ИТ-риск

Риск информационных технологий , ИТ-риск , риск, связанный с ИТ , или киберриск — это любой риск, связанный с информационными технологиями . ^[1] Хотя информация уже давно ценится как ценный и важный актив, развитие экономики знаний и цифровой революции привело к тому, что организации становятся все более зависимыми от информации, ее обработки и особенно ИТ. Таким образом, различные события или инциденты, которые тем или иным образом ставят под угрозу ИТ, могут оказать неблагоприятное воздействие на бизнес-процессы или миссию организации, от несущественных до катастрофических по масштабу.

Оценка вероятности или вероятности различных типов событий/инцидентов с их прогнозируемыми последствиями или последствиями, если они произойдут, является распространенным способом оценки и измерения ИТ-рисков. ^[2] Альтернативные методы измерения ИТ-рисков обычно включают оценку других сопутствующих факторов, таких как угрозы , уязвимости, воздействия и стоимость активов. ^{[3] [4]}

Определения [ править ]

ИСО [ править ]

ИТ-риск : вероятность того, что данная или группы активов и угроза воспользуется уязвимостями актива тем самым нанесет вред организации. Он измеряется как сочетание вероятности возникновения события и его последствий. ^[5]

Комитет по системам национальной безопасности [ править ]

Комитет по системам национальной безопасности Соединенных Штатов Америки определил риск в различных документах:

• Из Инструкции ЦНСС № 4009 от 26 апреля 2010 г. ^[6] базовое и более техническое определение:

  Риск – вероятность того, что конкретная угроза окажет негативное влияние на ИС за счет использования определенной уязвимости.

• Инструкция по безопасности телекоммуникаций и информационных систем национальной безопасности (NSTISSI) № 1000, ^[7] вводит вероятностный аспект, очень похожий на аспект NIST SP 800-30:

  Риск – сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности результирующего воздействия.

Национальный учебно-образовательный центр информационного обеспечения определяет риск в сфере ИТ как: ^[8]

1. Потенциал потерь, который существует в результате пар «угроза-уязвимость». Уменьшение угрозы или уязвимости снижает риск.
2. Неопределенность потерь, выраженная через вероятность таких потерь.
3. Вероятность того, что враждебная организация успешно воспользуется конкретной телекоммуникационной системой или системой COMSEC в разведывательных целях; его факторами являются угроза и уязвимость.
4. Сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности результирующего неблагоприятного воздействия.
5. вероятность того, что конкретная угроза воспользуется определенной уязвимостью системы.

НИСТ [ править ]

Многие NIST публикации определяют риск в контексте ИТ в различных публикациях: FISMApedia. ^[9] срок ^[10] предоставьте список. Между ними:

• Согласно NIST SP 800-30: ^[11]

  Риск является функцией вероятности того, что данный источник угрозы проявит определенную потенциальную уязвимость, и результирующего воздействия этого неблагоприятного события на организацию.

• Из НИСТ ФИПС 200 ^[12]

  Риск – уровень воздействия на операции организации (включая миссию, функции, имидж или репутацию), активы организации или отдельных лиц в результате работы информационной системы с учетом потенциального воздействия угрозы и вероятности возникновения этой угрозы.

НИСТ СП 800-30 ^[11] определяет:

Риск, связанный с ИТ

Чистый эффект миссии с учетом:

1. вероятность того, что конкретный источник угрозы воспользуется (случайно вызовет или намеренно воспользуется) определенной уязвимостью информационной системы и
2. результирующее воздействие, если это произойдет. Риски, связанные с ИТ, возникают в результате юридической ответственности или потери миссии из-за:
   1. Несанкционированное (злонамеренное или случайное) раскрытие, изменение или уничтожение информации.
   2. Непреднамеренные ошибки и упущения
   3. Сбои в работе ИТ-инфраструктуры из-за природных или техногенных катастроф.
   4. Несоблюдение должной осторожности и осмотрительности при внедрении и эксплуатации ИТ-системы.

