Страница 14: ДСТУ ISO/IEC TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту (61301)

Розгляд аудиту системиАдреса

BSI

389 Chiswick High Road

London, W4 4AL

UK

Tel.: +44 181 996 7000

Fax: +44 181 996 7001

BS 7799 також виданий в Австралії та Новій Зеландії як AS/NZS 4444.

Адреса

SAA

P.O.Box 1055

AUS — Strathfield NSW 2135

Australia

Tel.: +61 297 464700

Fax: +61 297 464766

BS 7799 також виданий в Швеції як SS 62 77 99.

Адреса

STG

S-11289 Stockholm

SWEDEN

Tel.: +46 8136250

Fax: +46 86186128

ДОДАТОК В

СТАНДАРТ БАЗОВОЇ БЕЗПЕКИ ETSI. ФУНКЦІЇ ТА МЕХАНІЗМИ

(Тип: залежний від IT застосування)

Сфера застосування

У цьому документі наведено всі особливості та механізми безпеки, що були оцінені та можуть використовуватись у стандартах ETSI. Однак цей документ тільки надає настанови з вибору та за­стосування конкретних механізмів безпеки, наведених у додатку. Якщо потрібна грунтовніша по­рада, наводять посилання на відповідні джерела інформації. Більше того, експерти ETSI STAG готові допомогти, якщо виникають питання та проблеми. У багатьох випадках механізми безпеки як такі офіційно не стандартизовані, але вони зареєстровані для використання. Багато з них не опубліковані з міркувань безпеки, але можуть бути використані в окремих ETSI-застосунках. Оскільки існує значна активність у сферах телекомунікацій та криптології, цей документ має переглядатись та оновлюватись регулярно.

Зміст

  1. Сфера застосування

  2. Посилання

    1. Основні особливості та механізми

    2. Специфічні системні можливості та механізми

  3. Визначення, позначки та скорочення

    1. Визначення

    2. Скорочення

  4. Можливості безпеки

    1. Вступ

    2. Огляд можливостей безпеки

      1. Автентифікація

      2. Конфіденційність

      3. Цілісність

      4. Контроль доступу

      5. Керування ключами

      6. Неспростовність

  5. 7 Аудит безпекиМеханізми безпеки

    1. Вступ

    2. Огляд

      1. Механізми автентифікації/ідентифікації

      2. Механізми конфіденційності

      3. Механізми цілісності

      4. Механізми контролю доступу

      5. Механізми керування ключами

      6. Механізми неспростовності

    3. Формат опису

Додаток А Опис механізмів

Механізми безпеки/автентифікація/ідентифікація

Механізми безпеки/автентифікація/ідентифікація/методи, засновані на знанні

Механізми безпеки/автентифікація/ідентифікація/методи, засновані на підтвердженні знання

Механізми безпеки/конфіденційність/шифрування

Механізми безпеки/цілісність

Механізми безпеки/контроль доступу

Механізми безпеки/керування ключами/створення спільних секретних ключів

Механізми безпеки/керування ключами/поширення відкритих ключів

Додаток В Взаємозв'язок між послугами та механізмами безпеки

Адреса

ETSI Secretariat

06921 Sophia Antipolis Cedex

France

Tel.: +33 9294 4200

Fax: +33 9365 4716

ДОДАТОК C

ДОВІДНИК З БАЗОВОГО ЗАХИСТУ IT

(Тип: залежний від IT застосування)

Сфера застосування

Мета базового захисту IT — через відповідне застосування організаційних, кадрових, інфра- структурних та технічних стандартних засобів захисту, досягнути стандарту безпеки для IT систем, що є адекватним та достатнім стосовно вимог до захисту середнього рівня, та може бути основою для програм, що потребують високого ступеню захисту.

З цією метою довідник з базового захисту IT рекомендує набори контрзаходів для типових конфігурацій IT, структур навколишнього середовища та організаційних заходів. Для упорядкування цього довідника Німецька агенція інформаційної безпеки використала оцінки ризику на базі відо­мих загроз та вразливостей і розробила пакети заходів, що відповідають цій меті. В результаті, користувачам довідника з базового захисту IT не треба виконувати складне аналізування базового захисту; вони мають тільки прослідкувати за тим, щоб рекомендовані засоби захисту були по­слідовно та повністю впроваджені.

