~~~~~~~~~~~~~~~~~~~~ Arc.Ask3.Ru ~~~~~~~~~~~~~~~~~~~~~ 
Номер скриншота №:
✰ 9D197F6887EA4CBD0404698D82DEC809__1716194040 ✰
Заголовок документа оригинал.:
✰ Information security standards - Wikipedia ✰
Заголовок документа перевод.:
✰ Стандарты информационной безопасности — Википедия ✰
Снимок документа находящегося по адресу (URL):
✰ https://en.wikipedia.org/wiki/Information_security_standards ✰
Адрес хранения снимка оригинал (URL):
✰ https://arc.ask3.ru/arc/aa/9d/09/9d197f6887ea4cbd0404698d82dec809.html ✰
Адрес хранения снимка перевод (URL):
✰ https://arc.ask3.ru/arc/aa/9d/09/9d197f6887ea4cbd0404698d82dec809__translat.html ✰
Дата и время сохранения документа:
✰ 22.06.2024 14:39:00 (GMT+3, MSK) ✰
Дата и время изменения документа (по данным источника):
✰ 20 May 2024, at 11:34 (UTC). ✰ 

~~~~~~~~~~~~~~~~~~~~~~ Ask3.Ru ~~~~~~~~~~~~~~~~~~~~~~ 
Сервисы Ask3.ru: 
 Архив документов (Снимки документов, в формате HTML, PDF, PNG - подписанные ЭЦП, доказывающие существование документа в момент подписи. Перевод сохраненных документов на русский язык.)https://arc.ask3.ruОтветы на вопросы (Сервис ответов на вопросы, в основном, научной направленности)https://ask3.ru/answer2questionТоварный сопоставитель (Сервис сравнения и выбора товаров) ✰✰
✰ https://ask3.ru/product2collationПартнерыhttps://comrades.ask3.ru


Совет. Чтобы искать на странице, нажмите Ctrl+F или ⌘-F (для MacOS) и введите запрос в поле поиска.
Стандарты информационной безопасности — Jump to content

Стандарты информационной безопасности

Из Википедии, бесплатной энциклопедии

Стандарты информационной безопасности или стандарты кибербезопасности [1] — это методы, обычно описанные в опубликованных материалах, которые пытаются защитить киберсреду пользователя или организации. [2] Эта среда включает в себя самих пользователей, сети, устройства, все программное обеспечение, процессы, хранимую или передаваемую информацию, приложения, сервисы и системы, которые могут быть подключены прямо или косвенно к сетям.

Основная цель — снизить риски, включая предотвращение или смягчение последствий кибератак . Эти опубликованные материалы состоят из инструментов, политик, концепций безопасности, мер безопасности, руководств, подходов к управлению рисками, действий, обучения, передового опыта, гарантий и технологий.

История [ править ]

Стандарты кибербезопасности существовали на протяжении нескольких десятилетий, поскольку пользователи и поставщики сотрудничали на многих внутренних и международных форумах для реализации необходимых возможностей, политик и практик – обычно возникших в результате работы в Стэнфордском консорциуме по исследованиям в области информационной безопасности и политики в 1990-х годах. [3]

Исследование внедрения структуры безопасности в США в 2016 году показало, что 70% опрошенных организаций считают NIST Cybersecurity Framework самой популярной передовой практикой в ​​области компьютерной безопасности информационных технологий (ИТ), но многие отмечают, что это требует значительных инвестиций. [4] Трансграничные операции правоохранительных органов по киберэксфильтрации с целью противодействия международной преступной деятельности в даркнете поднимают сложные юрисдикционные вопросы, которые до некоторой степени остаются без ответа. [5] [6] Напряженность между усилиями внутренних правоохранительных органов по проведению трансграничных операций по киберэксфильтрации и международной юрисдикцией, вероятно, продолжит способствовать улучшению норм кибербезопасности. [5] [7]

Международные стандарты

В подразделах ниже подробно описаны международные стандарты, связанные с кибербезопасностью.

ISO/IEC 27001 и 27002 [ править ]

Основная статья: ISO/IEC 27001

ISO/IEC 27001, часть растущего семейства стандартов ISO/IEC 27000 , представляет собой стандарт системы управления информационной безопасностью (ISMS), последняя редакция которого была опубликована в октябре 2022 года Международной организацией по стандартизации (ISO) и Международным Электротехническая комиссия (МЭК). Его полное название — ISO/IEC 27001:2022 — Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы управления информационной безопасностью. Требования .