рисками Понимание управления ​

ИТ-риск — это вероятная частота и вероятная величина будущих потерь. ^[13]

ИСАКА [ править ]

ISACA опубликовала структуру рисков ИТ , чтобы обеспечить комплексное и комплексное представление обо всех рисках, связанных с использованием ИТ. Там, ^[14] ИТ-риск определяется как:

Бизнес-риск, связанный с использованием, владением, эксплуатацией, вовлечением, влиянием и внедрением ИТ на предприятии.

По данным Risk IT , ^[14] ИТ-риск имеет более широкое значение: он включает в себя не только негативное влияние операций и предоставления услуг, которое может привести к разрушению или снижению стоимости организации, но также риск выгоды/ценности, связанный с упущенными возможностями использования технологий для обеспечения или улучшить бизнес или управление ИТ-проектами для таких аспектов, как перерасход или задержка доставки с неблагоприятными последствиями для бизнеса.

Измерение ИТ-рисков [ править ]

Вы не можете эффективно и последовательно управлять тем, что не можете измерить, и вы не можете измерить то, что не определили. ^{[13] [15]}

Измерение ИТ-риска (или киберриска) может происходить на многих уровнях. На бизнес-уровне риски управляются категорически. Передовые ИТ-отделы и центральные операционные центры склонны измерять более дискретные, индивидуальные риски. Управление связями между ними является ключевой ролью для современных директоров по информационной безопасности .

При измерении риска любого рода важным шагом является выбор правильного уравнения для данной угрозы, актива и доступных данных. Это вопрос сам по себе, но существуют общие компоненты уравнений риска, которые полезно понять.

В управлении рисками участвуют четыре фундаментальные силы, которые также применимы и к кибербезопасности. Это активы, влияние, угрозы и вероятность. У вас есть внутренние знания и достаточная степень контроля над активами , которые представляют собой материальные и нематериальные вещи, имеющие ценность. У вас также есть некоторый контроль над воздействием , которое относится к утрате или повреждению актива. Однако угрозы , которые представляют собой противники и их методы атаки, находятся вне вашего контроля. Вероятность — это джокер в группе. Вероятность определяет, когда и когда угроза материализуется, увенчается успехом и нанесет ущерб. Хотя вероятность событий никогда не находится под вашим полным контролем, ее можно формировать и влиять на нее, чтобы управлять риском. ^[16]

Математически силы можно представить в виде такой формулы: ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$ где p() — это вероятность того, что Угроза материализуется/успех в отношении Актива, а d() — это вероятность различных уровней ущерба, который может возникнуть. ^[17]

Область управления ИТ-рисками породила ряд терминов и методов, уникальных для отрасли. Некоторые отраслевые термины еще не согласованы. Например, термин «уязвимость» часто используется как синоним вероятности возникновения, что может быть проблематичным. Часто встречающиеся термины и методы управления ИТ-рисками включают в себя:

Мероприятие по информационной безопасности

Выявленное возникновение состояния системы, службы или сети, указывающее на возможное нарушение политики информационной безопасности или отказ средств защиты, или на ранее неизвестную ситуацию, которая может иметь отношение к безопасности. ^[5]

Наступление определенного стечения обстоятельств ^[18]

• Событие может быть определенным или неопределенным.
• Событие может быть единичным событием или серией событий. :(Руководство ISO/IEC 73)

Инцидент информационной безопасности

обозначается одним или серией нежелательных событий информационной безопасности, которые имеют значительную вероятность поставить под угрозу бизнес-операции и поставить под угрозу информационную безопасность. ^[5]

Событие [G.11], которое было оценено как имеющее фактическое или потенциально неблагоприятное воздействие на безопасность или производительность системы. ^[19]

Влияние ^[20]

Результат нежелательного инцидента [G.17]. (ISO/IEC PDTR 13335-1).

Последствие ^[21]

Исход события [G.11]

• Одно событие может иметь несколько последствий.
• Последствия могут варьироваться от положительных до отрицательных.
• Последствия могут быть выражены качественно или количественно (Руководство ISO/IEC 73).

