Проект "ИТ-Защита"

Пакет проектов профилей защиты, разработанный на основе методологии национального стандарта ИСО/МЭК 15408-2002 в целях регламентации требований защиты к наиболее широко используемым изделиям информационных технологий

Перейти к пакету профилей защиты

ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ
ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ ОТ НСД К ИНФОРМАЦИИ

1. Общие положения
2. Требования к показателям защищенности
3. Оценка класса защищенности СВТ (сертификация СВТ)

Настоящий руководящий документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Далее...

Smart Card Security User Group Smart Card Protection Profile
(SCSUG-SCPP)

Security requirements based on the ISO Standard 15408, the "Common Criteria". It is a product of the efforts of the Smart Card Security User Group (SCSUG), a working group formed specifically to represent the security needs of the user community. The members of the SCSUG at the time of this revision included:
• American Express
• Europay International
• JCB Co Ltd
• MasterCard International
• Mondex International
• Visa International
• National Institute of Standards and Technology (United States of America)
• National Security Agency (United States of America)
Ray-McGovern Technical Consultants, Inc. assisted in the preparation of this protection profile. Addresses and Points of Contact are listed in Annex E.

Скачать в формате .pdf

BS 7799-2:2006 Information security management. Specification with guidance for use.

This standard specifies the requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a documented ISMS within the context of the organization’s overall business risks. It specifies requirements for the implementation of security controls customized to the needs of individual organizations or parts thereof.
The ISMS is designed to ensure adequate and proportionate security controls that adequately protect information assets and give confidence to customers and other interested parties. This can be translated into maintaining and improving competitive edge, cash flow, profitability, legal compliance and commercial image.

Далее...

Стандарт безопасности данных индустрии платежных карт (PCI DSS)

Создание и поддержка безопасной сетевой инфраструктуры
Требование 1: Разработать и обеспечить поддержку конфигураций межсетевых экранов для защиты данных о держателях карт
Требование 2: Не использовать установленные производителем системные пароли и иные параметры безопасности
Защита данных о держателях карт
Требование 3: Обеспечить безопасность хранимых данных о держателях карт
Требование 4: Шифровать данные о держателях карт при передаче их через открытые общедоступные сети
Поддержка программы управления уязвимостями
Требование 5: Использовать и регулярно обновлять антивирусное программное обеспечение
Требование 6: Разработать и поддерживать безопасные системы и приложения
Внедрение усиленных средств управления доступом
Требование 7: Ограничить доступ к данным о держателях карт только служебной необходимостью
Требование 8: Назначить уникальный идентификатор каждому лицу, имеющему доступ к компьютерной сети
Требование 9: Ограничить физический доступ к данным о держателях карт
Регулярный мониторинг и тестирование сетевой инфраструктуры
Требование 10: Отслеживать и контролировать любой доступ к сетевым ресурсам и данным о держателях карт
Требование 11: Регулярно проверять системы и процессы обеспечения безопасности
Поддержка Политики информационной безопасности
Требование 12: Поддерживать политику, определяющую правила информационной безопасности для сотрудников и партнеров

Введение
Настоящий документ описывает 12 требований Стандарта безопасности данных индустрии платежных карт (Payment Card Industry (PCI) Data Security Standard (DSS)). Требования PCI DSS объединены в 6 логически связанных групп, которые являются целями выполнения требований (“control objectives”).

Далее...

О новой редакции стандарта Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения”
СТО БР ИББС-1.0-2006

Банком России с целью повышения уровня информационной безопасности как самого Банка, так и организаций банковской системы Российской Федерации Распоряжением от 18 ноября 2004 года № Р-609 введен в действие стандарт Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” (далее — Стандарт).
В течение 2005 года проведены работы по опытному внедрению Стандарта в ряде территориальных учреждений Банка России и кредитных организаций.

Далее...

СТАНДАРТЫ  ИНФОРМАЦИОННОЙ  БЕЗОПАСНОСТИ

АННОТИРОВАННЫЙ  УКАЗАТЕЛЬ  СТАНДАРТОВ

1. СТБ 34.101.1-2004 (ИСО/МЭК 15408-1:1999) «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»

Настоящий стандарт устанавливает:

общие положения по применению критериев оценки безопасности информационных технологий;

укрупненные схемы проектирования профилей защиты и заданий по безопасности;

общую модель разработки и оценки безопасности продуктов и систем информационных технологий.

Положения настоящего стандарта распространяются на заказчиков (потребителей), разработчиков, экспертов (испытателей), расположенных на территории Республики Беларусь, занимающихся заданием требований безопасности, разработкой и испытанием продуктов и систем информационных технологий, создаваемых с использованием методической базы Общих критериев.

Далее...