Стандартизация в сфере безопасности информационных технологий
Приведен обзор международных стандартов, которые разрабатываются в ПК 27 «Методы защиты ИТ» Объединенного технического комитета 1 ISO/IEC «Информационные технологии». Стандарты охватывают криптографические механизмы, оценку и тестирование продуктов и информационных систем, контрмеры и услуги безопас...
Збережено в:
| Дата: | 2017 |
|---|---|
| Автор: | |
| Формат: | Стаття |
| Мова: | Russian |
| Опубліковано: |
Інститут кібернетики ім. В.М. Глушкова НАН України
2017
|
| Назва видання: | Кибернетика и системный анализ |
| Теми: | |
| Онлайн доступ: | http://dspace.nbuv.gov.ua/handle/123456789/144687 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Цитувати: | Стандартизация в сфере безопасности информационных технологий / А.М. Фаль // Кибернетика и системный анализ. — 2017. — Т. 53, № 1. — С. 91-98. — Бібліогр.: 3 назв. — рос. |
Репозитарії
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
irk-123456789-144687 |
|---|---|
| record_format |
dspace |
| spelling |
irk-123456789-1446872019-01-02T01:23:05Z Стандартизация в сфере безопасности информационных технологий Фаль, А.М. Системний аналіз Приведен обзор международных стандартов, которые разрабатываются в ПК 27 «Методы защиты ИТ» Объединенного технического комитета 1 ISO/IEC «Информационные технологии». Стандарты охватывают криптографические механизмы, оценку и тестирование продуктов и информационных систем, контрмеры и услуги безопасности. Рассмотрены как опубликованные стандарты, так и находящиеся в процессе разработки. Наведено огляд міжнародних стандартів, які розробляються у ПК 27 «Методи захисту ІТ» Об’єднаного технічного комітету 1 ISO/IEC «Інформаційні технології». Стандарти охоплюють криптографічні механізми, оцінку та тестування захищеності продуктів та інформаційних систем, контрзаходи і послуги безпеки. Розглянуто як опубліковані стандарти, так і ті, що перебувають у процесі розроблення. The author overviews the international standards developed by SC 27 “IT Security techniques” of the ISO/IEC Joint technical committee 1 “Information technology”. The standards include cryptographic mechanisms, evaluation and testing of products and information systems, countermeasures and security services. Both published standards and those under development are considered. 2017 Article Стандартизация в сфере безопасности информационных технологий / А.М. Фаль // Кибернетика и системный анализ. — 2017. — Т. 53, № 1. — С. 91-98. — Бібліогр.: 3 назв. — рос. 0023-1274 http://dspace.nbuv.gov.ua/handle/123456789/144687 681.3 ru Кибернетика и системный анализ Інститут кібернетики ім. В.М. Глушкова НАН України |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| language |
Russian |
| topic |
Системний аналіз Системний аналіз |
| spellingShingle |
Системний аналіз Системний аналіз Фаль, А.М. Стандартизация в сфере безопасности информационных технологий Кибернетика и системный анализ |
| description |
Приведен обзор международных стандартов, которые разрабатываются в ПК 27 «Методы защиты ИТ» Объединенного технического комитета 1 ISO/IEC «Информационные технологии». Стандарты охватывают криптографические механизмы, оценку и тестирование продуктов и информационных систем, контрмеры и услуги безопасности. Рассмотрены как опубликованные стандарты, так и находящиеся в процессе разработки. |
| format |
Article |
| author |
Фаль, А.М. |
| author_facet |
Фаль, А.М. |
| author_sort |
Фаль, А.М. |
| title |
Стандартизация в сфере безопасности информационных технологий |
| title_short |
Стандартизация в сфере безопасности информационных технологий |
| title_full |
Стандартизация в сфере безопасности информационных технологий |
| title_fullStr |
Стандартизация в сфере безопасности информационных технологий |
| title_full_unstemmed |
Стандартизация в сфере безопасности информационных технологий |
| title_sort |
стандартизация в сфере безопасности информационных технологий |
| publisher |
Інститут кібернетики ім. В.М. Глушкова НАН України |
| publishDate |
2017 |
| topic_facet |
Системний аналіз |
| url |
http://dspace.nbuv.gov.ua/handle/123456789/144687 |
| citation_txt |
Стандартизация в сфере безопасности информационных технологий / А.М. Фаль // Кибернетика и системный анализ. — 2017. — Т. 53, № 1. — С. 91-98. — Бібліогр.: 3 назв. — рос. |
| series |
Кибернетика и системный анализ |
| work_keys_str_mv |
AT falʹam standartizaciâvsferebezopasnostiinformacionnyhtehnologij |
| first_indexed |
2025-07-10T19:53:38Z |
| last_indexed |
2025-07-10T19:53:38Z |
| _version_ |
1837290992606117888 |
| fulltext |
ÓÄÊ 681.3
À.Ì. ÔÀËÜ
ÑÒÀÍÄÀÐÒÈÇÀÖÈß Â ÑÔÅÐÅ ÁÅÇÎÏÀÑÍÎÑÒÈ ÈÍÔÎÐÌÀÖÈÎÍÍÛÕ
ÒÅÕÍÎËÎÃÈÉ
Àííîòàöèÿ. Ïðèâåäåí îáçîð ìåæäóíàðîäíûõ ñòàíäàðòîâ, êîòîðûå ðàçðàáà-
òûâàþòñÿ â ÏÊ 27 «Ìåòîäû çàùèòû ÈÒ» Îáúåäèíåííîãî òåõíè÷åñêîãî êî-
ìèòåòà 1 ISO/IEC «Èíôîðìàöèîííûå òåõíîëîãèè». Ñòàíäàðòû îõâàòûâàþò
êðèïòîãðàôè÷åñêèå ìåõàíèçìû, îöåíêó è òåñòèðîâàíèå ïðîäóêòîâ è èíôîð-
ìàöèîííûõ ñèñòåì, êîíòðìåðû è óñëóãè áåçîïàñíîñòè. Ðàññìîòðåíû êàê
îïóáëèêîâàííûå ñòàíäàðòû, òàê è íàõîäÿùèåñÿ â ïðîöåññå ðàçðàáîòêè.
Êëþ÷åâûå ñëîâà: èíöèäåíò èíôîðìàöèîííîé áåçîïàñíîñòè, êîíôèäåíöè-
àëüíîñòü, íåïðåðûâíîñòü áèçíåñà, îöåíêà çàùèùåííîñòè, óïðàâëåíèå êëþ÷à-
ìè, ôóíêöèîíàëüíûå óñëóãè.