Риск R представляет собой произведение вероятности L возникновения инцидента безопасности, умноженного на воздействие I , которое будет нанесено организации в результате инцидента, то есть: ^[22]

р = л × я

Вероятность возникновения инцидента безопасности является функцией вероятности появления угрозы и вероятности того, что угроза сможет успешно использовать соответствующие уязвимости системы.

Последствия возникновения инцидента безопасности являются функцией вероятного воздействия, которое инцидент окажет на организацию в результате ущерба, который будет нанесен активам организации. Ущерб связан со стоимостью активов для организации; один и тот же актив может иметь разную ценность для разных организаций.

Таким образом, R может быть функцией четырех факторов :

• A = Стоимость активов
• T = вероятность угрозы
• V = характер уязвимости , т.е. вероятность того, что она может быть использована (пропорциональна потенциальной выгоде для злоумышленника и обратно пропорциональна стоимости эксплуатации).
• I = вероятное воздействие , степень вреда

При числовых значениях (деньги за воздействие и вероятности других факторов) риск может быть выражен в денежном выражении и сравнен со стоимостью контрмер и остаточным риском после применения мер безопасности. Не всегда практично выражать эти значения, поэтому на первом этапе оценки риска риски оцениваются безразмерно по трех- или пятиступенчатой ​​шкале.

OWASP предлагает практическое руководство по измерению рисков ^[22] на основе:

• Оценка вероятности как среднего значения между различными факторами по шкале от 0 до 9:
  • агента угрозы Факторы
    • Уровень квалификации: насколько технически подготовлена ​​эта группа агентов угроз? Никаких технических навыков (1), некоторые технические навыки (3), продвинутый пользователь компьютера (4), навыки работы в сети и программирования (6), навыки проникновения в систему безопасности (9)
    • Мотив: Насколько мотивирована эта группа агентов угроз найти и использовать эту уязвимость? Низкая награда или ее отсутствие (1), возможная награда (4), высокая награда (9)
    • Возможность. Какие ресурсы и возможности необходимы этой группе агентов угроз для обнаружения и использования этой уязвимости? требуется полный доступ или дорогостоящие ресурсы (0), требуется специальный доступ или ресурсы (4), требуется некоторый доступ или ресурсы (7), доступ или ресурсы не требуются (9)
    • Размер: насколько велика эта группа агентов угроз? Разработчики (2), системные администраторы (2), пользователи интрасети (4), партнеры (5), прошедшие проверку пользователи (6), анонимные пользователи Интернета (9)
  • Факторы уязвимости : следующий набор факторов связан с уязвимостью. Цель здесь — оценить вероятность того, что конкретная уязвимость будет обнаружена и использована. Предположим, что агент угрозы выбран выше.
    • Легкость обнаружения: насколько легко этой группе агентов угроз обнаружить эту уязвимость? Практически невозможно (1), сложно (3), легко (7), доступны автоматизированные инструменты (9)
    • Простота использования . Насколько легко этой группе агентов угроз фактически воспользоваться этой уязвимостью? Теоретический (1), сложный (3), простой (5), доступны автоматизированные инструменты (9)
    • Осведомленность: насколько хорошо известна эта уязвимость этой группе агентов угроз? Неизвестно (1), скрыто (4), очевидно (6), общеизвестно (9)
    • Обнаружение вторжений: насколько вероятно, что эксплойт будет обнаружен? Активное обнаружение в приложении (1), записывается и проверяется (3), записывается без проверки (8), не записывается (9)
• Оценка воздействия как среднее между различными факторами по шкале от 0 до 9.
  • Факторы технического воздействия; техническое воздействие можно разбить на факторы, соответствующие традиционным областям безопасности: конфиденциальность, целостность, доступность и подотчетность. Цель состоит в том, чтобы оценить масштабы воздействия на систему, если уязвимость будет использована.
    • Утрата конфиденциальности : какой объем данных может быть раскрыт и насколько они конфиденциальны? Раскрыто минимальное количество неконфиденциальных данных (2), раскрыто минимальное количество важных данных (6), раскрыто большое количество неконфиденциальных данных (6), раскрыто большое количество важных данных (7), раскрыты все данные (9)
    • Потеря целостности : какой объем данных может быть поврежден и насколько они повреждены? Минимальные слегка поврежденные данные (1), минимальные серьезно поврежденные данные (3), обширные слегка поврежденные данные (5), обширные серьезно поврежденные данные (7), все данные полностью повреждены (9)
    • Потеря доступности Сколько услуг может быть потеряно и насколько это важно? Минимальные вторичные услуги прерваны (1), минимальные первичные услуги прерваны (5), обширные вторичные услуги прерваны (5), обширные первичные услуги прерваны (7), все услуги полностью потеряны (9)
    • Потеря ответственности: можно ли отследить действия агентов угроз до конкретного человека? Полностью отслеживаемый (1), возможно отслеживаемый (7), полностью анонимный (9)
  • Факторы влияния на бизнес. Влияние на бизнес обусловлено техническим воздействием, но требует глубокого понимания того, что важно для компании, использующей приложение. В общем, вы должны стремиться поддержать свои риски с помощью бизнеса, особенно если ваша аудитория — это руководители высшего звена. Бизнес-риск — это то, что оправдывает инвестиции в решение проблем безопасности.
    • Финансовый ущерб: какой финансовый ущерб может быть нанесен эксплойтом? Меньше, чем стоимость устранения уязвимости (1), незначительное влияние на годовую прибыль (3), значительное влияние на годовую прибыль (7), банкротство (9)
    • Ущерб репутации: приведет ли эксплойт к ущербу репутации, который нанесет вред бизнесу? Минимальный ущерб (1), потеря крупных клиентов (4), потеря репутации (5), ущерб бренду (9)
    • Несоблюдение требований: Насколько велик риск несоблюдения требований? Незначительное нарушение (2), явное нарушение (5), громкое нарушение (7)
    • Нарушение конфиденциальности : какой объем личной информации может быть раскрыт? Один человек (3), сотни людей (5), тысячи людей (7), миллионы людей (9)
  • Если влияние на бизнес рассчитано точно, используйте его в следующих случаях, в противном случае используйте Техническое воздействие.
• Оцените вероятность и влияние по шкале НИЗКАЯ, СРЕДНЯЯ, ВЫСОКАЯ, при условии, что менее 3 – НИЗКАЯ, от 3 до менее 6 – СРЕДНЯЯ, а от 6 до 9 – ВЫСОКАЯ.
• Рассчитайте риск, используя следующую таблицу

