加密货币安全标准(CCSS)是使用加密货币的所有信息系统的一组需求,包括交易所,Web应用程序和加密货币存储解决方案。通过标准化全球系统使用的技术和方法,终端用户将能够轻松地就使用哪些产品和服务以及他们希望与哪些公司合作做出明智的决定。

CCSS旨在通过引入有关加密货币(例如比特币)的最佳安全实践指南来补充现有的信息安全标准(即ISO 27001:2013)。 CCSS并非旨在替代或替换这些标准;实际上,在不折不扣遵循CCSS的规定的同时忽略诸如ISO 27001:2013之类的标准可能会导致安全上的风险(妥协)。 CCSS是一种加密货币标准,可增强标准信息安全性实践。与任何标准一样,在实施任何信息系统时,必须具有知识和经验丰富的安全专业人员和/或审核员,以确保所有攻击类别都得到保护覆盖以及对所有潜在风险都做了适当的处理。

概述

CCSS标准涵盖了存储、处理或接受加密货币的信息系统的10个安全方面的列表。信息系统是一起工作以提供安全环境的技术(硬件和/或软件)、人员、策略和过程的集合。一个安全方面是保护一个信息系统的一种单点技术。所有这10个方面的最小值决定了信息系统在提高安全性的三(3)个级别中的总体评分:I级是最低的,提供了强有力的安全措施,而III级是最高的,提供了最全面的安全性。

这10个方面分为2个领域,可帮助结构化该指南。在下面的示例中可以看到标准的摘要,该示例描述了审核Acme Exchange(“ I级”系统)后的示例结果。您会注意到,即使某些方面的得分在II级和III级范围内,但Acme Exchange仍被归类为I级系统,因为这是所有方面的最低一致的评分:

Acme Exchange的CCSS审核结果:img

Scope

CCSS涵盖了可增强信息系统的加密货币部分安全性的控件,但是并未涵盖用于提高信息系统的网络空间安全性的通用标准和实践。因此,应将CCSS视为独立的建议集,并在其他领域(包括业务连续性,灾难恢复,网络入侵防护,物理安全性和漏洞管理)中应用,超过其他标准安全实践。

Applicability

CCSS适用于任何使用加密货币的信息系统。这包括(但不限于):

等级

CCSS为提高安全性分了三(3)个级别。这些细节在本节中概述。

一级

通过审核证明,已达到I级安全性的信息系统可以通过强大的安全性保护其信息资产。系统信息资产的大多数风险已通过符合行业准则的控制措施解决。尽管这是CCSS中的最低级别,但它仍然表示强大的安全性。

二级

已通过审核证明已达到II级安全性的信息系统通过增强的控制措施已超过了强大的安全性级别。除了涵盖信息系统资产的大多数风险之外,还采用了去中心化的安全技术(例如多签名),这些技术超出了行业准则,并且在任何一个密钥或个人不可用或受到损害时提供了冗余。

三级

通过审核证明,已达到III级安全性的信息系统通过在其业务流程中各个步骤强制执行的形式化策略和程序,已超过了增强的安全性级别。所有关键动作都需要多个参与者,更高级的身份验证机制可确保所有数据的真实性,并且资产可以在不同地理和组织上进行分布,从而可以抵御任何人或组织的危害。

本库

本库旨在用作协作文档。在可能的情况下,将标准的详细信息与设计元素分开,以使二者都可以轻松独立地发展。鼓励您为任何一个做出贡献。

有关标准的讨论,请参见_data目录。

有关此静态站点的结构/设计的更多信息,请参见Jekyll项目。