Стандарт ISO/IEC 27001 был принят CEN и CENELEC так же, как EN ISO/IEC 27001. [8]

ISO/IEC 27001 формально определяет систему управления, предназначенную для того, чтобы поставить информационную безопасность под явный управленческий контроль.

ISO/IEC 27002 включает часть 1 стандарта BS 7799 надлежащей практики управления безопасностью . Последней версией BS 7799 является BS 7799-3. Поэтому иногда ISO/IEC 27002 называют ISO 17799 или BS 7799, часть 1, а иногда он относится к части 1 и части 7. BS 7799, часть 1, представляет собой краткое описание или руководство по передовой практике управления кибербезопасностью; тогда как BS 7799 часть 2 и ISO/IEC 27001 являются нормативными и, следовательно, обеспечивают основу для сертификации. ISO/IEC 27002 — это руководство высокого уровня по кибербезопасности. Это наиболее полезно в качестве поясняющего руководства для руководства организации по получению сертификации по стандарту ISO/IEC 27001. После получения сертификата срок действия составляет три года. В зависимости от аудиторской организации в течение трех лет может не проводиться никаких промежуточных аудитов или проводиться некоторые промежуточные аудиты.

ISO/IEC 27001 (ISMS) заменяет BS 7799, часть 2, но, поскольку он обратно совместим, любая организация, работающая над BS 7799, часть 2, может легко перейти к процессу сертификации ISO/IEC 27001. Существует также переходный аудит, который упрощает получение организацией сертификата ISO/IEC 27001 после того, как организация прошла сертификацию по стандарту BS 7799, часть 2. ISO/IEC 27002 предоставляет рекомендации по передовому опыту управления информационной безопасностью для использования лицами, ответственными за создание, внедрение или поддержание систем управления информационной безопасностью (СУИБ). В нем указаны системы информационной безопасности, необходимые для реализации целей управления ISO/IEC 27002. Без ISO/IEC 27001 цели управления ISO/IEC 27002 неэффективны. Цели средств контроля ISO/IEC 27002 включены в ISO 27001 в Приложении А.

ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) — это международный стандарт, основанный на модели зрелости возможностей системной безопасности (SSE-CMM), который может измерять зрелость целей управления ISO.

ИСО/МЭК 15408 [ править ]

Основная статья: Общие критерии

Этот стандарт развивает так называемые « Общие критерии ». Это позволяет безопасно интегрировать и тестировать множество различных программных и аппаратных продуктов.

МЭК 62443 [ править ]

Основная статья: МЭК 62443

Стандарт кибербезопасности IEC 62443 определяет процессы, методы и требования для систем промышленной автоматизации и управления (IACS). Его документы являются результатом процесса создания стандартов МЭК, в ходе которого все участвующие национальные комитеты согласовывают общий стандарт.

Нумерация и организация рабочих продуктов IEC 62443 по категориям.
Запланированы и опубликованы рабочие продукты IEC 62443 для безопасности IACS.

Все стандарты и технические отчеты IEC 62443 сгруппированы в четыре общие категории: «Общее» , «Политика и процедуры» , «Система» и «Компонент» .

  1. Первая категория включает основополагающую информацию, такую ​​как концепции, модели и терминология.
  2. Вторая категория рабочих продуктов предназначена для Владельца активов. Они касаются различных аспектов создания и поддержания эффективной программы безопасности IACS.
  3. Третья категория включает рабочие продукты, описывающие рекомендации по проектированию систем и требования к безопасной интеграции систем управления. Основой здесь являются зона и трубопровод, расчетная модель.
  4. Четвертая категория включает рабочие продукты, которые описывают конкретную разработку продукта и технические требования к продуктам систем управления.

ISO/SAE 21434 [ править ]

ISO/SAE 21434 «Дорожные транспортные средства. Инжиниринг кибербезопасности» — это стандарт кибербезопасности, совместно разработанный рабочими группами ISO и SAE . В нем предлагаются меры кибербезопасности для жизненного цикла разработки дорожных транспортных средств. Стандарт был опубликован в августе 2021 года. [9]

Этот стандарт связан с регламентом Европейского Союза (ЕС) по кибербезопасности, который в настоящее время разрабатывается. В координации с ЕС ЕЭК ООН разрабатывает сертификацию «Системы управления кибербезопасностью» (CSMS), которая станет обязательной для утверждения типа транспортных средств . ISO/SAE 21434 — это технический стандарт автомобильной разработки, который может продемонстрировать соответствие этим нормам.

