Стандарти за информационна сигурност

Стандартите за информационна сигурност^[1] са методи, които обичайно са описани в материали и се прилагат за защита на дигиталната среда и информация на даден потребител или организация. Тази среда включва самите потребители, мрежите, устройствата, целия софтуер, процесите, данни в покой или пренос, приложенията, услугите и системите, които могат да бъдат свързани пряко или непряко в мрежи.

Стандартите са универсален език, който улеснява общуването между икономическите партньори – производителите, потребителите и официалните власти; подпомага законодателството при създаването и изпълнението на нормативни актове; служи за основа при оценяване на съответствието; служи при договаряне по отношение на технически изисквания и предписания; насърчава иновациите и инвестициите; предлага решения за по-ефикасно използване на ресурсите; поддържа минимално ниво на качество; осигурява съвместимост и намалява многообразието.

Бизнес обосновка и стъпки за изпълнение[редактиране | редактиране на кода]

Разработването и внедряването на система за управление на сигурността на информацията зависи от потребностите и целите на организацията, изискванията за сигурност, използваните за дейността процеси, големината и структурата на самата организация. Разработването и функционирането на системата трябва да отговарят на интересите и изискванията за сигурност на информацията на всички заинтересовани страни, включително клиенти, доставчици, бизнес партньори, акционери и други свързани страни.

При създаване, наблюдение, поддържане и подобряване на системата всяка организация трябва да следва дадените по-долу етапи:

идентифициране на информационните активи и свързаните с тях изисквания,
оценяване на рисковете по отношение сигурността на информацията,
избор и внедряване на приложими механизми за контрол за неприемливите рискове,
наблюдение, поддържане и подобряване на ефикасността на механизмите за контрол на сигурността, свързани с информационните активи на организацията.

Промените в услуги и инфраструктура трябва да имат ясно определен и документиран обхват. Всички заявки за промени се записват и класифицират, например като спешни, извънредни, основни и второстепенни. При искания за промени трябва да се извърши оценяване на риска, въздействието и ползата за конкретната организация. Промените трябва да бъдат одобрени, проверени и въведени по контролиран начин.

Процесът на управление на пускането в действие трябва да бъде интегриран в процесите за управление на промените и конфигурациите. Политиката за пускане в действие, в която се заявяват честотата и видът на пусканите в действие нови версии, трябва да бъде документирана и договорена.

Пускането в действие и разпространението трябва да бъдат разработени и внедрени, така че целостта на хардуера и софтуера да се запази по време на инсталирането, обработката, пакетирането и доставката.

Успехът и неуспехът на новите версии се измерват и е необходим анализ, който включва оценка на въздействието върху бизнеса, работата на IT и ресурсите на персонала.

Система за управление на сигурността на информацията (ISMS)[редактиране | редактиране на кода]

Системата за управление на сигурността на информацията (СУСИ) предоставя модел за създаване, внедряване, функциониране, наблюдение, преглед, поддържане и подобряване на защитата на информационни активи.

Принципи:

осъзнаване на необходимостта от сигурност на информацията;
определяне на отговорностите по отношение на сигурността на информацията;

ангажимент на ръководството и интерес у заинтересованите страни;
повишаване на обществената значимост;
оценяване на риска и установяване на подходящи механизми за контрол за постигане на приемливи нива;
сигурност, включена като основен елемент на информационни мрежи и системи;
активна превенция и разкриване на инциденти, свързани със сигурността на информацията;
осигуряване на всестранен подход за управление на сигурността на информацията;
непрекъснато повторно оценяване на сигурността на информацията и реализиране на изменения, ако е уместно. Процесният подход, представен в стандартите от серията за СУСИ, се основава на принципа, възприет от стандартите за системи за управление на ISO, известен като планиране – изпълнение – проверка – действие – ПИПД (Plan – Do –Check – Act).
Планиране – определяне на целите и разработване на планове (анализиране на ситуацията в организацията, установяване на общите цели и желаните резултати и разработване на планове).
Изпълнение – осъществяване на плановете (извършване на планираните действия).
Проверка – измерване на резултатите (измерване/наблюдение на степента, до която постиженията отговарят на планираните цели).
Действие – действия за коригиране и подобряване (поуки от грешките за подобряване на дейностите с цел постигане на по-добри резултати

Списък с БДС ISO стандарти за информационна сигурност[редактиране | редактиране на кода]

Стандартите от серията за системи за управление на сигурността на информацията са под общото наименование „Информационни технологии“.

