IT-Security Step-by-step

Кодекс кіберуправління — коротко

A: Управління ризиками

B: Стратегія

C: Люди

D: Планування інцидентів, реагування і відновлення

E: Контроль і нагляд

• Визначення мов і регіонів, таких як
  • en_US для американської англійської,
  • uk_UA для української в Україні,
  • ru_UA російська (Україна).
• Налаштування форматування дат, часу, чисел і валют відповідно до обраної локалі.
• Обробка культурних особливостей, таких як алфавітний порядок і правила правопису.

1. Обновление Приложения A (контроли):
   
   • Основное изменение касается Приложения A, где перечень контролей был пересмотрен и актуализирован.
   • В новой версии количество контролей сократилось с 114 до 93. Они теперь распределены по 4 категориям вместо 14: организационные меры, меры для защиты людей, меры по защите технологической инфраструктуры, меры по управлению физической средой.
   • Были добавлены новые контроли, такие как "управление угрозами" и "управление конфиденциальностью данных".
2. Фокус на адаптивность и устойчивость:
   
   • В новой версии больший акцент сделан на управлении рисками и устойчивостью информационной безопасности, что включает управление инцидентами и возможность адаптации к новым угрозам и изменениям.
3. Более гибкий подход к документации:
   
   • ISO/IEC 27001:2022 делает упор на необходимость вести документацию, но при этом оставляет организациям больше свободы в выборе того, как именно она будет вестись.
4. Обновления терминологии и структуры:
   
   • Введены обновления в терминологию, чтобы обеспечить большую ясность и соответствие современным требованиям к информационной безопасности.
   • Некоторые разделы стандарта были пересмотрены и переформатированы, чтобы улучшить их понимание и применение на практике.
5. Процесс сертификации:
   
   • Переход с ISO/IEC 27001:2015 на ISO/IEC 27001:2022 требует пересмотра системы управления информационной безопасностью (СУИБ) организации, чтобы она соответствовала новым требованиям.

1. Организационные меры (Organizational controls)

• Управление политиками безопасности: разработка, внедрение и поддержка политик информационной безопасности.
• Роли и обязанности: определение ролей и ответственности сотрудников в области информационной безопасности.
• Управление рисками: идентификация, оценка и управление рисками, связанными с информационной безопасностью.
• Управление ресурсами: эффективное распределение и использование ресурсов для обеспечения информационной безопасности.

2. Меры для защиты людей (People controls)

• Обучение и осведомленность: программы обучения сотрудников основам информационной безопасности.
• Проверка на благонадежность: проверка новых сотрудников на благонадежность перед началом работы с критичными информационными активами.
• Управление инцидентами с персоналом: реагирование на инциденты, связанные с человеческими факторами, такими как внутренние угрозы.

3. Меры по защите технологической инфраструктуры (Technological controls)

• Управление доступом: контроль доступа к системам и данным для предотвращения несанкционированного использования.
• Шифрование данных: использование шифрования для защиты конфиденциальной информации.
• Управление уязвимостями: выявление, оценка и устранение уязвимостей в системах и приложениях.
• Управление безопасностью сетей: защита сетевой инфраструктуры от угроз, таких как атаки DDoS или вредоносное ПО.

4. Меры по управлению физической средой (Physical controls)

• Физическая безопасность объектов: контроль доступа к помещениям, где хранятся или обрабатываются критические информационные активы.
• Охрана и контроль за помещениями: использование систем видеонаблюдения, сигнализации и других мер для защиты объектов.
• Защита от стихийных бедствий: меры для защиты объектов от природных угроз, таких как пожары, наводнения и землетрясения.
• Управление физическими носителями: контроль за хранением, перемещением и уничтожением физических носителей информации (например, бумажных документов или жестких дисков).

1. Изменение терминов и определений

• "Цель управления" (Control objective) была заменена на "Управленческую цель" (Management objective), чтобы подчеркнуть связь с управленческими процессами и целями организации, а не только с мерами безопасности.
• Термин "Риск" (Risk) стал более широко применяться с учетом различных контекстов, охватывающих не только информационные, но и бизнес-риски.