ÂÂÅÄÅÍÈÅ
 àïðåëå 2015 ãîäà èñïîëíèëîñü 25 ëåò cî äíÿ ñîçäàíèÿ ïîäêîìèòåòà ïî îáåñ-
ïå÷åíèþ áåçîïàñíîñòè èíôîðìàöèîííûõ òåõíîëîãèé îáúåäèíåííîãî òåõíè÷åñ-
êîãî êîìèòåòà ïî èíôîðìàöèîííûì òåõíîëîãèÿì (JTC1/SC27 “IT Securities
techniques”). Â ñîâðåìåííîì ìèðå, êîòîðûé õàðàêòåðèçóåòñÿ âíåäðåíèåì èí-
ôîðìàöèîííûõ òåõíîëîãèé âî âñå ñôåðû ÷åëîâå÷åñêîé äåÿòåëüíîñòè, çàùèòà
èíôîðìàöèè, ïðåäcòàâëåííîé â ðàçíûõ âèäàõ, ÿâëÿåòñÿ ÷ðåçâû÷àéíî âàæíîé
çàäà÷åé. Àíàëîãè÷íûå ïðîáëåìû èññëåäîâàëèñü è â 90-õ ãîäàõ ïðîøëîãî ñòî-
ëåòèÿ, êîãäà áûë îáðàçîâàí ïîäêîìèòåò.  íà÷àëå åãî ôóíêöèîíèðîâàíèÿ â ñî-
ñòàâ ïîäêîìèòåòà âõîäèëî 18 ñòðàí — ÷ëåíîâ ISO. Çà 25 ëåò êîëè÷åñòâî ÷ëå-
íîâ ïîäêîìèòåòà óâåëè÷èëîñü äî 73, èç íèõ 52 — àêòèâíûå ÷ëåíû
(P-members) è 21 — ïàññèâíûå ÷ëåíû (O-members). Çà ýòè ãîäû ðàçðàáîòàíî
áîëåå 150 ìåæäóíàðîäíûõ ñòàíäàðòîâ è òåõíè÷åñêèõ îò÷åòîâ, îõâàòûâàþùèõ
ðàçëè÷íûå àñïåêòû îáúåêòîâ ñòàíäàðòèçàöèè. Òàêóþ ðàáîòó ïðîâåäåíî ñ ïî-
ìîùüþ áîëåå ÷åì 300 ýêñïåðòîâ èç ðàçíûõ ñòðàí. Ñòðóêòóðà ïîäêîìèòåòà
ñôîðìèðîâàíà èç ïÿòè ðàáî÷èõ ãðóïï, à èìåííî:
— ÐÃ1 «Ñèñòåìû ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè»;
— ÐÃ2 «Êðèïòîãðàôèÿ è ìåõàíèçìû áåçîïàñíîñòè»;
— ÐÃ3 «Îöåíêà, òåñòèðîâàíèå è ñïåöèôèêàöèÿ áåçîïàñíîñòè»;
— ÐÃ4 «Êîíòðìåðû è óñëóãè áåçîïàcíîñòè»;
— ÐÃ5 «Ìåíåäæìåíò èäåíòèôèêàöèîííûõ äàííûõ è òåõíîëîãèè îáåñïå÷å-
íèÿ ïðàéâåñè».
 ñòàòüå [1] ïðèâåäåí îáçîð ñòàíäàðòîâ â îáëàñòè ìåíåäæìåíòà èíôîðìàöè-
îííîé áåçîïàñíîñòè, ðàçðàáîòàííûõ â ÐÃ1. Íàñòîÿùàÿ ðàáîòà ïîñâÿùåíà còàí-
äàðòèçàöèè â ðàìêàõ ÐÃ2, ÐÃ3 è ÐÃ4. Åå ñîäåðæàíèå îñíîâàíî íà äîêóìåíòå [2],
ðàçìåùåííîì íà ñàéòå ïîäêîìèòåòà www.jtc1sc27.din.de.
ÑÒÀÍÄÀÐÒÛ, ÐÀÇÐÀÁÎÒÀÍÍÛÅ ÐÃ2
Äîðîæíàÿ êàðòà ÐÃ2 îïðåäåëÿåò òàêèå íàïðàâëåíèÿ ñòàíäàðòèçàöèè:
— èäåíòèôèêàöèÿ ïîòðåáíîñòåé è òðåáîâàíèé ê ìåòîäàì è ìåõàíèçìàì
îáåñïå÷åíèÿ áåçîïàñíîñòè èíôîðìàöèîííûõ òåõíîëîãèé;
— ðàçðàáîòêà òåðìèíîëîãèè, îáùèõ ìîäåëåé è ñòàíäàðòîâ äëÿ èñïîëüçîâà-
íèÿ ýòèõ ìåòîäîâ è ìåõàíèçìîâ â óñëóãàõ áåçîïàñíîñòè.
Ðàññìîòðèì ðàçðàáîòàííûå â ÐÃ2 ñòàíäàðòû äëÿ ðàçëè÷íûõ îáëàñòåé ïðèìå-
íåíèÿ.
ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2017, òîì 53, ¹1 91
� À.Ì. Ôàëü, 2017
Îáåñïå÷åíèå êîíôèäåíöèàëüíîñòè (confidentiality)
ISO/IEC 18033 (øåñòü ÷àñòåé). Àëãîðèòìû øèôðîâàíèÿ (Encryption
algorithms). Îïðåäåëÿåò ñèììåòðè÷íûå øèôðû (áëî÷íûå è ïîòî÷íûå) è àñèììåò-
ðè÷íûå øèôðû, âêëþ÷àÿ øèôðû, îñíîâàííûå íà èäåíòèôèêàöèîííûõ äàííûõ,
è ãîìîìîðôíûå øèôðû.
ISO/IEC 29192 (øåñòü ÷àñòåé). Ëåãêàÿ êðèïòîãðàôèÿ (Lightweight
cryptography). Îïðåäåëÿåò êðèïòîãðàôè÷åñêèå ìåõàíèçìû, ïðèñïîñîáëåííûå äëÿ
èõ èñïîëüçîâàíèÿ â óñòðîéñòâàõ ñ îãðàíè÷åííûìè âû÷èñëèòåëüíûìè ðåñóðñàìè
è îãðàíè÷åííîé ïðîïóñêíîé ñïîñîáíîñòüþ.
ISO/IEC 29150. Øèôðîâàíèå ñ ïîäïèñüþ (Signcryption). Îïðåäåëÿåò ìåõà-
íèçì îäíîâðåìåííîãî ïîäïèñûâàíèÿ è øèôðîâàíèÿ, â êîòîðîì ècïîëüçóþòñÿ
ïàðû àñèììåòðè÷íûõ êëþ÷åé êàê îòïðàâèòåëÿ, òàê è ïîëó÷àòåëÿ.
ISO/IEC 19772. Øèôðîâàíèå c àóòåíòèôèêàöèåé (Authenticated encryption).
Îïðåäåëÿåò ìåõàíèçì äëÿ îäíîâðåìåííûõ øèôðîâàíèÿ è àóòåíòèôèêàöèè
äàííûõ è îòïðàâèòåëÿ.
