технолоогия. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности
20. ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
21. ГОСТ Р ИСО/МЭК 27001-2006. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
22. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
(нет)ГОСТ Р ИСО/МЭК 27005-2009. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
(нет)ГОСТ Р ИСО/МЭК ТО 13335-5-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети
(нет)ГОСТ Р ИСО/МЭК ТО 15443-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы
(нет)ГОСТ Р ИСО/МЭК ТО 15443-2-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 2. Методы доверия
(нет)ГОСТ Р ИСО/МЭК ТО 15443-3-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 3. Анализ методов доверия
Пронумерованные могу скинуть по почте [email protected]
Документы
О порядке пропускного режима в здании Правительства Приморского края, расположенном по адресу: г. Владивосток, ул. Светланская, 22
Документ:
Загрузить
Доклад об организации системы внутреннего обеспечения соответствия деятельности департамента требованиям антимонопольного законодательства
Документ:
Загрузить
Карта рисков нарушения антимонопольного законодательства
Документ:
Загрузить
Дорожная карта (план) мероприятий по снижению рисков нарушения антимонопольного законодательства
Документ:
Загрузить
Нормативные правовые акты в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
Документ:
Загрузить
О создании и организации системы внутреннего обеспечения соответствия требованиям антимонопольного законодательства в департаменте по защите государственной тайны, информационной безопасности и мобилизационной подготовки Приморского края
Документ:
Загрузить
Приложение:
Загрузить
О внесении изменений в Положение об учетной политике департамента по защите государственной тайны, информационной безопасности и мобилизационной подготовки Приморского края
Документ:
Загрузить
Положение об учетной политике департамента по защите государственной тайны, информационной безопасности и мобилизационной подготовки Приморского края
Документ:
Загрузить
Положение о порядке обеспечения защиты информации в Администрации Приморского края, в органах исполнительной власти Приморского края, в аппарате Губернатора Приморского края и в аппарате Администрации Приморского края
Документ:
Загрузить
Основные документы в области информационной безопасности
Документ:
Загрузить
Gtld.zone — Описание политики безопасности .tatar
ПОЛИТИКА БЕЗОПАСНОСТИ ЯВЛЯЕТСЯ ОСНОВНЫМ ДОКУМЕНТОМ, ОБЕСПЕЧИВАЮЩИМ ЗАЩИТУ ИНФОРМАЦИИ ПОСТАВЩИКА УСЛУГ РЕЕСТРА
Политика разработана отделом ИТ-безопасности и утверждена генеральным директором реестра. Поставщик услуг.
Политика разработана в соответствии с действующими национальными стандартами, законами и обязательными правилами и процедурами информационной безопасности:
— ISO⁄IEC 27001: 2005, ISO⁄IEC 27002: 2005, ISO⁄IEC 27005: 2005, ISO⁄IEC 17799 : 2005, ISO⁄IEC 15408, сайт — www.iso.org;
— FIPS PUB 199, сайт — csrc.nist.gov;
— ГОСТ Р ИСО⁄МЭК 27001, ГОСТ Р ИСО⁄МЭК 17799, ГОСТ Р ИСО⁄МЭК 13335-3-2007, ГОСТ Р ИСО⁄МЭК 15408, сайт — www.gost.ru;
— BSI-Standard 100-3, сайт — www.bsi.bund.de;
— Федеральный закон РФ № 152 «О персональных данных» от 27.07.2006, сайт — www.duma.gov.ru;
— Федеральный закон РФ № 149 «Об информации, информационных технологиях и защите информации» от 27.07.2006, сайт — www.duma.gov.RU;
— Федеральный закон РФ № 126 «О связи», сайт — www.duma.gov.ru.
