Розгляд аудиту системиАдреса
BSI
389 Chiswick High Road
London, W4 4AL
UK
Tel.: +44 181 996 7000
Fax: +44 181 996 7001
BS 7799 також виданий в Австралії та Новій Зеландії як AS/NZS 4444.
Адреса
SAA
P.O.Box 1055
AUS — Strathfield NSW 2135
Australia
Tel.: +61 297 464700
Fax: +61 297 464766
BS 7799 також виданий в Швеції як SS 62 77 99.
Адреса
STG
S-11289 Stockholm
SWEDEN
Tel.: +46 8136250
Fax: +46 86186128
ДОДАТОК В
СТАНДАРТ БАЗОВОЇ БЕЗПЕКИ ETSI. ФУНКЦІЇ ТА МЕХАНІЗМИ
(Тип: залежний від IT застосування)
Сфера застосування
У цьому документі наведено всі особливості та механізми безпеки, що були оцінені та можуть використовуватись у стандартах ETSI. Однак цей документ тільки надає настанови з вибору та застосування конкретних механізмів безпеки, наведених у додатку. Якщо потрібна грунтовніша порада, наводять посилання на відповідні джерела інформації. Більше того, експерти ETSI STAG готові допомогти, якщо виникають питання та проблеми. У багатьох випадках механізми безпеки як такі офіційно не стандартизовані, але вони зареєстровані для використання. Багато з них не опубліковані з міркувань безпеки, але можуть бути використані в окремих ETSI-застосунках. Оскільки існує значна активність у сферах телекомунікацій та криптології, цей документ має переглядатись та оновлюватись регулярно.
Зміст
Сфера застосування
Посилання
Основні особливості та механізми
Специфічні системні можливості та механізми
Визначення, позначки та скорочення
Визначення
Скорочення
Можливості безпеки
Вступ
Огляд можливостей безпеки
Автентифікація
Конфіденційність
Цілісність
Контроль доступу
Керування ключами
Неспростовність
7 Аудит безпекиМеханізми безпеки
Вступ
Огляд
Механізми автентифікації/ідентифікації
Механізми конфіденційності
Механізми цілісності
Механізми контролю доступу
Механізми керування ключами
Механізми неспростовності
Формат опису
Додаток А Опис механізмів
Механізми безпеки/автентифікація/ідентифікація
Механізми безпеки/автентифікація/ідентифікація/методи, засновані на знанні
Механізми безпеки/автентифікація/ідентифікація/методи, засновані на підтвердженні знання
Механізми безпеки/конфіденційність/шифрування
Механізми безпеки/цілісність
Механізми безпеки/контроль доступу
Механізми безпеки/керування ключами/створення спільних секретних ключів
Механізми безпеки/керування ключами/поширення відкритих ключів
Додаток В Взаємозв'язок між послугами та механізмами безпеки
Адреса
ETSI Secretariat
06921 Sophia Antipolis Cedex
France
Tel.: +33 9294 4200
Fax: +33 9365 4716
ДОДАТОК C
ДОВІДНИК З БАЗОВОГО ЗАХИСТУ IT
(Тип: залежний від IT застосування)
Сфера застосування
Мета базового захисту IT — через відповідне застосування організаційних, кадрових, інфра- структурних та технічних стандартних засобів захисту, досягнути стандарту безпеки для IT систем, що є адекватним та достатнім стосовно вимог до захисту середнього рівня, та може бути основою для програм, що потребують високого ступеню захисту.
З цією метою довідник з базового захисту IT рекомендує набори контрзаходів для типових конфігурацій IT, структур навколишнього середовища та організаційних заходів. Для упорядкування цього довідника Німецька агенція інформаційної безпеки використала оцінки ризику на базі відомих загроз та вразливостей і розробила пакети заходів, що відповідають цій меті. В результаті, користувачам довідника з базового захисту IT не треба виконувати складне аналізування базового захисту; вони мають тільки прослідкувати за тим, щоб рекомендовані засоби захисту були послідовно та повністю впроваджені.
В той же час, це допомагає гарантувати, що інформаційна безпека в частині вимог захисту середнього рівня може бути досягнута в економний спосіб, особливо тому, що окремі стратегії безпеки систем можуть базуватися на Довідник з базового захисту IT. Таким чином, базовий захист IT стає загальною базою узгодження засобів захисту для задоволення вимог захисту середнього рівня.
