IT риск

Риск информационных технологий , ИТ-риск , ИТ-риск или киберриск - это любой риск, связанный с информационными технологиями . Хотя информация уже давно ценится как ценный и важный актив, рост экономики знаний и цифровая революция привели к тому, что организации стали все более зависимыми от информации, обработки информации и особенно ИТ. Поэтому различные события или инциденты, которые тем или иным образом подвергают риску ИТ, могут оказывать неблагоприятное воздействие на бизнес-процессы или миссию организации, начиная от несущественного до катастрофического по масштабу.

Оценка вероятности или вероятности различных типов событий / инцидентов с их прогнозируемыми воздействиями или последствиями, если они произойдут, является распространенным способом оценки и измерения ИТ-рисков. ^[1] Альтернативные методы измерения ИТ-риска обычно включают оценку других сопутствующих факторов, таких как угрозы , уязвимости, риски и стоимость активов. ^{[2] [3]}

Определения [ править ]

ISO [ править ]

ИТ - риски : вероятность того, что данная угроза будет эксплуатировать уязвимости из к активу или группы активов и тем самым причинить вред организации. Он измеряется как комбинация вероятности возникновения события и его последствий. ^[4]

Комитет по системам национальной безопасности [ править ]

Комитет по системам национальной безопасности в Соединенных Штатах Америки определенного риска в различных документах:

• Из инструкции CNSS № 4009 от 26 апреля 2010 г. ^[5] основное и более техническое определение:

  Риск - возможность того, что конкретная угроза отрицательно повлияет на ИБ, используя определенную уязвимость.

• Инструкция по безопасности телекоммуникаций и информационных систем национальной безопасности (NSTISSI) № 1000, ^[6] вводит вероятностный аспект, очень похожий на NIST SP 800-30:

  Риск - сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности результирующего воздействия.

Национальный учебно-образовательный центр по обеспечению информационной безопасности определяет риск в сфере ИТ как: ^[7]

1. Потенциал потерь, который существует в результате пары угроза-уязвимость. Уменьшение угрозы или уязвимости снижает риск.
2. Неопределенность потерь, выраженная в вероятности таких потерь.
3. Вероятность того, что враждебный субъект успешно воспользуется определенной телекоммуникационной системой или системой COMSEC в разведывательных целях; его факторами являются угроза и уязвимость.
4. Сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности результирующего неблагоприятного воздействия.
5. вероятность того, что конкретная угроза будет использовать определенную уязвимость системы.

NIST [ править ]

Многие публикации NIST определяют риск в контексте ИТ в различных публикациях: FISMApedia ^[8] термин ^[9] предоставляет список. Между ними:

• Согласно NIST SP 800-30: ^[10]

  Риск - это функция вероятности того, что данный источник угрозы реализует конкретную потенциальную уязвимость, и результирующего воздействия этого неблагоприятного события на организацию.

• Из NIST FIPS 200 ^[11]

  Риск - уровень воздействия на операции организации (включая миссию, функции, имидж или репутацию), активы организации или отдельных лиц в результате работы информационной системы с учетом потенциального воздействия угрозы и вероятности ее возникновения.

NIST SP 800-30 ^[10] определяет:

Риск, связанный с ИТ

Чистое воздействие на миссию с учетом:

1. вероятность того, что конкретный источник угрозы проявит (случайно вызовет или намеренно воспользуется) конкретную уязвимость информационной системы и
2. результирующий удар, если это произойдет. Риски, связанные с ИТ, возникают в результате юридической ответственности или потери миссии из-за:
   1. Несанкционированное (злонамеренное или случайное) раскрытие, изменение или уничтожение информации
   2. Непреднамеренные ошибки и упущения
   3. Сбои в работе ИТ из-за стихийных бедствий или техногенных катастроф
   4. Несоблюдение должной осторожности и осмотрительности при внедрении и эксплуатации ИТ-системы.

Понимание управления рисками [ править ]

ИТ-риск - это вероятная частота и вероятный размер будущих убытков. ^[12]

ISACA [ править ]

ISACA опубликовала Систему управления рисками ИТ , чтобы обеспечить сквозное и всестороннее представление обо всех рисках, связанных с использованием ИТ. Там ^[13] ИТ-риск определяется как:

Бизнес-риск, связанный с использованием, владением, эксплуатацией, участием, влиянием и внедрением ИТ на предприятии.

По Risk IT , ^[13] IT риск имеет более широкий смысл: оно включает в себя не только лишь негативное влияние операций и оказания услуг , которые могут принести разрушение или уменьшение стоимости организации, но и выгода \ значение позволяет риск , связанный к упущенным возможностям использования технологий для обеспечения или улучшения бизнеса или управления ИТ-проектами по таким аспектам, как перерасход или несвоевременная доставка с неблагоприятными последствиями для бизнеса

Измерение ИТ-риска [ править ]

Вы не можете эффективно и последовательно управлять тем, что не можете измерить, и вы не можете измерить то, что не определили. ^{[12] [14]}

Измерение ИТ-риска (или киберриска) может происходить на многих уровнях. На бизнес-уровне рисками управляют категорически. Передовые ИТ-отделы и NOC обычно оценивают более скрытые, индивидуальные риски. Управление связями между ними - ключевая роль современных руководителей информационной безопасности .