2. Введение новых понятий

• "Устойчивость" (Resilience): термин подчеркивает способность организации поддерживать свою деятельность на должном уровне, несмотря на потенциальные инциденты или атаки.
• "Управление угрозами" (Threat management): введен для описания процессов идентификации и противодействия новым и развивающимся угрозам, включая кибератаки и внутренние угрозы.
• "Конфиденциальность данных" (Data privacy): термин стал важным в контексте защиты персональных данных и выполнения требований законодательств, таких как GDPR.

3. Уточнение и расширение значений существующих терминов

• "Инцидент безопасности" (Security incident): расширено значение термина, включив в него более широкий спектр возможных инцидентов, таких как утечка данных, компрометация конфиденциальности, сбой работы систем.
• "Управление активами" (Asset management): уточнен, чтобы подчеркнуть важность не только технических активов, но и данных, знаний и других нематериальных активов.

4. Согласование с другими стандартами

• Согласование с ISO 31000 (Управление рисками): термины, связанные с рисками, были пересмотрены, чтобы соответствовать подходам и определениям, приведенным в стандарте ISO 31000.
• Интеграция с GDPR и другими законами о защите данных: термины, касающиеся конфиденциальности и защиты данных, приведены в соответствие с требованиями международных и региональных законодательств, таких как GDPR.

5. Обновление иерархии и структуры терминов

Эти обновления терминологии помогают лучше адаптировать стандарт к современным вызовам в области информационной безопасности, делая его более понятным и удобным для применения на практике.

1. Структуру документа: определение обязательных разделов, таких как титульный лист, введение, основная часть, заключение, список литературы и приложения.
2. Оформление текста: правила форматирования, шрифты, абзацы, отступы, нумерация страниц и разделов.
3. Ссылки и цитирование: требования к оформлению ссылок на использованные источники, библиографических описаний и правил цитирования.
4. Таблицы и иллюстрации: стандарты для оформления таблиц, графиков, схем, рисунков и других визуальных материалов.
5. Язык и стиль: требования к языку и стилю изложения научных работ, включая использование научной терминологии и сокращений.

1. Шрифт и размер

• Основной текст документа должен быть напечатан шрифтом Times New Roman.
• Размер шрифта основной части текста — 14 пунктов.
• Межстрочный интервал — полуторный (1.5).
• Цвет текста — черный.

2. Поля

• Левое поле: 30 мм.
• Правое поле: 10 мм.
• Верхнее и нижнее поля: по 20 мм.

3. Абзацы

• Абзацный отступ должен быть равен 1,25 см.
• Каждый новый абзац начинается с абзацного отступа.
• Текст выравнивается по ширине страницы.

4. Нумерация страниц

• Нумерация страниц начинается с титульного листа, но номер на титульной странице не проставляется.
• Номера страниц проставляются в правом верхнем углу, начиная со второй страницы.
• Используются арабские цифры (например, 2, 3, 4 и т.д.).

5. Заголовки

• Заголовки разделов (глав, частей) пишутся прописными (заглавными) буквами, без точки в конце.
• Заголовки подразделов пишутся с заглавной буквы, без точки в конце.
• Если заголовок занимает несколько строк, он должен быть оформлен через одинарный межстрочный интервал.
• Заголовки отделяются от предыдущего и последующего текста двумя интервалами.

6. Подзаголовки

• Подзаголовки (если есть) оформляются с отступом и пишутся с заглавной буквы.
• Между подзаголовком и текстом оставляется один интервал.

7. Списки

• В документе могут использоваться как нумерованные, так и маркированные списки.
• Для нумерованных списков применяются арабские цифры с точкой, например: 1. 2.
• Для маркированных списков используются символы (например, тире «—» или точка).
• Списки выравниваются по левому краю с отступом в 1 см от основного текста.

8. Курсив и полужирный шрифт

• Курсив используется для выделения терминов, а также для выделения иностранных слов.
• Полужирный шрифт может использоваться для выделения ключевых понятий или важных элементов текста.