Производным от этого является работа ЕЭК ООН WP29 , которая содержит правила кибербезопасности транспортных средств и обновления программного обеспечения. [10]

ПОИСК EN 303 645 [ изменить ]

Стандарт ETSI EN 303 645 предоставляет набор базовых требований к безопасности потребительских устройств Интернета вещей (IoT) . Он содержит технические средства контроля и организационную политику для разработчиков и производителей потребительских устройств, подключенных к Интернету. Стандарт был выпущен в июне 2020 года. [11] и предполагается, что он будет дополнен другими, более конкретными стандартами. Поскольку многие потребительские устройства Интернета вещей обрабатывают личную информацию (PII) , внедрение стандарта помогает обеспечить соответствие Общему регламенту защиты данных (GDPR) в ЕС. [12]

Положения кибербезопасности в этом европейском стандарте:

  1. Нет универсальных паролей по умолчанию
  2. Внедрить средства управления отчетами об уязвимостях.
  3. Постоянно обновляйте программное обеспечение
  4. Надежно храните конфиденциальные параметры безопасности
  5. Безопасное общение
  6. Минимизируйте открытые поверхности атаки
  7. Обеспечьте целостность программного обеспечения
  8. Убедитесь, что личные данные в безопасности
  9. Сделайте системы устойчивыми к сбоям
  10. Изучите данные телеметрии системы
  11. Упростите пользователям удаление пользовательских данных
  12. Упрощение установки и обслуживания устройств
  13. Проверка входных данных

Оценка соответствия этим базовым требованиям осуществляется с помощью стандарта TS 103 701, который допускает самосертификацию или сертификацию другой группой. [13]

Национальные стандарты [ править ]

В подразделах ниже подробно описаны национальные стандарты и рамки, связанные с кибербезопасностью.

НКРЭ [ править ]

Первоначальная попытка создать стандарты информационной безопасности для электроэнергетики была предпринята NERC в 2003 году и известна как NERC CSS (Стандарты кибербезопасности). [14] Вслед за руководящими принципами CSS NERC развила и усовершенствовала эти требования. Наиболее широко признанным современным стандартом безопасности NERC является NERC 1300, который представляет собой модификацию/обновление NERC 1200. Новейшая версия NERC 1300 называется от CIP-002-3 до CIP-009-3 (CIP = защита критической инфраструктуры). Эти стандарты используются для обеспечения безопасности крупных электрических систем, хотя NERC разработала стандарты и в других областях. Стандарты электрических систем также обеспечивают администрирование сетевой безопасности, сохраняя при этом поддержку передовых отраслевых процессов. [1]

НИСТ [ править ]

Основная категория: Национальный институт стандартов и технологий
  1. Структура кибербезопасности NIST (NIST CSF) «обеспечивает классификацию результатов кибербезопасности высокого уровня и методологию для оценки и управления этими результатами». Он предназначен для оказания помощи организациям частного сектора, которые предоставляют критически важную инфраструктуру , рекомендациями по ее защите, а также соответствующей защитой конфиденциальности и гражданских свобод . [15]
  2. Специальная публикация 800-12 предоставляет широкий обзор областей компьютерной безопасности и контроля. Он также подчеркивает важность мер безопасности и способов их реализации. Первоначально этот документ был ориентирован на федеральное правительство, хотя большая часть практик, изложенных в этом документе, может быть применена и к частному сектору. В частности, оно было написано для тех людей в федеральном правительстве, которые отвечают за работу с конфиденциальными системами. [2]
  3. Специальная публикация 800-14 описывает используемые общие принципы безопасности. Он обеспечивает высокоуровневое описание того, что должно быть включено в политику компьютерной безопасности. В нем описывается, что можно сделать для улучшения существующей безопасности, а также как разработать новую практику обеспечения безопасности. В этом документе описаны восемь принципов и четырнадцать практик. [3]
  4. Специальная публикация 800-26 содержит советы по управлению ИТ-безопасностью. Заменен NIST SP 800-53 rev3. В этом документе подчеркивается важность самооценки, а также оценки рисков. [4]
  5. Специальная публикация 800-37, обновленная в 2010 году, представляет новый подход к рискам: «Руководство по применению структуры управления рисками в федеральных информационных системах».
  6. Специальная публикация 800-53 ред. 4, «Меры безопасности и конфиденциальности для федеральных информационных систем и организаций», опубликованная в апреле 2013 г. и обновленная с учетом обновлений по состоянию на 15 января 2014 г., конкретно рассматривает 194 элемента управления безопасностью, которые применяются к системе, чтобы сделать ее « более безопасный".
  7. Специальная публикация 800-63-3 «Руководство по цифровой идентификации», опубликованная в июне 2017 г. и обновленная с учетом обновлений по состоянию на 1 декабря 2017 г., содержит рекомендации по внедрению услуг цифровой идентификации, включая проверку личности, регистрацию и аутентификацию пользователей. [5]
  8. Специальная публикация 800-82, редакция 2, «Руководство по безопасности промышленных систем управления (ICS)», пересмотренная в мае 2015 г., описывает, как защитить несколько типов промышленных систем управления от кибератак, принимая во внимание требования к производительности, надежности и безопасности, специфичные для них. ИКС. [6]