БДС ISO/IEC 27000 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Общ преглед и речник
БДС ISO/IEC 27001 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания
БДС ISO/IEC 27002 Информационни технологии. Методи за сигурност. Кодекс за добра практика за управление на сигурността на информацията

БДС ISO/IEC 27003 Информационни технологии. Методи за сигурност. Указания за внедряване на система за управление на сигурността на информацията
БДС ISO/IEC 27004 Информационни технологии. Методи за сигурност. Управление на сигурността на информацията. Измерване
БДС ISO/IEC 27005 Информационни технологии. Методи за сигурност. Управление на риска за сигурността на информацията
БДС ISO/IEC 27006 Информационни технологии. Методи за сигурност. Изисквания за органите, извършващи одит и сертификация на системи за управление на сигурността на информацията
ISO/IEC 27007 Информационни технологии. Методи за сигурност. Указания за одит на системите за управление на сигурността на информацията
ISO/IEC TR 27008 Информационни технологии. Методи за сигурност. Указания за одитори, свързани с механизмите за контрол на сигурността на информацията
БДС ISO/IEC 27011 Информационни технологии. Методи за сигурност. Указания за управление на сигурността на информацията за телекомуникационни организации, базирани на ISO/IEC 27002
БДС ISO/IEC 27799 Информатика в здравеопазването. Управление на сигурността на информацията в здравеопазването на основата на ISO/IEC 27002

Други стандарти[редактиране | редактиране на кода]

Рамка за подобряване на киберсигурността на критичната инфраструктура (NIST Cybersecurity Framework)[редактиране | редактиране на кода]

Рамката за киберсигурност на Националния институт за стандарти и технологии (NIST) на САЩ предоставя на организациите систематичен подход към разбирането, управлението и намаляването на риска в сферата на киберсигурността.^[2]

Рамката се фокусира върху използването на двигатели на бизнеса, които да ръководят дейностите по киберсигурността, и разглежда рисковете за киберсигурността като част от процесите за управление на риска на организацията. Рамката се състои от три части: Ядро на Рамката, Нива на изпълнение и Профили на Рамката.

Ядрото на Рамката представлява съвкупност от дейности по киберсигурността, резултати и Информативни референтни източници, които са общи за секторите и критичната инфраструктура. Елементите от Ядрото съдържат подробни указания за разработване на индивидуални Профили на организациите. Чрез използването на Профили Рамката помага на дадена организация да хармонизира и приоритизира своите дейности по киберсигурността съгласно изискванията на своя бизнес/мисия, толерантност към риска и ресурси. Нивата предоставят на организациите механизъм, с помощта на който ще могат да видят и да разберат характеристиките на техния подход към управлението на рисковете за киберсигурността, което ще им помогне да приоритизират и постигнат нейните цели.

PCI DSS[редактиране | редактиране на кода]

PCI DSS (Payment Card Industry Data Security Standard)^[3] (на български Стандарт за сигурност на данните в индустрията за разплащане с кредитни карти) е стандарт за информационна сигурност, който засяга всички организации, търговци, институции за електронни разплащания, без значение на техния бизнес или брой транзакции. Стандартът се администрира от PCI Security Standards Council (Съвета за стандарт за сигурност на данните в индустрията за разплащане с кредитни карти) и използването му е задължително за опериращите с банкови карти. Той е създаден с цел по-добър контрол на данните на картодържателите и ограничаване на злоупотребите с банкови карти. Проверката на съответствието се извършва ежегодно или на тримесечие чрез метод, съобразен с обема на транзакциите. Елементите на стандарта са:

Изграждане и поддържане на сигурна мрежа

   1. Инсталиране и поддържане на защитна стена за предпазване на данните на картодържателите;
   2. Неизползване на предоставените от производителя настройки по подразбиране.

Защита срещу кражба на данните

   3. Защита на съхраняваните данни на картодържателите
   4. Криптиране на предаването на данни на картодържателите през публични мрежи

Разработване и поддържане на програма за управление на уязвимите места

   5. Задължително използване на антивирусен софтуер и редовното му актуализиране.
   6. Разработване  и поддържане на системи и приложения за сигурност

Прилагане на строги мерки за контрол на достъпа

   7. Ограничаване достъпа до данните на картодържателите само до обслужващия персонал, който има нужда от такъв достъп.
   8. Предоставяне на уникален идентификационен номер за достъп до данните
   9. Ограничаване на физическия достъп до данните за картодържателите

Редовно наблюдение и тестване на мрежата

 10. Проследяване и наблюдение на всеки достъп до мрежата и данните на картодържателите
 11. Периодично тестване сигурността на системите и процесите

Поддържане на политика за информационна сигурност

 12. Поддържане на политика по сигурността на информацията, адресирана към персонала.

Източници[редактиране | редактиране на кода]

↑ СТАНДАРТИ И ИНФОРМАЦИОННИ ТЕХНОЛОГИИ // Български институт за стандартизация. Посетен на 17 юни 2024.
↑ Рамка за подобряване на киберсигурността на критичната инфраструктура // Национален институт за стандарти и технологии. Посетен на 17 юни 2024.
↑ PCI DSS // PCI Security Standards Council. Посетен на 17 юни 2024.

БДС ISO/IEC 27001:2022

[БИС-1] СТАНДАРТИ И ИНФОРМАЦИОННИ ТЕХНОЛОГИИ // Български институт за стандартизация. Посетен на 17 юни 2024.

[НИСТ-2] Рамка за подобряване на киберсигурността на критичната инфраструктура // Национален институт за стандарти и технологии. Посетен на 17 юни 2024.

[PCIDSS-3] PCI DSS // PCI Security Standards Council. Посетен на 17 юни 2024.

[1]

[2]

[3]