Стандарти інформаційної безпеки

Стандарти інформаційної безпеки — це стандарти, які надають рекомендації щодо розробки та експлуатації інформаційних систем з питань керування інформаційною безпекою, захисту від несанкціонованого доступу, кібербезпеки, криптографічного захисту інформації, захисту персональних даних. Загальні (рамкові) стандарти можуть доповнюватись галузевими стандартами (спеціальні вимоги у медичній, авіакосмічній, автомобільній, фінансовій галузях) та стандартами щодо безпечного використання певних технологій (наприклад хмарних обчислень).

Стандарти кібербезпеки[ред. | ред. код]

Це методи, що зазвичай викладені в опублікованих матеріалах, які намагаються захистити кібернетичне середовище користувача чи організації. Це середовище включає в себе користувачів, мережі, пристрої, все програмне забезпечення, процеси, інформацію в режимі зберігання або транзиту, програми, служби та системи, які можуть бути безпосередньо або опосередковано підключені до мереж. Основна мета — знизити ризики, включаючи попередження або пом'якшення кібер-атак. Ці опубліковані матеріали включають збірки інструментів, політику, концепції безпеки, гарантії безпеки, керівні принципи, підходи до управління ризиками, дії, навчання, найкращі практики, забезпечення та технології.

Історія[ред. | ред. код]

Стандарти кібербезпеки існували протягом кількох десятиліть, оскільки користувачі та постачальники співпрацювали на багатьох вітчизняних та міжнародних форумах для здійснення необхідних можливостей, політики та практики — як правило, вони з'являлися з роботи в Стенфордському консорціумі з досліджень з питань інформаційної безпеки та політики у 1990-х.^[1] Також багато завдань, які колись виконувалися вручну, зараз виконуються комп'ютером; тому існує потреба в забезпеченні інформації (ІА) та безпеці.

Американське дослідження 2016 року щодо затвердження рамок безпеки США повідомило, що 70 % опитаних організацій вважають NIST Cybersecurity Framework найбільш популярним передовим досвідом комп'ютерної безпеки, але багато хто відзначає, що для цього потрібні значні інвестиції.^[2]

Головний службовець з питань інформаційної безпеки, як правило, покладається на вибір, впровадження та контроль ефективності та ефективності стандартів кібербезпеки для їх організації.

Міжнародні стандарти[ред. | ред. код]

Система управління інформаційною безпекою[ред. | ред. код]

BS 7799-1: 2005 — Британський стандарт BS 7799 перша частина. BS 7799 Частина 1 — Кодекс практики управління інформаційною безпекою (Практичні правила управління інформаційної безпеки) описує 127 механізмів контролю, необхідних для побудови системи управління інформаційною безпекою (СУІБ) організації, визначених на основі кращих прикладів світового досвіду в цій області . Цей документ служить практичним керівництвом по створенню СУІБ.
BS 7799-2: 2005 — Британський стандарт BS 7799 друга частина стандарту. BS 7799 Частина 2 — Управління інформаційною безпекою — специфікація систем управління інформаційною безпекою (Специфікація системи управління інформаційної безпеки) визначає специфікацію СУІБ. Друга частина стандарту використовується як критерії при проведенні офіційної процедури сертифікації СУІБ організації.
BS 7799-3: 2006 — Британський стандарт BS 7799 третя частина стандарту. Новий стандарт в області управління ризиками інформаційної безпеки.
ISO/IEC 17799: 2005 — «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Міжнародний стандарт, базувався на BS 7799-1: 2005.
ISO/IEC 27000 — Словник і визначення.
ISO/IEC 27001 — «Інформаційні технології — Методи забезпечення безпеки — Системи управління інформаційної безпеки — Вимоги». Міжнародний стандарт, базувався на BS 7799-2: 2005.
ISO/IEC 27002 — Зараз: ISO/IEC 17799: 2005. «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Дата виходу — 2007 рік.
ISO/IEC 27005 — Зараз: BS 7799-3: 2006 — Керівництво з управління ризиками ІБ.
Німецьке агентство з інформаційної безпеки. Інструкція з захисту базової лінії — стандартні гарантії безпеки (керівництво по базовому рівню захисту інформаційних технологій).
NIST Cybersecurity Framework^[en] — набір рекомендацій щодо пом’якшення організаційних ризиків кібербезпеки, опублікований Національним інститутом стандартів і технологій США (NIST) на основі існуючих стандартів, рекомендацій і практик.^[3]