При измерении риска любого рода важным шагом является выбор правильного уравнения для данной угрозы, актива и доступных данных. Это само по себе, но есть общие компоненты уравнений риска, которые полезно понять.

В управлении рисками задействованы четыре фундаментальные силы, которые также применимы к кибербезопасности. Это активы, влияние, угрозы и вероятность. Вы обладаете внутренними знаниями и достаточной степенью контроля над активами , которые представляют собой материальные и нематериальные вещи, которые имеют ценность. У вас также есть некоторый контроль над воздействием , которое относится к потере или повреждению актива. Однако угрозы , представляющие злоумышленников, и их методы атаки находятся вне вашего контроля. Вероятность - это дикая карта в кучке. Вероятность определяет, материализуется ли и когда угроза, удастся ли и нанесет ли ущерб. Несмотря на то, что вы никогда полностью не контролируете ситуацию, можно сформировать вероятность и повлиять на нее для управления риском. ^[15]

Математически силы могут быть представлены в следующей формуле: где p () - это вероятность того, что Угроза материализуется / будет успешной в отношении Актива, а d () - это вероятность различных уровней ущерба, который может произойти. ^[16]${\ textstyle Risk = p (Актив, Угроза) \ times d (Актив, Угроза)}$

В области управления ИТ-рисками появился ряд терминов и методов, уникальных для данной отрасли. Некоторые отраслевые условия еще предстоит согласовать. Например, термин « уязвимость» часто используется как синоним вероятности возникновения, что может быть проблематичным. Часто используемые термины и методы управления ИТ-рисками включают:

Событие информационной безопасности

Выявленное возникновение состояния системы, службы или сети, указывающее на возможное нарушение политики информационной безопасности или отказ мер защиты, или ранее неизвестную ситуацию, которая может иметь отношение к безопасности. ^[4]

Возникновение определенного стечения обстоятельств ^[17]

• Событие может быть достоверным или неопределенным.
• Событие может быть единичным или серией. : (Руководство ISO / IEC 73)

Инцидент информационной безопасности

обозначается одним или серией нежелательных событий информационной безопасности, которые имеют значительную вероятность компрометации бизнес-операций и угрозы информационной безопасности ^[4]

Событие [G.11], которое было оценено как имеющее фактическое или потенциально неблагоприятное влияние на безопасность или производительность системы. ^[18]

Воздействие ^[19]

Результат нежелательного инцидента [G.17]. (ISO / IEC PDTR 13335-1)

Следствие ^[20]

Результат события [G.11]

• Одно событие может иметь несколько последствий.
• Последствия могут быть как положительными, так и отрицательными.
• Последствия могут быть выражены качественно или количественно (ISO / IEC Guide 73).

Риск R является произведением вероятности L инцидента безопасности, умноженного на воздействие I, которое будет нанесено организации в результате инцидента, то есть: ^[21]

R = L × I

Вероятность возникновения инцидента безопасности является функцией вероятности появления угрозы и вероятности того, что угроза может успешно использовать соответствующие уязвимости системы.

Последствия возникновения инцидента безопасности являются функцией вероятного воздействия, которое инцидент окажет на организацию в результате ущерба, нанесенного активам организации. Вред связан со стоимостью активов для организации; один и тот же актив может иметь разную ценность для разных организаций.

Итак, R может зависеть от четырех факторов :

• A = Стоимость активов
• T = вероятность угрозы
• V = характер уязвимости, т.е. вероятность того, что она может быть использована (пропорциональна потенциальной выгоде для злоумышленника и обратно пропорциональна стоимости эксплуатации)
• I = вероятное воздействие , степень ущерба

Если числовые значения (деньги для воздействия и вероятности для других факторов), риск может быть выражен в денежном выражении и сравнен со стоимостью контрмер и остаточным риском после применения мер безопасности. Выражение этих значений не всегда практично, поэтому на первом этапе оценки риска риск оценивается безразмерно по трех- или пятиступенчатой ​​шкале.

OWASP предлагает практическое руководство по измерению риска ^[21], основанное на:

• Оценка правдоподобия как среднее значение между различными факторами по шкале от 0 до 9:
  • Факторы агента угрозы
    • Уровень квалификации: насколько технически квалифицирована эта группа агентов угрозы? Отсутствие технических навыков (1), некоторые технические навыки (3), опытный пользователь компьютера (4), навыки работы в сети и программирования (6), навыки проникновения в систему безопасности (9)
    • Мотив: Насколько мотивирована эта группа агентов угроз для поиска и использования этой уязвимости? Низкое вознаграждение или его отсутствие (1), возможное вознаграждение (4), высокое вознаграждение (9)
    • Возможность: какие ресурсы и возможности требуются этой группе агентов угроз, чтобы найти и использовать эту уязвимость? требуется полный доступ или дорогие ресурсы (0), требуется специальный доступ или ресурсы (4), требуется некоторый доступ или ресурсы (7), доступ или ресурсы не требуются (9)
    • Размер: насколько велика эта группа агентов угрозы? Разработчики (2), системные администраторы (2), пользователи интрасети (4), партнеры (5), аутентифицированные пользователи (6), анонимные пользователи Интернета (9)
  • Факторы уязвимости : следующий набор факторов связан с уязвимостью. Цель здесь - оценить вероятность обнаружения и использования конкретной уязвимости. Предположим, что агент угрозы выбран выше.
    • Легкость обнаружения: насколько легко этой группе агентов угроз обнаружить эту уязвимость? Практически невозможно (1), сложно (3), легко (7), доступны автоматизированные инструменты (9)
    • Легкость использования : насколько легко этой группе агентов угроз на самом деле воспользоваться этой уязвимостью? Теоретический (1), сложный (3), легкий (5), доступные автоматизированные инструменты (9)
    • Осведомленность: насколько хорошо известна эта уязвимость для этой группы агентов угроз? Неизвестно (1), скрыто (4), очевидно (6), общеизвестно (9)
    • Обнаружение вторжений: насколько вероятно обнаружение эксплойта? Активное обнаружение в приложении (1), регистрируется и проверяется (3), регистрируется без проверки (8), не регистрируется (9)
• Оценка воздействия как среднего значения между различными факторами по шкале от 0 до 9
  • Технические факторы воздействия; Техническое воздействие можно разбить на факторы, соответствующие традиционным областям безопасности: конфиденциальность, целостность, доступность и подотчетность. Цель состоит в том, чтобы оценить масштабы воздействия на систему, если уязвимость будет использована.
    • Нарушение конфиденциальности : какой объем данных может быть раскрыт и насколько они конфиденциальны? Раскрыты минимальные неконфиденциальные данные (2), раскрыты минимальные важные данные (6), раскрыты обширные неконфиденциальные данные (6), раскрыты обширные важные данные (7), раскрыты все данные (9)
    • Нарушение целостности : сколько данных может быть повреждено и насколько они повреждены? Минимальные слегка поврежденные данные (1), минимальные серьезно поврежденные данные (3), обширные слегка поврежденные данные (5), обширные серьезно поврежденные данные (7), все данные полностью повреждены (9)
    • Потеря доступности Сколько услуг может быть потеряно и насколько это важно? Минимальное количество вторичных услуг прервано (1), минимальное количество первичных услуг прервано (5), обширные вторичные услуги прерваны (5), обширные первичные услуги прерваны (7), все услуги полностью потеряны (9)
    • Утрата ответственности: можно ли проследить действия агентов угрозы до человека? Полностью отслеживаемый (1), возможно отслеживаемый (7), полностью анонимный (9)
  • Факторы влияния на бизнес: влияние на бизнес проистекает из технического воздействия, но требует глубокого понимания того, что важно для компании, запускающей приложение. В общем, вы должны стремиться поддерживать свои риски с помощью воздействия на бизнес, особенно если ваша аудитория относится к руководящему звену. Бизнес-риск - это то, что оправдывает вложения в решение проблем безопасности.
    • Финансовый ущерб: какой финансовый ущерб нанесет эксплойт? Меньше затрат на устранение уязвимости (1), незначительное влияние на годовую прибыль (3), значительное влияние на годовую прибыль (7), банкротство (9)
    • Ущерб репутации: приведет ли эксплойт к ущербу репутации, который нанесет ущерб бизнесу? Минимальный ущерб (1), потеря крупных счетов (4), потеря репутации (5), ущерб бренду (9)
    • Несоблюдение: Насколько велик риск несоблюдения? Незначительное нарушение (2), явное нарушение (5), серьезное нарушение (7)
    • Нарушение конфиденциальности : какой объем личной информации может быть раскрыт? Один человек (3), сотни человек (5), тысячи человек (7), миллионы человек (9)
  • Если влияние на бизнес рассчитано точно, используйте его в следующих случаях, в противном случае используйте Техническое влияние.
• Оцените вероятность и воздействие по шкале НИЗКИЙ, СРЕДНИЙ, ВЫСОКИЙ, предполагая, что менее 3 - НИЗКИЙ, от 3 до менее 6 - СРЕДНИЙ, а от 6 до 9 - ВЫСОКИЙ.
• Рассчитайте риск, используя следующую таблицу

Управление ИТ-рисками [ править ]

Управление ИТ-рисками можно рассматривать как компонент более широкой системы управления рисками предприятия . ^[22]

Создание, поддержка и постоянное обновление системы управления информационной безопасностью (СМИБ) является убедительным свидетельством того, что компания использует систематический подход для выявления, оценки и управления рисками информационной безопасности. ^[23]

Были предложены различные методологии управления ИТ-рисками, каждая из которых разделена на процессы и этапы. ^[24]

В Руководстве по проверке сертифицированного аудитора информационных систем 2006 года, выпущенном ISACA, международной профессиональной ассоциацией, специализирующейся на управлении ИТ, дается следующее определение управления рисками: «Управление рисками - это процесс выявления уязвимостей и угроз для информационных ресурсов, используемых организацией для достижения бизнес-целей и принятия решения о том, какие контрмеры , если таковые имеются, предпринять для снижения риска до приемлемого уровня, исходя из ценности информационного ресурса для организации ». ^[25]

Структура кибербезопасности NIST поощряет организации к управлению ИТ-рисками в рамках функции идентификации (ID): ^{[26] [27]}

Оценка рисков (ID.RA) : организация понимает риск кибербезопасности для операций организации (включая миссию, функции, имидж или репутацию), активов организации и отдельных лиц.