Общая серьезность риска
Влияние	ВЫСОКИЙ	Середина	Высокий	Критический
	СЕРЕДИНА	Низкий	Середина	Высокий
	НИЗКИЙ	Никто	Низкий	Середина
		НИЗКИЙ	СЕРЕДИНА	ВЫСОКИЙ
	Вероятность

Управление ИТ-рисками [ править ]

Управление ИТ-рисками можно рассматривать как компонент более широкой системы управления рисками предприятия . ^[23]

Создание, поддержание и постоянное обновление системы управления информационной безопасностью (СУИБ) являются убедительным свидетельством того, что компания использует систематический подход для выявления, оценки и управления рисками информационной безопасности. ^[24]

Для управления ИТ-рисками были предложены различные методологии, каждая из которых разделена на процессы и этапы. ^[25]

В « Руководстве по проверке сертифицированных аудиторов информационных систем» , выпущенном в 2006 году ISACA, международной профессиональной ассоциацией, занимающейся управлением ИТ, содержится следующее определение управления рисками: «Управление рисками – это процесс выявления уязвимостей и угроз информационным ресурсам, используемым организацией для достижения бизнес-целей и принятия решения о том, какие контрмеры , если таковые имеются, предпринять для снижения риска до приемлемого уровня, исходя из ценности информационного ресурса для организации». ^[26]

поощряет Структура кибербезопасности NIST организации управлять ИТ-рисками в рамках функции идентификации (ID): ^{[27] [28]}

Оценка риска (ID.RA) : Организация понимает риск кибербезопасности для операций организации (включая миссию, функции, имидж или репутацию), активов организации и отдельных лиц.