ПОЛИТИКА БЕЗОПАСНОСТИ УКАЗЫВАЕТ УРОВНИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РЕЕСТРА:
Уровень безопасности 1. ОЦЕНКА РИСКОВ И УПРАВЛЕНИЕ РИСКАМИ;
Уровень безопасности 2. ПОЛИТИКА БЕЗОПАСНОСТИ;
Уровень безопасности 3. ОРГАНИЗАЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ;
Уровень безопасности 4. УПРАВЛЕНИЕ АКТИВАМИ;
Уровень безопасности 5. БЕЗОПАСНОСТЬ ЛЮДСКИХ РЕСУРСОВ;
Уровень безопасности 6.ФИЗИКО-ЭКОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ;
Уровень безопасности 7. УПРАВЛЕНИЕ СВЯЗЬЮ И ОПЕРАЦИЯМИ;
Уровень безопасности 8. КОНТРОЛЬ ДОСТУПА;
Уровень безопасности 9. ПОЛУЧЕНИЕ, РАЗВИТИЕ И ОБСЛУЖИВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ;
Уровень безопасности 10. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ;
Уровень безопасности 11. УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА.
Уровень безопасности 1. ОЦЕНКА И УСТРАНЕНИЕ РИСКОВ
Уровень реализован организационно.Модель угроз разработана с учетом особенностей службы WHOIS, службы EPP, службы DNS, службы NTP, службы условного депонирования данных, архитектуры системы и сети. При обнаружении или прогнозировании угроз для защищенных активов поставщик услуг реестра оценивает вероятность их реализации с использованием всех доступных средств, включая привлечение специализированных организаций. Заявитель действует в интересах регистрантов и всех других участников системы регистрации. Оценка вероятности реализации угроз и степени их воздействия на систему регистрации производится на основе методологии, позволяющей получать сопоставимые и воспроизводимые результаты;
Применяется особая «Политика управления информационными рисками».
Уровень безопасности 2. ПОЛИТИКА БЕЗОПАСНОСТИ
Уровень реализован организационно. Разработаны Политика безопасности поставщика услуг реестра и набор частных политик безопасности. Политика безопасности Поставщика услуг реестра утверждается генеральным директором Поставщика услуг реестра.
Уровень безопасности 3. ОРГАНИЗАЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Уровень реализован организационно. Контроль за внедрением и развертыванием защиты информации возложен на подразделение специализированной структуры — отдел информационной безопасности.Заявитель обязан периодически (не реже двух раз в год) проводить внутренний аудит эффективности используемых средств защиты информации. Не реже одного раза в два года независимая специализированная организация должна проверять и анализировать реализацию политики. В соответствии с «Политикой аудита безопасности» сотрудники отдела ИТ-безопасности регулярно проводят проверки и тесты системы защиты информации, в том числе программных и аппаратных средств, а также политик межсетевого экрана.
Применяются следующие особые политики:
— «Политика управления документацией системы безопасности»
— «Политика распределения обязанностей по управлению безопасностью»
— «Политика аудита безопасности»;
Уровень безопасности 4.УПРАВЛЕНИЕ АКТИВАМИ
Уровень реализован организационно. Была проведена процедура идентификации и классификации. Предусмотрена регулярная инвентаризация ресурсов. Указаны владельцы всех ресурсов, таких как серверы, сетевое оборудование, программное обеспечение, базы данных. Владелец ресурса несет ответственность за его надлежащую защиту. Владелец ресурса, как правило, является менеджером подразделения, отвечающего за обслуживание службы реестра, в рамках которой данный ресурс используется в основном.
Информационные активы разделены на разные категории. Классификация информационных активов основана на положениях FIPS PUB 199.
Применяется особая «Политика категоризации (классификации) активов»;
Уровень безопасности 5. БЕЗОПАСНОСТЬ ЛЮДСКИХ РЕСУРСОВ
Уровень реализован организационно. Осуществляются мероприятия по проверке кандидатов на работу. Сотрудник заключает соглашение о конфиденциальности (NDA). Предусмотрены меры периодического контроля.
Применяется особая «Политика безопасности персонала».
Уровень безопасности 6. ФИЗИКО-ЭКОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ
Уровень реализован организационно в сочетании с техническими средствами. Центры управления сетью, узлы реестра, узлы DNS, сетевое оборудование расположены в защищенных центрах обработки данных, которые имеют установленный периметр безопасности с соответствующими защитными барьерами и механизмами контроля доступа. Они физически защищены от несанкционированного доступа, повреждения и вторжения.
Применяется особая «Политика физической безопасности».
