встановлює вимоги, яким повинна задовольнити послуга, щоб забезпечити свою відповідність призначенню

встановлює вимоги, яким має задовольняти виріб (група виробів), щоб забезпечити свою відповідність призначенню

встановлює вимоги, яким повинен задовольняти процес, щоб забезпечити свою відповідність призначенню

має широку сферу поширення або містить загальні положення для певної області (організаційно-методичні, загальнотехнічні і термінологічні)

встановлює методи випробування, наприклад, використання статистичних методів і порядок проведення випробувань регіональні

Нормативні посилання

Терміни та визначення

Сфера застосування

Вимоги до засобів захисту

Контекст організації

застосування відповідних заходів захисту для зниження ризиків

усвідомлене і об'єктивне прийняття ризиків в суворій відповідності з політикою організації і критерієм прийняття ризику

запобігання ризикам шляхом виключення дій, що призводять до появи ризиків

обмін пов'язаними ризиками з іншими сторонами, наприклад, страховиками або постачальниками

процес осмислення природи ризику та визначення рівня ризику

в даний час не використовується. Має історичне значення, як перший стандарт ІБ

використовується в Міністерстві оборони США

використовується як первинний документ для стандарту ISO/IEC 17799 СУІБ. Звід практичних правил УІБ

використовується як первинний документ для стандарту ISO/IEC 27002 СУІБ. Звід норм і правил УІБ

використовується як первинний документ для стандарту ISO/IEC 27001 СУІБ. Вимоги

кількості працівників організації

зовнішніх комунікацій організації

масштабів організації

операційних вимог та обмежень

внутрішньоє структури організації

процес модифікації ризику

особа чи організація, яка має повноваження та владу управління ризиками

слабкість ресурсу СУІБ або заходів безпеки, якою можуть скористатись одна чи більше загроз

потенційна причина небажаного інциденту, який може спричинити шкоду для системи чи організації

підтвердження наданням об’єктивних доказів, що встановлені вимоги виконано

комплексом технологічних і адміністративних заходів, що застосовуються у відношенні апаратно-технічних засобів ІС з метою забезпечення ІБ

використанням перевірених і ліцензійних програм, що гарантують безпеку обробки даних і використання ресурсів ІС

захистом від витоку і несанкціонованого доступу до даних, яке може привести до розголошення, модифікації або руйнування програмне забезпечення

правильна відповідь відсутня

за допомогою ідентифікації і автентифікації користувачів ІС і блокування дій неавторизованих осіб у відповідь на телекомунікаційний запит

одна подія чи серія небажаних або непередбачуваних подійінформаційної безпеки, що мають значну імовірність кмпрометації функціонування бізнесу та загрози інформаційній безпеці

процеси для виявлення, реєстрації, оцінювання, реагування оброблення й дослідження інцидентів інформаційної безпеки

систематичний, незалежний та задокументований процес для отримання доказів та об’єктивного зіставлення для визначення ступенів критеріїв оцінювання

спроба руйнувати, наражати на небезпеку, змінювати, блокувати, викрадати чи домагатися несанкціонованого доступу або виконувати несанкціоновані дії з ресурсами СУІБ

ідентифікований стан системи, служби чи мережі, який вказує на можливе порушення політики інформаційної безпеки чи відмови засобів безпеки, або раніше невідому ситуацію, яка може мати відношення до безпеки

звід практичних правил УІБ (Code of Practice for Information Security Management) BS 7799-1

СУІБ. Звід норм і правил УІБ ISO/IEC 27002

звід практичних правил УІБ ISO/IEC 17799

Канадські критерії оцінки довіреного комп'ютерного продукту (Canadian Trusted Computer Product Evaluation Criteria)

архітектура безпеки для взаємодії відкритих систем (Security architecture for Open Systems Interconnection) ITU-Т Х.800

розробка програмного забезпечення криптоалгоритмів

навчання та мотивація персоналу

реалізація і впровадження відповідних механізмів контролю

оперативна роботу по здійсненню захисних заходів

розподіл ролей і відповідальності