ISO/IEC 10116. Ðåæèìû ôóíêöèîíèðîâàíèÿ n-áèòîâîãî áëî÷íîãî øèôðà
(Modes of operation for n-bit block cipher). Îïðåäåëÿåò ðåæèìû ôóíêöèîíèðîâà-
íèÿ áëî÷íûõ øèôðîâ, à èìåííî ECB, CBC, OFB, CFB è CTR.
Êîíòðîëèðîâàíèå öåëîñòíîñòè äàííûõ ñ èñïîëüçîâàíèåì àóòåíòèôèêà-
öèè ñîîáùåíèé, õåø-ôóíêöèé, öèôðîâûõ ïîäïèñåé
ISO/IEC 10118 (÷åòûðå ÷àñòè). Õåø-ôóíêöèè (Hash functions). Îïðåäåëÿåò
íåñêîëüêî òèïîâ õåø-ôóíêöèé, êîòîðûå îòîáðàæàþò áèòîâûå ñòðîêè ïðîèçâîëü-
íîé äëèíû â ñòðîêè ôèêñèðîâàííîé äëèíû.
ISO/IEC 9797 (òðè ÷àñòè). Êîäû àóòåíòèôèêàöèè ñîîáùåíèé (MACs)
(Message authentication codes (MACs)). Óñòàíàâëèâàåò àëãîðèòìû âû÷èñëåíèÿ êî-
äîâ àóòåíòèôèêàöèè ñîîáùåíèé äëÿ ïðîâåðêè öåëîñòíîñòè äàííûõ.
ISO/IEC 9796 (äâå ÷àñòè). Ñõåìû öèôðîâîé ïîäïèñè, êîòîðûå ïðåäîñòàâëÿ-
þò ðàñêðûòèå ñîîáùåíèÿ (Digital signature schemes giving message recovery).
Îïðåäåëÿåò ìåõàíèçìû öèôðîâîé ïîäïèñè, ïðåäîñòàâëÿþùèå ðàñêðûòèå âñåãî
ñîîáùåíèÿ èëè åãî ÷àñòè, ñïîñîáñòâóþùèå óìåíüøåíèþ íàãðóçêè, ñâÿçàííîé
ñ ñîõðàíåíèåì èëè ïåðåäà÷åé äàííûõ.
ISO/IEC 14888 (òðè ÷àñòè). Öèôðîâûå ïîäïèñè ñ äîáàâëåíèåì (Digital
signatures with appendix). Îïðåäåëÿåò ìåõàíèçìû öèôðîâîé ïîäïèñè, îcíîâàííûå
íà ïðîáëåìàõ äèñêðåòíîãî ëîãàðèôìèðîâàíèÿ è ôàêòîðèçàöèè öåëûõ ÷èñåë.
ISO/IEC 20008 (äâå ÷àñòè). Àíîíèìíûå öèôðîâûå ïîäïèñè (Anonymous
digital signatures). Îïðåäåëÿåò ìåõàíèçìû àíîíèìíîé öèôðîâîé ïîäïèñè, â êîòî-
ðûõ ïðîâåðêà ïîäïèñè îñóùåñòâëÿåòñÿ ñ èñïîëüçîâàíèåì îòêðûòîãî êëþ÷à
ãðóïïû ïîëüçîâàòåëåé.
ISO/IEC 18370 (äâå ÷àñòè). Ñëåïûå öèôðîâûå ïîäïèñè (Blind digital
signatures). Îïðåäåëÿåò ìåõàíèçìû ñëåïîé öèôðîâîé ïîäïèñè, ïîçâîëÿþùèå ïî-
ëó÷èòü öèôðîâóþ ïîäïèñü, íå ïðåäîñòàâëÿÿ ïîäïèñàíòó èíôîðìàöèè îá èñòèí-
íîì ñîîáùåíèè è ïîëó÷åííîé öèôðîâîé ïîäïèñè.
Àóòåíòèôèêàöèÿ îáúåêòîâ (entity authentication)
ISO/IEC 9798 (øåñòü ÷àñòåé). Àóòåíòèôèêàöèÿ îáúåêòîâ (Entity
authentication). Îïðåäåëÿåò íåñêîëüêî òèïîâ ìåõàíèçìîâ àóòåíòèôèêàöèè îáúåê-
òîâ, â êîòîðûõ îáúåêò (åãî äîñòîâåðíîñòü ïðîâåðÿåòñÿ) äîêàçûâàåò, ÷òî îí çíàåò
íåêîòîðûé ñåêðåò.
ISO/IEC 20009 (÷åòûðå ÷àñòè). Àíîíèìíàÿ àóòåíòèôèêàöèÿ îáúåêòîâ
(Anonymous entity authentication). Îïðåäåëÿåò ìåõàíèçìû àíîíèìíîé àóòåíòèôè-
92 ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2017, òîì 53, ¹ 1
êàöèè îáúåêòîâ, â êîòîðûõ ïðîâåðÿþùèé èñïîëüçóåò ñõåìó ãðóïïîâîé öèôðîâîé
ïîäïèñè, îñíîâàííîé íà ñëåïîé öèôðîâîé ïîäïèñè è ñëàáûõ ñåêðåòàõ.
Óïðàâëåíèå êëþ÷àìè ñ èñïîëüçîâàíèåì ãåíåðèðîâàíèÿ ñëó÷àéíûõ ÷è-
ñåë è ñëó÷àéíûõ ïðîñòûõ ÷èñåë
ISO/IEC 11770 (øåñòü ÷àñòåé). Óïðàâëåíèå êëþ÷àìè (Key management). Îïè-
ñûâàåò îáùèå ìîäåëè, íà êîòîðûõ áàçèðóþòñÿ ìåõàíèçìû óïðàâëåíèÿ êëþ÷àìè,
îïðåäåëÿåò îñíîâíûå ïîíÿòèÿ óïðàâëåíèÿ êëþ÷àìè è íåñêîëüêî òèïîâ
ìåõàíèçìîâ óñòàíîâëåíèÿ êëþ÷åé.
ISO/IEC 18031. Ãåíåðèðîâàíèå ñëó÷àéíûõ áèòîâ (Random bit generation).
Îïðåäåëÿåò êîíöåïòóàëüíóþ ìîäåëü äëÿ ãåíåðàòîðîâ ñëó÷àéíûõ áèòîâ, èñïîëü-
çóåìûõ â êðèïòîãðàôè÷åñêèõ ìåõàíèçìàõ.
ISO/IEC 18032. Ãåíåðèðîâàíèå ïðîñòûõ ÷èñåë (Prime number generation).
Ïðåäîñòàâëÿåò ìåòîäû ãåíåðèðîâàíèÿ ïðîñòûõ ÷èñåë, ïðèìåíÿåìûõ â êðèïòîãðà-
ôè÷åñêèõ ïðîòîêîëàõ è àëãîðèòìàõ.
