ДСТУ ISO/IEC 27032:2016 Інформаційні технології. Методи захисту. Настанови щодо кібербезпеки (ISO/IEC 27032:2012, IDT)
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ДСТУ ІSО/ІЕС 27032:2016
(ІSО/ІЕС 27032:2012, IDТ)
Інформаційні технології
МЕТОДИ ЗАХИСТУ
Настанови щодо кібербезпеки
Київ
(ДП «УкрНДНЦ»)
2018
ПЕРЕДМОВА
1 РОЗРОБЛЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України (Міжнародний центр), Технічний комітет стандартизації «Інформаційні технології» (ТК 20)
2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ:
наказ Державного підприємства «Український науково-дослідний і навчальний центр
проблем стандартизації, сертифікації та якості» (
(ДП «УкрНДНЦ»)) від 27 грудня
2016 р. № 448 з 2018-01-01
3 Національний стандарт відповідає ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity (Інформаційні технології. Методи захисту. Настанови щодо кібербезпеки)
Ступінь відповідності — ідентичний (IDT)
Переклад з англійської (еn)
4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України
5 НА ЗАМІНУ ДСТУ ISO/IEC 27032:2015
ЗМІСТ
Національний вступ
Вступ до ІSО/ІЕС 27032:2012
1 Призначення
2 Сфера застосування
2.1 Цільова аудиторія
2.2 Обмеження
3 Нормативні посилання
4 Терміни та визначення понять
5 Познаки та скорочення
6 Короткий огляд
6.1 Вступ
6.2 Природа кіберпростору
6.3 Природа кібербезпеки
6.4 Загальна модель
6.5 Стратегії
7 Зацікавлені сторони в кіберпросторі
7.1 Огляд
7.2 Споживачі
7.3 Постачальники послуг
8 Активи в кіберпросторі
8.1 Огляд
8.2 Персональні активи
8.3 Активи організацій
9 Загрози безпеці кіберпростору
9.1 Загрози
9.2 Агенти загроз
9.3 Вразливості
9.4 Механізми атаки
10 Ролі зацікавлених сторін у кіберпросторі
10.1 Огляд
10.2 Ролі споживачів
10.3 Ролі постачальників
11 Керівні принципи для зацікавлених сторін
11.1 Огляд
11.2 Оцінка та обробка ризиків
11.3 Керівні принципи для споживачів
11.4 Рекомендації для організацій і постачальників послуг
12 Засоби управління кібербезпекою
12.1 Огляд
12.2 Засоби управління програмного рівня
12.3 Захист серверів
12.4 Засоби управління кінцевого користувача
12.5 Засоби управління захистом від атак соціальної інженерії
12.6 Готовність кібербезпеки
12.7 Інші засоби
13 Архітектура обміну інформацією та координування
13.1 Загальний огляд
13.2 Політики
13.3 Методи та процеси
13.4 Люди та організації
13.5 Технічні засоби
13.6 Рекомендації щодо впровадження
Додаток А (довідковий) Готовність кібербезпеки
Додаток В (довідковий) Додаткові ресурси
Додаток С (довідковий) Приклади пов’язаних документів
Бібліографія
Додаток НА Перелік національних стандартів, згармонізованих із міжнародними чи їхніми європейськими аналогами, на які є посилання в цьому стандарті
НАЦІОНАЛЬНИЙ ВСТУП
Цей національний стандарт ДСТУ ISO/IEC 27032:2016 (ISO/IEC 27032:2012, IDТ) «Інформаційні технології. Методи захисту. Настанови щодо кібербезпеки», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 27032:2012 «Information technology — Security techniques — Guidelines for cybersecurity» (версія en).
Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технології».
Цей стандарт прийнято на заміну ДСТУ ISO/IEC 27032:2015, прийнятого методом підтвердження.
У цьому національному стандарті зазначено вимоги, які не суперечать законодавству України.
До стандарту внесено такі редакційні зміни:
— слова «цей міжнародний стандарт» та «цей документ» замінено на «цей стандарт»;
— структурні елементи стандарту: «Титульний аркуш», «Передмова», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;
— у розділі 2 наведено «Національне пояснення», виділене рамкою;
— вилучено «Передмову» до ISO/IEC 27032:2012 як таку, що безпосередньо не стосується технічного змісту цього стандарту;
— долучено довідковий додаток НА (Перелік національних стандартів, згармонізованих із міжнародними чи їхніми європейськими аналогами, на які є посилання в цьому стандарті).
Копії нормативних документів, на які є посилання в цьому стандарті, можна отримати в Національному фонді нормативних документів.
ВСТУП до ISO/IEC 27032:2012
Кіберпростір є складним середовищем взаємодії людей, програмного забезпечення та послуг у мережі Інтернет та функціонує за підтримки об’єднаних мереж і пристроїв інформаційних та комунікаційних технологій (ІСТ, Information and communications technology). Однак є окремі питання безпеки, які не входять ні до сучасної інформаційної безпеки, ні до Інтернет-безпеки, ні до мережевої чи й ІСТ-безпеки, бо між цими видами безпеки є своєрідні прогалини, а також між організаціями та постачальниками послуг у кіберпросторі часто бракує тісних зв’язків. Це відбувається тому, що об’єднані мережі та пристрої в кіберпросторі мають багато власників, у кожного з яких свій власний бізнес та коло проблем, пов’язаних з експлуатацією та контролем. Кожна організація та постачальник послуг у кіберпросторі має свою точку зору на безпеку тих областей, у яких є незначний вхідний потік відомостей від іншої організації або постачальника, що призводить до фрагментації стану безпеки в кіберпросторі.