В той же час, це допомагає гарантувати, що інформаційна безпека в частині вимог захисту середнього рівня може бути досягнута в економний спосіб, особливо тому, що окремі стратегії безпеки систем можуть базуватися на Довідник з базового захисту IT. Таким чином, базовий захист IT стає загальною базою узгодження засобів захисту для задоволення вимог захисту середнього рівня.

Зміст

  1. Керування інформаційною безпекою

  2. Застосування довідника з базового захисту IT

    1. Застосування довідника з базового захисту IT

    2. Визначення вимог до захистуВикористання довідника з базового захисту IT

    3. Практичні поради та допоміжні засоби

  3. Компоненти загального базового захисту IT

    1. Організація

    2. Персонал

    3. Планування надзвичайних ситуацій

    4. Резервування

    5. Захист даних

    6. Захист від комп’ютерних вірусів

    7. Криптоконцепція

  4. Інфраструктура

    1. Будівлі

    2. Прокладання кабелю

    3. Кімнати

      1. Офіс

      2. Серверна кімната

      3. Архіви носіїв інформації

      4. Кімната технічної інфраструктури

  5. Немережні Системи

    1. DOS PC (один користувач)

    2. Системи UNIX

    3. Портативний PC

    4. DOS PC (декілька користувачів)

    5. PC Windows NT

    6. PC Windows 95

    7. Загальна немережна інформаційна система

  6. Мережні системи

    1. Мережа на основі сервера

    2. Мережа UNIX

    3. Однорангова мережа під Windows for Workgroups

    4. Мережа Windows NT

    5. Novell Netware 3.x

    6. Novell Netware 4.x

    7. Гетерогенні мережі

    8. Керування мережею та системами

  7. Системи передавання даних

    1. Обмін носіями даних

    2. Модем

    3. Брандмауер

    4. Електронна пошта

    5. Веб-сервер

  8. Телекомунікації

    1. Система телекомунікацій

    2. Факс

    3. Автовідповідач

    4. LAN з'єднання через ISDN

  9. Інші компоненти IT

    1. Стандартне програмне забезпечення

    2. Бази даних

    3. Віддалена робота

Каталоги засобів захисту

Каталоги загроз

Каталоги загроз/Таблиці засобів захистуВідділ стандартів

DIN

Burggrafenstrasse 6

10787 Berlin

Germany

Tel.: +49 30 2601 2652

Fax: +49 30 2601 1723

Адреси

BSI

Postfach 20 03 63

53133 Bonn

Germany

Tel.: +49 228 9582 0

Fax: +49 228 9582 400

ДОДАТОК D

ПОСІБНИК З КОМП’ЮТЕРНОЇ БЕЗПЕКИ NIST

(Тип: загальний)

Сфера застосування

Цей посібник надає допомогу організації в частині захисту комп’ютерних ресурсів (охоплюючи апаратне, програмне забезпечення та інформацію), пояснюючи важливі поняття, розрахунки вар­тості та взаємозв’язки засобів захисту. Він ілюструє переваги засобів захисту, основні методи чи підходи для кожного засобу та важливі міркування, пов’язані з ними.

Посібник містить загальний огляд комп’ютерної безпеки, щоб допомогти читачам зрозуміти, що їм потрібно в частині комп’ютерної безпеки, та розробити надійний підхід до вибору відповід­них засобів захисту. Він не описує детальних кроків, необхідних для реалізації програми комп’ю­терної безпеки, не надає детальних процедур реалізації засобів захисту, та не містить настанову з аудиту безпеки конкретних систем. У посібнику в кінці кожного розділу частин II, III та IV наведено загальні посилання, а також посилання на «how-to» («як-для») книги та статті.

Призначення цього посібника: не визначання вимог, а, швидше, обговорення переваг різних засобів захисту та ситуацій, коли їх застосування може бути корисним. Деякі вимоги для об’єдна­них систем відмічено в тексті. Цей документ містить поради та настанову; про міри покарання не йдеться.

