Стандарти інформаційної безпеки
Стандарти інформаційної безпеки — це стандарти, які надають рекомендації щодо розробки та експлуатації інформаційних систем з питань керування інформаційною безпекою, захисту від несанкціонованого доступу, кібербезпеки, криптографічного захисту інформації, захисту персональних даних. Загальні (рамкові) стандарти можуть доповнюватись галузевими стандартами (спеціальні вимоги у медичній, авіакосмічній, автомобільній, фінансовій галузях) та стандартами щодо безпечного використання певних технологій (наприклад хмарних обчислень).
Стандарти кібербезпеки[ред. | ред. код]
Це методи, що зазвичай викладені в опублікованих матеріалах, які намагаються захистити кібернетичне середовище користувача чи організації. Це середовище включає в себе користувачів, мережі, пристрої, все програмне забезпечення, процеси, інформацію в режимі зберігання або транзиту, програми, служби та системи, які можуть бути безпосередньо або опосередковано підключені до мереж. Основна мета — знизити ризики, включаючи попередження або пом'якшення кібер-атак. Ці опубліковані матеріали включають збірки інструментів, політику, концепції безпеки, гарантії безпеки, керівні принципи, підходи до управління ризиками, дії, навчання, найкращі практики, забезпечення та технології.
Історія[ред. | ред. код]
Стандарти кібербезпеки існували протягом кількох десятиліть, оскільки користувачі та постачальники співпрацювали на багатьох вітчизняних та міжнародних форумах для здійснення необхідних можливостей, політики та практики — як правило, вони з'являлися з роботи в Стенфордському консорціумі з досліджень з питань інформаційної безпеки та політики у 1990-х.[1] Також багато завдань, які колись виконувалися вручну, зараз виконуються комп'ютером; тому існує потреба в забезпеченні інформації (ІА) та безпеці.
Американське дослідження 2016 року щодо затвердження рамок безпеки США повідомило, що 70 % опитаних організацій вважають NIST Cybersecurity Framework найбільш популярним передовим досвідом комп'ютерної безпеки, але багато хто відзначає, що для цього потрібні значні інвестиції.[2]
Головний службовець з питань інформаційної безпеки, як правило, покладається на вибір, впровадження та контроль ефективності та ефективності стандартів кібербезпеки для їх організації.
Міжнародні стандарти[ред. | ред. код]
Система управління інформаційною безпекою[ред. | ред. код]
- BS 7799-1: 2005 — Британський стандарт BS 7799 перша частина. BS 7799 Частина 1 — Кодекс практики управління інформаційною безпекою (Практичні правила управління інформаційної безпеки) описує 127 механізмів контролю, необхідних для побудови системи управління інформаційною безпекою (СУІБ) організації, визначених на основі кращих прикладів світового досвіду в цій області . Цей документ служить практичним керівництвом по створенню СУІБ.
- BS 7799-2: 2005 — Британський стандарт BS 7799 друга частина стандарту. BS 7799 Частина 2 — Управління інформаційною безпекою — специфікація систем управління інформаційною безпекою (Специфікація системи управління інформаційної безпеки) визначає специфікацію СУІБ. Друга частина стандарту використовується як критерії при проведенні офіційної процедури сертифікації СУІБ організації.
- BS 7799-3: 2006 — Британський стандарт BS 7799 третя частина стандарту. Новий стандарт в області управління ризиками інформаційної безпеки.
- ISO/IEC 17799: 2005 — «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Міжнародний стандарт, базувався на BS 7799-1: 2005.
- ISO/IEC 27000 — Словник і визначення.
- ISO/IEC 27001 — «Інформаційні технології — Методи забезпечення безпеки — Системи управління інформаційної безпеки — Вимоги». Міжнародний стандарт, базувався на BS 7799-2: 2005.
- ISO/IEC 27002 — Зараз: ISO/IEC 17799: 2005. «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Дата виходу — 2007 рік.
- ISO/IEC 27005 — Зараз: BS 7799-3: 2006 — Керівництво з управління ризиками ІБ.
- Німецьке агентство з інформаційної безпеки. Інструкція з захисту базової лінії — стандартні гарантії безпеки (керівництво по базовому рівню захисту інформаційних технологій).
- NIST Cybersecurity Framework[en] — набір рекомендацій щодо пом’якшення організаційних ризиків кібербезпеки, опублікований Національним інститутом стандартів і технологій США (NIST) на основі існуючих стандартів, рекомендацій і практик.[3]
Захист від несанкціонованого доступу[ред. | ред. код]
- ISO/IEC 15408 — міжнародний стандарт, що визначає вимоги до реалізації послуг безпеки та забезпечення гарантій оцінки[en].
- FIPS 140[en] — набір стандартів, який визначає вимоги до криптографічних модулів.
- CWA 14167 — набір стандартів, який визначає вимоги до криптографічного модуля для послуг генерування ключів провайдером послуг сертифікації.[4][5]
- CWA 14170, CWA 14171, CWA 14172 — набір стандартів, який визначає вимоги щодо створення, виготовлення та оцінки відповідності продуктів, систем і застосувань електронного підпису.[6]
- Настанови ETSI щодо електронного підпису.
Кібербезпека[ред. | ред. код]
- PCI DSS — галузевий стандарт безпеки даних індустрії платіжних карток.
Криптографічний захист інформації[ред. | ред. код]
Захист персональних даних[ред. | ред. код]
Примітки[ред. | ред. код]
- ↑ FSI - Consortium for Research on Information Security and Policy. fsi.stanford.edu (англ.). Процитовано 4 квітня 2018.
- ↑ NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. e.g. Rotten Tomatoes. Процитовано 2 серпня 2016.
- ↑ Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (1 січня 2020). Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. Journal of Cybersecurity. 6 (tyaa005). doi:10.1093/cybsec/tyaa005. ISSN 2057-2085.
- ↑ Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements (PDF).
- ↑ Cryptographic Module for CSP Signing Operations with Backup — Protection Profile (PDF).
- ↑ EESSI Conformity Assessment Guidance - Part 4: Signature creation applications and general guidelines for electronic signature verification (PDF).