9. Использование прописных и строчных букв

• Прописные буквы (ЗАГЛАВНЫЕ) используются в заголовках разделов, аббревиатурах и акронимах.
• Строчные буквы используются в основном тексте и подзаголовках.

10. Оформление цитат

• Цитаты длиной до трех строк включаются в текст в кавычках.
• Цитаты более трех строк выделяются в отдельный абзац с уменьшенным отступом, без кавычек.

11. Формулы

• Формулы выравниваются по центру страницы.
• Нумерация формул производится в круглых скобках справа от формулы.

12. Оформление таблиц и рисунков

• Таблицы и рисунки должны иметь порядковую нумерацию и заголовок.
• Заголовок таблицы размещается над таблицей, а заголовок рисунка — под рисунком.
• Таблицы и рисунки выравниваются по центру страницы.

1. Оформление таблиц

Общие требования

• Размещение: Таблицы должны располагаться непосредственно после текста, где они упоминаются впервые. Если таблица большая, её можно разместить на следующей странице, но желательно, чтобы она оставалась на одной странице целиком.
• Нумерация: Все таблицы должны быть пронумерованы арабскими цифрами (например, Таблица 1, Таблица 2 и т.д.). Нумерация может быть сквозной по всему документу или внутри каждого раздела (например, Таблица 1.1 для первой таблицы в разделе 1).
• Заголовок таблицы: Заголовок располагается над таблицей, по центру страницы. Слово "Таблица" и её номер указываются слева, а название таблицы — по центру (например, "Таблица 1 — Распределение населения по возрасту").
• Текст в таблице: Шрифт в таблице может быть уменьшен до 12 пунктов, но он должен быть того же типа, что и основной текст (Times New Roman). Все тексты в ячейках выравниваются по центру или по левому краю, в зависимости от содержания.
• Границы таблицы: Все таблицы должны быть окружены границами. Также допускается отсутствие вертикальных границ между столбцами, если это не ухудшает восприятие информации.
• Примечания к таблице: Если таблица требует пояснений, под ней можно разместить примечания. Примечания оформляются шрифтом меньшего размера, например, 12 пунктов.

Структура таблицы

• Заголовки столбцов и строк: Заголовки должны быть краткими и чёткими. Они должны точно отображать содержание данных, содержащихся в соответствующих столбцах или строках.
• Единицы измерения: Если данные в таблице требуют указания единиц измерения, они указываются в заголовках столбцов или строк (например, "Вес, кг").
• Сложные таблицы: Если таблица имеет сложную структуру (например, объединенные ячейки), это должно быть оформлено понятно и аккуратно.

2. Оформление иллюстраций (рисунков, графиков, диаграмм)

Общие требования

• Размещение: Иллюстрации должны располагаться после текста, где они упоминаются впервые, или на следующей странице, если так лучше для восприятия. Как и таблицы, они должны находиться на одной странице целиком.
• Нумерация: Все иллюстрации пронумеровываются арабскими цифрами (например, Рисунок 1, Рисунок 2 и т.д.). Нумерация может быть сквозной или по разделам (например, Рисунок 2.3 — третий рисунок во втором разделе).
• Заголовок и пояснения: Под иллюстрацией располагается её заголовок с пояснениями (если они необходимы). Заголовок должен содержать слово "Рисунок", номер и краткое название (например, "Рисунок 2 — Схема устройства"). Заголовок выравнивается по центру страницы.
• Шрифт: Тексты внутри рисунков (например, подписи на графиках или диаграммах) должны быть выполнены шрифтом, аналогичным основному тексту документа (Times New Roman), размером не менее 12 пунктов.
• Качество изображения: Все иллюстрации должны быть чёткими, с хорошим качеством и без размытости. Если иллюстрация взята из другого источника, необходимо убедиться, что её разрешение достаточно для качественного воспроизведения.

Типы иллюстраций

• Рисунки и схемы: Эти виды иллюстраций используются для отображения объектов, процессов или устройств. Они должны быть выполнены аккуратно и масштабировано.
• Графики и диаграммы: Графики и диаграммы используются для наглядного представления данных. Все оси графиков должны быть подписаны, единицы измерения указаны, а масштаб осей — пропорционален.
• Фотографии: Если в документе используются фотографии, они должны быть качественными, а их размер и размещение — такими, чтобы изображение было чётким и хорошо воспринимаемым.