ISO/IEC 15946 (äâå ÷àñòè). Êðèïòîãðàôè÷åñêèå ìåòîäû, îñíîâàííûå íà ýë-
ëèïòè÷åñêèõ êðèâûõ (Cryptographic techniques based on elliptic curves). Îïèñûâàåò
ìàòåìàòè÷åñêèå îñíîâàíèÿ ýëëèïòè÷åñêèõ êðèâûõ è ìåòîäû èõ ãåíåðèðîâàíèÿ.
ISO/IEC 19592 (äâå ÷àñòè). Ðàñïðåäåëåíèå ñåêðåòà (Secret sharing). Îïèñûâà-
åò êðèïòîãðàôè÷åñêèå ñõåìû ðàñïðåäåëåíèÿ ñåêðåòà.
Îáåñïå÷åíèå íåâîçìîæíîñòè îòêàçà îò ñîâåðøåííûõ äåéñòâèé (non-
repudiation)
ISO/IEC 13888 (òðè ÷àñòè). Îáåñïå÷åíèå íåâîçìîæíîñòè îòêàçà
(Non-reputation). Îïðåäåëÿåò ïðåäîñòàâëåíèå óñëóã íåâîçìîæíîñòè îòêàçà.
Öåëüþ óñëóãè íåâîçìîæíîñòè îòêàçà ÿâëÿåòñÿ ãåíåðèðîâàíèå, ñáîð, ïîääåðæàíèå
äîñòóïíîñòè è ïðîâåðêà äîêàçàòåëüñòâ, êàñàþùèõñÿ çàÿâëåííûõ ñîáûòèé èëè
äåéñòâèé, ïðèìåíÿåìûõ äëÿ ðàçðåøåíèÿ äèñêóññèé î íàëè÷èè ëèáî îòñóòñòâèè
ñîáûòèÿ èëè äåéñòâèÿ.
Óñëóãè òðåòüåé äîâåðåííîé ñòîðîíû
ISO/IEC 18014 (÷åòûðå ÷àñòè). Óñëóãè øòåìïåëèðîâàíèÿ âðåìåíè
(Time-stamping services). Îïðåäåëÿåò óñëóãè øòåìïåëèðîâàíèÿ âðåìåíè, êîòîðûå
ïðåäîñòàâëÿþòñÿ ñ ïîìîùüþ èñïîëüçîâàíèÿ òîêåíîâ øòåìïåëåé âðåìåíè çàèíòå-
ðåñîâàííûìè ñòîðîíàìè ñ äîïîëíèòåëüíûì îòñëåæèâàíèåì èñòî÷íèêîâ âðåìåíè.
Ïîäðîáíûé àíàëèç ñòàíäàðòîâ â îáëàñòè êðèïòîãðàôèè ïðèâåäåí â ðàáîòå [3].
ÑÒÀÍÄÀÐÒÛ, ÐÀÇÐÀÁÎÒÀÍÍÛÅ ÐÃ3
Îáëàñòüþ ïðèìåíåíèÿ ÐÃÇ ÿâëÿåòñÿ ðàçðàáîòêà ñòàíäàðòîâ, êàñàþùèõñÿ ñïåöèôè-
êàöèè, îöåíêè, òåñòèðîâàíèÿ è ñåðòèôèêàöèè èíôîðìàöèîííûõ ñèñòåì, êîìïî-
íåíòîâ è ïðîäóêòîâ îòíîñèòåëüíî áåçîïàñíîñòè ÈÒ, âêëþ÷àÿ êîìïüþòåðíûå ñåòè,
ðàñïðåäåëåííûå ñèñòåìû, áèîìåòðèêó è ñâÿçàííûå ñ íèìè óñëóãè ïðèëîæåíèé.
Ðàçðàáîòàíû ñòàíäàðòû, îðèåíòèðîâàííûå íà ñëåäóþùèå àñïåêòû îáëàñòè èõ
ïðèìåíåíèÿ.
Êðèòåðèè îöåíêè çàùèùåííîñòè
ISO/IEC 15408 (òðè ÷àñòè). Êðèòåðèè îöåíêè çàùèùåííîñòè ÈÒ (Evaluation
criteria for IT security). Óñòàíàâëèâàåò îáùèå ïîíÿòèÿ è ïðèíöèïû îöåíêè çàùè-
ùåííîñòè ÈÒ è îïðåäåëÿåò îáùóþ ìîäåëü îöåíêè.
ISO/IEC 19790. Òðåáîâàíèÿ ê áåçîïàñíîñòè êðèïòîãðàôè÷åñêèõ ìîäóëåé
(Security requirements for cryptographic modules). Îïðåäåëÿåò òðåáîâàíèÿ ê áåçî-
ïàñíîñòè êðèïòîãðàôè÷åñêèõ ìîäóëåé, èñïîëüçóåìûõ äëÿ çàùèòû èíôîðìàöèè
â êîìïüþòåðíûõ è òåëåêîììóíèêàöèîííûõ ñèñòåìàõ.
ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2017, òîì 53, ¹1 93
Ìåòîäîëîãèÿ ïðèìåíåíèÿ êðèòåðèåâ
ISO/IEC 18045. Ìåòîäîëîãèÿ îöåíêè çàùèùåííîñòè ÈÒ (Methodology for IT
security evaluation). Îïðåäåëÿåò ìèíèìàëüíûå äåéñòâèÿ, êîòîðûå ñëåäóåò ñîâåðøèòü
ïðè îöåíêå ñîîòâåòñòâèÿ êðèòåðèÿì, èçëîæåííûì â ñòàíäàðòå ISO/IEC 15408.
ISO/IEC TR 19791. Îöåíèâàíèå áåçîïàñíîñòè äåéñòâóþùèõ ñèñòåì (Security
assessment of operational systems). Òåõíè÷åñêèé îò÷åò (TR) ïðåäîñòàâëÿåò ðó-
êîâîäñòâî è êðèòåðèè äëÿ îöåíêè áåçîïàñíîñòè äåéñòâóþùèõ ñèñòåì.
ISO/IEC 19792. Îöåíêà áåçîïàñíîñòè áèîìåòðè÷åñêèõ õàðàêòåðèñòèê
(Security evaluation of biometrics). Îïðåäåëÿåò îáúåêòû, êîòîðûå íóæíî èññëåäî-
âàòü âî âðåìÿ îöåíêè áåçîïàñíîñòè áèîìåòðè÷åñêèõ ñèñòåì.
Ñïåöèôèêàöèÿ ôóíêöèîíàëüíûõ óñëóã è óñëóã ãàðàíòèé èíôîðìàöèîí-
íûõ ñèñòåì, êîìïîíåíòîâ è ïðîäóêòîâ
ISO/IEC TR 15443 (äâå ÷àñòè). Îáùèå ïîëîæåíèÿ ãàðàíòèé áåçîïàñíîñòè ÈÒ
(A framework for IT security assurance). Ïðåäîñòàâëÿåò ðóêîâîäñòâî ïî âûáîðó
ïîäõîäÿùåãî ìåòîäà ãàðàíòèðîâàíèÿ ïðè îïðåäåëåíèè èëè âíåäðåíèè óñëóãè
èëè ïðîäóêòà.