• ID.RA-1: уязвимости активов идентифицированы и задокументированы
• ID.RA-2: информация о киберугрозах и уязвимостях получена с форумов по обмену информацией и из источника.
• ID.RA-3: внутренние и внешние угрозы выявляются и документируются.
• ID.RA-4: выявлены потенциальные воздействия на бизнес и вероятность их возникновения.
• ID.RA-5: угрозы, уязвимости, вероятности и воздействия используются для определения риска
• ID.RA-6: Реагирование на риски идентифицируется и расставляется по приоритетам

Стратегия управления рисками (ID.RM) : приоритеты, ограничения, допуски к риску и допущения организации устанавливаются и используются для поддержки решений по операционным рискам.

• ID.RM-1: процессы управления рисками устанавливаются, управляются и согласовываются заинтересованными сторонами организации.
• ID.RM-2: Организационная толерантность к риску определена и четко выражена
• ID.RM-3: определение терпимости к риску организацией основано на ее роли в критической инфраструктуре и анализе рисков, связанных с конкретным сектором.

Законы и постановления об ИТ-рисках [ править ]

Ниже приводится краткое описание применимых правил с разбивкой по источникам. ^[28]

ОЭСР [ править ]

ОЭСР выпустила следующее:

• Рекомендация Совета Организации экономического сотрудничества и развития (ОЭСР) относительно руководящих принципов, регулирующих защиту частной жизни и трансграничные потоки персональных данных (23 сентября 1980 г.)
• Руководящие принципы ОЭСР по безопасности информационных систем и сетей: на пути к культуре безопасности (25 июля 2002 г.). Тема: Общая информационная безопасность. Объем: Необязывающие руководящие принципы для любых организаций ОЭСР (правительства, предприятия, другие организации и отдельные пользователи, которые разрабатывают, владеют, предоставляют, управляют, обслуживают и используют информационные системы и сети). В Руководящих принципах ОЭСР изложены основные принципы, лежащие в основе практики управления рисками и информационной безопасности. Хотя никакая часть текста не является обязательной как таковая, несоблюдение любого из принципов свидетельствует о серьезном нарушении передовой практики RM / RA, которое потенциально может повлечь за собой ответственность.

Европейский Союз [ править ]

Европейский союз опубликовал следующее, разделенный по теме:

• Конфиденциальность
  • Регламент (ЕС) № 45/2001 о защите физических лиц в отношении обработки персональных данных учреждениями и органами Сообщества и о свободном перемещении таких данных обеспечивает внутренний регламент, который является практическим применением принципов Директива о конфиденциальности описана ниже. Кроме того, статья 35 Регламента требует, чтобы учреждения и органы Сообщества принимали аналогичные меры предосторожности в отношении своей телекоммуникационной инфраструктуры и должным образом информировали пользователей о любых конкретных рисках нарушения безопасности.
  • Директива 95/46 / EC о защите физических лиц в отношении обработки персональных данныхи о свободном перемещении таких данных требует, чтобы любая деятельность по обработке персональных данных подвергалась предварительному анализу рисков, чтобы определить последствия этой деятельности для конфиденциальности и определить соответствующие юридические, технические и организационные меры для защиты такой деятельности; эффективно защищена такими мерами, которые должны быть современными, с учетом чувствительности и последствий для конфиденциальности деятельности (в том числе, когда третья сторона отвечает за выполнение задачи обработки) уведомляется национальному органу по защите данных, включая меры, принятые для обеспечения безопасность деятельности. Кроме того, статья 25 и следующие за ней Директивы требуют, чтобы государства-члены запретили передачу личных данных в государства, не являющиеся членами ЕС, если только такие страны не обеспечили надлежащую правовую защиту таких личных данных,или за исключением некоторых других исключений.
  • Решение Комиссии 2001/497 / EC от 15 июня 2001 г. о стандартных договорных условиях для передачи персональных данных в третьи страны в соответствии с Директивой 95/46 / EC; и Решение Комиссии 2004/915 / ECот 27 декабря 2004 г. о внесении изменений в Решение 2001/497 / EC в отношении введения альтернативного набора стандартных договорных условий для передачи персональных данных в третьи страны. Тема: Экспорт личных данных в третьи страны, в частности в страны, не входящие в ЕС, которые не были признаны имеющими адекватный уровень защиты данных (т. Е. Эквивалентный уровню ЕС). Оба решения Комиссии содержат набор добровольных типовых положений, которые могут использоваться для экспорта персональных данных от контроллера данных (который подчиняется правилам защиты данных ЕС) процессору данных за пределами ЕС, на который не распространяются эти правила или аналогичные набор адекватных правил.
  • Принципы конфиденциальности International Safe Harbor (см. Ниже Принципы конфиденциальности США и International Safe Harbor )
  • Директива 2002/58 / EC от 12 июля 2002 г., касающаяся обработки персональных данных и защиты конфиденциальности в секторе электронных коммуникаций.
• Национальная безопасность
  • Директива 2006/24 / EC от 15 марта 2006 г. о хранении данных, созданных или обработанных в связи с предоставлением общедоступных услуг электронной связи или сетей связи общего пользования, и внесение поправок в Директиву 2002/58 / EC (« Директива о хранении данных »). Тема: Требование к поставщикам общедоступных поставщиков электронных телекоммуникационных услуг хранить определенную информацию для целей расследования, обнаружения и судебного преследования серьезных преступлений.
  • Директива Совета 2008/114 / ECот 8 декабря 2008 г. об идентификации и обозначении важнейших европейских инфраструктур и оценке необходимости улучшения их защиты. Тема: Идентификация и защита критических инфраструктур Европы. Сфера применения: применимо к государствам-членам и операторам европейской критической инфраструктуры (определяется в проекте директивы как `` критические инфраструктуры, нарушение или уничтожение которых может существенно повлиять на два или более государства-члена, или одно государство-член, если критически важная инфраструктура расположена ''. в другом государстве-члене. Это включает эффекты, возникающие в результате межотраслевой зависимости от других типов инфраструктуры »). Требует от государств-членов определения критических инфраструктур на своей территории и обозначения их в качестве объектов раннего доступа. После этого обозначениявладельцы / операторы ECI должны создавать планы безопасности операторов (OSP), которые должны устанавливать соответствующие решения безопасности для их защиты
• Гражданское и уголовное право
  • Рамочное решение Совета 2005/222 / JHAот 24 февраля 2005 г. об атаках на информационные системы. Тема: Общее решение, направленное на гармонизацию национальных положений в области киберпреступности, охватывающих материальное уголовное право (т.е. определения конкретных преступлений), процессуальное уголовное право (включая следственные меры и международное сотрудничество) и вопросы ответственности. Сфера применения: требует от государств-членов имплементировать положения Рамочного решения в своих национальных правовых рамках. Рамочное решение актуально для RM / RA, поскольку оно содержит условия, при которых юридическая ответственность может быть возложена на юридических лиц за поведение определенных физических лиц, обладающих полномочиями в рамках юридического лица. Таким образом, решение Основы требует, чтобы поведение таких фигур в организации надлежащим образом отслеживалось.также потому, что в Решении говорится, что юридическое лицо может быть привлечено к ответственности за бездействие в этом отношении.