ФИПС edit140

Основная статья: ФИПС 140

Серия 140 Федеральных стандартов обработки информации ( FIPS ) — это США стандарты компьютерной безопасности правительства шифрования , которые определяют требования к модулям . И FIPS 140-2 , и FIPS 140-3 считаются текущими и активными.

NCSC Cyber ​​Essentials [ править ]

Основная статья: Основы кибербезопасности

Cyber ​​Essentials — это Соединенного Королевства правительства схема обеспечения информации , которой управляет Национальный центр кибербезопасности (NCSC) . Он поощряет организации применять передовой опыт в области информационной безопасности. Cyber ​​Essentials также включает в себя систему обеспечения безопасности и простой набор мер безопасности для защиты информации от угроз, исходящих из Интернета.

Основная восьмерка [ править ]

Австралийский центр кибербезопасности разработал приоритетные стратегии смягчения последствий в форме стратегий по смягчению инцидентов кибербезопасности, чтобы помочь организациям защитить себя от различных киберугроз. Наиболее эффективные из этих стратегий смягчения последствий называются «Основной восьмеркой». [16]

BSI IT-Grundschutz [ править ]

Стандарты Федерального ведомства по информационной безопасности ( нем . Bundesamt für Sicherheit in der Informationstechnik , сокращенно BSI) являются элементарным компонентом методологии базовой защиты ИТ ( нем . IT-Grundschutz ). Они содержат рекомендации по методам, процессам и процедурам, а также подходам и мерам по различным аспектам информационной безопасности. Пользователи из государственных органов и компаний, а также производители или поставщики услуг могут использовать стандарты BSI, чтобы сделать свои бизнес-процессы и данные более безопасными. [17]

  • Стандарт BSI 100-4 охватывает управление непрерывностью бизнеса (BCM) .
  • Стандарт BSI 200-1 определяет общие требования к системе управления информационной безопасностью (ISMS). Он совместим с ISO 27001 и учитывает рекомендации других стандартов ISO, таких как ISO 27002.
  • Стандарт BSI 200-2 формирует основу методологии BSI для создания надежной системы управления информационной безопасностью (ISMS). Он устанавливает три процедуры реализации базовой защиты ИТ.
  • Стандарт BSI 200-3 объединяет все шаги, связанные с рисками, при реализации базовой защиты ИТ.

Отраслевые стандарты

В подразделах ниже подробно описаны стандарты и основы кибербезопасности, относящиеся к конкретным отраслям.

PCI DSS [ править ]

Основная статья: Стандарт безопасности данных индустрии платежных карт

Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это стандарт информационной безопасности для организаций, которые обрабатывают фирменные кредитные карты основных карточных схем. Стандарт PCI утвержден брендами карт, но администрируется Советом по стандартам безопасности индустрии платежных карт. Стандарт был создан для усиления контроля над данными держателей карт и уменьшения мошенничества с кредитными картами.

UL 2900 [ править ]

UL 2900 — это серия стандартов, опубликованных UL . Стандарты включают общие требования кибербезопасности (UL 2900-1), а также специальные требования к медицинской продукции (UL 2900-2-1), промышленным системам (UL 2900-2-2), а также системам сигнализации безопасности и безопасности жизни (UL 2900). -2-3).

UL 2900 требует, чтобы производители описали и задокументировали возможности атак технологий, используемых в их продуктах. Для этого требуется моделирование угроз на основе предполагаемого использования и среды развертывания. Стандарт требует внедрения эффективных мер безопасности, которые защищают конфиденциальные (личные) данные, а также другие активы, такие как данные управления и контроля. Это также требует, чтобы уязвимости безопасности в программном обеспечении были устранены, принципы безопасности, такие как глубокоэшелонированная защита, были соблюдены, а безопасность программного обеспечения была проверена посредством тестирования на проникновение.