ISO/IEC TR 15446. Ðóêîâîäñòâî ïî ðàçðàáîòêå ïðîôèëåé çàùèòû è çàäàíèé
ïî áåçîïàñíîñòè (Guide for the production of Protection Profiles and Security
Targets). Ïðåäîñòàâëÿåò ðóêîâîäñòâî, êàñàþùååñÿ ïîñòðîåíèÿ ïðîôèëåé çàùèòû
è çàäàíèé ïî çàùèòå, ñîâìåñòèìûõ ñ òðåáîâàíèÿìè ñòàíäàðòà ISO/IEC 15408.
ISO/IEC TR 19608. Ðóêîâîäñòâî ïî ðàçðàáîòêå ôóíêöèîíàëüíûõ òðåáîâàíèé
ê áåçîïàñíîñòè è ïðàéâåñè, îñíîâàííûõ íà ISO/IEC 15408 (Guidance for
developing security and privacy functional requirements based on ISO/IEC 15408).
Òåõíè÷åñêèé îò÷åò ïðåäîñòàâëÿåò ðóêîâîäñòâî ïî ðàçðàáîòêå ôóíêöèîíàëüíûõ
òðåáîâàíèé ê îáåñïå÷åíèþ ïðàéâåñè, îñíîâàííûõ íà ïðèíöèïàõ îáåñïå÷åíèÿ
ïðàéâåñè, èçëîæåííûõ â ISO/IEC 29100, èñïîëüçóÿ ïàðàäèãìó, îïèñàííóþ
â ISO/IEC 15408-2.
ISO/IEC TR 19249. Êàòàëîã ïðèíöèïîâ, êàñàþùèõñÿ àðõèòåêòóðû è ïðîåêòèðî-
âàíèÿ äëÿ çàùèùåííûõ ïðîäóêòîâ, ñèñòåì è ïðèëîæåíèé (Catalogue of architectural
and design principles for secure products, systems and applications). Òåõíè÷åñêèé îò÷åò
ïðåäîñòàâëÿåò êàòàëîã óêàçàíèé ïî ïðèíöèïàì, êàñàþùèìñÿ àðõèòåêòóðû è ïðîåê-
òèðîâàíèÿ ïðè ðàçðàáîòêå çàùèùåííûõ ïðîäóêòîâ, ñèñòåì è ïðèëîæåíèé.
Ìåòîäîëîãèÿ òåñòèðîâàíèÿ äëÿ îïðåäåëåíèÿ ñîîòâåòñòâèÿ ïðåäîñòàâëÿ-
åìûõ ôóíêöèîíàëüíûõ óñëóã è óñëóã ãàðàíòèé
ISO/IEC 24759. Òðåáîâàíèÿ ê òåñòèðîâàíèþ êðèïòîãðàôè÷åñêèõ ìîäóëåé
(Test requirements for cryptographic modules). Îïðåäåëÿåò ìåòîäû, êîòîðûå äîëæíû
èñïîëüçîâàòüñÿ èñïûòàòåëüíûìè ëàáîðàòîðèÿìè äëÿ òåñòèðîâàíèÿ ñîîòâåòñòâèÿ
êðèïòîãðàôè÷åñêèõ ìîäóëåé òðåáîâàíèÿì ñòàíäàðòà ISO/IEC 19790.
ISO/IEC 17825. Ìåòîäû òåñòèðîâàíèÿ ïðîòèâîäåéñòâèÿ êëàññàì íåèíâàçèâ-
íûõ àòàê íà êðèïòîãðàôè÷åñêèå ìîäóëè (Testing methods for the mitigation of
non-invasive attack classes against cryptographic modules). Îïðåäåëÿåò ìåòðèêè òåñ-
òîâ íà ïðîòèâîäåéñòâèå íåèíâàçèâíûì àòàêàì äëÿ îïðåäåëåíèÿ ñîîòâåòñòâèÿ òðå-
áîâàíèÿì ñòàíäàðòà ISO/IEC 19790 îòíîñèòåëüíî 3- è 4-ãî óðîâíåé áåçîïàñíîñòè.
ISO/IEC 18367. Òåñòèðîâàíèå ñîîòâåòñòâèÿ êðèïòîãðàôè÷åñêèõ àëãîðèòìîâ
è ìåõàíèçìîâ áåçîïàñíîñòè (Cryptographic algorithms and security mechanisms
conformance testing). Öåëüþ äàííîãî ñòàíäàðòà ÿâëÿåòñÿ ïðåäîñòàâëåíèå ìåòîäîâ
òåñòèðîâàíèÿ ñîîòâåòñòâèÿ êðèïòîãðàôè÷åñêèõ àëãîðèòìîâ è ìåõàíèçìîâ áåçî-
ïàñíîñòè, ðåàëèçîâàííûõ â êðèïòîãðàôè÷åñêîì ìîäóëå.
94 ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2017, òîì 53, ¹ 1
ISO/IEC TR 20540. Ðóêîâîäÿùèå óêàçàíèÿ ïî òåñòèðîâàíèþ êðèïòîãðàôè-
÷åñêèõ ìîäóëåé â ðàáî÷åé ñðåäå (Guidelines for testing cryptographic modules in
their operational environment). Òåõíè÷åñêèé îò÷åò ïðåäîñòàâëÿåò ðóêîâîäÿùèå
óêàçàíèÿ ïî àóäèòó òîãî, ÷òî êðèïòîãðàôè÷åñêèé ìîäóëü äîëæíûì îáðàçîì èí-
ñòàëëèðîâàí, ñêîíôèãóðèðîâàí èëè ôóíêöèîíèðóåò.
ISO/IEC 20543. Ìåòîäû òåñòèðîâàíèÿ è àíàëèçà ãåíåðàòîðîâ ñëó÷àéíûõ áè-
òîâ â ïàðàäèãìå ISO/IEC 19790 è ISO/IEC 15408 (Test and analysis methods for
random bit generators within ISO/IEC 19790 è ISO/IEC 15408). Îïðåäåëÿåò ìåòîäû
îöåíêè è òðåáîâàíèÿ ê òåñòèðîâàíèþ ãåíåðàòîðîâ ñëó÷àéíûõ áèòîâ, ïðèâåäåí-
íûõ â ñòàíäàðòå ISO/IEC 18031.