• ID.RA-1: Уязвимости активов идентифицированы и задокументированы.
• ID.RA-2: Информация о киберугрозах и уязвимостях получена с форумов и источников по обмену информацией.
• ID.RA-3: Угрозы, как внутренние, так и внешние, идентифицированы и документированы.
• ID.RA-4: Определены потенциальные последствия и вероятности для бизнеса.
• ID.RA-5: Для определения риска используются угрозы, уязвимости, вероятности и воздействия.
• ID.RA-6: Меры реагирования на риски определены и расставлены по приоритетам

Стратегия управления рисками (ID.RM) : Приоритеты, ограничения, толерантность к риску и предположения организации устанавливаются и используются для поддержки решений по операционным рискам.

• ID.RM-1: Процессы управления рисками устанавливаются, управляются и согласовываются заинтересованными сторонами организации.
• ID.RM-2: Толерантность к риску в организации определена и четко выражена.
• ID.RM-3: Определение толерантности организации к риску определяется ее ролью в критической инфраструктуре и анализе рисков для конкретного сектора.

Законы и положения об ИТ-рисках [ править ]

Ниже приводится краткое описание применимых правил, сгруппированных по источникам. ^[29]

ОЭСР [ править ]

ОЭСР опубликовала следующее:

• Организация экономического сотрудничества и развития (ОЭСР) Рекомендация Совета относительно руководящих принципов, регулирующих защиту конфиденциальности и трансграничных потоков персональных данных (23 сентября 1980 г.)
• Рекомендации ОЭСР по безопасности информационных систем и сетей: на пути к культуре безопасности (25 июля 2002 г.). Тема: Общая информационная безопасность. Область применения: Необязательные рекомендации для любых организаций ОЭСР (правительства, предприятия, другие организации и отдельные пользователи, которые разрабатывают, владеют, предоставляют, управляют, обслуживают и используют информационные системы и сети). В Руководящих принципах ОЭСР излагаются основные принципы, лежащие в основе практики управления рисками и информационной безопасности. Хотя ни одна часть текста не является обязательной как таковая, несоблюдение любого из принципов свидетельствует о серьезном нарушении передовой практики RM/RA, которое потенциально может повлечь за собой ответственность.

Европейский Союз [ править ]

Европейский Союз опубликовал следующее, разделенное по темам:

• Конфиденциальность
  • Регламент (ЕС) № 45/2001 о защите физических лиц в отношении обработки персональных данных учреждениями и органами Сообщества, а также о свободном перемещении таких данных представляет собой внутреннее регулирование, которое представляет собой практическое применение принципов Директива о конфиденциальности, описанная ниже. Кроме того, статья 35 Регламента требует, чтобы учреждения и органы Сообщества принимали аналогичные меры предосторожности в отношении своей телекоммуникационной инфраструктуры и должным образом информировали пользователей о любых конкретных рисках нарушений безопасности.
  • Директива 95/46/EC о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных требует, чтобы любая деятельность по обработке персональных данных подвергалась предварительному анализу рисков с целью определения последствий такой деятельности для конфиденциальности. и определить соответствующие правовые, технические и организационные меры для защиты такой деятельности; эффективно защищен такими мерами, которые должны быть современными с учетом конфиденциальности и последствий деятельности для конфиденциальности (в том числе, когда третье лицо обвиняется в задача обработки) уведомляется национальный орган по защите данных, включая меры, принятые для обеспечения безопасности деятельности. Кроме того, статья 25 и последующие Директивы требуют от государств-членов запретить передачу персональных данных государствам, не являющимся членами ЕС, за исключением случаев, когда такие страны обеспечили адекватную правовую защиту таких персональных данных или за исключением некоторых других исключений.
  • Решение Комиссии 2001/497/EC от 15 июня 2001 г. о стандартных договорных положениях о передаче персональных данных в третьи страны в соответствии с Директивой 95/46/EC; и Решение Комиссии 2004/915/EC от 27 декабря 2004 г., вносящее поправки в Решение 2001/497/EC в отношении введения альтернативного набора стандартных договорных условий для передачи персональных данных в третьи страны. Тема: Экспорт персональных данных в третьи страны, в частности в страны, не входящие в ЕС, которые не были признаны имеющими адекватный уровень защиты данных (т.е. эквивалентный уровню ЕС). Оба решения Комиссии содержат набор добровольных типовых положений, которые могут использоваться для экспорта персональных данных от контролера данных (на которого распространяются правила ЕС о защите данных) обработчику данных за пределами ЕС, на которого не распространяются эти правила или аналогичные правила. набор адекватных правил.
  • Международные принципы конфиденциальности Safe Harbor (см. ниже США и Международные принципы конфиденциальности Safe Harbor )
  • Директива 2002/58/EC от 12 июля 2002 г. об обработке персональных данных и защите конфиденциальности в секторе электронных коммуникаций.
• Национальная безопасность
  • Директива 2006/24/EC от 15 марта 2006 г. о хранении данных, созданных или обработанных в связи с предоставлением общедоступных услуг электронной связи или сетей общественной связи, и вносящая поправки в Директиву 2002/58/EC (« Директива о хранении данных »). Тема: Требование к поставщикам государственных электронных телекоммуникационных услуг сохранять определенную информацию для целей расследования, выявления и преследования тяжких преступлений.
  • Директива Совета 2008/114/EC от 8 декабря 2008 г. об идентификации и назначении европейских критически важных инфраструктур и оценке необходимости улучшения их защиты. Тема: Идентификация и защита европейских критических инфраструктур. Область применения: Применимо к государствам-членам и операторам европейской критической инфраструктуры (определенной в проекте директивы как «критическая инфраструктура, нарушение или разрушение которой существенно повлияет на два или более государства-члена или одно государство-член, если критическая инфраструктура расположена в другом государстве-члене ЕС Это включает эффекты, возникающие в результате межсекторальной зависимости от других типов инфраструктуры»). Требует от государств-членов определить критически важные инфраструктуры на своих территориях и обозначить их как ECI. После этого назначения владельцы/операторы ECI должны создать планы безопасности операторов (OSP), которые должны установить соответствующие решения безопасности для их защиты.
• Гражданское и уголовное право
  • Рамочное решение Совета 2005/222/JHA от 24 февраля 2005 г. об атаках на информационные системы. Тема: Общее решение, направленное на гармонизацию национальных положений в области киберпреступности, охватывающее материальное уголовное право (т.е. определения конкретных преступлений), уголовно-процессуальное право (включая следственные меры и международное сотрудничество) и вопросы ответственности. Сфера применения: Требует от государств-членов имплементировать положения Рамочного решения в свои национальные правовые рамки. Рамочное решение актуально для РМ/РА, поскольку оно содержит условия, при которых юридическая ответственность может быть возложена на юридических лиц за поведение определенных физических лиц, обладающих полномочиями внутри юридического лица. Таким образом, Рамочное решение требует, чтобы поведение таких лиц внутри организации подвергалось адекватному контролю, в том числе и потому, что в Решении указано, что юридическое лицо может быть привлечено к ответственности за бездействие в этом отношении.

Совет Европы [ править ]

• Конвенция Совета Европы о киберпреступности, Будапешт, 23.XI.2001 г. , Серия европейских договоров-№. 185. Тема: Общий договор, направленный на гармонизацию национальных положений в области киберпреступности, охватывающий материальное уголовное право (т.е. определения конкретных преступлений), уголовно-процессуальное право (включая следственные меры и международное сотрудничество), вопросы ответственности и хранения данных. Помимо определений ряда уголовных правонарушений, содержащихся в статьях 2–10, Конвенция актуальна для РМ/РА, поскольку она устанавливает условия, при которых юридическая ответственность может быть возложена на юридических лиц за поведение определенных физических лиц, обладающих властью в пределах юридического права. сущность. Таким образом, Конвенция требует, чтобы поведение таких лиц внутри организации адекватно контролировалось, в том числе и потому, что Конвенция гласит, что юридическое лицо может быть привлечено к ответственности за бездействие в этом отношении.