Уровень безопасности 7. УПРАВЛЕНИЕ СВЯЗЬЮ И ОПЕРАЦИЯМИ
Уровень реализован организационно в сочетании с техническими средствами. Разработаны процедуры управления и обслуживания технических систем, обеспечивающих сервис WHOIS, сервис EPP, сервис DNS, сервис NTP, сервис депонирования данных, сети связи и работу системы обеспечения безопасности. Если услуга передана на аутсорсинг, осуществляется контроль необходимого уровня безопасности.Выполняются процедуры планирования, защиты от вредоносного ПО (вирусов), резервного копирования, управления сетевой безопасностью, оборота носителей данных, обмена информацией, мониторинга операций обработки информации (управление и просмотр журналов доступа и др.). Распределенная архитектура реестра вместе с использованием двух полностью взаимозаменяемых и географически распределенных коактивных узлов SRS обеспечивает безопасное хранение и резервное копирование EPP, информации служб WHOIS, данных регистраторов и вторичной информации DNS.SSH используется для передачи данных между основной и резервной базами данных, которые она подключается через безопасный канал через канал L2. В соответствии с «Политикой сетевой безопасности» и «Политикой аудита безопасности» проводятся регулярные проверки конфигурации брандмауэра и файлов журналов.
Применяются следующие специфические политики:
— «Политика антивирусной защиты»;
— «Политика безопасности в Интернете»;
— «Политика резервного копирования»;
— «Политика управления эффективностью»;
— «Политика сетевой безопасности»;
— «Политика использования носителей данных»;
— «Политика авторизации оборудования»;
— «Политика мониторинга, аудита и регистрации событий информационной безопасности»;
— «Политика контроля обработки данных в системах».
Уровень безопасности 8. КОНТРОЛЬ ДОСТУПА
Уровень реализован организационно в сочетании с техническими средствами. Политики контроля доступа к услугам реестра разработаны для следующих участников системы: Оператора реестра ДВУ, Поставщика услуг реестра, Регистраторов и Регистрантов. Технические средства контроля доступа, встроенные в сервисы системы регистрации, требуют аутентификации по паролю, SSL-сертификата и используют межсетевые экраны для установки ограничений доступа на сетевом уровне.
Применяются следующие конкретные политики:
— «Политика контроля доступа»;
— «Политика управления счетом»;
— «Политика использования паролей».
Уровень безопасности 9. (ПОЛУЧЕНИЕ, РАЗВИТИЕ И ОБСЛУЖИВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ)
Уровень реализован организационно в сочетании с техническими средствами. Системные службы регистрации, такие как WHOIS, EPP, вторичная служба DNS, служба NTP, служба условного депонирования данных и другие, снабжены встроенными механизмами обеспечения безопасности.Требования безопасности системы учтены на этапах проектирования и внедрения. Используются решения ведущих производителей, таких как Oracle, Cisco, HP.
Применяются следующие конкретные политики:
— «Политика криптографии и управления ключами»
— «Политика управления изменениями информационной системы»
— «Политика инструментального анализа и управления уязвимостями»
— «Политика управления обновлениями».
Уровень безопасности 10.УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Уровень реализован организационно в сочетании с программно-аппаратными средствами мониторинга и системы оповещения. Разработаны политики и процедуры реагирования на инциденты информационной безопасности.
Применяется особая политика «Реагирование на инциденты и управление ими».
Уровень безопасности 11. УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА
Уровень реализован организационно в сочетании с техническими средствами.Архитектура реестра (описанная в ответе на вопрос оценки 32) обеспечивает устойчивость к сбоям и авариям. В сочетании с системой резервного копирования, депонирования данных и распределенной системой DNS система реестра обеспечивает стабильную и непрерывную техническую поддержку бизнес-процессов. Процесс поддержки непрерывности бизнеса разработан и поддерживается в соответствии с требованиями информационной безопасности, преследуя цель обеспечения непрерывности бизнеса организации. Для обеспечения непрерывности реестра этот аспект более подробно рассматривается в ответе на вопрос оценки 39.
Применяется специальная «Политика поддержки непрерывности бизнеса».