Àäìèíèñòðàòèâíûå ïðîöåäóðû äëÿ òåñòèðîâàíèÿ, îöåíêè, ñåðòèôèêà-
öèè è ñõåì àêêðåäèòàöèè
ISO/IEC 19896. Òðåáîâàíèÿ ê êîìïåòåíòíîñòè òåñòèðîâùèêîâ è îöåíùèêîâ
èíôîðìàöèîííîé áåçîïàñíîñòè (Competence requirements for information security
testers and evaluators). Ïðåäîñòàâëÿåò îñíîâîïîëàãàþùèå ïîíÿòèÿ, êàñàþùèåñÿ
âîïðîñîâ êîìïåòåíòíîñòè ñïåöèàëèñòîâ, îòâå÷àþùèõ çà ïðîâåäåíèå îöåíîê
ÈÒ-ïðîäóêòîâ è òåñòèðîâàíèå ñîîòâåòñòâèÿ.
ISO/IEC 19989. Îöåíêà áåçîïàñíîñòè îáíàðóæåíèÿ àòàêè ïðè ïðåäúÿâëå-
íèè áèîìåòðè÷åñêèõ õàðàêòåðèñòèê (Security evaluation of presentation attack
detection for biometrics). Îïðåäåëÿåò äîïîëíåíèå ê ìåòîäèêå, èçëîæåííîé
â ISO/IEC 18045, äëÿ îöåíêè îáíàðóæåíèÿ àòàêè ïðè ïðåäúÿâëåíèè áèîìåòðè-
÷åñêèõ õàðàêòåðèñòèê.
ISO/IEC 29128. Âåðèôèêàöèÿ êðèïòîãðàôè÷åñêèõ ïðîòîêîëîâ (Verification of
cryptographic protocols). Óñòàíàâëèâàåò òåõíè÷åñêîå îñíîâàíèå äëÿ äîêàçà-
òåëüñòâà ñòîéêîñòè ñïåöèôèêàöèè êðèïòîãðàôè÷åñêèõ ïðîòîêîëîâ.
ISO/IEC 29147. Ðàñêðûòèå óÿçâèìîñòåé (Vulnerability disclosure). Ïðåäîñòàâ-
ëÿåò ðóêîâîäÿùèå óêàçàíèÿ ïî ðàñêðûòèþ ïîòåíöèàëüíûõ óÿçâèìîñòåé â ïðî-
äóêòàõ è îíëàéíîâûõ ñåðâèñàõ.
ISO/IEC 30104. Àòàêè íà ôèçè÷åñêóþ áåçîïàñíîñòü, ìåòîäû ïðîòèâîäåéñòâèÿ
è òðåáîâàíèÿ ê áåçîïàñíîñòè (Physical security attacks, mitigations techniques and
security requirements). Êàñàåòñÿ òîãî, êàê ãàðàíòèè áåçîïàñíîñòè ìîãóò áûòü
ñôîðìóëèðîâàíû äëÿ ïðîäóêòîâ, â êîòîðûõ ñðåäà òðåáóåò ïîääåðæêè ìåõàíèç-
ìîâ ôèçè÷åñêîé çàùèòû.
ISO/IEC 30111. Ïðîöåññû îáðàáîòêè óÿçâèìîñòåé (Vulnerability handling
processes). Ïðåäîñòàâëÿåò ïðîöåññû îáðàáîòêè óÿçâèìîñòåé.
ÑÒÀÍÄÀÐÒÛ, ÐÀÇÐÀÁÎÒÀÍÍÛÅ ÐÃ4
Ðàçðàáîòàíû ñòàíäàðòû, îðèåíòèðîâàííûå íà ñëåäóþùèå íàïðàâëåíèÿ ñòàíäàð-
òèçàöèè.
Óñëóãè òðåòüåé äîâåðåííîé ñòîðîíû
ISO/IEC TR 14516. Ðóêîâîäÿùèå óêàçàíèÿ ïî èñïîëüçîâàíèþ è ìåíåäæìåí-
òó óñëóã òðåòüåé äîâåðåííîé ñòîðîíû (Guidelines for the use and management of
Trusted Third Party services). Óñòàíàâëèâàåò ÷åòêîå îïðåäåëåíèå îñíîâíûõ ïðå-
äîñòàâëÿåìûõ òðåòüåé äîâåðåííîé ñòîðîíîé óñëóã è âçàèìíûå îáÿçàííîñòè
òðåòüåé äîâåðåííîé ñòîðîíû è ïîòðåáèòåëÿ åå óñëóã.
ISO/IEC 15945. Ñïåöèôèêàöèÿ óñëóã òðåòüåé äîâåðåííîé ñòîðîíû (ÒÒÐ) äëÿ
ïîääåðæêè ïðèìåíåíèÿ öèôðîâûõ ïîäïèñåé (Specification of TTP services to
support the application of digital signatures). Îïðåäåëÿåò óñëóãè, íåîáõîäèìûå äëÿ
ïîääåðæêè ïðèìåíåíèÿ öèôðîâûõ ïîäïèñåé äëÿ íåâîçìîæíîñòè îòêàçà îò ôàêòà
ñîçäàíèÿ äîêóìåíòà.
ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2017, òîì 53, ¹1 95
ISO/IEC 29149. Ëó÷øèå ïðàêòèêè ïðåäîñòàâëåíèÿ è èñïîëüçîâàíèÿ óñëóã øòåì-
ïåëèðîâàíèÿ âðåìåíè (Best practice on the provision and use of time-stamping services).
Îáúÿñíÿåò, êàê ãåíåðèðîâàòü, îáíîâëÿòü è ïðîâåðÿòü òîêåíû øòåìïåëåé âðåìåíè.
Ïðèíöèïû ãîòîâíîñòè ÈÊÒ äëÿ îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà
ISO/IEC 27031. Ðóêîâîäÿùèå óêàçàíèÿ äëÿ ãîòîâíîñòè ÈÊÒ ïðè îáåñïå÷åíèè
íåïðåðûâíîñòè áèçíåñà (Guidelines for ICT readiness for business continuity). Îïèñû-
âàåò ïîíÿòèÿ è ïðèíöèïû ãîòîâíîñòè ÈÊÒ äëÿ îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà.
Êèáåðáåçîïàñíîñòü
ISO/IEC 27032. Ðóêîâîäÿùèå óêàçàíèÿ äëÿ êèáåðáåçîïàñíîñòè (Guidelines
for cybersecurity). Ïðåäîñòàâëÿåò ðóêîâîäñòâî ïî óëó÷øåíèþ ñîñòîÿíèÿ êèáåðáå-
çîïàñíîñòè, à òàêæå áàçîâûå ïðàêòèêè ïî îáåñïå÷åíèþ áåçîïàñíîñòè äëÿ çàèíòå-
ðåñîâàííûõ ñòîðîí â êèáåðïðîñòðàíñòâå.