США [ править ]

Соединенные Штаты выпустили следующее, разделенное по темам:

• Гражданское и уголовное право
  • Поправки к Федеральным правилам гражданского судопроизводства в части электронного раскрытия информации . Тема: Федеральные правила США в отношении производства электронных документов в гражданском судопроизводстве. Правила раскрытия информации позволяют стороне гражданского судопроизводства требовать от противной стороны предоставления всей имеющейся у нее соответствующей документации (которая будет определена запрашивающей стороной), чтобы позволить сторонам и суду правильно оценить дело. Благодаря поправке об электронном раскрытии, которая вступила в силу 1 декабря 2006 года, такая информация теперь может включать электронную информацию. Это означает, что любую сторону, представляемую в суд США по гражданскому делу, можно попросить предоставить такие документы, которые включают окончательные отчеты, рабочие документы, внутренние записки и электронные письма по конкретному вопросу, который может или не может быть конкретно очерчено. Поэтому любая сторона, деятельность которой предполагает риск участия в таком разбирательстве, должна принять адекватные меры предосторожности для управления такой информацией, включая безопасное хранение. В частности: сторона должна иметь возможность инициировать «судебное удержание», техническую/организационную меру, которая должна гарантировать, что никакая соответствующая информация не может быть изменена каким-либо образом. Политика хранения должна быть ответственной: хотя удаление конкретной информации, конечно, остается разрешенным, если это является частью общей политики управления информацией («обычное добросовестное функционирование информационной системы», Правило 37 (f)), умышленное уничтожение потенциально значимая информация может быть наказана чрезвычайно высокими штрафами (в одном конкретном случае — 1,6 миллиарда долларов США). Таким образом, на практике любой бизнес, который рискует подать гражданский иск в суды США, должен внедрить адекватную политику управления информацией и принять необходимые меры для инициирования приостановления судебного разбирательства.
• Конфиденциальность
  • Закон Калифорнии о конфиденциальности потребителей (CCPA)
  • Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA)
  • Закон Грэма-Лича-Блайли (GLBA)
  • Закон США «Патриот», Раздел III
  • Закон о переносимости и подотчетности медицинского страхования (HIPAA) С точки зрения RM/RA, этот Закон особенно известен своими положениями, касающимися административного упрощения (Раздел II HIPAA). Это название требовало от Министерства здравоохранения и социальных служб США (HHS) разработки конкретных наборов правил, каждый из которых предусматривал бы конкретные стандарты, которые повышали бы эффективность системы здравоохранения и предотвращали злоупотребления. В результате HHS приняло пять основных правил: Правило конфиденциальности, Правило транзакций и кодовых наборов, Правило уникальных идентификаторов, Правоприменительное правило и Правило безопасности. Последний, опубликованный в Федеральном реестре 20 февраля 2003 г. (см.: http://www.cms.hhs.gov/SecurityStandard/Downloads/securityfinalrule.pdf . Архивировано 29 декабря 2009 г. на Wayback Machine ), особенно актуален, поскольку он определяет ряд административных, технических и физических процедур безопасности для обеспечения конфиденциальности защищенной электронной медицинской информации. Эти аспекты были дополнительно изложены в наборе стандартов безопасности по административным, физическим, организационным и техническим мерам безопасности, которые были опубликованы вместе с руководящим документом по основам управления рисками и оценки рисков HIPAA < http://www.cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp. Архивировано 23 января 2010 г. в Wayback Machine >. На поставщиков медицинских услуг в Европе и других странах обязательства HIPAA, как правило, не распространяются, если они не ведут активную деятельность на рынке США. Однако, поскольку их деятельность по обработке данных подпадает под аналогичные обязательства в соответствии с общим европейским законодательством (включая Директиву о конфиденциальности), а также поскольку основные тенденции модернизации и перехода к электронным медицинским файлам одинаковы, гарантии HHS могут быть полезны в качестве первоначального критерия. для измерения стратегий RM/RA, внедренных европейскими поставщиками медицинских услуг, особенно в отношении обработки электронной медицинской информации. Стандарты безопасности HIPAA включают следующее:
    • Административные гарантии:
      • Процесс управления безопасностью
      • Назначенная ответственность за безопасность
      • Безопасность персонала
      • Управление доступом к информации
      • Осведомленность и обучение безопасности
      • Процедуры инцидентов безопасности
      • План действий в непредвиденных обстоятельствах
      • Оценка
      • Контракты с деловыми партнерами и другие договоренности
    • Физические гарантии
      • Контроль доступа к объектам
      • Использование рабочей станции
      • Безопасность рабочей станции
      • Элементы управления устройствами и мультимедиа
    • Технические гарантии
      • Контроль доступа
      • Аудиторский контроль
      • Честность
      • Аутентификация физического или юридического лица
      • Безопасность передачи
    • Организационные требования
      • Контракты с деловыми партнерами и другие договоренности
      • Требования к групповым планам медицинского страхования
  • Международные принципы конфиденциальности Safe Harbor , изданные Министерством торговли США 21 июля 2000 г. Экспорт персональных данных от контролера данных, на которого распространяются правила конфиденциальности ЕС, в пункт назначения, базирующийся в США; Прежде чем персональные данные могут быть экспортированы из организации, на которую распространяются правила конфиденциальности ЕС, в пункт назначения, на который распространяется действие законодательства США, европейская организация должна убедиться, что принимающая организация предоставляет адекватные гарантии для защиты таких данных от ряда неудач. Одним из способов выполнения этого обязательства является требование от принимающей организации присоединиться к «Безопасной гавани», потребовав от организации самостоятельно подтвердить свое соответствие так называемым «Принципам безопасной гавани». Если выбрана эта дорога, контролер данных, экспортирующий данные, должен убедиться, что пункт назначения в США действительно находится в списке «безопасной гавани» (см. список «безопасной гавани »).
  • США Министерство внутренней безопасности также использует оценку воздействия на конфиденциальность (PIA) в качестве инструмента принятия решений для выявления и снижения рисков нарушения конфиденциальности. ^[30]
• Закон Сарбейнса-Оксли
• ФИСМА
• Управление рисками кибербезопасности SEC, стратегия, управление и раскрытие инцидентов ^[31]

