Please enable JavaScript.

Coggle requires JavaScript to display documents.

Стандарти кібербезпеки - Coggle Diagram

- - - - Визначення й аналіз загроз.
      - Розробка системи захисту.
      - Реалізація плану захисту.
      - Контроль та керування системою.
  - - - Аналіз об’єктів ТЗІ, умов функціювання, ймовірності загроз і шкоди.
      - Джерела загроз: іноземні розвідки, юридичні та фізичні особи.
      - Способи реалізації загроз: технічні канали, спеціальні впливи, несанкціонований доступ.
      - Модель загроз включає опис і схематичне подання загроз.
    - - План ТЗІ охоплює організаційні, первинні та основні технічні заходи.
      - Організаційні заходи регламентують порядок інформаційної діяльності.
      - Первинні заходи передбачають блокування загроз без використання технічних засобів.
      - Основні заходи включають використання засобів ТЗІ (приховування або дезінформація).
      - Захисні заходи мають бути адекватними загрозам і вартості їх реалізації.
    - - Реалізація організаційних і технічних заходів, встановлення зон безпеки.
      - Використання сертифікованих програм та засобів захисту.
      - Засоби ТЗІ можуть функціонувати автономно або вбудовуватися в інформаційні системи.
    - - Перевірка ефективності та адаптація заходів до нових умов або загроз.
      - При потребі підвищення рівня захисту виконується повторення перших трьох етапів.
      - Порядок контролю регулюється нормативними документами.
  - - - Єдина технічна політика.
      - Єдина термінологічна система.
      - Функціювання багаторівневих систем захисту на основі погоджених правил та методик.
      - Сертифікація, ліцензування, атестація за вимогами безпеки.
      - Розвиток послуг у сфері ТЗІ.
      - Порядок розробки та експлуатації засобів ТЗІ та вимірювальної апаратури.
      - Проектування будівель з урахуванням ТЗІ.
      - Підготовка та перепідготовка кадрів.
    - - Документи зі стандартизації в галузі ТЗІ.
      - Державні стандарти та прирівняні документи.
      - Нормативні акти міжвідомчого значення, зареєстровані в Мін'юсті України.
      - Технічні нормативні документи міжвідомчого значення, зареєстровані органом Кабінету Міністрів.
      - Відомчі нормативні документи органів державної влади та місцевого самоврядування.
- - - - Фізичне середовище TOE, яке визначає всі аспекти операційного середовища TOE, що стосуються безпеки, включаючи відомі фізичні та персональні заходи безпеки;
      - Активи, які потребують захисту з боку елемента TOE, до якого будуть застосовуватися вимоги або політики безпеки. Це можуть бути активи, що безпосередньо згадуються, такі як файли та бази даних, а також активи, які є непрямими предметами вимог безпеки, такі як облікові дані та сама IT-реалізація;
      - Мета TOE, яка розкриває тип продукту та передбачуване використання TOE.
    - - Заява про припущення, які повинні бути дотримані середовищем TOE, щоб TOE вважався безпечним. Цю заяву можна вважати аксіомою для оцінки TOE;
      - Заява про загрози безпеці активів, яка ідентифікує всі загрози, сприйняті аналізом безпеки як релевантні для TOE. CC характеризує загрозу з точки зору агента загрози, передбачуваного методу атаки, будь-яких вразливостей, що є основою для атаки, і ідентифікації активу, підданого атаці. Оцінка ризиків для безпеки кваліфікує кожну загрозу на основі ймовірності її перетворення на фактичну атаку, ймовірності успіху такої атаки та наслідків можливих ушкоджень;
      - Заява про застосовні організаційні політики безпеки, яка ідентифікує відповідні політики та правила. Для IT-системи такі політики можуть бути чітко вказані, тоді як для загального IT-продукту або класу продуктів можуть знадобитися робочі припущення щодо організаційної політики безпеки.
  - - - довіра до правильності реалізації функцій безпеки, тобто оцінка того, чи реалізовані вони правильно;
      - довіра до ефективності функцій безпеки, тобто оцінка того, чи вони дійсно відповідають заявленим цілям безпеки.
  - - - a) Розширені вимоги повинні бути чітко і однозначно виражені для можливості оцінки та демонстрації відповідності.
      - b) Результати оцінювання з використанням розширених вимог повинні бути позначені як такі.
      - c) Включення розширених вимог повинно відповідати класам APE або ASE (Частина 3), якщо це доречно.