Классификация:
Международные стандарты:
COBIT. Разделы стандарта: «Проектирование решения по руководству информацией и технологиями». «Внедрение и оптимизация решения по руководству информацией и технологиями».
ITIL и ITSM. Библиотека инфраструктуры информационных технологий или ITIL (The IT Infrastructure Library) — это набор публикаций (библиотека), описывающий общие принципы эффективного использования ИТ-сервисов. Библиотека ITIL применяется для практического внедрения подходов IT Service Management (ITSM) — проектирования сервисов и ИТ-инфраструктуры компании, а также обеспечения их связности.
Серия ISO/IEC 27XXX. к которой обращаются в первую очередь при внедрении СУИБ (системы управления ИБ). Самый известный стандарт серии — ISO/IEC 27001:2013. Имеет российский аналог ГОСТ Р ИСО/МЭК 27001. Состоит из двух частей: Описание подхода к созданию СУИБ; Приложение А (требования ИБ и средства их реализации, структурированные по разделам).
ISO/IEC 15408. Состоит из трех частей: «Общие критерии оценки безопасности информационных технологий», «Функциональные компоненты безопасности», «Компоненты доверия к безопасности».
NIST — National Institute of Standards and Technology — американский национальный институт стандартизации, аналог отечественного Госстандарта. Для рекомендаций в области ИБ (Special Publications) в NIST выделили специальную серию с кодом 800, состоящую из десятков рекомендаций.
Перечень наиболее популярных документов:
NIST SP 800-53 |
Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций |
NIST SP 800-50 |
Создание программы повышения осведомленности в области безопасности ИТ |
NIST SP 800-40 |
Управление уязвимостями |
NIST SP 800-53 A |
Измерение эффективности информационной безопасности |
NIST SP 800-37 / NIST SP 800-39 / NIST SP 800-30 |
Менеджмент рисков |
NIST SP 800-61 / NIST SP 800-86 |
Управление инцидентами |
SANS. CIS 20. SANS — организация по обучению и сертификации в области ИБ, наиболее известна своими руководствами по безопасной настройке различных систем и перечнем ключевых мер защиты, включающим 20 рекомендаций по защите ИТ-инфраструктуры.
O-ISM3. Модель О-ISM3 оперирует четырьмя уровнями управления СУИБ: базовый, стратегический, тактический и операционный.
Российские стандарты:
ГОСТ Р ИСО/МЭК 15408-1-2012. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИИ. Часть 1.Введение и общая модель
ГОСТ Р ИСО/МЭК 15408-2-2013. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 2. Функциональные компоненты безопасности
ГОСТ Р ИСО/МЭК 15408-3-2013. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. Компоненты доверия к безопасности
ГОСТ Р 50739-95. Средства вычислительной техники. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. Общие технические требования
ГОСТ Р 50922-2006 Защита информации. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
ГОСТ Р 51188-98. Защита информации. ИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ. Типовое руководство
ГОСТ Р 51275-2006. Защита информации. ОБЪЕКТ ИНФОРМАТИЗАЦИИ. ФАКТОРЫ, ВОЗДЕЙСТВУЮЩИЕ НА ИНФОРМАЦИЮ. Общие положения
ГОСТ Р ИСО/МЭК 7498-1-99. Информационная технология. ВЗАИМОСВЯЗЬ ОТКРЫТЫХ СИСТЕМ. БАЗОВАЯ ЭТАЛОННАЯ МОДЕЛЬ. Часть 1. Базовая модель
ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
ГОСТ Р 50739-95. Средства вычислительной техники. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. Общие технические требования
ГОСТ Р 34.10-2012. Информационная технология. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Процессы формирования и проверки электронной цифровой подписи.
ГОСТ 34.11-2018. Информационная технология. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Функция хэширования
54. Структура СТРК
Основными руководящими документами ФСТЭК, регламентирующими деятельность всех государственных органов по защите служебной тайны налоговых органов являются:
Специальные технические требования и рекомендации по защите конфиденциальной информации (СТР-К) устанавливают порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации. Они являются основным руководящим документом для федеральных органов государственной власти, субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций, независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан России, взявшим на себя обязательства исполнять требования правовых документов Российской Федерации по защите информации.
Указанные требования распространяются на защиту:
· конфиденциальной информации - информации с ограниченным доступом и являющейся собственностью государства;
· персональные данные.
Требования по защите конфиденциальной информации, содержащейся в негосударственных информационных ресурсах и, составляющей коммерческую тайну, носят рекомендательный характер.