Совет Европы [ править ]

• Конвенция Совета Европы о киберпреступности, Будапешт, 23.XI.2001 г., Серии европейских договоров, № 185. Тема: Общий договор, направленный на гармонизацию национальных положений в области киберпреступности, охватывающий материальное уголовное право (т.е. определения конкретных преступлений), процессуальное уголовное право (включая следственные меры и международное сотрудничество), вопросы ответственности и хранение данных. Помимо определений ряда уголовных преступлений в статьях 2-10, Конвенция имеет отношение к РМ / РА, поскольку в ней изложены условия, при которых юридическая ответственность может быть возложена на юридических лиц за поведение определенных физических лиц, обладающих полномочиями в рамках закона. юридическое лицо. Таким образом, Конвенция требует, чтобы поведение таких лиц в организации надлежащим образом контролировалось, в том числе потому, что Конвенция гласит, что юридическое лицо может быть привлечено к ответственности за бездействие в этом отношении.

Соединенные Штаты [ править ]

Соединенные Штаты выпустили следующее, разделенное по темам:

• Гражданское и уголовное право
  • Поправки к Федеральным правилам гражданского судопроизводства в отношении электронного обнаружения. Тема: Федеральные правила США в отношении производства электронных документов в гражданском судопроизводстве. Правила раскрытия информации позволяют стороне гражданского судопроизводства требовать, чтобы противная сторона представила всю имеющуюся у нее соответствующую документацию (будет определена запрашивающей стороной), чтобы позволить сторонам и суду правильно оценить дело. Благодаря поправке к электронному открытию, вступившей в силу 1 декабря 2006 года, такая информация теперь может включать электронную информацию. Это означает, что любую сторону, которая предстает перед судом США в рамках гражданского судопроизводства, можно попросить предоставить такие документы, которые включают окончательные отчеты, рабочие документы, внутренние служебные записки и электронные письма по определенной теме, которые могут быть или не быть конкретными. очерчены.Поэтому любая сторона, деятельность которой подразумевает риск участия в таком разбирательстве, должна принимать адекватные меры предосторожности для управления такой информацией, включая безопасное хранение. В частности: сторона должна иметь возможность инициировать «судебное приостановление», техническую / организационную меру, которая должна гарантировать, что соответствующая информация больше не может быть изменена каким-либо образом. Политики хранения должны нести ответственность: хотя удаление конкретной информации, конечно, остается разрешенным, когда это является частью общих политик управления информацией («рутинная добросовестная работа информационной системы», Правило 37 (f)), умышленное уничтожение потенциально важная информация может быть наказана чрезвычайно высокими штрафами (в одном конкретном случае 1,6 миллиарда долларов США). Таким образом, на практике любой бизнес, который рискует подать гражданский иск в СШАсуды должны применять адекватную политику управления информацией и принимать необходимые меры для возбуждения судебного разбирательства.
• Конфиденциальность
  • Закон Грэмма – Лича – Блайли (GLBA)
  • Закон США PATRIOT, Раздел III
  • Закон о переносимости и подотчетности медицинского страхования (HIPAA) С точки зрения RM / RA, Закон особенно известен своими положениями, касающимися административного упрощения (Раздел II HIPAA). Это название потребовало от Министерства здравоохранения и социальных служб США (HHS) разработать конкретные наборы правил, каждый из которых будет содержать конкретные стандарты, которые повысят эффективность системы здравоохранения и предотвратят злоупотребления. В результате HHS принял пять основных правил: правило конфиденциальности, правило транзакций и кодовых наборов, правило уникальных идентификаторов, правило применения и правило безопасности. Последний, опубликованный в Федеральном реестре 20 февраля 2003 г. (см. Http://www.cms.hhs.gov/SecurityStandard/Downloads/securityfinalrule.pdf), имеет особое значение, поскольку определяет ряд административных, технических и физических процедур безопасности для обеспечения конфиденциальности медицинской информации, защищенной электронным способом. Эти аспекты были дополнительно изложены в наборе стандартов безопасности по административным, физическим, организационным и техническим мерам защиты, все из которых были опубликованы вместе с руководящим документом по основам управления рисками HIPAA и оценки рисков < http: // www .cms.hhs.gov / EducationMaterials / 04_SecurityMaterials.asp>. Поставщики медицинских услуг в Европе или других странах, как правило, не подпадают под действие HIPAA, если они не работают на рынке США. Однако, поскольку их деятельность по обработке данных подчиняется аналогичным обязательствам в соответствии с общим европейским законодательством (включая Директиву о конфиденциальности), и поскольку основные тенденции модернизации и развития электронных файлов здоровья одинаковы, меры безопасности HHS могут быть полезны в качестве начального критерия. для измерения стратегий RM / RA, применяемых европейскими поставщиками медицинских услуг, особенно в отношении обработки электронной информации о здоровье. Стандарты безопасности HIPAA включают следующее:
    • Административные гарантии:
      • Процесс управления безопасностью
      • Назначенная ответственность за безопасность
      • Безопасность персонала
      • Управление доступом к информации
      • Осведомленность о безопасности и обучение
      • Процедуры при инцидентах безопасности
      • План действий в непредвиденных обстоятельствах
      • Оценка
      • Контракты с деловыми партнерами и другие договоренности
    • Физические гарантии
      • Контроль доступа к объектам
      • Использование рабочей станции
      • Безопасность рабочей станции
      • Устройства и средства управления мультимедиа
    • Технические гарантии
      • Контроль доступа
      • Контроль аудита
      • Честность
      • Аутентификация человека или сущности
      • Безопасность передачи
    • Организационные требования
      • Контракты с деловыми партнерами и другие договоренности
      • Требования к групповым планам медицинского обслуживания
  • Международные принципы конфиденциальности Safe Harbor, изданные Министерством торговли США 21 июля 2000 г. Экспорт личных данных от контроллера данных, на который распространяются правила ЕС о конфиденциальности, в пункт назначения в США; прежде чем персональные данные могут быть экспортированы из организации, подпадающей под действие правил ЕС о конфиденциальности, в пункт назначения, в соответствии с законодательством США, европейская организация должна гарантировать, что принимающая организация обеспечивает адекватные меры безопасности для защиты таких данных от ряда неудач. Один из способов выполнения этого обязательства - потребовать от принимающей организации присоединиться к Safe Harbor, потребовав, чтобы организация самостоятельно подтверждала свое соответствие так называемым принципам Safe Harbor. Если выбран этот путь, диспетчер данных, экспортирующий данные, должен убедиться, что пункт назначения в США действительно находится в списке Safe Harbor (см.список безопасной гавани )
  • США Министерство внутренней безопасности также использует Privacy Impact Assessment (PIA) в качестве инструмента принятия решений для выявления и снижения рисков нарушения конфиденциальности. ^[29]
• Закон Сарбейнса – Оксли
• FISMA

Организации по стандартизации и стандарты [ править ]

• Международные органы по стандартизации:
  • Международная организация по стандартизации - ISO
  • Совет по стандартам безопасности индустрии платежных карт
  • Форум информационной безопасности
  • Открытая группа
• Стандартные органы США:
  • Национальный институт стандартов и технологий - NIST
  • Федеральные стандарты обработки информации - FIPS от NIST, посвященные федеральному правительству и агентствам
• Стандартные органы Великобритании
  • Британский институт стандартов

Краткое описание стандартов [ править ]

Список в основном основан на: ^[28]

ISO [ править ]

