ДСТУ ISO/IEC TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту (61301)

Q: Как скачать ДСТУ ISO/IEC TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту ?

Скачать ДСТУ ISO/IEC TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту можно нажав на кнопку Скачать бесплатно внизу страницы.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології

НАСТАНОВИ З КЕРУВАННЯ
БЕЗПЕКОЮ ІНФОРМАЦІЙНИХ
ТЕХНОЛОГІЙ

БЗ № 11-2004/569

астина 4. Вибір засобів захисту

(ISO/IEC TR 13335-4:2000, IDT)

ДСТУ ISO/IEC TR 13335-4:2005

Видання офіційне

Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2007

ПЕРЕДМОВА

ВНЕСЕНО: Технічний комітет стандартизації України «Інформаційні технології» (ТК-20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Анісімов, д-р фіз.-мат наук (керівник розроблення); Д. Літвінов; В. Ткаченко; О. Фаль, канд. фіз.-мат. наук

НАДАНО ЧИННОСТІ: наказ Держспоживстандарту України від 3 березня 2005 р. № 57 з 2006-07-01

З Національний стандарт відповідає ISO/IEC TR 13335-4:2000 Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards (Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської мови (еп) 4 УВЕДЕНО ВПЕРШЕ

Право власності на цей документ належить державі.

Відтворювати, тиражувати і розповсюджувати його повністю чи частково
на будь-яких носіях інформації без офіційного дозволу заборонено.
Стосовно врегулювання прав власності треба звертатися до Держспоживстандарту України

Держспоживстандарт України, 200

7ЗМІСТ

с.

Національний вступ VII

Передмова до ISO/IEC TR 13335-4 VIII

Вступ до ISO/IEC TR 13335-4 VIII

Сфера застосування 1
Нормативні посилання 1
Терміни та визначення понять 2
Мета 2
Огляд 2
Вступ до вибору засобів захисту та концепція базової безпеки З
Базове оцінювання 7
1. Визначання типу інформаційної системи 8
2. Визначання фізичних умов та умов навколишнього середовища 8
3. Оцінювання наявних/планованих засобів захисту 8
Засоби захисту 9
1. Організаційні та фізичні засоби захисту 9
  1. Керування інформаційною безпекою та політика безпеки 9
  2. Перевіряння узгодженості безпеки 10
  3. Реагування на порушення 10
  4. Персонал 10
  5. Питання експлуатації 11
  6. Планування неперервності бізнесу 12
  7. Фізична безпека 13
2. Специфічні засоби захисту інформаційної системи 17
  1. Ідентифікація та автентифікація (І&А) 17
  2. Контролювання логічного доступу та аудит 18
  3. Захист від зловмисного коду 19
  4. Керування мережею 20
  5. Криптографія 20
Базовий підхід: вибір засобів захисту відповідно до типу системи 24
1. Засоби захисту загального застосування 24
2. Специфічні засоби захисту інформаційної системи 25

НІ

Вибір засобів захисту відповідно до проблем та загроз безпеці 26
1. Оцінювання проблем безпеки 26
  1. Утрата конфіденційності 27
  2. Утрата цілісності 27
  3. Утрата доступності 27
  4. Утрата спостережності 28
  5. Утрата автентичності 28
  6. Утрата надійності 28
2. Засоби конфіденційності 29
  1. Підслуховування 29
  2. Електромагнітне випромінення 29
  3. Зловмисний код 29
  4. Приховування ідентичності користувача 29
  5. Неправильне направлення/перенаправлення повідомлень ЗО
  6. Збої програмного забезпечення ЗО
  7. Крадіжки ЗО
  8. Несанкціонований доступ до комп’ютерів, даних, служб та програм 30
  9. Несанкціонований доступ до носіїв даних 31
3. Засоби контролю цілісності 31
  1. Псування носіїв даних..... 31
  2. Помилки обслуговування 31
  3. Зловмисний код 32
  4. Приховування ідентичності користувача 32
  5. Неправильне направлення/перенаправлення повідомлень 32
  6. Неспростовність 32
  7. Збої програмного забезпечення 33
  8. Збої постачання (живлення, кондиціонування повітря) 33
  9. Технічні пошкодження 33
  10. Помилки передавання 33
  11. Несанкціонований доступ до комп’ютерів, даних, служб та програм 34
  12. Використання несанкціонованих програм та даних 34
  13. Несанкціонований доступ до носіїв даних 34