3. ПОЛИТИКА БЕЗОПАСНОСТИ ОПРЕДЕЛЯЕТ ОБЯЗАННОСТИ УЧАСТНИКОВ ОБЩЕЙ РЕГИСТРАЦИОННОЙ СИСТЕМЫ (SRS): ПОСТАВЩИКА УСЛУГ РЕГИСТРАЦИИ, ОПЕРАТОР РЕГИСТРАЦИИ, РЕГИСТРАТОРЫ И РЕГИСТРАТОРЫ
(i) обеспечение конфиденциальности информации, но не ограничивая ее:
— данные аутентификации;
— Персональные данные регистрантов;
— другие регистрационные данные, не являющиеся общедоступными;
(ii) обеспечение целостности информации в СГД, включая, но не ограничиваясь:
— регистрационные данные;
— данные аутентификации;
— Персональные данные регистрантов;
— другие данные, необходимые для работы системы регистрации;
(iii) обеспечение доступности информации в СГД, включая, но не ограничиваясь:
— регистрационные данные, опубликованные через службу WHOIS;
— регистрационные данные, распространяемые через службу DNS;
— служебные данные NTP;
— служебные данные ЭПП;
— использование данных для депонирования данных;
— прочие данные, необходимые для работы СГД.
Обязательство обеспечивать конфиденциальность означает, что поставщик услуг реестра гарантирует недоступность информации реестра или неразглашение ее содержания неуполномоченным лицам, субъектам или процессам.
Обязательство обеспечивать целостность означает, что поставщик услуг реестра гарантирует точность и полноту информации реестра.
Обязательство обеспечить доступность означает, что поставщик услуг реестра гарантирует возможность использования информации реестра в случае необходимости.
СПЕЦИАЛЬНЫЕ МЕРЫ ПО КОНТРОЛЮ И УПРАВЛЕНИЮ ИНФОРМАЦИЕЙ БЕЗОПАСНОСТЬЮ
В дополнение к уровням информационной безопасности Политики безопасности поставщик услуг реестра вводит четыре группы специальных мер контроля и управления безопасностью.
Группа 1. Предотвращение информационных инцидентов
Контрольная идентификация системы Реестра является многоуровневой.
Что касается регистраторов, в рамках данной группы Реестр обязывает регистратора применять следующие меры:
— В соответствии с условиями RRA регистраторы обязаны проверять пароли, используемые регистрантами для управления своими доменными именами, на предмет сложности.
— Для защиты от несанкционированного доступа к управлению доменными именами со стороны третьих лиц Оператор реестра также планирует стимулировать использование клиентских сертификатов как в веб-интерфейсах, так и в электронных документах. Оператор реестра считает, что этот инструмент обладает значительным потенциалом для эффективной защиты с точки зрения управления доменными именами.
— Регистратор обязан предоставить регистранту доступ к управлению доменным именем в веб-интерфейсах, предоставляемых регистратором по протоколу HTTPS.
— Для выполнения критических операций с доменом (таких как передача домена другому регистратору для обслуживания, удаление домена, перерегистрация) регистратор обязан уведомить все заинтересованные стороны (регистрант, административные и технические контакты) о осуществление этих операций. Регистратор также обязан включать в данные уведомления информацию о том, к кому следует обращаться, если выполненная операция не была санкционирована регистрантом.
— Регистратор обязан установить технические ограничения в отношении проверки надежности и безопасности паролей, используемых регистрантами для доступа к управлению доменом.Регистратор также обязан предупредить регистранта и его контакты об ответственности за соблюдение требований безопасности хранения паролей.
— Регистратору рекомендуется установить технические ограничения для регистрантов в отношении обязательного использования только автоматически сгенерированных паролей для доступа к управлению доменом.
— Для обеспечения безопасности вводится ограничение доступа для регистраторов, получающих услуги реестра, путем указания конечного списка IP-адресов для каждого подрядчика.
Группа 2. «Обнаружение» — меры принимаются для раннего обнаружения инцидентов, возникших несмотря на превентивные меры.
Обнаружение ранних признаков DDOS-атак с использованием специальных методов.
Группа 3. «Ограничение» — меры принимаются для снижения потерь, даже если инцидент произошел, несмотря на превентивные меры.
