Рекомендації інформаційної безпеки
Прийнятність ризиків
Вибір засобів захисту
Класифікація інформації
Контролювання логічного доступу
Журнали аудиту
Контролювання змін
Реалізація засобів захисту
Комп’ютери
Мережі
Програмне забезпечення
Голосове, телефонне та інше обладнання
Передавання факсів та зображень
Електронна пошта
Паперові документи
Мікроформи та інші носії даних
Карти фінансових транзакцій
Банкомати
Електронні гроші та перекази
Перевіряння
Електронна комерція
Електронні гроші
Різне
Страхування
Аудит
Відповідність правовим нормам
Планування відновлення після стихійних лих
Зовнішні постачальники послуг
Криптографічна діяльність
Секретність
Реалізація криптографічних засобів захисту
Інформування про безпеку
Інформування про інформаційну безпеку
Людські чинники
Підтримування безпеки
Обслуговування
Сумісність безпеки
Моніторинг
Реагування на порушення
ПосиланняДодаток А Зразки документів
Додаток В Зразок базової безпеки
Адреса
ISO/ ТС 68/SC2 Secretariat
Post Office Box 11
Annapolis Junction
MD 20701
USA
Tel.: +1 301 688 3586
Fax: +1 301 192 1019
ДОДАТОК G
ЗАХИСТ КОНТРОЛЬОВАНОЇ ІНФОРМАЦІЇ,
НА ЯКУ НЕ ПОШИРЮЄТЬСЯ ЗАКОН УКРАЇНИ «ПРО ДЕРЖАВНУ ТАЄМНИЦЮ»
РЕКОМЕНДАЦІЇ ДЛЯ КОМП’ЮТЕРНИХ РОБОЧИХ СТАНЦІЙ
(Тип: загальний)
Сфера застосування
Цей документ поширюється на заходи гарантування захисту контрольованої інформації, на яку не поширюється Закон України «Про державну таємницю», та яка обробляється чи зберігається комп’ютерними засобами, і запроваджування цих законів різними посадовими особами організації. Ці рекомендації стосуються зокрема такого:
дорогого програмного забезпечення, пошкодження чи розкриття якого може поставити організацію у скрутне становище,
не можна розкривати інформацію специфічної конфіденційності або інформацію з обмеженим доступом згідно з вимогами до збереження професійної таємниці. Для інформації вищого рівня секретності, такої як специфічна секретна інформація, відповідні органи мають посилити заходи, рекомендовані в цьому документі.
Ці органи мають на основі цих рекомендацій розробити свої внутрішні інструкції.
Зміст
0 Вступ
Сфера застосування
Адміністрування та організація безпеки
Учасники забезпечення безпеки та їхні ролі
Процедури
Фізична безпека
Приміщення
Встановлення комп’ютерного обладнання
Контролювання доступу персоналу до апаратного забезпечення
Контролювання доступу персоналу до будівель
Безпека персоналу
Обов’язки та процедури
Навчання та підвищення обізнаності
Безпека документів
Оброблення та захист інформації
Оброблення та захист носіїв даних
Безпека комп’ютерів
Комп'ютерне обладнання
Контроль доступу
Програмне забезпечення
ФайлиОбслуговування
. Тимчасовий ремонт
Нагляд та перевіряння
Збереження (резервування) та надзвичайні дії
Процедури збереження (резервування) файлів даних
Процедури збереження програм
Надзвичайні дії — Загальні збої
Надзвичайні дії — Логічні напади
Надзвичайні дії — Катастрофи
Безпека комунікацій
Криптографічна безпека
Безпека каналів передавання даних та отримання доступів
Керування конфігурацією
Додаток А (довідковий) Прийняття зобов’язань
Адреса
AFNOR
Tour Europe
92049 Paris La Defense Cedex
France
Tel.: +33 1 4291 5555
Fax: +33 1 4291 5656
ДОДАТОК H
КАНАДСЬКИЙ ПОСІБНИК З БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
(Тип: загальний)
Сфера застосування
Цей посібник допомагає забезпечувати захист комп’ютерних ресурсів (охоплюючи апаратне, програмне забезпечення та інформацію), пояснює важливі поняття, наводить розрахунки вартості та взаємозв’язані засоби захисту. Він ілюструє переваги засобів захисту, основні методи чи підходи для кожного засобу та важливі міркування, пов’язані з ними.
Посібник містить загальний огляд комп’ютерної безпеки, щоб допомогти читачам зрозуміти, що їм потрібно в частині комп’ютерної безпеки, та розробити надійний підхід до вибору відповідних засобів захисту. Він не описує детальних кроків, необхідних для реалізації програми комп’ютерної безпеки, не надає детальних процедур реалізації засобів захисту та не містить настанову з аудиту безпеки конкретних систем. У посібнику в кінці кожного розділу частин II, 111, та IV наведено загальні посилання, а також посилання на “how-to” (“як-для”) книги та статті.
Призначення цього посібника: не означення вимог, а, швидше, обговорення переваг різних засобів захисту та ситуацій, коли їх застосування може бути корисним. Деякі вимоги для об’єднаних систем відмічено в тексті. Цей документ містить поради та настанову; про міри покарання не йдеться.
Зміст
І Вступ та огляд
Вступ
Елементи інформаційної безпеки
Ролі та обов’язки
Загальні загрози: короткий огляд
II Засоби керування
Політика інформаційної безпеки
Програма керування інформаційною безпекою
Керування ризиками інформаційною безпекиПланування інформаційної безпеки в життєвому циклі інформаційної системи
Гарантування
III Експлуатаційні засоби захисту
Питання персоналу/користувачів
Приготування до непередбачених ситуацій та катастроф IT
Інформаційна безпека в частині реагування на порушення
Усвідомленість інформаційної безпеки у сфері, навчання та освіти
Міркування щодо безпеки в комп’ютерному підтримуванні та діяльності
Фізична безпека та безпека навколишнього сердовища IT
Технічне контролювання
Ідентифікація та автентифікація
Контролювання логічного доступу
Журнали аудиту
Криптографія
Приклад
20 Оцінювання та прийнятність ризиків гіпотетичної комп’ютерної системи
Відділ стандартів
SCC
45 O’Connor Street
Suite 1200
Ottawa, Ontario K1P 6N7
Canada
Tel.: +1 613 238 3222
Fax: +1 613 995 4564
Адреса
Communications Security Establishment
P.O. Box 9703, Terminal
Ottawa, Ontario KIG 3Z4
Canada
УКНД 35.040
Ключові слова: аналіз ризиків, ідентифікація, автентичність, ризики безпеки, конфіденційність, Цінність, елементи безпеки, процеси керування безпекою IT, корпоративна політика, інформаційна безпека, загроза, вразливість, засоби захисту.