3. Оформление ссылок на таблицы и иллюстрации

• В тексте необходимо ссылаться на таблицы и иллюстрации, используя их номера (например, "см. Таблицу 2", "как показано на Рисунке 3").
• Ссылки должны быть точными и соответствовать номерам, присвоенным таблицам и иллюстрациям в документе.

1. Точность и однозначность изложения

• Ясность формулировок: Текст должен быть написан максимально ясно и четко. Избегайте сложных конструкций, двусмысленных выражений и ненужных повторов.
• Точность выражений: Важно использовать термины и фразы, которые однозначно передают смысл. Каждый термин должен быть четко определен, особенно если он используется впервые в тексте.
• Отсутствие субъективных выражений: В научно-технических документах следует избегать выражений личного мнения или эмоций, таких как "я считаю", "мне кажется", "на мой взгляд". Все утверждения должны основываться на фактах и результатах исследований.

2. Использование научной терминологии

• Употребление терминов: Следует использовать только общепринятые научные термины, которые известны и понятны в данной области науки. Не рекомендуется вводить собственные термины без необходимости.
• Определение терминов: Если термин специфичен или имеет несколько значений, его следует определить при первом упоминании в тексте. Для этого можно использовать сноски или отдельный раздел "Определения".
• Единообразие: Один и тот же термин должен использоваться последовательно на протяжении всего документа. Избегайте синонимов и замен терминов, чтобы не вводить читателя в заблуждение.

3. Использование сокращений

• Введение сокращений: Все сокращения (аббревиатуры, акронимы) должны быть расшифрованы при первом упоминании в тексте. Например, "Национальная академия наук Украины (НАН Украины)".
• Список сокращений: Если в документе используется большое количество сокращений, рекомендуется включить их полный список в начале документа или в приложении.
• Единообразие сокращений: Как и в случае с терминами, сокращения должны использоваться последовательно. Избегайте создания и использования новых сокращений без необходимости.

4. Грамматическая правильность

• Правильное построение предложений: Важно, чтобы предложения были грамматически правильными, логически связанными и легко читаемыми.
• Пунктуация: Особое внимание следует уделять правильной пунктуации, так как она влияет на восприятие текста. Ошибки в пунктуации могут изменить смысл фраз или затруднить их понимание.
• Согласование времен и форм: Важно согласовывать времена глаголов и формы слов в предложениях. Это необходимо для поддержания логической целостности изложения.

5. Стиль изложения

• Научный стиль: Основной стиль изложения в научно-технических документах — это научный стиль, который характеризуется логичностью, точностью, объективностью и формальностью. Текст должен быть нейтральным и беспристрастным.
• Избегание разговорных выражений: Разговорные фразы, жаргонизмы и сленг не допускаются. Все утверждения должны быть изложены в строгом и официальном тоне.
• Активный и пассивный залог: Обычно в научных работах используется пассивный залог (например, "исследование было проведено", "результаты были получены"), но также допустимо использование активного залога в зависимости от контекста (например, "авторы установили").

6. Язык документа

• Официальный язык: Документ должен быть написан на официальном языке, принятом в стране, где он будет использоваться. В случае Украины — это украинский язык. Если документ предназначен для международной аудитории, возможно использование английского языка.
• Перевод и адаптация: При необходимости документ может быть переведен на другие языки, но важно, чтобы перевод точно передавал смысл оригинального текста.

7. Цитирование и ссылки

• Правила цитирования: В научно-технических документах важно правильно цитировать источники. Прямые цитаты берутся в кавычки и сопровождаются ссылками на источник.
• Оформление библиографии: Все используемые источники должны быть указаны в списке литературы в конце документа. Ссылки на источники в тексте оформляются в соответствии с принятым стандартом.

