Користувач:Wohik/IT
'Стандарти ІТ-безпеки або стандарти кібербезпеки[1] — це методи, які зазвичай описуються в опублікованих матеріалах і спрямовані на захист кіберсередовища користувача чи організації .[2] Це середовище включає самих користувачів, мережі, пристрої, все програмне забезпечення, процеси, інформацію, що зберігається або передається, додатки, служби та системи, які можуть бути підключені прямо чи опосередковано до мереж.
Основною метою є зменшення ризиків, у тому числі запобігання або пом’якшення кібератак. Ці опубліковані матеріали складаються з інструментів, політик, концепцій безпеки, заходів безпеки, інструкцій, підходів до управління ризиками, дій, навчання, найкращих практик, гарантій і технологій.
Історія[ред. | ред. код]
Кібербезпека стандарти існували протягом кількох десятиліть, оскільки користувачі та постачальники співпрацювали на багатьох внутрішніх і міжнародних форумах для створення необхідних можливостей, політик і практик – як правило, виникли в результаті роботи в Стенфордському консорціумі з досліджень інформаційної безпеки та політики в 1990-ті.[3]
У 2016 році дослідження впровадження системи безпеки в США показало, що 70% опитаних організацій вважають NIST Cybersecurity Framework найпопулярнішою найкращою практикою комп’ютерної безпеки інформаційних технологій (ІТ), але багато хто зазначає, що це вимагає значних інвестицій.[4] Транскордонні операції правоохоронних органів з кібервикрадання для протидії міжнародній злочинній діяльності в темній мережі піднімають складні юрисдикційні питання, які до певної міри залишаються без відповіді.[5][6] Напруга між зусилля національних правоохоронних органів щодо проведення транскордонних операцій з кібервилучення та міжнародна юрисдикція, ймовірно, продовжуватимуть забезпечувати покращені норми кібербезпеки.[5][7]
Міжнародні стандарти[ред. | ред. код]
У підрозділах нижче детально описано міжнародні стандарти, пов’язані з кібербезпекою.
ISO/IEC 27001 і 27002[ред. | ред. код]
ISO/IEC 27001, частина сімейства стандартів ISO/IEC 27000, є стандартом системи управління інформаційною безпекою (ISMS), остання версія якого була опублікована у жовтні 2022 року Міжнародна організація стандартизації (ISO) та Міжнародна електротехнічна комісія (IEC). Його повна назва «ISO/IEC 27001:2022 – Інформаційна безпека, кібербезпека та захист конфіденційності – Системи управління інформаційною безпекою – Вимоги“.
ISO/IEC 27001 формально визначає систему управління, призначену для забезпечення інформаційної безпеки під чітким управлінським контролем.
ISO/IEC 27002 містить частину 1 стандарту належної практики управління безпекою BS 7799. Остання версія BS 7799 — BS 7799-3. Тому іноді ISO/IEC 27002 називають частиною 1 ISO 17799 або BS 7799, а іноді — частиною 1 і частиною 7. BS 7799, частина 1, містить схему або практичний посібник із управління кібербезпекою; в той час як BS 7799 частина 2 та ISO/IEC 27001 є нормативними і, отже, забезпечують основу для сертифікації. ISO/IEC 27002 — це посібник високого рівня з кібербезпеки. Це найбільш корисно як пояснювальна вказівка для керівництва організації щодо отримання сертифікату
- ↑ rev-1/final Рекомендації щодо кібербезпеки Smart Grid. Національний інститут стандартів і технологій. 1 серпня 2010. doi:10.6028/NIST.IR.7628r1. Процитовано 30 березня 2014.
- ↑ База даних рекомендацій ITU-T.
- ↑ FSI – Консорціум досліджень інформаційної безпеки та політики.
- ↑ id/1324901 Прийняття NIST Cybersecurity Framework ускладнюється витратами, результати опитування. 30 березня 2016. Процитовано 2 серпня 2016.
- ↑ а б Ghappour, Ahmed (1 січня 2017). Таллінн, хакерство та міжнародне звичаєве право. AJIL Unbound. 111: 224—228. doi:10.1017/aju.2017.59.
- ↑ Ghappour, Ahmed (1 квітня 2017). Searching Places Unknown: Law Виконавча юрисдикція в темній мережі. Stanford Law Review. 69 (4): 1075.
- ↑ Ghappour, Ahmed (2017). Пошук у невідомих місцях: Юрисдикція правоохоронних органів у темній мережі. Stanford Law Review (англ.). 69 (4).