The process of declaring information security profiles

Authors

  • O.V. Potii Державна служба спеціального зв’язку та захисту інформації України, Ukraine https://orcid.org/0009-0004-9332-4414
  • D.Yu. Golubnychiy Харківський національний економічний університет імені Семена Кузнеця, АТ “Інститут Інформаційних Технологій”, Ukraine https://orcid.org/0000-0002-6873-7004
  • Yu.K. Vasiliev Державна служба спеціального зв’язку та захисту інформації України, Ukraine
  • M.V. Yesina Харківський національний університет імені В. Н. Каразіна, Ukraine https://orcid.org/0000-0002-1252-7606

DOI:

https://doi.org/10.30837/rt.2024.2.217.01

Keywords:

basic security profile, declaration, classes of security measures, complex information protection systems, estimation, security profile, information security system, target security profile

Abstract

The article discusses the process of declaring information security profiles, which is an important aspect of ensuring information security in modern organizations. The main purpose of the declaration is to establish clear requirements and control measures to ensure an appropriate level of protection of information assets against potential threats and vulnerabilities.

The authors of the article analyze the basic and target information security profiles, emphasizing their features, advantages and disadvantages. In particular, the basic security profile is considered as a minimum set of requirements that can be quickly implemented to ensure an initial level of protection. At the same time, the target security profile is aimed at more detailed adaptation of security measures to the specific needs and risks of the organization, which provides a higher level of protection.

The process of declaring security profiles includes several stages, such as assessing the current state of security, identifying threats and vulnerabilities, defining security requirements, developing and implementing security profiles, and regularly monitoring and updating security measures.

The article also discusses the current standards and regulations that govern the process of declaring security profiles, in particular, NIST SP 800-53 rev. 5, ISO/IEC 27001, and ND TZI 3.6-006-21. The article analyzes how these standards can be used to create effective security profiles that meet the specific requirements of organizations of various sizes and industries.

The authors conclude that the process of declaring information security profiles is critical to ensuring an adequate level of protection of information assets. Implementation of clearly defined security profiles allows organizations to take a systematic approach to risk management, reduce the likelihood of security incidents and increase the overall level of information security.

References

ISO/IEC 27000 family. Information security management. URL: https://www.iso.org/standard/iso-iec-27000-family

НД ТЗІ 3.6-004-21. Порядок впровадження системи безпеки інформації в державних органах, на підприємствах, організаціях, в інформаційно-комунікаційних системах яких обробляється інформація, вимога щодо захисту якої встановлена законом та не становить державної таємниці URL: https://cip.gov.ua/services/cm/api/attachment/download?id=53375

NIST SP 800-53 rev. 5 Security and Privacy Controls for Information Systems and Organizations, 2020. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf

Постанова Кабінету Міністрів України від 30.05.2024 № 627 "Про реалізацію експериментального проєкту з декларування відповідності комплексних систем захисту інформації в інформаційних, електрон-них комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпе-ки інформації". URL: https://zakon.rada.gov.ua/laws/show/627-2024-п.

НД 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі, 2000. URL: https://tzi.com.ua/downloads/1.4-001-2000.pdf

NIST SP 800-53A rev. 5 Assessing Security and Privacy Controls in Information Systems and Organiza-tions, 2022. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar5.pdf

NIST SP 800-171 rev. 3. Protecting Controlled Unclassified Information in Nonfederal Systems and Or-ganizations, 2024. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r3.pdf

NIST SP 800-171A rev. 3. Assessing Security Requirements for Controlled Unclassified Information, 2024. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171Ar3.pdf.

НД ТЗІ 3.6-006-24. Порядок вибору заходів захисту інформації, вимога щодо захисту якої встано-влена законом та не становить державної таємниці, для інформаційних систем, 2024. URL: https://cip.gov.ua/services/cm/api/attachment/download?id=64620

НД ТЗІ 2.3-025-21. Методика оцінювання заходів захисту інформації, вимога щодо захисту якої встановлена законом та не становить державної таємниці, для інформаційних систем, 2021. URL: https://cip.gov.ua/services/cm/api/attachment/download?id=53377

IT Engineering. URL: https://it-engineering.com.ua

Державна ІТ-компанія "ІНФОТЕХ" URL: https://infotech.gov.ua.

АТ "ІІТ" URL: https://infotech.gov.ua

H-X Technologies URL: https://www.h-x.technology.

Наказ Адміністрації Держспецзв’язку від 26.06.2024 "Про визначення Базового профілю безпеки інформації". URL: https://www.cip.gov.ua/ua/news/nakaz-administraciyi-derzhspeczv-yazku-vid-24-06-2024-317-pro-viznachennya-bazovogo-profilyu-bezpeki-informaciyi

Наказ Адміністрації Держспецзв’язку від 10.07.2024 "Про затвердження Рекомендацій з оцінки достатності заходів захисту інформації комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації". URL: https://cip.gov.ua/ua/news/nakaz-administraciyi-derzhspeczv-yazku-vid-10-07-2024-354-pro-zatverdzhennya-rekomendacii-z-ocinki-dostatnosti-zakhodiv-zakhistu-informaciyi-kompleksnikh-sistem-zakhistu-informaciyi-v-informaciinikh-elektronnikh-komunikaciinikh-ta-informaciino-komunikaciinikh-sistemakh-stvorenikh-z-vikoristannyam-profiliv-bezpeki-informaciyi

Система умовних позначень (нотація) для моделювання бізнес-процесів версії 2.0. URL: https://uk.wikipedia.org/wiki/BPMN

Downloads

Published

2024-06-14

How to Cite

Potii, O., Golubnychiy, D., Vasiliev, Y., & Yesina , M. (2024). The process of declaring information security profiles. Radiotekhnika, 2(217), 7–22. https://doi.org/10.30837/rt.2024.2.217.01

Issue

No. 217 (2024): Radiotekhnika

Section

Articles

License

Authors who publish with this journal agree to the following terms:

1. Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.

2. Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.

3. Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).