Стандарты информационной безопасности — это методы, обычно изложенные в опубликованных материалах, которые используются для защиты киберсреды пользователя или организации.

Международные стандарты

• BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью ( СУИБ ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
• — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
• — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
• ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
• ISO/IEC 27000 — Словарь и определения.
• ISO/IEC 27001 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
• ISO/IEC 27002 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Дата выхода — 2007 год.
• — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
• ISO/IEC 31000 — Описание подхода к риск-менеджменту без привязки к ИТ/ИБ.
• German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

• — Защита информации. Основные термины и определения.
• — Информационные технологии. Основные термины и определения в области технической защиты информации.
• — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
• — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
• — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
• — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
• — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
• — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
• — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC/IBS21 27001:2005.
• — Аспекты безопасности. Правила включения в стандарты.

Руководящие документы

• от 15 июля 2017 на Wayback Machine — содержит описание показателей защищенности информационных систем и требования к классам защищенности (Дата обращения: 26 июля 2017) .

Нормативные документы ИБ

• Стандарт Банка России СТО БР ИББС-1.0-2014 — : «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
• PCI DSS (Payment Card Industry Data Security Standard) — Стандарт безопасности данных индустрии платёжных карт.

См. также

• Информационная безопасность
• Common Criteria
• ISO 27000
• Политика безопасности
• Недекларированные возможности

Ссылки