Например, независимый ACL для каждого компонента системы реестра, процедуры резервного копирования, распределенная архитектура оператора реестра.Для получения дополнительной информации см. Ответы на оценочные вопросы №37 и №38.
Группа 4. «Восстановление» — обеспечивается полное и своевременное восстановление информации.
Например, может возникнуть ситуация отказа SRS. Например, полный отказ системы регистрации может быть результатом удаления данных на первичном и резервном серверах баз данных. В этом случае выполняется восстановление данных из резервной копии. Поскольку резервное копирование журналов повторного выполнения архива базы данных выполняется постоянно, версия данных, непосредственно предшествующая моменту сбоя, может быть восстановлена.Применение любых доменных операций должно быть запрещено на время восстановления базы данных из резервной копии.
Подробнее см. Ответы на оценочные вопросы №37 и №41.
5. В 2011 году российская неправительственная компания Group IB, оказывающая комплексные консультационные услуги по расследованию инцидентов информационной безопасности, завершила независимую оценку поддержки информационной безопасности системы Провайдера услуг реестра. Согласно отчету, следующие процессы и процедуры нуждаются в улучшении:
— для любых новых компонентов системы реестра должен быть назначен ACL;
— расширить взаимодействие и сотрудничество с профессиональными ассоциациями и экспертными форумами в сфере безопасности;
— дополнить регламентом правила допустимого использования активов;
— политика управления активами и соответствующие процедуры должны быть дополнены необходимостью получения разрешения на передачу активов и фиксации фактов передачи активов и их возврата.
В соответствии с утвержденным планом развития Регистратора на 2012 год в IV квартале 2012 года будет проведен аудит системы менеджмента информационной безопасности на соответствие требованиям международного стандарта ISO 27001: 2005.
ТЕХНИЧЕСКОЕ РЕШЕНИЕ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОСУЩЕСТВЛЯЕТСЯ НА СОЧЕТАНИИ СЛЕДУЮЩИХ ПОДСИСТЕМ:
— подсистема межсетевого экрана;
— подсистема контроля доступа;
— подсистема антивирусной защиты;
— подсистема криптографической защиты;
Отдел ИТ-безопасности периодически оценивает внутренние нормативные положения на предмет их эффективности и согласованности и поддерживает указанные документы в актуальном состоянии.
ОПИСАНИЕ ОРГАНИЗАЦИОННОЙ СТРУКТУРЫ ЗАЩИТЫ ИНФОРМАЦИИ
Функции по организации процесса защиты информации возложены на отдел ИТ-безопасности. Более подробная информация об организационной структуре представлена в ответе на вопрос оценки № 30 (b).
Отдел исследований и разработок отвечает за обеспечение информационной безопасности биллинговых систем SRS⁄WHOIS⁄DNSSEC⁄.
Отдел сетевой инфраструктуры отвечает за обеспечение информационной безопасности инфраструктуры IP и Ethernet.
МЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ РЕГИСТРАТОРА
Меры информационной безопасности в информационной системе Провайдера регистрационных услуг включают:
— классификация информационной системы;
— спецификация угроз безопасности защищаемой информации при ее обработке в информационной системе;
— разработка конкретной модели угроз применительно к конкретной информационной системе;
— разработка системы защиты на основе конкретной модели угроз, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты, предусмотренных для соответствующего класса информационной системы.
— типовая классификация информационной системы произведена на основе модели угроз;
— развертывание и внедрение средств защиты в соответствии с эксплуатационной и технической документацией;
— обучение персонала работе со средствами защиты, используемыми в информационной системе;
— контроль используемых средств защиты, эксплуатационной и технической документации к ним и носителей защищаемой информации;
— контроль доступа сотрудников к работе с защищенной информацией в информационной системе;
— контроль за соблюдением условий использования средств защиты информации по эксплуатационной и технической документации;
— расследовать факты ненадлежащего использования или нарушения использования средств защиты, которые могут привести к нарушению конфиденциальности информации или другим ошибочным действиям, снижающим уровень информационной безопасности, разработать и реализовать меры по предотвращению возможных опасных последствий таких сбоев не бывает.