Зміст

І Вступ та огляд

  1. Вступ

  2. Елементи комп’ютерної безпеки

  3. Ролі та обов’язки

  4. Загальні загрози: короткий огляд

  1. Засоби керування

  1. Політика комп’ютерної безпеки

  2. Програма керування комп’ютерною безпекою

  3. Керування ризиками комп’ютерної безпеки

  4. Безпека та планування в життєвому циклі комп’ютерної системи

  5. Гарантування

  1. Механізми експлуатації

  1. Питання персоналу/користувачів

  2. Приготування до непередбачених ситуацій та стихійних лих

  3. Реагування на порушення комп’ютерної безпеки

  4. Обізнаність, навчання та освіта

  5. Міркування про безпеку комп’ютерного підтримування та діяльностіФізична безпека та безпека навколишнього середовища

  1. Технічний контроль

  1. Ідентифікація та автентифікація

  2. Контроль логічного доступу

  3. Журнали аудиту

  4. Криптографія

  1. Приклад

20 Оцінювання та прийнятність ризиків гіпотетичної комп'ютерної системи Відділ стандартів

ANSI

11 West 42nd Street

13th floor

USA — New York, N.Y. 10036

USA

Tel.: +1 212 642 4900

Fax: +1 212 840 2298

Адреса

Computer systems Laboratory

NIST

Gaithersburg

MD 20899-0001

US

ДОДАТОК E

МЕДИЧНА ІНФОРМАТИКА: КАТЕГОРИЗАЦІЯ БЕЗПЕКИ
ТА ЗАХИСТ ІНФОРМАЦІЙНИХ СИСТЕМ ДЛЯ ОХОРОНИ ЗДОРОВ’Я

(Тип: залежний від IT застосування)

Сфера застосування

Цей європейський пробний стандарт визначає метод категоризації автоматизованих інформа­ційних систем для охорони здоров’я в контексті безпеки. Безпеку розглядали у значенні зберігання на припустимому рівні доступності даних, конфіденційності та цілісності. Для кожної категорії систем визначено належний набір захисних вимог, придатний для рівня ризиків, властивого цій категорії.

Цей європейський пробний стандарт застосовний для всіх автоматизованих інформаційних систем, що обробляють інформацію, яка стосується охорони здоров’я. Вони охоплюють системи, які прямо сприяють догляду за хворими, наприклад, обробляють результати лабораторних тестів; але також охоплюють статичні системи, а також адміністративні системи, що забезпечують підтри­мування функціонування закладу охорони здоров’я самого по собі, наприклад виплата зарплати, кадрові, планові та фінансові системи. Однак цей європейський пробний стандарт не поширюється на системи, де конфіденційність вважається неважливою, тобто інформація є загальним надбанням. Користувачами цього пробного стандарту є споживачі/постачальники безпечних інформаційних систем для охорони здоров’я та розробники/виробники безпечних інформаційних систем для цієї сфери. Запроваджування положень цього європейського пробного стандарту розцінюється як дотри­мання керівництвом національних та європейських законів, а також очікування громадськості на високі стандарти безпеки інформації в сфері охорони здоров’я.

Зміст

  1. Сфера застосування

  2. Нормативні посилання

  3. Визначення

  4. Скорочення

  5. Категоризація інформаційних систем для охорони здоров’я

  6. Профіль захисту І (Базові вимоги)Профіль захисту II

Базові вимоги

Вищі вимоги

  1. Профіль захисту III

Базові вимоги

Вищі вимоги

  1. Профіль захисту IV

Базові вимоги

Вищі вимоги

  1. Профіль захисту V

Базові вимоги

Вищі вимоги

  1. Профіль захисту VI

Базові вимоги

Вищі вимоги

Додаток А (довідковий) Підхід до категоризації систем

Додаток В (довідковий) Як використовувати цей європейський стандарт

Додаток С (довідковий) Приклади категоризації інформаційних систем

Додаток D (довідковий) Категоризація інформаційних систем

Додаток Е (довідковий) Джерела загрози

Додаток F (довідковий) Література

Адреса

CEN ТС 251

Rue de Stassart 36

1050 Brussels

Belgium

ДОДАТОК F

БАНКІВСЬКА СПРАВА ТА ПОВ’ЯЗАНІ З НЕЮ ФІНАНСОВІ ПОСЛУГИ ТК 68 (ТС 68)
НАСТАНОВА З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

(Тип: залежний від IT застосування)

Сфера застосування

Фінансові установи все більше покладаються на інформаційні технології (IT) для ефективного керування бізнесом. Керування ризиками є головним для сегмента фінансових послуг. Ці устано­ви керують ризиками шляхом використовування обережного ведення бізнесу, уважного укладання угод, страхування, та використовування відповідних механізмів безпеки.

Є потреба керувати інформаційною безпекою в фінансових установах комплексно. Цей тех­нічний звіт не призначений для забезпечення загального рішення для всіх ситуацій. Кожний випа­док має бути вивчений по суті, щоб визначитись з відповідними діями. Цей звіт призначений для розробляння настанови, а не конкретних рішень.