• ISO / IEC 13335-1 : 2004 - Информационные технологии. Методы безопасности. Управление безопасностью информационных и коммуникационных технологий. Часть 1. Концепции и модели для управления безопасностью информационных и коммуникационных технологий. Http://www.iso.org/iso/en/ CatalogueDetailPage.CatalogueDetail? CSNUMBER = 39066 . Стандарт, содержащий общепринятые описания концепций и моделей управления безопасностью информационных и коммуникационных технологий. Стандарт является обычно используемым сводом правил и служит ресурсом для внедрения методов управления безопасностью и критерием для аудита таких практик. (См. Также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf )
• ISO / IEC TR 15443-1 : 2005 - Информационные технологии - Методы безопасности - Основа для обеспечения безопасности ИТ Ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (Примечание: это ссылка на страницу ISO, на которой можно получить стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Обеспечение безопасности - Технический отчет (TR) содержит общепринятые руководящие принципы, которые можно использовать для определения соответствующего метода обеспечения безопасности для оценки услуги, продукта или фактора окружающей среды безопасности.
• ISO / IEC 15816: 2002 - Информационные технологии - Методы безопасности - Информационные объекты безопасности для контроля доступа: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (Примечание: это ссылка на страница ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Управление безопасностью - Контроль доступа. Стандарт позволяет специалистам по безопасности полагаться на определенный набор синтаксических определений и объяснений в отношении SIO, тем самым избегая дублирования или расхождений в других усилиях по стандартизации.
• ISO / IEC TR 15947: 2002 - Информационные технологии - Методы безопасности - Справочник по структуре обнаружения вторжений в ИТ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (Примечание: это ссылка на Страница ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Управление безопасностью - Обнаружение вторжений в ИТ-системы. Стандарт позволяет специалистам по безопасности полагаться на определенный набор концепций и методологий для описания и оценки рисков безопасности в отношении потенциальных вторжений в ИТ-системы. Он не содержит никаких обязательств RM / RA как таковых, но скорее является инструментом для облегчения деятельности RM / RA в затронутой области.
• ИСО / МЭК 15408 -1/2/3: 2005 - Информационные технологии - Методы безопасности - Критерии оценки ИТ-безопасности - Часть 1: Введение и общая модель (15408-1) Часть 2: Функциональные требования безопасности (15408-2) Часть 3 : Требования обеспечения безопасности (15408-3) ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htmТема: Стандарт, содержащий общий набор требований к функциям безопасности продуктов и систем ИТ, а также к мерам доверия, применяемым к ним во время оценки безопасности. Область применения: общедоступный стандарт ISO, который может быть реализован на добровольной основе. Текст является ресурсом для оценки безопасности продуктов и систем ИТ и, таким образом, может использоваться в качестве инструмента для RM / RA. Стандарт обычно используется в качестве ресурса для оценки безопасности продуктов и систем ИТ; в том числе (если не специально) для решений о закупках таких продуктов. Таким образом, стандарт можно использовать в качестве инструмента RM / RA для определения безопасности продукта или системы ИТ во время их проектирования, производства или маркетинга или перед закупкой.
• ISO / IEC 17799 : 2005 - Информационные технологии. Методы безопасности. Свод правил управления информационной безопасностью. ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3=(Примечание: это ссылка на страницу ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Стандарт, содержащий общепринятые руководящие принципы и общие принципы для инициирования, внедрения, поддержки и улучшения управления информационной безопасностью в организации, включая управление непрерывностью бизнеса. Стандарт является обычно используемым сводом правил и служит ресурсом для внедрения практик управления информационной безопасностью и критерием для аудита таких практик. (См. Также ISO / IEC 17799 )
• ISO / IEC TR 15446: 2004 - Информационные технологии - Методы безопасности - Руководство по созданию профилей защиты и целей безопасности. ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Тема: Технический отчет (TR), содержащий рекомендации по созданию профилей защиты (PP) и целей безопасности (STs) ), которые должны соответствовать ISO / IEC 15408 («Общие критерии»). Стандарт преимущественно используется профессионалами в области безопасности в качестве инструмента для разработки ПЗ и ЗБ, но также может использоваться для оценки его достоверности (используя ТР в качестве критерия для определения соблюдения его стандартов). Таким образом, это (необязательный) нормативный инструмент для создания и оценки практик RM / RA.