1. Помилки користувача 35Засоби захисту доступності 35
  1. Руйнівний напад 35
  2. Псування носіїв даних 35
  3. Збої комунікаційного обладнання та служб 36
  4. Вогонь, вода 36
  5. Помилки обслуговування 36
  6. Зловмисний код 36
  7. Приховування особистості користувача 36
  8. Неправильне направлення/перенаправлення повідомлень 37
  9. Зловживання ресурсами 37
  10. Стихійні лиха 37
  11. Збої програмного забезпечення 37
  12. Збої постачання (живлення, кондиціонування повітря) 38
  13. Технічні пошкодження 38
  14. Крадіжки 38
  15. Перевантаження каналів 38
  16. Помилки передавання 38
  17. Несанкціонований доступ до комп’ютерів, даних, служб та програм 39
  18. Використання несанкціонованих програм та даних 39
  19. Несанкціонований доступ до носіїв даних 39
  20. Помилки користувача 40
2. Засоби захисту спостережності, автентичності та надійності 40
  1. Спостережність 40
  2. Автентичність 40
  3. Надійність 40
Вибір засобів захисту відповідно до детальних оцінок 41
1. Взаємозв’язок ISO/IEC TR 13335-3 та ISO/IEC TR 13335-4 41
2. Принципи вибору 41
Розробляння базової безпеки організації 42
Висновки 43

Бібліографія 44

Додаток А Практичні правила керування інформаційною безпекою 44

Додаток В Стандарт базової безпеки ETSI. Функції та механізми 46

Додаток C Довідник з базового захисту IT 47

Додаток D Посібник з комп’ютерної безпеки NIST 49

Додаток Е Медична інформатика: категоризація безпеки та захист інформаційних систем для охорони здоров'я 50

Додаток F Банківська справа та пов’язані з нею фінансові послуги ТК 68 (ТС 68). Настанова з інформаційної безпеки 51

Додаток G Захист контрольованої інформації, на яку не поширюється Закон України «Про державну таємницю». Рекомендації для комп’ютерних робочих станцій 53

Додаток Н Канадський посібник з безпеки інформаційних технологій 5

4НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт є тотожний переклад технічного звіту ISO/IEC TR 13335-4:2000 «Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards» (Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту).

Метою цього стандарту є надання настанов, а не конкретних рішень щодо керування інформаційною безпекою. Ті особи в організації, що відповідають за інформаційну безпеку, повинні бути спроможними адаптувати матеріал цього стандарту так, щоб задовольнити свої особливі потреби.

Відповідальний за ISO/IEC TR 13335-4:2000 — технічний комітет ISO/IEC JTC 1.

В Україні відповідальний за цей стандарт — Технічний комітет «Інформаційні технології» (ТК-20).

Багаточастинний міжнародний стандарт ISO/IEC TR 13335 містить п’ять частин.

Частина 1 описує загальні фундаментальні концепції і моделі, використовувані для описування процесів керування безпекою IT. Цей документ призначений для адміністраторів, відповідальних за безпеку IT та за загальну безпеку в організації.

Частина 2 описує аспекти керування і планування. Її призначено для адміністраторів, до компетенції яких належить взаємодія із системами IT організації. До них належать адміністратори IT, відповідальні за спостереження над процесами розроблення, реалізації, тестування, постачання або оперування системами IT, та адміністратори, відповідальні за отримання максимальної користі від використання систем IT.

Частина 3 описує методи захисту, призначена для використання тими, хто задіяний у керуванні протягом усього життєвого циклу проекту, зокрема у процесі планування, проектування, тестування, аналізування або застосування.