| 30/30193508 DC: ПРОЕКТ НОЯБРЯ 2008 г. | BS EN 61508-1 — ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ ЭЛЕКТРИЧЕСКИХ / ЭЛЕКТРОННЫХ / ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ СИСТЕМ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ — ЧАСТЬ 1: ОБЩИЕ ТРЕБОВАНИЯ |
| INCITS / ISO / IEC TR 13335-5: 2001 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — РУКОВОДСТВО ПО УПРАВЛЕНИЮ ИТ-БЕЗОПАСНОСТЬЮ — ЧАСТЬ 5: РУКОВОДСТВО ПО УПРАВЛЕНИЮ В ОБЛАСТИ БЕЗОПАСНОСТИ СЕТИ |
| BS ISO / IEC 18028-4: 2005 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — МЕТОДЫ БЕЗОПАСНОСТИ — БЕЗОПАСНОСТЬ ИТ-СЕТИ — ЧАСТЬ 4: ЗАЩИТА УДАЛЕННОГО ДОСТУПА |
| 04/30040790 DC: ПРОЕКТ МАРТА 2004 Г. | ISO / IEC DTR 15443-2 — ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — МЕТОДЫ БЕЗОПАСНОСТИ — ОСНОВА ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИТ — ЧАСТЬ 2 — МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ |
| BS 7799-2 (2005): 2005 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — МЕТОДЫ БЕЗОПАСНОСТИ — СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ — ТРЕБОВАНИЯ |
| BS ISO / IEC TR 14516: 2002 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — МЕТОДЫ БЕЗОПАСНОСТИ — РУКОВОДСТВО ПО ИСПОЛЬЗОВАНИЮ И УПРАВЛЕНИЮ ДОВЕРЕННЫМИ СЛУЖБАМИ ТРЕТЬИХ СТОРОН |
| 04/30115788 DC: ПРОЕКТ ИЮНЯ 2004 Г. | ISO / IEC PAS 20886 — ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — АЛЬЯНС МЕЖДУНАРОДНОЙ БЕЗОПАСНОСТИ, ДОВЕРИЯ И КОНФИДЕНЦИАЛЬНОСТИ — РАМКИ КОНФИДЕНЦИАЛЬНОСТИ |
| ИСО / МЭК 18028-4: 2005 | Информационные технологии. Методы обеспечения безопасности. Безопасность ИТ-сетей. Часть 4. Защита удаленного доступа. |
| CSA ISO / IEC TR 13335-5: 2004 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — РУКОВОДСТВО ПО УПРАВЛЕНИЮ ИТ-БЕЗОПАСНОСТЬЮ — ЧАСТЬ 5: РУКОВОДСТВО ПО УПРАВЛЕНИЮ В ОБЛАСТИ БЕЗОПАСНОСТИ СЕТИ |
| CSA ISO / IEC 18028-4: 2006 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — МЕТОДЫ БЕЗОПАСНОСТИ — БЕЗОПАСНОСТЬ ИТ-СЕТИ — ЧАСТЬ 4: ЗАЩИТА УДАЛЕННОГО ДОСТУПА |
| 04/30126470 DC: ПРОЕКТ ДЕКАБРЯ 2004 г. | ISO / IEC 24743 — ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — МЕТОДЫ БЕЗОПАСНОСТИ — СПЕЦИФИКАЦИЯ ТРЕБОВАНИЙ СИСТЕМ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ |
| 03/652684 DC: ПРОЕКТ ДЕКАБРЯ 2003 г. | ISO / IEC 18028-4 — ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — МЕТОДЫ БЕЗОПАСНОСТИ — БЕЗОПАСНОСТЬ ИТ-СЕТИ — ЧАСТЬ 4: УДАЛЕННЫЙ ДОСТУП |
| DD IEC PAS 62443-3: 2008 | БЕЗОПАСНОСТЬ ДЛЯ ИЗМЕРЕНИЯ И КОНТРОЛЯ ПРОМЫШЛЕННЫХ ПРОЦЕССОВ — ЧАСТЬ 3: СЕТЬ И СИСТЕМНАЯ БЕЗОПАСНОСТЬ |
| INCITS / ISO / IEC TR 13335-5: 2001: R2007 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — РУКОВОДСТВО ПО УПРАВЛЕНИЮ ИТ-БЕЗОПАСНОСТЬЮ — ЧАСТЬ 5: РУКОВОДСТВО ПО УПРАВЛЕНИЮ В ОБЛАСТИ БЕЗОПАСНОСТИ СЕТИ |
| BS ISO / IEC TR 13335-5: 2001 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — РУКОВОДСТВО ПО УПРАВЛЕНИЮ ИТ-БЕЗОПАСНОСТЬЮ — ЧАСТЬ 5: РУКОВОДСТВО ПО УПРАВЛЕНИЮ СЕТЕВОЙ БЕЗОПАСНОСТЬЮ |
| CSA ISO / IEC TR 14516: 2004 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — МЕТОДЫ БЕЗОПАСНОСТИ — РУКОВОДСТВО ПО ИСПОЛЬЗОВАНИЮ И УПРАВЛЕНИЮ ДОВЕРЕННЫМИ СЛУЖБАМИ ТРЕТЬИХ СТОРОН |
| CSA ISO / IEC TR 14516: 2004: R2017 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — МЕТОДЫ БЕЗОПАСНОСТИ — РУКОВОДСТВО ПО ИСПОЛЬЗОВАНИЮ И УПРАВЛЕНИЮ ДОВЕРЕННЫМИ СЛУЖБАМИ ТРЕТЬИХ СТОРОН |
| 06/30144361 DC: 0 | ISO 27799 — ИНФОРМАЦИЯ О ЗДОРОВЬЕ — УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ В ЗДРАВООХРАНЕНИИ С ИСПОЛЬЗОВАНИЕМ ISO / IEC 17799 |
| CSA ISO / IEC TR 14516: 2004: R2012 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — ТЕХНИКИ БЕЗОПАСНОСТИ — РУКОВОДСТВО ПО ИСПОЛЬЗОВАНИЮ И УПРАВЛЕНИЮ ДОВЕРЕННЫМИ УСЛУГАМИ ТРЕТЬИХ СТОРОН |
| INCITS / ISO / IEC 18028-4: 2005 | ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ — МЕТОДЫ БЕЗОПАСНОСТИ — БЕЗОПАСНОСТЬ ИТ-СЕТИ — ЧАСТЬ 4: ЗАЩИТА УДАЛЕННОГО ДОСТУПА |
| SR 002 298: 1.1.1 | ОТВЕТ CEN И ETSI НА «СООБЩЕНИЕ КОМИССИИ СОВЕТУ, ЕВРОПАРЛАМЕНТУ, ЕВРОПЕЙСКОМУ ЭКОНОМИЧЕСКОМУ СОЦИАЛЬНОМ КОМИТЕТУ И КОМИТЕТУ РЕГИОНОВ: СЕТЕВАЯ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ДЛЯ ПРИЛОЖЕНИЯ 905 AIR |
| МЭК PAS 62443-3: 1.0 | БЕЗОПАСНОСТЬ ДЛЯ ИЗМЕРЕНИЯ И КОНТРОЛЯ ПРОМЫШЛЕННЫХ ПРОЦЕССОВ — СЕТЬ И СИСТЕМНАЯ БЕЗОПАСНОСТЬ |
| ISO / IEC TR 14516: 2002 | Информационные технологии. Методы безопасности. Руководство по использованию доверенных сторонних служб и управлению ими. |
| ISO / TR 17944: 2002 | Банковское дело. Безопасность и другие финансовые услуги. Основы безопасности в финансовых системах | .