Отже, головну увагу цього стандарту приділено вирішенню проблем безпеки в кіберпросторі (так званої кібербезпеки), які виникають унаслідок прогалин у безпеці різних частинах кіберпростору. Цей стандарт містить технічні рекомендації для подолання ризиків кіберпростору, зокрема:
— атаки соціальної інженерії;
— злам (хакінг);
— поширення шкідливого програмного забезпечення («шкідливих програм»);
— шпигунські програми;
— інші потенційно небажані програми.
Технічні настанови стосуються контролю над цими ризиками, зокрема розглядають:
— підготовку до атак, наприклад, шкідливих програм, окремих зловмисників чи злочинних організацій в Інтернеті;
— виявлення та моніторинг атак;
— реагування на атаки.
Також у цьому стандарті увагу приділено співпраці, оскільки є потреба в ефективному обміні інформацією, координації дій та реагуванні на інциденти з боку всіх зацікавлених сторін у кіберпросторі.
Ця співпраця має відбуватися безпечно та надійно й захищати конфіденційність зацікавлених сторін. Представники цих сторін можуть перебувати в різних географічних точках, різних часових поясах та, ймовірно, можуть керуватися різними нормативними вимогами. Зацікавлені сторони охоплюють:
— споживачів, які можуть належати різним організаціям чи просто бути різними фізичними особами;
— постачальників, зокрема постачальників послуг.
Отже, цей стандарт окреслює рамки для:
— обміну інформацією;
— координації дій;
— реакції на інциденти.
Також у цьому стандарті розглянуто такі питання:
— ключові міркування щодо встановлення довірчих відносин;
— необхідні засади для співпраці й обміну інформацією та відомостями;
— технічні вимоги до системної інтеграції та взаємодії між різними зацікавленими сторонами. Зважаючи на область застосування матеріалів цього стандарту, усі елементи контролю та керування мають бути на високому рівні. У стандарті також є посилання на інші стандарти з докладними технічним специфікаціями та вказівки щодо застосування у відповідних областях.
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
Настанови щодо кібербезпеки
INFORMATION TECHNOLOGY
SECURITY TECHNIQUES
Guidelines for cybersecurity
Чинний від 2018-01-01
1 ПРИЗНАЧЕННЯ
Цей стандарт містить рекомендації щодо підвищення рівня кібербезпеки, розглядаючи різні аспекти цього питання та їхній зв’язок з іншими видами безпеки, зокрема:
— інформаційною безпекою;
— мережевою безпекою;
— Інтернет-безпекою;
— захистом інформаційної інфраструктури.
У стандарті розглянуто основні методи захисту зацікавлених сторін у кіберпросторі. Стандарт містить:
— огляд кібербезпеки;
— пояснення зв’язків між кібербезпекою та іншими видами безпеки;
— визначення зацікавлених сторін та їхньої ролі в кіберпросторі;
— настанова з вирішення основних питань кібербезпеки;
— способи взаємодії зацікавлених сторін для вирішення основних питань кібербезпеки.
2 СФЕРА ЗАСТОСУВАННЯ
2.1 Цільова аудиторія
Цей стандарт стосується постачальників послуг у кіберпросторі. Але цільова аудиторія охоплює також споживачів, які користуються цими послугами. Якщо організації надають послуги в кіберпросторі іншим організаціям або людям для домашнього використання, то таким організаціям може знадобитися підготувати настанови на основі цього стандарту, які міститимуть додаткові пояснення або приклади, необхідні для повного розуміння читачами того, як треба діяти.
2.2 Обмеження
У цьому стандарті не розглянуто таких питань, як:
— кібербезпека;
— кіберзлочин;
— захист інформаційної інфраструктури;
— захист Інтернету;
— злочинність в Інтернеті.
Потрібно зазначити, що є певний зв’язок між кібербезпекою та зазначеними вище поняттями. Однак питання зв’язків між цими поняттями та розподілу методів контролю та керування виходить за рамки цього стандарту.
Важливо зазначити, що поняття кіберзлочинності, хоча було згадано, але також не розглянуто. Цей стандарт не містить вказівок щодо різних аспектів права, пов’язаних із кіберпростором або регуляцією кіберзахисту.
У цьому стандарті розглянуто лише питання реалізації кіберпростору в Інтернеті, включаючи кінцеві точки. При цьому залишаємо поза увагою реалізацію кіберпростору в комунікаційних медіа, платформах та відповідні аспекти безпеки на фізичному рівні.
Приклад 1
Не розглянуто питання безпеки таких елементів інфраструктури, як носії зв’язку, які забезпечують функціонування кіберпростору.
Приклад 2
Не розглянуто питання безпеки мобільних телефонів, під’єднаних до кіберпростору для завантаження відомостей та/або інших операцій.
Приклад 3.
Не розглянуто відправлення текстових повідомлень та роботу в голосовому чаті на мобільних телефонах.
3 НОРМАТИВНІ ПОСИЛАННЯ
Наведені нижче документи потрібні для застосування цього стандарту. У разі датованих посилань застосовують тільки наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами).
ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
ISO/IEC 27000 Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Огляд і термінологія.
Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».