Стандарти інформаційної безпеки

Стандарти інформаційної безпеки — це стандарти, які надають рекомендації щодо розробки та експлуатації інформаційних систем з питань керування інформаційною безпекою, захисту від несанкціонованого доступу, кібербезпеки, криптографічного захисту інформації, захисту персональних даних. Загальні (рамкові) стандарти можуть доповнюватись галузевими стандартами (спеціальні вимоги у медичній, авіакосмічній, автомобільній, фінансовій галузях) та стандартами щодо безпечного використання певних технологій (наприклад хмарних обчислень).

Стандарти кібербезпеки

Це методи, що зазвичай викладені в опублікованих матеріалах, які намагаються захистити кібернетичне середовище користувача чи організації. Це середовище включає в себе користувачів, мережі, пристрої, все програмне забезпечення, процеси, інформацію в режимі зберігання або транзиту, програми, служби та системи, які можуть бути безпосередньо або опосередковано підключені до мереж. Основна мета — знизити ризики, включаючи попередження або пом'якшення кібер-атак. Ці опубліковані матеріали включають збірки інструментів, політику, концепції безпеки, гарантії безпеки, керівні принципи, підходи до управління ризиками, дії, навчання, найкращі практики, забезпечення та технології.

Історія

Стандарти кібербезпеки існували протягом кількох десятиліть, оскільки користувачі та постачальники співпрацювали на багатьох вітчизняних та міжнародних форумах для здійснення необхідних можливостей, політики та практики — як правило, вони з'являлися з роботи в Стенфордському консорціумі з досліджень з питань інформаційної безпеки та політики у 1990-х.^[1] Також багато завдань, які колись виконувалися вручну, зараз виконуються комп'ютером; тому існує потреба в забезпеченні інформації (ІА) та безпеці.

Американське дослідження 2016 року щодо затвердження рамок безпеки США повідомило, що 70 % опитаних організацій вважають NIST Cybersecurity Framework найбільш популярним передовим досвідом комп'ютерної безпеки, але багато хто відзначає, що для цього потрібні значні інвестиції.^[2]

Головний службовець з питань інформаційної безпеки, як правило, покладається на вибір, впровадження та контроль ефективності та ефективності стандартів кібербезпеки для їх організації.

Міжнародні стандарти

Система управління інформаційною безпекою

• BS 7799-1: 2005 — Британський стандарт BS 7799 перша частина. BS 7799 Частина 1 — Кодекс практики управління інформаційною безпекою (Практичні правила управління інформаційної безпеки) описує 127 механізмів контролю, необхідних для побудови системи управління інформаційною безпекою (СУІБ) організації, визначених на основі кращих прикладів світового досвіду в цій області . Цей документ служить практичним керівництвом по створенню СУІБ.
• BS 7799-2: 2005 — Британський стандарт BS 7799 друга частина стандарту. BS 7799 Частина 2 — Управління інформаційною безпекою — специфікація систем управління інформаційною безпекою (Специфікація системи управління інформаційної безпеки) визначає специфікацію СУІБ. Друга частина стандарту використовується як критерії при проведенні офіційної процедури сертифікації СУІБ організації.
• BS 7799-3: 2006 — Британський стандарт BS 7799 третя частина стандарту. Новий стандарт в області управління ризиками інформаційної безпеки.
• ISO/IEC 17799: 2005 — «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Міжнародний стандарт, базувався на BS 7799-1: 2005.
• ISO/IEC 27000 — Словник і визначення.
• ISO/IEC 27001 — «Інформаційні технології — Методи забезпечення безпеки — Системи управління інформаційної безпеки — Вимоги». Міжнародний стандарт, базувався на BS 7799-2: 2005.
• ISO/IEC 27002 — Зараз: ISO/IEC 17799: 2005. «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Дата виходу — 2007 рік.
• ISO/IEC 27005 — Зараз: BS 7799-3: 2006 — Керівництво з управління ризиками ІБ.
• Німецьке агентство з інформаційної безпеки. Інструкція з захисту базової лінії — стандартні гарантії безпеки (керівництво по базовому рівню захисту інформаційних технологій).
• NIST Cybersecurity Framework^[en]  — набір рекомендацій щодо пом’якшення організаційних ризиків кібербезпеки, опублікований Національним інститутом стандартів і технологій США (NIST) на основі існуючих стандартів, рекомендацій і практик.^[3]

Захист від несанкціонованого доступу

• ISO/IEC 15408 — міжнародний стандарт, що визначає вимоги до реалізації послуг безпеки та забезпечення гарантій оцінки^[en].
• FIPS 140^[en] — набір стандартів, який визначає вимоги до криптографічних модулів.
• CWA 14167 — набір стандартів, який визначає вимоги до криптографічного модуля для послуг генерування ключів провайдером послуг сертифікації.^[4][5]
• CWA 14170, CWA 14171, CWA 14172 — набір стандартів, який визначає вимоги щодо створення, виготовлення та оцінки відповідності продуктів, систем і застосувань електронного підпису.^[6]
• Настанови ETSI щодо електронного підпису.

Кібербезпека

• PCI DSS — галузевий стандарт безпеки даних індустрії платіжних карток.

Криптографічний захист інформації

Захист персональних даних

Примітки

1. FSI - Consortium for Research on Information Security and Policy. fsi.stanford.edu (англ.). Процитовано 4 квітня 2018.
2. NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. e.g. Rotten Tomatoes. Процитовано 2 серпня 2016.
3. Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (1 січня 2020). Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. Journal of Cybersecurity. 6 (tyaa005). doi:10.1093/cybsec/tyaa005. ISSN 2057-2085.
4. Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements (PDF).
5. Cryptographic Module for CSP Signing Operations with Backup — Protection Profile (PDF).
6. EESSI Conformity Assessment Guidance - Part 4: Signature creation applications and general guidelines for electronic signature verification (PDF).