• ISO / IEC 18028 : 2006 - Информационные технологии - Методы безопасности - Справочник по безопасности ИТ-сети: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008(Примечание: это ссылка на страницу ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Стандарт из пяти частей (ISO / IEC 18028-1–18028-5), содержащий общепринятые руководящие принципы по аспектам безопасности управления, эксплуатации и использования сетей информационных технологий. Стандарт считается расширением рекомендаций, содержащихся в ISO / IEC 13335 и ISO / IEC 17799, с упором на риски сетевой безопасности. Стандарт является обычно используемым сводом правил и служит ресурсом для внедрения методов управления безопасностью и критерием для аудита таких практик.
• ISO / IEC 27001 : 2005 - Информационные технологии - Методы безопасности - Системы менеджмента информационной безопасности - Ссылка на требования: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103(Примечание: это ссылка на страницу ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Стандарт, содержащий общепринятые рекомендации по внедрению системы менеджмента информационной безопасности в любой организации. Сфера применения: не является общедоступным стандартом ISO, который может быть внедрен добровольно. Хотя этот текст не имеет обязательной юридической силы, он содержит прямые руководящие принципы для создания надежных практик информационной безопасности.Стандарт является очень часто используемым сводом правил и служит ресурсом для внедрения систем управления информационной безопасностью и критерием для аудита таких систем. и / или окружающие практики.Его применение на практике часто сочетается со связанными стандартами, такими как BS 7799-3: 2006, в котором содержится дополнительное руководство для поддержки требований, изложенных в ISO / IEC 27001: 2005 <http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 >
• ISO / IEC 27001: 2013 , обновленный стандарт систем менеджмента информационной безопасности.
• ISO / IEC TR 18044: 2004 - Информационные технологии - Методы безопасности - Справочник по управлению инцидентами информационной безопасности: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396(Примечание: это ссылка на страницу ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Технический отчет (TR), содержащий общепринятые руководящие принципы и общие принципы управления инцидентами информационной безопасности в организации. Объем: не общедоступный ISO TR, который можно использовать добровольно. Хотя текст не имеет обязательной юридической силы, он содержит прямые инструкции по управлению инцидентами. . Стандарт - это ресурс высокого уровня, знакомящий с основными концепциями и соображениями в области реагирования на инциденты. Как таковой, он в основном полезен в качестве катализатора инициатив по повышению осведомленности в этом отношении.
• ISO / IEC 18045: 2005 - Информационные технологии - Методы безопасности - Методология оценки ИТ-безопасности Ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htmТема: Стандарт, содержащий рекомендации по аудиту для оценки соответствия ISO / IEC 15408 (Информационные технологии - Методы безопасности - Критерии оценки ИТ-безопасности) Область применения Общедоступный стандарт ISO, которого необходимо придерживаться при оценке соответствия ISO / IEC 15408 (Информационные технологии - Безопасность методы - критерии оценки ИТ-безопасности). Стандарт является «сопутствующим документом», который, таким образом, в первую очередь используется профессионалами в области безопасности, участвующими в оценке соответствия ISO / IEC 15408 (Информационные технологии - Методы безопасности - Критерии оценки ИТ-безопасности). Поскольку он описывает минимальные действия, которые должны быть выполнены такими аудиторами, соблюдение ISO / IEC 15408 невозможно, если не соблюдается ISO / IEC 18045.
• ISO / TR 13569: 2005 - Финансовые услуги - Ссылка на руководящие принципы информационной безопасности: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (Примечание: это ссылка на страницу ISO, где указан стандарт могут быть приобретены. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Стандарт, содержащий рекомендации по внедрению и оценке политик информационной безопасности в финансовых учреждениях. Стандарт является часто упоминаемым руководством и служит ресурсом для реализации программ управления информационной безопасностью в учреждениях финансового сектора, а также критерием для аудита таких программ. (Смотрите такжеhttp://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf )
• ISO / IEC 21827: 2008 - Информационные технологии - Методы безопасности - Разработка системной безопасности - Модель зрелости возможностей (SSE-CMM): ISO / IEC 21827: 2008 определяет Системную безопасность - Модель зрелости возможностей (SSE-CMM), которая описывает существенные характеристики процесса проектирования безопасности организации, которые должны существовать для обеспечения хорошего проектирования безопасности. ИСО / МЭК 21827: 2008 не предписывает конкретный процесс или последовательность, но отражает практики, обычно наблюдаемые в промышленности. Модель является стандартной метрикой для практики проектирования безопасности.