Частина 4 містить настанови з вибору засобів захисту, а також як цьому можуть сприяти базові моделі та засоби нагляду. Вона також описує, як ці засоби доповнюють методи захисту, описані в частині 3, і як додаткові методи оцінювання можна використовувати для вибору засобів захисту.

Частина 5 описує настанови щодо організації взаємозв’язку систем IT із зовнішніми мережами. Вона містить також настанови щодо вибору і використання засобів захисту для забезпечення безпеки з’єднань і послуг, що надаються цими з’єднаннями і додаткових засобів захисту, застосовування для підключених систем IT.

Структура багаточастинного національного стандарту ДСТУ ISO/IEC TR 13335 відповідає структурі міжнародного стандарту ISO/IEC TR 13335 і також містить п’ять частин:

ДСТУ ISO/IEC TR 13335-1:2003 «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепції й моделі безпеки ІТ»;

ДСТУ ISO/IEC TR 13335-2:2003 «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 2. Керування та планування безпеки ІТ»;

ДСТУ ISO/IEC TR 13335-3:2003 «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом ІТ»;

ДСТУ ISO/IEC TR 13335-4;200_ «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту»;

ДСТУ ISO/IEC TR 13335-5:200_ «Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 5. Настанови з керування мережною безпекою».

Ця частина стандарту повністю відповідає міжнародному технічному звіту ISO/IEC TR 13335-4. Ступінь відповідності — IDT.

До стандарту внесено такі редакційні зміни:

слова «ця частина ISO/IEC TR 13335», «цей звіт» замінено на «цей стандарт».
у розділі «Нормативні посилання» наведено «Національне пояснення», виділене в тексті рамкою, де надано переклад назв стандартів українською мовою;
структурні елементи цього стандарту: «Титульний аркуш», «Передмову», «Національний вступ», «Терміни та визначення понять», «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України.

В Україні чинні стандарти, гармонізовані методом ідентичного перекладу технічних звітів, посилання на які є в ISO/IEC TR 13335-4, а саме:

Крім того, в Україні немає чинних національних стандартів, посилання на які є в ISO/IEC TR 13335-4, а саме:

ISO/IEC 10181-2:1996 «Інформаційні технології. Взаємозв’язок відкритих систем. Структура безпеки відкритих систем. Структура автентифікації»;

ISO/IEC 11770-1:1996 «Інформаційні технології. Методи захисту. Керування ключами. Частина 1. Структура».

Копії міжнародних стандартів можна отримати в Головному фонді нормативних документів ДП «УкрНДНЦ».

ПЕРЕДМОВА ДО ISO/IEC TR 13335-4

ISO (International Organization for Standardization — Міжнародна Організація з Стандартизації) та ІЕС (International Electrotechnical Commission — Міжнародна Електротехнічна Комісія) формують спеціалізовану систему всесвітньої стандартизації. Національні органи стандартизації країн, що є членами ISO або ІЕС приймають участь у розробленні міжнародних стандартів через технічні комітети, засновані відповідною організацією для роботи у певних сферах технічної діяльності. Технічні комітети ISO та ІЕС співпрацюють у сферах взаємного інтересу. Інші міжнародні організації, урядові та неурядові, що співпрацюють з ISO та ІЕС, також беруть участь у роботі.

Міжнародні стандарти розробляють відповідно до правил, наведених у директивах ISO/IEC, в частині 3.

У галузі інформаційних технологій ISO та ІЕС заснували спільний технічний комітет — ISO/IEC JTC 1 (Joint Technical Committee 1). Проекти міжнародних стандартів, ухвалені спільним технічним комітетом, направляють до національних органів стандартизації для голосування. Опублікування стандарту як міжнародного потребує затвердження принаймні 75 % національних органів стандартизації, що беруть участь у голосуванні.

За виняткових обставин, коли технічний комітет зібрав дані іншого роду ніж ті, що зазвичай публікують як міжнародний стандарт (наприклад, сучасний стан справ), він може простою більшістю голосів членів, що беруть участь у голосуванні, вирішити опублікувати ці дані як технічний звіт. Технічний звіт за своєю природою є інформаційним і не потребує переглядання, доки дані, що він містить, не перестануть вважатися актуальними або корисними.