Зміст
Керування інформаційною безпекою
Застосування довідника з базового захисту IT
Застосування довідника з базового захисту IT
Визначення вимог до захистуВикористання довідника з базового захисту IT
Практичні поради та допоміжні засоби
Компоненти загального базового захисту IT
Організація
Персонал
Планування надзвичайних ситуацій
Резервування
Захист даних
Захист від комп’ютерних вірусів
Криптоконцепція
Інфраструктура
Будівлі
Прокладання кабелю
Кімнати
Офіс
Серверна кімната
Архіви носіїв інформації
Кімната технічної інфраструктури
Немережні Системи
DOS PC (один користувач)
Системи UNIX
Портативний PC
DOS PC (декілька користувачів)
PC Windows NT
PC Windows 95
Загальна немережна інформаційна система
Мережні системи
Мережа на основі сервера
Мережа UNIX
Однорангова мережа під Windows for Workgroups
Мережа Windows NT
Novell Netware 3.x
Novell Netware 4.x
Гетерогенні мережі
Керування мережею та системами
Системи передавання даних
Обмін носіями даних
Модем
Брандмауер
Електронна пошта
Веб-сервер
Телекомунікації
Система телекомунікацій
Факс
Автовідповідач
LAN з'єднання через ISDN
Інші компоненти IT
Стандартне програмне забезпечення
Бази даних
Віддалена робота
Каталоги засобів захисту
Каталоги загроз
Каталоги загроз/Таблиці засобів захистуВідділ стандартів
DIN
Burggrafenstrasse 6
10787 Berlin
Germany
Tel.: +49 30 2601 2652
Fax: +49 30 2601 1723
Адреси
BSI
Postfach 20 03 63
53133 Bonn
Germany
Tel.: +49 228 9582 0
Fax: +49 228 9582 400
ДОДАТОК D
ПОСІБНИК З КОМП’ЮТЕРНОЇ БЕЗПЕКИ NIST
(Тип: загальний)
Сфера застосування
Цей посібник надає допомогу організації в частині захисту комп’ютерних ресурсів (охоплюючи апаратне, програмне забезпечення та інформацію), пояснюючи важливі поняття, розрахунки вартості та взаємозв’язки засобів захисту. Він ілюструє переваги засобів захисту, основні методи чи підходи для кожного засобу та важливі міркування, пов’язані з ними.
Посібник містить загальний огляд комп’ютерної безпеки, щоб допомогти читачам зрозуміти, що їм потрібно в частині комп’ютерної безпеки, та розробити надійний підхід до вибору відповідних засобів захисту. Він не описує детальних кроків, необхідних для реалізації програми комп’ютерної безпеки, не надає детальних процедур реалізації засобів захисту, та не містить настанову з аудиту безпеки конкретних систем. У посібнику в кінці кожного розділу частин II, III та IV наведено загальні посилання, а також посилання на «how-to» («як-для») книги та статті.
Призначення цього посібника: не визначання вимог, а, швидше, обговорення переваг різних засобів захисту та ситуацій, коли їх застосування може бути корисним. Деякі вимоги для об’єднаних систем відмічено в тексті. Цей документ містить поради та настанову; про міри покарання не йдеться.
Зміст
І Вступ та огляд
Вступ
Елементи комп’ютерної безпеки
Ролі та обов’язки
Загальні загрози: короткий огляд
Засоби керування
Політика комп’ютерної безпеки
Програма керування комп’ютерною безпекою
Керування ризиками комп’ютерної безпеки
Безпека та планування в життєвому циклі комп’ютерної системи
Гарантування
Механізми експлуатації
Питання персоналу/користувачів
Приготування до непередбачених ситуацій та стихійних лих
Реагування на порушення комп’ютерної безпеки
Обізнаність, навчання та освіта
Міркування про безпеку комп’ютерного підтримування та діяльностіФізична безпека та безпека навколишнього середовища
Технічний контроль
Ідентифікація та автентифікація
Контроль логічного доступу
Журнали аудиту
Криптографія
Приклад
20 Оцінювання та прийнятність ризиків гіпотетичної комп'ютерної системи Відділ стандартів
ANSI
11 West 42nd Street
13th floor
USA — New York, N.Y. 10036
USA
Tel.: +1 212 642 4900
Fax: +1 212 840 2298
Адреса
Computer systems Laboratory
NIST
Gaithersburg
MD 20899-0001
US
ДОДАТОК E
МЕДИЧНА ІНФОРМАТИКА: КАТЕГОРИЗАЦІЯ БЕЗПЕКИ
ТА ЗАХИСТ ІНФОРМАЦІЙНИХ СИСТЕМ ДЛЯ ОХОРОНИ ЗДОРОВ’Я
(Тип: залежний від IT застосування)
Сфера застосування
Цей європейський пробний стандарт визначає метод категоризації автоматизованих інформаційних систем для охорони здоров’я в контексті безпеки. Безпеку розглядали у значенні зберігання на припустимому рівні доступності даних, конфіденційності та цілісності. Для кожної категорії систем визначено належний набір захисних вимог, придатний для рівня ризиків, властивого цій категорії.