Захист від несанкціонованого доступу[ред. | ред. код]

ISO/IEC 15408 — міжнародний стандарт, що визначає вимоги до реалізації послуг безпеки та забезпечення гарантій оцінки^[en].
FIPS 140^[en] — набір стандартів, який визначає вимоги до криптографічних модулів.
CWA 14167 — набір стандартів, який визначає вимоги до криптографічного модуля для послуг генерування ключів провайдером послуг сертифікації.^[4]^[5]
CWA 14170, CWA 14171, CWA 14172 — набір стандартів, який визначає вимоги щодо створення, виготовлення та оцінки відповідності продуктів, систем і застосувань електронного підпису.^[6]
Настанови ETSI щодо електронного підпису.

Кібербезпека[ред. | ред. код]

PCI DSS — галузевий стандарт безпеки даних індустрії платіжних карток.

Криптографічний захист інформації[ред. | ред. код]

Захист персональних даних[ред. | ред. код]

Примітки[ред. | ред. код]

↑ FSI - Consortium for Research on Information Security and Policy. fsi.stanford.edu (англ.). Процитовано 4 квітня 2018.
↑ NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. e.g. Rotten Tomatoes. Процитовано 2 серпня 2016.
↑ Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (1 січня 2020). Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. Journal of Cybersecurity. 6 (tyaa005). doi:10.1093/cybsec/tyaa005. ISSN 2057-2085.
↑ Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements (PDF).
↑ Cryptographic Module for CSP Signing Operations with Backup — Protection Profile (PDF).
↑ EESSI Conformity Assessment Guidance - Part 4: Signature creation applications and general guidelines for electronic signature verification (PDF).

[1] FSI - Consortium for Research on Information Security and Policy. fsi.stanford.edu (англ.). Процитовано 4 квітня 2018.

[2] NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. e.g. Rotten Tomatoes. Процитовано 2 серпня 2016.

[3] Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (1 січня 2020). Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. Journal of Cybersecurity. 6 (tyaa005). doi:10.1093/cybsec/tyaa005. ISSN 2057-2085.

[4] Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements (PDF).

[5] Cryptographic Module for CSP Signing Operations with Backup — Protection Profile (PDF).

[6] EESSI Conformity Assessment Guidance - Part 4: Signature creation applications and general guidelines for electronic signature verification (PDF).

[1]

[2]

[3]

[4]

[5]

[6]

Стандарти інформаційної безпеки

Зміст

Стандарти кібербезпеки[ред. | ред. код]

Історія[ред. | ред. код]

Міжнародні стандарти[ред. | ред. код]

Система управління інформаційною безпекою[ред. | ред. код]

Захист від несанкціонованого доступу[ред. | ред. код]

Кібербезпека[ред. | ред. код]

Криптографічний захист інформації[ред. | ред. код]

Захист персональних даних[ред. | ред. код]

Примітки[ред. | ред. код]

Навігаційне меню

Стандарти інформаційної безпеки

Стандарти кібербезпеки[ред. | ред. код]

Історія[ред. | ред. код]

Міжнародні стандарти[ред. | ред. код]

Система управління інформаційною безпекою[ред. | ред. код]

Захист від несанкціонованого доступу[ред. | ред. код]

Кібербезпека[ред. | ред. код]

Криптографічний захист інформації[ред. | ред. код]

Захист персональних даних[ред. | ред. код]

Примітки[ред. | ред. код]

Навігаційне меню

Пошук