Страница 15: ДСТУ ISO/IEC TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту (61301)

Рекомендації інформаційної безпеки

Вибір засобів захисту

Реалізація засобів захисту

Інформування про безпеку

Підтримування безпеки

ПосиланняДодаток А Зразки документів

Додаток В Зразок базової безпеки

Адреса

ISO/ ТС 68/SC2 Secretariat

Post Office Box 11

Annapolis Junction

MD 20701

USA

Tel.: +1 301 688 3586

Fax: +1 301 192 1019

ДОДАТОК G

ЗАХИСТ КОНТРОЛЬОВАНОЇ ІНФОРМАЦІЇ,
НА ЯКУ НЕ ПОШИРЮЄТЬСЯ ЗАКОН УКРАЇНИ «ПРО ДЕРЖАВНУ ТАЄМНИЦЮ»
РЕКОМЕНДАЦІЇ ДЛЯ КОМП’ЮТЕРНИХ РОБОЧИХ СТАНЦІЙ

(Тип: загальний)

Сфера застосування

Цей документ поширюється на заходи гарантування захисту контрольованої інформації, на яку не поширюється Закон України «Про державну таємницю», та яка обробляється чи зберігається комп’ютерними засобами, і запроваджування цих законів різними посадовими особами організації. Ці рекомендації стосуються зокрема такого:

• дорогого програмного забезпечення, пошкодження чи розкриття якого може поставити організацію у скрутне становище,

• не можна розкривати інформацію специфічної конфіденційності або інформацію з обмеже­ним доступом згідно з вимогами до збереження професійної таємниці. Для інформації вищого рівня секретності, такої як специфічна секретна інформація, відповідні органи мають посилити заходи, рекомендовані в цьому документі.

Ці органи мають на основі цих рекомендацій розробити свої внутрішні інструкції.

Зміст

0 Вступ

1. Сфера застосування

2. Адміністрування та організація безпеки

   1. Учасники забезпечення безпеки та їхні ролі

   2. Процедури

3. Фізична безпека

   1. Приміщення

   2. Встановлення комп’ютерного обладнання

   3. Контролювання доступу персоналу до апаратного забезпечення

   4. Контролювання доступу персоналу до будівель

4. Безпека персоналу

   1. Обов’язки та процедури

   2. Навчання та підвищення обізнаності

5. Безпека документів

   1. Оброблення та захист інформації

   2. Оброблення та захист носіїв даних

6. Безпека комп’ютерів

   1. Комп'ютерне обладнання

   2. Контроль доступу

   3. Програмне забезпечення

   4. ФайлиОбслуговування

   5. . Тимчасовий ремонт

   6. Нагляд та перевіряння

7. Збереження (резервування) та надзвичайні дії

   1. Процедури збереження (резервування) файлів даних

   2. Процедури збереження програм

   3. Надзвичайні дії — Загальні збої

   4. Надзвичайні дії — Логічні напади

   5. Надзвичайні дії — Катастрофи

8. Безпека комунікацій

   1. Криптографічна безпека

   2. Безпека каналів передавання даних та отримання доступів

9. Керування конфігурацією

Додаток А (довідковий) Прийняття зобов’язань

Адреса

AFNOR

Tour Europe

92049 Paris La Defense Cedex

France

Tel.: +33 1 4291 5555

Fax: +33 1 4291 5656

ДОДАТОК H

КАНАДСЬКИЙ ПОСІБНИК З БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

(Тип: загальний)

Сфера застосування

Цей посібник допомагає забезпечувати захист комп’ютерних ресурсів (охоплюючи апаратне, програмне забезпечення та інформацію), пояснює важливі поняття, наводить розрахунки вартості та взаємозв’язані засоби захисту. Він ілюструє переваги засобів захисту, основні методи чи підходи для кожного засобу та важливі міркування, пов’язані з ними.

Посібник містить загальний огляд комп’ютерної безпеки, щоб допомогти читачам зрозуміти, що їм потрібно в частині комп’ютерної безпеки, та розробити надійний підхід до вибору відповід­них засобів захисту. Він не описує детальних кроків, необхідних для реалізації програми комп’ю­терної безпеки, не надає детальних процедур реалізації засобів захисту та не містить настанову з аудиту безпеки конкретних систем. У посібнику в кінці кожного розділу частин II, 111, та IV наве­дено загальні посилання, а також посилання на “how-to” (“як-для”) книги та статті.

Призначення цього посібника: не означення вимог, а, швидше, обговорення переваг різних за­собів захисту та ситуацій, коли їх застосування може бути корисним. Деякі вимоги для об’єднаних систем відмічено в тексті. Цей документ містить поради та настанову; про міри покарання не йдеться.

Зміст

І Вступ та огляд

1. Вступ

2. Елементи інформаційної безпеки

3. Ролі та обов’язки

4. Загальні загрози: короткий огляд

II Засоби керування

5. Політика інформаційної безпеки

6. Програма керування інформаційною безпекою

7. Керування ризиками інформаційною безпекиПланування інформаційної безпеки в життєвому циклі інформаційної системи

8. Гарантування

III Експлуатаційні засоби захисту

10. Питання персоналу/користувачів

11. Приготування до непередбачених ситуацій та катастроф IT

12. Інформаційна безпека в частині реагування на порушення

13. Усвідомленість інформаційної безпеки у сфері, навчання та освіти

14. Міркування щодо безпеки в комп’ютерному підтримуванні та діяльності

15. Фізична безпека та безпека навколишнього сердовища IT

4. Технічне контролювання

16. Ідентифікація та автентифікація

17. Контролювання логічного доступу

18. Журнали аудиту

19. Криптографія

4. Приклад

20 Оцінювання та прийнятність ризиків гіпотетичної комп’ютерної системи

Відділ стандартів

SCC

45 O’Connor Street

Suite 1200

Ottawa, Ontario K1P 6N7

Canada

Tel.: +1 613 238 3222

Fax: +1 613 995 4564

Адреса

Communications Security Establishment

P.O. Box 9703, Terminal

Ottawa, Ontario KIG 3Z4

Canada

УКНД 35.040

Ключові слова: аналіз ризиків, ідентифікація, автентичність, ризики безпеки, конфіденційність, Цінність, елементи безпеки, процеси керування безпекою IT, корпоративна політика, інформацій­на безпека, загроза, вразливість, засоби захисту.