Цей європейський пробний стандарт застосовний для всіх автоматизованих інформаційних систем, що обробляють інформацію, яка стосується охорони здоров’я. Вони охоплюють системи, які прямо сприяють догляду за хворими, наприклад, обробляють результати лабораторних тестів; але також охоплюють статичні системи, а також адміністративні системи, що забезпечують підтримування функціонування закладу охорони здоров’я самого по собі, наприклад виплата зарплати, кадрові, планові та фінансові системи. Однак цей європейський пробний стандарт не поширюється на системи, де конфіденційність вважається неважливою, тобто інформація є загальним надбанням. Користувачами цього пробного стандарту є споживачі/постачальники безпечних інформаційних систем для охорони здоров’я та розробники/виробники безпечних інформаційних систем для цієї сфери. Запроваджування положень цього європейського пробного стандарту розцінюється як дотримання керівництвом національних та європейських законів, а також очікування громадськості на високі стандарти безпеки інформації в сфері охорони здоров’я.
Зміст
Сфера застосування
Нормативні посилання
Визначення
Скорочення
Категоризація інформаційних систем для охорони здоров’я
Профіль захисту І (Базові вимоги)Профіль захисту II
Базові вимоги
Вищі вимоги
Профіль захисту III
Базові вимоги
Вищі вимоги
Профіль захисту IV
Базові вимоги
Вищі вимоги
Профіль захисту V
Базові вимоги
Вищі вимоги
Профіль захисту VI
Базові вимоги
Вищі вимоги
Додаток А (довідковий) Підхід до категоризації систем
Додаток В (довідковий) Як використовувати цей європейський стандарт
Додаток С (довідковий) Приклади категоризації інформаційних систем
Додаток D (довідковий) Категоризація інформаційних систем
Додаток Е (довідковий) Джерела загрози
Додаток F (довідковий) Література
Адреса
CEN ТС 251
Rue de Stassart 36
1050 Brussels
Belgium
ДОДАТОК F
БАНКІВСЬКА СПРАВА ТА ПОВ’ЯЗАНІ З НЕЮ ФІНАНСОВІ ПОСЛУГИ ТК 68 (ТС 68)
НАСТАНОВА З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
(Тип: залежний від IT застосування)
Сфера застосування
Фінансові установи все більше покладаються на інформаційні технології (IT) для ефективного керування бізнесом. Керування ризиками є головним для сегмента фінансових послуг. Ці установи керують ризиками шляхом використовування обережного ведення бізнесу, уважного укладання угод, страхування, та використовування відповідних механізмів безпеки.
Є потреба керувати інформаційною безпекою в фінансових установах комплексно. Цей технічний звіт не призначений для забезпечення загального рішення для всіх ситуацій. Кожний випадок має бути вивчений по суті, щоб визначитись з відповідними діями. Цей звіт призначений для розробляння настанови, а не конкретних рішень.
Метою цього технічного звіту є:
структура програми інформаційної безпеки;
настанова з вибору засобів захисту, прийнятних для обережної практики ведення бізнесу.
забезпечення сумісності з наявними стандартами, а також об’єктивними та надійними критеріями безпеки роботи, яка щойно започаткована.
Цей технічний звіт призначений для використовування фінансовими установами всіх розмірів та типів, які бажають реалізувати розумну та комерційно обґрунтовану програму безпеки. Він також буде корисним для постачальників послуг для фінансових установ. Цей звіт також може служити основним документом для викладачів та видавців, що працюють у фінансовій сфері.1 2 З 4
5
6
7
8
9
10
і -і
Вступ
Керування інформаційною безпекою
Корпоративна політика інформаційної безпеки
Організація інформаційної безпеки
Зобов’язання
Ролі та обов’язки
Аналізування ризиків
Вступ
Ілюстрований процес аналізування ризиків
Загрози
Вразливості
Категорії ризиків
Визначення та аналіз ділових функцій
Процес оцінювання ризиків.