Áåçîïàñíîñòü IT ñåòåé
ISO/IEC 27033 (øåñòü ÷àñòåé). Áåçîïàñíîñòü ñåòåé ( Network security). Ïðå-
äîñòàâëÿåò îáçîð ñåòåâîé áåçîïàñíîñòè, îïèñûâàåò óãðîçû, ìåòîäû ïðîåêòèðîâà-
íèÿ è âíåäðåíèÿ ñðåäñòâ çàùèòû äëÿ êîíêðåòíûõ ñöåíàðèåâ. Ïðåäîñòàâëÿåò ðó-
êîâîäñòâî ïî âûáîðó øëþçîâ áåçîïàñíîñòè, à òàêæå ïîñòðîåíèþ âèðòóàëüíûõ
çàùèùåííûõ ñîåäèíåíèé.
ISO/IEC 15816. Îáúåêòû èíôîðìàöèîííîé áåçîïàñíîñòè äëÿ óïðàâëåíèÿ
äîñòóïîì (Security information objects for access control). Ïðåäîñòàâëÿåò îïðåäåëå-
íèå îáúåêòîâ èíôîðìàöèîííîé áåçîïàñíîñòè.
Áåçîïàñíîñòü ïðèëîæåíèé
ISO/IEC 27034 (ñåìü ÷àñòåé). Áåçîïàñíîñòü ïðèëîæåíèé (Application
security). Ïðåäîñòàâëÿåò ðóêîâîäñòâî äëÿ îêàçàíèÿ ïîìîùè îðãàíèçàöèÿì â èí-
òåãðèðîâàíèè âîïðîñîâ áåçîïàñíîñòè â ïðîöåññû, èñïîëüçóåìûå äëÿ óïðàâëåíèÿ
ïðèëîæåíèÿìè. Ââîäèò îïðåäåëåíèÿ, ïîíÿòèÿ, ïðèíöèïû è ïðîöåññû,
âîâëå÷åííûå â áåçîïàñíîñòü ïðèëîæåíèé.
Ìåíåäæìåíò èíöèäåíòîâ èíôîðìàöèîííîé áåçîïàñíîñòè
ISO/IEC 27035. Ìåíåäæìåíò èíöèäåíòîâ èíôîðìàöèîííîé áåçîïàñíîñòè
(Information security incident management). Ïðåäîñòàâëÿåò ñòðóêòóðèðîâàííûé
ïîäõîä ê îáíàðóæåíèþ, èçâåùåíèþ è îöåíèâàíèþ èíöèäåíòîâ èíôîðìàöèîííîé
áåçîïàñíîñòè, à òàêæå ðåàãèðîâàíèþ íà íèõ.
ISO/IEC 27037. Ðóêîâîäÿùèå óêàçàíèÿ ïî èäåíòèôèêàöèè, ñáîðó, ïðèîáðåòå-
íèþ è ñîõðàíåíèþ öèôðîâûõ óëèê (Guidelines for the identification, collection,
acquisition and preservation of digital evidence). Ïðåäîñòàâëÿåò ðóêîâîäÿùèå óêàçà-
íèÿ äëÿ äåÿòåëüíîñòè, ñâÿçàííîé ñ îáðàáîòêîé öèôðîâûõ óëèê, èìåþùèõ
þðèäè÷åñêóþ çíà÷èìîñòü.
ISO/IEC 27041. Ðóêîâîäñòâî ïî îáåñïå÷åíèþ ïðèåìëåìîñòè è àäåêâàòíîñòè
ìåòîäîâ ðàññëåäîâàíèÿ èíöèäåíòîâ (Guidance on assuring suitability and adequacy
of incident investigative methods). Ïðåäîñòàâëÿåò ðóêîâîäñòâî ïî ïðèåìëåìîñòè è
àäåêâàòíîñòè èñïîëüçóåìûõ ìåòîäîâ è ïðîöåññîâ ðàññëåäîâàíèÿ èíöèäåíòîâ
èíôîðìàöèîííîé áåçîïàñíîñòè.
ISO/IEC 27042. Ðóêîâîäÿùèå óêàçàíèÿ ïî àíàëèçó è èíòåðïðåòàöèè öèôðî-
âîé óëèêè (Guidelines for the analysis and interpretation of digital evidence). Ïðåäîñ-
òàâëÿåò ðóêîâîäñòâî ïî àíàëèçó è èíòåðïðåòàöèè öèôðîâîé óëèêè.
ISO/IEC 27043. Ïðèíöèïû è ïðîöåññû ðàññëåäîâàíèÿ èíöèäåíòà (Incident
investigation principles and processes). Ïðåäîñòàâëÿåò ðóêîâîäÿùèå óêàçàíèÿ ïî
âíåäðåíèþ ïðîöåññîâ â ðàçëè÷íûå ñöåíàðèè ðàññëåäîâàíèÿ èíöèäåíòà,
èñïîëüçóþùèå öèôðîâûå óëèêè.
96 ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2017, òîì 53, ¹ 1
Áåçîïàñíîñòü àóòñîðñèíãà
ISO/IEC 27036 (÷åòûðå ÷àñòè). Èíôîðìàöèîííàÿ áåçîïàñíîñòü âî âçàèìîîò-
íîøåíèÿõ ñ ïîñòàâùèêàìè (Information security for supplier relationships). Ïðå-
äîñòàâëÿåò îáçîð ðóêîâîäñòâà ïî îáåñïå÷åíèþ áåçîïàñíîñòè èíôîðìàöèè è èíôîð-
ìàöèîííûõ ñèñòåì â êîíòåêñòå âçàèìîîòíîøåíèé ñ ïîñòàâùèêàìè è, â ÷àñòíîñòè,
ïîñòàâùèêàìè óñëóã îáëà÷íûõ âû÷èñëåíèé.
Ñèñòåìû îáíàðóæåíèÿ è ïðåäîòâðàùåíèÿ âòîðæåíèé
ISO/IEC 27039. Âûáîð, âíåäðåíèå è ôóíêöèîíèðîâàíèå ñèñòåì îáíàðóæåíèÿ
è ïðåäîòâðàùåíèÿ âòîðæåíèé (Selection, deployment and operation of intrusion,
detection and prevention systems). Ïðåäîñòàâëÿåò ðóêîâîäÿùèå óêàçàíèÿ, êàñàþ-
ùèåñÿ ïîìîùè îðãàíèçàöèÿì ïî ïîäãîòîâêå ê âíåäðåíèþ ñèñòåìû îáíàðóæåíèÿ
è ïðåäîòâðàùåíèÿ âòîðæåíèé.
Óñëóãè âîññòàíîâëåíèÿ ïîñëå ñòèõèéíûõ áåäñòâèé
ISO/IEC 27040. Áåçîïàñíîñòü õðàíåíèÿ (Storage security). Ïðåäîñòàâëÿåò òåõ-
íè÷åñêèå óêàçàíèÿ îðãàíèçàöèÿì, êàñàþùèåñÿ ïëàíèðîâàíèÿ, ïðîåêòèðîâàíèÿ,
äîêóìåíòèðîâàíèÿ è ðåàëèçàöèè áåçîïàñíîñòè õðàíåíèÿ äàííûõ.