Національний банк України (НБУ) видав ряд нормативних актів, які регулюють питання захисту платіжних систем і фінансових даних. Ці акти встановлюють вимоги до інформаційної безпеки, включаючи дотримання міжнародних стандартів, таких як PCI DSS. Нижче наведено основні накази і рішення НБУ, що стосуються цього питання:

1. Постанова НБУ №95 "Про затвердження Положення про здійснення захисту інформації та кібербезпеки в банківській системі України"

• Дата прийняття: 28 вересня 2022 року
• Опис: Ця постанова встановлює вимоги до забезпечення інформаційної безпеки та кібербезпеки в банківській системі України. Вона регулює порядок захисту інформації, яка обробляється в банках і фінансових установах, включаючи захист платіжних даних. Постанова зобов'язує банки впроваджувати системи управління інформаційною безпекою, відповідати міжнародним стандартам (включаючи PCI DSS), а також забезпечувати кіберзахист своїх інформаційних систем.

2. Постанова НБУ №75 "Про затвердження Положення про захист інформації та кібербезпеки в платіжних системах"

• Дата прийняття: 21 червня 2019 року
• Опис: Ця постанова регламентує вимоги до захисту інформації в платіжних системах, а також визначає правила захисту фінансових даних, які обробляються в цих системах. Положення зобов’язує операторів платіжних систем, платіжних інфраструктурних сервісів, а також їхніх учасників дотримуватися вимог до безпеки даних, включаючи стандарти PCI DSS.

3. Постанова НБУ №56 "Про організацію захисту інформації в банках України"

• Дата прийняття: 14 липня 2006 року (з подальшими змінами)
• Опис: Постанова регулює загальні питання організації захисту інформації в банках України. Вона включає вимоги до створення систем захисту інформації, управління ризиками, моніторингу та аудиту безпеки, а також захисту фінансових даних, що обробляються банками.

4. Постанова НБУ №391 "Про затвердження Положення про здійснення нагляду (оверсайта) за платіжними системами"

• Дата прийняття: 30 жовтня 2018 року
• Опис: Цей документ регламентує порядок нагляду за платіжними системами та їхніми учасниками з боку НБУ. Постанова встановлює вимоги до дотримання стандартів безпеки, зокрема щодо захисту інформації та забезпечення кібербезпеки в платіжних системах.

5. Рішення НБУ щодо підвищення стандартів кібербезпеки в банківській системі України

• Опис: НБУ регулярно приймає рішення, спрямовані на підвищення рівня кібербезпеки в банківському секторі. В рамках цих рішень банки зобов'язані впроваджувати новітні технології захисту інформації, посилювати контроль за доступом до платіжних систем, а також регулярно проводити аудит безпеки.

6. Листи та роз'яснення НБУ щодо дотримання стандартів інформаційної безпеки

• Опис: НБУ періодично надсилає листи та роз'яснення щодо необхідності дотримання стандартів інформаційної безпеки, включаючи PCI DSS. Ці документи можуть містити рекомендації щодо кращих практик у сфері захисту платіжних даних та кібербезпеки.

Ці нормативні акти та рішення регламентують захист платіжних систем і фінансових даних, забезпечуючи безпеку та надійність банківської системи України. Банки та фінансові установи зобов'язані дотримуватися цих вимог і забезпечувати відповідність міжнародним стандартам, включаючи PCI DSS.

Термін:

• Значення: "Термін" – це слово або словосполучення, яке використовується для позначення певного поняття, об'єкта, явища чи процесу. Тобто це мовна одиниця, яка служить для називання чогось.
• Приклад: Слова "антивірус", "сервіс", "комп'ютер" – це терміни.

Визначення:

• Значення: "Визначення" – це пояснення значення терміна або поняття. Визначення описує сутність терміна, пояснює, що він означає, які його ключові характеристики і як його слід розуміти.
• Приклад: Визначення терміна "антивірус": "Антивірус – це програмне забезпечення, яке призначене для виявлення, запобігання і видалення шкідливого програмного забезпечення з комп'ютерних систем."

Взаємозв'язок:

• Термін – це слово або фраза, що використовується для позначення певного поняття.
• Визначення – це пояснення або тлумачення того, що означає цей термін.