Метою цього технічного звіту є:

  • структура програми інформаційної безпеки;

  • настанова з вибору засобів захисту, прийнятних для обережної практики ведення бізнесу.

  • забезпечення сумісності з наявними стандартами, а також об’єктивними та надійними кри­теріями безпеки роботи, яка щойно започаткована.

Цей технічний звіт призначений для використовування фінансовими установами всіх розмірів та типів, які бажають реалізувати розумну та комерційно обґрунтовану програму безпеки. Він та­кож буде корисним для постачальників послуг для фінансових установ. Цей звіт також може слу­жити основним документом для викладачів та видавців, що працюють у фінансовій сфері.1 2 З 4

5

6

7

8

9

10

і -і


Зміст

Вступ

Керування інформаційною безпекою

Корпоративна політика інформаційної безпеки

Організація інформаційної безпеки

  1. Зобов’язання

  2. Ролі та обов’язки

Аналізування ризиків

  1. Вступ

  2. Ілюстрований процес аналізування ризиків

  3. Загрози

  4. Вразливості

  5. Категорії ризиків

  6. Визначення та аналіз ділових функцій

  7. Процес оцінювання ризиків.

Скачать бесплатно
Предыдущий документ
Следующий документ
Предыдущая страница
Следующая страница


Нормативні акти про охорону праці Основні законодавчі акти Будівельні норми і правила (ДБН, СНиП) Стандарти (ГОСТ, ДСТУ) Санітарні норми і правила Пожежна безпека (НАПБ) Інструкції з охорони праці Реестр НПАОП 2020-2021 - Нормативно-правові акти з охорони праці

ГОСТ 14261—77 Кислота соляная особой чистоты технические условия ДСП 173-96 Державні санітарні правила планування та забудови населених пунктів ГОСТ 11738-84 Винты с цилиндрической головкой и шестигранным углублением под ключ класса точности А. Конструкция и размеры ГОСТ 17473-80 Винты с полукруглой головкой классов точности аив конструкция и размеры ДБН В.1.2-2:2006 НАВАНТАЖЕННЯ І ВПЛИВИ Норми проектування Закон України "Про відходи" ДСТУ 4100:2014 Безпека дорожнього руху. Знаки дорожні. Загальні технічні умови. Правила застосування ОСТ 1 00017-89 Моменты затяжки болтов, винтов и шпилек. Общие требования НПАОП 0.00-8.24-05 Перелік робіт з підвищеною небезпекою НАПБ А.01.001-2004 Правила пожежної безпеки в Україні
ГОСТ 12.2.021-76 Электрооборудование взрывозащищенное порядок согласования технической документации, проведения испытаний, выдачи заключений и свидетельств СТОРІНКА: 2 ВСН 434-88 Нормирование потребности в покупном стандартном слесарно-монтажном, измерительном и абразивном инструменте для организаций Минмонтажспестроя СССР СТОРІНКА: 4 ДСТУ 4876:2007 Вагони трамвайні пасажирські. Загальні технічні вимоги СТОРІНКА: 4 ОСТ 92-9643-88 Материалы из натуральных волокон. Марки, разрешенные к применению СТОРІНКА: 4 ГОСТ Р 50889-96 Сооружения местных телефонных сетей линейные. Термины и определения СТОРІНКА: 4 ДСТУ IEC 60745-1:2010 Інструмент ручний електромеханічний. Безпека. Частина 1. Загальні вимоги СТОРІНКА: 22 ГОСТ 12.2.028-84 Вентиляторы общего назначения.Методы определения шумовых характеристик СТОРІНКА: 3 НПАОП 28.4-7.24-82 ОСТ Н89-14-82 Литейное производство. Смесиприготовление. Требования безопасности. СТОРІНКА: 3 ДБН А.2.2-3-2004 Проектирование Состав, порядок разработки, согласования и утверждения проектной документации для строительства СТОРІНКА: 4 НПАОП 27.2-1.01-09 Правила охорони праці у трубному виробництві СТОРІНКА: 7
Смотрите также
Приказ від 10.08.2007 року N 468 Наказ від 10.08.2007 року N 468 Щодо подовження терміну дії галузевих стандартів О проекте государственных строительных норм "Мости и трубы. Правила проектирования О принятии национального стандартаНАОП 9.1.50-5.08-85 Типовая инструкция по технике безопасности при работе в стерилизационных