ISO/IEC 27038. Ñïåöèôèêàöèÿ äëÿ öèôðîâîãî ðåäàêòèðîâàíèÿ (Specification
for digital redaction). Îïðåäåëÿåò õàðàêòåðèñòèêè ìåòîäîâ äëÿ îñóùåñòâëåíèÿ
öèôðîâîãî ðåäàêòèðîâàíèÿ öèôðîâûõ äîêóìåíòîâ, à òàêæå òðåáîâàíèÿ ê ïðîãðàì-
ìíûì ñðåäñòâàì ðåäàêòèðîâàíèÿ.
ISO/IEC 27050. Ýëåêòðîííîå ðàñêðûòèå (Electronic discovery). Ïðåäîñòàâëÿåò
òðåáîâàíèÿ è ðóêîâîäñòâî, êàñàþùèåñÿ äåÿòåëüíîñòè, ñâÿçàííîé ñ ýëåêòðîííûì
ðàñêðûòèåì, âêëþ÷àÿ èäåíòèôèêàöèþ, ñîõðàíåíèå, ñáîð, îáðàáîòêó, àíàëèç èí-
ôîðìàöèè, õðàíèìîé íà ýëåêòðîííûõ íîñèòåëÿõ.
ÇÀÊËÞ×ÅÍÈÅ
 íàñòîÿùåå âðåìÿ îòìå÷àåòñÿ âîçðàñòàþùàÿ âàæíîñòü ðàçðàáîòêè ñòàíäàðòîâ,
ó÷èòûâàþùèõ íîâåéøèå äîñòèæåíèÿ â íàó÷íûõ èññëåäîâàíèÿõ è òåõíîëîãèÿõ.
Îñîáåííî àêòóàëüíûì ÿâëÿåòñÿ íàëè÷èå ñîâðåìåííûõ ñòàíäàðòîâ â îáëàñòè
áåçîïàñíîñòè èíôîðìàöèîííûõ òåõíîëîãèé, òàê êàê îíè ñïîñîáñòâóþò ïîâû-
øåíèþ äîâåðèÿ ê óñòðîéñòâàì è ñèñòåìàì, ðåàëèçóþùèì òðåáîâàíèÿ è ðåêî-
ìåíäàöèè, ñôîðìóëèðîâàííûå â ýòèõ ñòàíäàðòàõ. Îáçîð îïóáëèêîâàííûõ
è ðàçðàáàòûâàåìûõ â ïðîôèëüíîì ïîäêîìèòåòå òåõíè÷åñêîãî êîìèòåòà ïî èí-
ôîðìàöèîííûì òåõíîëîãèÿì ñòàíäàðòîâ îòðàæàåò òåêóùåå ñîñòîÿíèå è òåíäåí-
öèè ñòàíäàðòèçàöèè ïðîöåññîâ îáåñïå÷åíèÿ áåçîïàñíîñòè èíôîðìàöèîííûõ
òåõíîëîãèé.
ÑÏÈÑÎÊ ËÈÒÅÐÀÒÓÐÛ
1. Ôàëü À.Ì. Ñòàíäàðòèçàöèÿ â ñôåðå ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè. Êèáåðíåòèêà è
ñèñòåìíûé àíàëèç. 2010. Ò. 46, ¹ 3. Ñ. 181–184.
2. ISO/IEC JTC 1/SC 27 Standing Document 11 — Overview of the Work of SC27. 61 p.
3. Ãîðáåíêî Þ.². Ïîáóäóâàííÿ òà àíàë³ç ñèñòåì, ïðîòîêîë³â ³ çàñîá³â êðèïòîãðàô³÷íîãî çàõèñòó ³íôîð-
ìàö³¿. ×àñòèíà 1. Ìåòîäè ïîáóäóâàííÿ òà àíàë³çó, ñòàíäàðòèçàö³ÿ òà çàñòîñóâàííÿ êðèïòîãðàô³÷íèõ
ñèñòåì. Õàðê³â: Ôîðò, 2015. 959 ñ.
Íàä³éøëà äî ðåäàêö³¿ 25.04.2016
ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2017, òîì 53, ¹1 97
Î.Ì. Ôàëü
CÒÀÍÄÀÐÒÈÇÀÖ²ß Ó ÑÔÅв ÁÅÇÏÅÊÈ ²ÍÔÎÐÌÀÖ²ÉÍÈÕ ÒÅÕÍÎËÎòÉ
Àíîòàö³ÿ. Íàâåäåíî îãëÿä ì³æíàðîäíèõ ñòàíäàðò³â, ÿê³ ðîçðîáëÿþòüñÿ
ó ÏÊ 27 «Ìåòîäè çàõèñòó ²Ò» Îá’ºäíàíîãî òåõí³÷íîãî êîì³òåòó 1 ISO/IEC
«²íôîðìàö³éí³ òåõíîëî㳿». Ñòàíäàðòè îõîïëþþòü êðèïòîãðàô³÷í³ ìå-
õàí³çìè, îö³íêó òà òåñòóâàííÿ çàõèùåíîñò³ ïðîäóêò³â òà ³íôîðìàö³éíèõ ñèñ-
òåì, êîíòðçàõîäè ³ ïîñëóãè áåçïåêè. Ðîçãëÿíóòî ÿê îïóáë³êîâàí³ ñòàíäàðòè,
òàê ³ ò³, ùî ïåðåáóâàþòü ó ïðîöåñ³ ðîçðîáëåííÿ.
Êëþ÷îâ³ ñëîâà: ³íöèäåíò ³íôîðìàö³éíî¿ áåçïåêè, êåðóâàííÿ êëþ÷àìè,
êîíô³äåíö³éí³ñòü, íåïåðåðâí³ñòü á³çíåñó, îö³íêà çàõèùåíîñò³, ôóíêö³îíàëüí³
ïîñëóãè.
O.M. Fal’
STANDARDIZATION IN INFORMATION TECHNOLOGY SECURITY
Abstract. The author overviews the international standards developed by SC 27
“IT Security techniques” of the ISO/IEC Joint technical committee 1 “Information
technology”. The standards include cryptographic mechanisms, evaluation and
testing of products and information systems, countermeasures and security
services. Both published standards and those under development are considered.
Keywords: business continuity, confidentiality, information security incident,
functional services, key management, security assessment.
Ôàëü Àëåêñåé Ìèõàéëîâè÷,
êàíäèäàò ôèç.-ìàò. íàóê, âåäóùèé íàó÷íûé ñîòðóäíèê Èíñòèòóòà êèáåðíåòèêè èìåíè Â.Ì. Ãëóøêîâà
ÍÀÍ Óêðàèíû, Êèåâ, e-mail: amfall@bigmir.net.
98 ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2017, òîì 53, ¹ 1
|