| ISO / IEC TR 13335-5: 2001 | Информационные технологии — Руководство по управлению безопасностью ИТ — Часть 5: Руководство по управлению сетевой безопасностью |
| Я.С. 17799-2: 2002. | УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ — ЧАСТЬ 2: СПЕЦИФИКАЦИЯ СИСТЕМ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ |
| ЯВЛЯЕТСЯ. EN ISO 27799: 2016 | ИНФОРМАЦИЯ О ЗДОРОВЬЕ — УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ В ЗДРАВООХРАНЕНИИ С ИСПОЛЬЗОВАНИЕМ ISO / IEC 27002 |
| ИСО / МЭК 15444-8: 2007 | Информационные технологии — Система кодирования изображений JPEG 2000: Secure JPEG 2000 — Часть 8: |
% PDF-1.5 1 0 объект > эндобдж 2 0 obj > эндобдж 3 0 obj > эндобдж 4 0 obj > эндобдж 5 0 obj > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [6 0 R] >> эндобдж 6 0 obj > транслировать q 595 0 0842 0 0 см / I58 Do Q конечный поток эндобдж 7 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [8 0 R] >> эндобдж 8 0 объект > транслировать q 595 0 0842 0 0 см / I59 Do Q конечный поток эндобдж 9 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [10 0 R] >> эндобдж 10 0 obj > транслировать q 595 0 0842 0 0 см / I56 Do Q конечный поток эндобдж 11 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [12 0 R] >> эндобдж 12 0 объект > транслировать q 595 0 0842 0 0 см / I57 Do Q конечный поток эндобдж 13 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [14 0 R] >> эндобдж 14 0 объект > транслировать q 595 0 0842 0 0 см / I62 Do Q конечный поток эндобдж 15 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [16 0 R] >> эндобдж 16 0 объект > транслировать q 595 0 0842 0 0 см / I63 Do Q конечный поток эндобдж 17 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [18 0 R] >> эндобдж 18 0 объект > транслировать q 595 0 0842 0 0 см / I60 Do Q конечный поток эндобдж 19 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [20 0 R] >> эндобдж 20 0 объект > транслировать q 595 0 0842 0 0 см / I61 Do Q конечный поток эндобдж 21 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [22 0 R] >> эндобдж 22 0 объект > транслировать q 595 0 0842 0 0 см / I65 Do Q конечный поток эндобдж 23 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [24 0 R] >> эндобдж 24 0 объект > транслировать q 595 0 0842 0 0 см / I66 Do Q конечный поток эндобдж 25 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [26 0 R] >> эндобдж 26 0 объект > транслировать q 595 0 0842 0 0 см / I55 Do Q конечный поток эндобдж 27 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [28 0 R] >> эндобдж 28 0 объект > транслировать q 595 0 0842 0 0 см / I68 Do Q конечный поток эндобдж 29 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [30 0 R] >> эндобдж 30 0 объект > транслировать q 595 0 0842 0 0 см / I64 Do Q конечный поток эндобдж 31 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [32 0 R] >> эндобдж 32 0 объект > транслировать q 595 0 0842 0 0 см / I73 Do Q конечный поток эндобдж 33 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [34 0 R] >> эндобдж 34 0 объект > транслировать q 595 0 0842 0 0 см / I71 Do Q конечный поток эндобдж 35 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [36 0 R] >> эндобдж 36 0 объект > транслировать q 595 0 0842 0 0 см / I52 Do Q конечный поток эндобдж 37 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [38 0 R] >> эндобдж 38 0 объект > транслировать q 595 0 0842 0 0 см / I51 Do Q конечный поток эндобдж 39 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [40 0 R] >> эндобдж 40 0 объект > транслировать q 595 0 0842 0 0 см / I54 Do Q конечный поток эндобдж 41 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [42 0 R] >> эндобдж 42 0 объект > транслировать q 595 0 0842 0 0 см / I72 Do Q конечный поток эндобдж 43 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [44 0 R] >> эндобдж 44 0 объект > транслировать q 595 0 0842 0 0 см / I69 Do Q конечный поток эндобдж 45 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [46 0 R] >> эндобдж 46 0 объект > транслировать q 595 0 0842 0 0 см / I53 Do Q конечный поток эндобдж 47 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [48 0 R] >> эндобдж 48 0 объект > транслировать q 595 0 0842 0 0 см / I67 Do Q конечный поток эндобдж 49 0 объект > >> / MediaBox [0 0 595 842] / CropBox [0 0 595 842] / Повернуть 0 / ProcSet [/ PDF / Text / ImageC] / Содержание [50 0 R] >> эндобдж 50 0 объект > транслировать q 595 0 0842 0 0 см / I70 Do Q конечный поток эндобдж 51 0 объект > транслировать
| : : 19.  |