Звертається увага на можливість того, що деякі елементи цієї частини ISO/IEC TR 13335 можуть бути предметом патентних прав. ISO та ІЕС не відповідають за розпізнавання деяких чи всіх таких патентних прав.

Технічний звіт ISO/IEC TR 13335-4 був підготовлений спільним технічним комітетом ISO/IEC JTC 1, Інформаційні технології, підкомітетом SC 27, Методи захисту ІТ.

Технічний звіт ISO/IEC TR 13335 містить нижченаведені частини під загальною назвою Інформаційні технології — Настанови з керування безпекою інформаційних технологій:

Частина 1: Поняття та моделі забезпечення інформаційної безпеки.

Частина 2: Планування та керування інформаційною безпекою.

Частина 3: Методи керування інформаційною безпекою.

Частина 4: Вибір засобів захисту.

Частина 5: Настанови з керування мережною безпекою

ВСТУП ДО ISO/IEC TR 13335-4

Метою цього технічного звіту (ISO/IEC TR 13335) є надання настанов, а не готових рішень з аспектів керування інформаційною безпекою. Особи, відповідальні за інформаційну безпеку в організації, повинні бути спроможними адаптувати матеріал цього звіту, щоб задовольнити свої потреби.

Скачать бесплатно

Предыдущий документ

Следующий документ

Следующая страница

Нормативні акти про охорону праці Основні законодавчі акти Будівельні норми і правила (ДБН, СНиП) Стандарти (ГОСТ, ДСТУ) Санітарні норми і правила Пожежна безпека (НАПБ) Інструкції з охорони праці Реестр НПАОП 2020-2021 - Нормативно-правові акти з охорони праці

Закон України 2498-XII Про ветеринарну медицину Закон України "Про автомобільний транспорт" Закон України 1378-IV Про оцінку земель Закон України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності" Закон України "Про оплату праці" ДБН А.2.2-3-2012 Склад та зміст проектної документації на будівництво Правила технічної експлуатації електроустановок споживачів Закон України "Про залізничний транспорт" ВСН ВК 4-90 Инструкция по подготовке и работе систем хозяйственно-питьевого водоснабжения в чрезвычайных ситуациях ГОСТ 7798-70 ОСТ 7798-70. Болты с шестигранной головкой класса точности В. Конструкция и размеры

Решение заседания Комитета Верховной Рады Украины по вопросам строительства, транспорта и связи совместно с коллегией Госстроя Украины от 14 ноября 2002 г. Об улучшении законодательного обеспечения деятельности строительной отрасли СТОРІНКА: 2 ГОСТ 26120-84 Акустика авиационная. Термины и определения СТОРІНКА: 2 НПАОП 0.00-1.35-03 Правила безопасности при строительстве и реконструкции магистральных трубопроводов СТОРІНКА: 8 ДСТУ 1.0:2003 СТУ 1.0:2003. Национальная стандартизация. Основные положения СТОРІНКА: 3 СНиП 2.06.03-85 . Мелиоративные системы и сооружения (Отменен-приказ Госстроя Украины вот 25.06.99 N153) СТОРІНКА: 19 НПБ 311-2002 Техника пожарная. пожарный штабной автомобиль. СТОРІНКА: 4 ДСТУ 3760-98 Прокат арматурный для железобетонных конструкций СТОРІНКА: 2 ГОСТ 10982-75 Эмаль ЭП-148 белая для холодильников и других электробытовых приборов. Технические условия СТОРІНКА: 3 ДСТУ EN 12941:2004 Засоби індивідуального захисту органів дихання. Моторові фільтрувальні пристрої з шоломом або капюшоном. Вимоги, випробування, маркування СТОРІНКА: 5 ГОСТ 24401-80 Брусья для пресс-форм. Конструкция и размеры СТОРІНКА: 2