BSI [ править ]

• BS 25999-1 : 2006 - Управление непрерывностью бизнеса Часть 1: Свод правил Примечание: это только первая часть стандарта BS 25999, который был опубликован в ноябре 2006 года. Часть вторая (которая должна содержать более конкретные критерии с целью возможной аккредитации) еще не появилось. ссылка: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563. Тема: Стандарт, содержащий свод правил обеспечения непрерывности бизнеса. Стандарт задуман как свод правил управления непрерывностью бизнеса и будет расширен второй частью, которая должна разрешить аккредитацию на соответствие стандарту. Учитывая его относительную новизну, потенциальное влияние стандарта трудно оценить, хотя он может иметь большое влияние на практику RM / RA, учитывая общее отсутствие универсально применимых стандартов в этом отношении и растущее внимание к непрерывности бизнеса и планированию действий в чрезвычайных ситуациях в нормативные инициативы. Применение этого стандарта может быть дополнено другими нормами, в частности PAS 77: 2006 - Кодекс практики управления непрерывностью ИТ-услуг < http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858>. TR позволяет специалистам по безопасности определить подходящую методологию для оценки службы безопасности, продукта или фактора окружающей среды (результат). Следуя этому ТЗ, можно определить, какому уровню гарантии безопасности должен соответствовать поставляемый результат, и соответствует ли этот порог на самом деле.
• BS 7799-3 : 2006 - Системы управления информационной безопасностью - Руководство по управлению рисками информационной безопасности Ссылка: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491(Примечание: это ссылка на страницу BSI, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Стандарт, содержащий общие рекомендации по управлению рисками информационной безопасности. Область применения: Не общедоступный стандарт BSI, который может быть реализован добровольно. Хотя этот текст не имеет обязательной юридической силы, он содержит прямые рекомендации по созданию надежных методов защиты информации. Стандарт в основном предназначен в качестве руководящего дополнительного документа к применению вышеупомянутого ISO 27001: 2005, и поэтому обычно применяется вместе с этим стандартом в практике оценки рисков.

Форум информационной безопасности [ править ]

• Стандарт надлежащей практики

См. Также [ править ]

Ссылки [ править ]

Внешние ссылки [ править ]

• Руководство по информационной безопасности Internet2: эффективные методы и решения для высшего образования
• Управление рисками - Принципы и инвентаризация для управления рисками / Методы и инструменты оценки рисков , Дата публикации: 1 июня 2006 г. Авторы: Проведено Техническим отделом отдела управления рисками ENISA
• Clusif Club de la Sécurité de l'Information Français
• 800-30 Руководство по управлению рисками NIST
• 800-39 ПРОЕКТ NIST Управление рисками из информационных систем: организационная перспектива
• Публикация 199 FIPS, Стандарты категоризации безопасности федеральной информации и информации
• Публикация FIPS 200 «Минимальные требования безопасности для федеральных информационных и информационных систем»
• 800-37 Руководство NIST по применению структуры управления рисками к федеральным информационным системам: подход на основе жизненного цикла безопасности
• FISMApedia - это сборник документов и дискуссий, посвященных федеральной ИТ-безопасности США.
• Стандарт анализа рисков Duty of Care (DoCRA)