Это международный стандарт, который устанавливает требования к системам управления информационной безопасностью (СУИБ). Он помогает организациям обеспечить конфиденциальность, целостность и доступность информации. Стандарт основывается на подходе управления рисками и предполагает, что организации должны идентифицировать и оценивать риски, связанные с информационной безопасностью, помогает организациям соответствовать законодательным и регуляторным требованиям в области защиты данных

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах и процессном подходе. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001, то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.[2] Также основными принципами стандарта ISO 27001 являются:

Конфиденциальность информации

Целостность информации

Доступность информации

Это стандарт безопасности данных, разработанный для защиты информации о платежных картах. Он был создан Советом по стандартам безопасности индустрии платежных карт (PCI SSC), который был основан основными платежными системами, такими как Visa, MasterCard, American Express, Discover и JCB. Стандарт предназначен для защиты данных держателей карт(таких как номера карт, имена владельцев и др.), для минимизации рисков утечек данных и мошеннических транзакций.

Стандарт состоит из 12 групп:

  •Защита вычислительной сети.

  •Конфигурация компонентов информационной инфраструктуры.

  •Защита хранимых данных о держателях карт.

  •Защита передаваемых данных о держателях карт.

  •Антивирусная защита информационной инфраструктуры.

  •Разработка и поддержка информационных систем.

  •Управление доступом к данным о держателях карт.

  •Механизмы аутентификации.

  •Физическая защита информационной инфраструктуры.

  •Протоколирование событий и действий.

  •Контроль защищенности информационной инфраструктуры.

  •Управление информационной безопасностью.

Назначение стандарта: помочь организациям всех типов правильно проектировать и управлять системами информационной безопасности и соответствовать Федеральному закону о модернизации информационной безопасности (FISMA). Он предлагает обширный каталог мер для укрепления безопасности и конфиденциальности.  Стандарт обязателен для всех федеральных информационных систем США, за исключением тех, что связаны с национальной безопасностью. Однако его рекомендации могут быть приняты любой организацией, которая использует информационную систему со чувствительными или регулируемыми данными.Стандарт обязателен для всех федеральных информационных систем США, за исключением тех, что связаны с национальной безопасностью. Однако его рекомендации могут быть приняты любой организацией, которая использует информационную систему со чувствительными или регулируемыми данными. Его главное отличие от стандарта ISO27001 заключается в том, что контроли ISO носят более общий характер и включают в себя по несколько более точно сформулированных контролей из NIST(или сформулировав иначе можно сделать вывод о том, что в следствии своей конкретики один контроль NIST может служить целям, описанным в нескольких контролях ISO, носящих высокоуровневый характер)

1)Документ четко структурирован на семейства контролей, обеспечивающих информационную безопасность

2) Каждый контроль безопасности соответствует строгому шаблону

1. Control. Описание особых действий или активностей, относящихся к безопасности, исполняемых в организации или ИС. Для некоторых контролей предусмотрены возможности гибкой настройки, предоставляя возможность организации определять некоторые параметры, связанные с контролем. Например, таким параметром может быть частота проведения аудита, срок хранения логов или количество неудачных попыток авторизации пользователя. Таким образом можно подгонять контроль под конкретные нужды, основываясь на требованиях, предъявляемых к безопасности со стороны бизнес целей организации, результатах оценки рисков и приемлемости рисков, а также требованиях законов и регуляторов.

2.Supplemental Guidance. Дополнительная информация для конкретного контроля. Может включать пояснительную информацию по реализации или использованию контроля и т.д. Также могут указываться ссылки на другие связанные контроли.

3.Control Enhancements. В данной секции представлены возможности по «улучшению» контроля, путём добавления к нему дополнительной функциональности или его усилению. Получается своеобразные подконтроли, которые можно использовать только совместно с основным. В данном примере контроль AU-3 (1)(2) фактически состоит из самого контроля AU-3, определяющего необходимость генерирования записей аудита и базовый состав таких записей, «усиления» (1) фиксирующего перечень дополнительной информации о регистрируемых события и «усиления» (2) описывающего организацию централизованного управления содержимым записей аудита. Как видно – эти расширения нельзя внедрить без самого контроля, однако и выделять в отдельные контроли не рационально. Также стоит отметить, что эти расширения также предоставляют организации возможности по гибкой настройке путём определения, например, полного перечня необходимой информации в записях аудита и определении перечня ИС, записи аудита которых должны управляться централизованно.

4.References. Здесь собраны ссылки на законодательство (естественно американское), стандарты, требования регуляторов, различные руководства и т.д. Для нас это скорее справочная информация.

5.Priority and Baseline Allocation. В табличке представлена информация о рекомендуемом приоритете при упорядочивании в процессе принятия решений о реализации контролей (в примере выше это P1) а также первоначальное распределение контроля и его «усилений» по базовым наборам для систем различной критичности (о которых чуть дальше). Приоритет внедрения позволяет организации осуществлять реализацию контролей в более эффективной и своевременной последовательности, в первую очередь внедряя основополагающие меры.

Основные положения 152-ФЗ:

1. Определение персональных данных: Персональные данные определяются как любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных), включая имя, адрес, номер телефона, электронную почту и другие идентифицирующие данные.

2. Согласие на обработку: Закон требует, чтобы обработка персональных данных осуществлялась только с согласия субъекта данных, за исключением случаев, когда обработка необходима для выполнения обязательств перед субъектом или для выполнения требований законодательства.

3. Права субъектов персональных данных: Субъекты персональных данных имеют право:

  • Знать о факте обработки своих данных.

  • Получать информацию о своих персональных данных.

  • Требовать исправления, блокировки или уничтожения своих данных в случае их неправомерной обработки.

  • Отозвать согласие на обработку данных.

4. Обязанности операторов: Операторы (физические или юридические лица, которые обрабатывают персональные данные) обязаны:

  • Обеспечивать безопасность персональных данных.

  • Уведомлять субъектов о целях обработки их данных.

  • Принимать меры для предотвращения утечек и несанкционированного доступа к данным.

Стандарт служит для целей содействия соблюдению требований нормативных актов Банка России, устанавливающих требования к обеспечению защиты информации и технологии безопасной обработки защищаемой информации, при осуществлении финансовых операций, в том числе:

• нормативного акта Банка России, устанавливающего обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, принятого на основании статьи 57.4 Федерального закона № 86-ФЗ [5];

• нормативного акта Банка России, устанавливающего обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций, принятого на основании статьи 76.4-1 Федерального закона № 86-ФЗ [6];

• нормативного акта Банка России, устанавливающего требования к обеспечению защиты информации при осуществлении переводов денежных средств и порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств, принятого на основании части 3 статьи 27 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе»

Для финансовых организаций устанавливаются три УДИ, определяющих уверенность в результатах идентификации: низкий (УДИ 1), средний (УДИ 2) и высокий (УДИ 3). В таблице 1 приведены критерии для каждого УДИ, определяющие соответствующий уровень уверенности в результате идентификации.