См. также [ править ]

Примечания [ править ]

  1. ^ «Руководство по кибербезопасности интеллектуальных сетей» (PDF) . Национальный институт стандартов и технологий . Сентябрь 2014 г. doi : 10.6028/NIST.IR.7628r1 . Проверено 28 ноября 2023 г.
  2. ^ «База данных рекомендаций МСЭ-Т» .
  3. ^ «FSI — Консорциум исследований в области информационной безопасности и политики» .
  4. ^ «Внедрение системы кибербезопасности NIST затруднено из-за затрат, как показало исследование» . 30 марта 2016 года . Проверено 2 августа 2016 г.
  5. ^ Перейти обратно: а б Гаппур, Ахмед (1 января 2017 г.). «Таллинн, хакерство и обычное международное право» . АДЖИЛ Освобожденный . 111 : 224–228. дои : 10.1017/aju.2017.59 .
  6. ^ Гаппур, Ахмед (01 апреля 2017 г.). «Поиск неизвестных мест: юрисдикция правоохранительных органов в темной сети» . Стэнфордский юридический обзор . 69 (4): 1075.
  7. ^ Гаппур, Ахмед (2017). «Поиск неизвестных мест: юрисдикция правоохранительных органов в темной сети» . Стэнфордский юридический обзор . 69 (4).
  8. ^ «Стандарты информационной безопасности» . Genorma.com . Стандарты Genorma, CEN и CENELEC.
  9. ^ ISO/SAE 21434:2021 Транспорт дорожный. Проектирование кибербезопасности.
  10. ^ «Правила ООН по кибербезопасности и обновлениям программного обеспечения откроют путь к массовому внедрению подключенных транспортных средств | ЕЭК ООН» . unece.org .
  11. ^ Объявление ETSI
  12. ^ ETSI EN 303 645 V2.1.0
  13. ^ «ETSI TS 103 701 Кибербезопасность для потребительского Интернета вещей: оценка соответствия базовым требованиям» (PDF) . ЕТСИ .
  14. ^ Symantec Control Compliance Suite - Правила NERC и FERC. Архивировано 22 октября 2016 г. в подразделе Wayback Machine : История стандартов NERC.
  15. ^ «Структура кибербезопасности NIST» . НИСТ . 12 ноября 2013 года . Проверено 2 августа 2016 г.
  16. ^ «Основная модель восьми зрелости» . Австралийский центр кибербезопасности . Проверено 29 сентября 2022 г. Текст был скопирован из этого источника, который доступен по международной лицензии Creative Commons Attribution 4.0 .
  17. ^ «БСИ – ИТ-Грундшутц» . БСИ (на немецком языке) . Проверено 26 марта 2021 г.

Ссылки [ править ]

  1. ^ Министерство внутренней безопасности, Сравнение стандартов кибербезопасности, разработанных нефтегазовым сегментом. (5 ноября 2004 г.)
  2. ^ Гутман М., Суонсон М., Национальный институт стандартов и технологий; Технологическое управление; Министерство торговли США. Общепринятые принципы и практика обеспечения безопасности систем информационных технологий (800–14). (сентябрь 1996 г.)
  3. ^ Национальный институт стандартов и технологий; Технологическое управление; Министерство торговли США., Введение в компьютерную безопасность: Справочник NIST, специальная публикация 800-12.
  4. ^ Суонсон, М., Национальный институт стандартов и технологий; Технологическое управление; Министерство торговли США. Руководство по самооценке безопасности систем информационных технологий (800–26).
  5. ^ Грасси, П.; Гарсия, М.; Фентон, Дж.; Национальный институт стандартов и технологий; Министерство торговли США. Рекомендации по цифровой идентификации (800-63-3).
  6. ^ Стоуффер, К.; Пиллиттери, В.; Лайтман, С.; Абрамс, М.; Хан, А.; Национальный институт стандартов и технологий; Министерство торговли США. Руководство по безопасности промышленных систем управления (ICS) (800–82).
  7. ^ Североамериканский совет по надежности электроснабжения (NERC). http://www.nerc.com . Проверено 12 ноября 2005 г.
  8. ^ Экзаменационный совет Федеральных финансовых учреждений (FFIEC). https://www.ffiec.gov . Проверено 18 апреля 2018 г.

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Information_security_standards&oldid=1224776217"
Arc.Ask3.Ru: конец оригинального документа.
Arc.Ask3.Ru
Номер скриншота №: 9D197F6887EA4CBD0404698D82DEC809__1716194040
URL1:https://en.wikipedia.org/wiki/Information_security_standards
Заголовок, (Title) документа по адресу, URL1:
Information security standards - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть, любые претензии не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, денежную единицу можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)