По мере развития законодательства все больше внимания уделяется требованию «разумной безопасности» для управления информацией. CCPA заявляет, что «производители подключенных устройств должны обеспечить достаточную безопасность устройств». ^[32] Закон штата Нью-Йорк SHIELD требует, чтобы организации, которые управляют информацией жителей Нью-Йорка, «разрабатывали, внедряли и поддерживали разумные меры безопасности для защиты безопасности, конфиденциальности и целостности частной информации, включая, помимо прочего, удаление данных». Эта концепция будет влиять на то, как предприятия будут управлять своим планом управления рисками по мере развития требований соответствия.

стандартизации и стандарты по Организации

• Международные организации по стандартизации:
  • Международная организация по стандартизации – ISO
  • Совет по стандартам безопасности индустрии платежных карт
  • Форум по информационной безопасности
  • Открытая группа
• Стандартные органы США:
  • Национальный институт стандартов и технологий – NIST
  • Федеральные стандарты обработки информации - FIPS от NIST, посвященные федеральному правительству и агентствам.
• Стандартные корпуса Великобритании
  • Британский институт стандартов

Краткое описание стандартов [ править ]

Список в основном основан на: ^[29]

ИСО [ править ]

• ISO/IEC 13335-1 :2004 – Информационные технологии. Методы обеспечения безопасности. Управление безопасностью информационных и коммуникационных технологий. Часть 1. Концепции и модели управления безопасностью информационных и коммуникационных технологий http://www.iso.org/iso/en/ CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066 . Стандарт, содержащий общепринятые описания концепций и моделей управления безопасностью информационных и коммуникационных технологий. Стандарт представляет собой широко используемый свод правил и служит ресурсом для реализации методов управления безопасностью и критерием для аудита таких методов. (См. также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf . Архивировано 6 декабря 2010 г. в Wayback Machine .)
• ISO/IEC TR 15443-1 безопасности. Структура обеспечения безопасности ИТ. Ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 :2005 – Информационные технологии. Методы обеспечения ссылка на страницу ISO, где можно получить стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы. Тема: Обеспечение безопасности. Технический отчет (TR) содержит общепринятые рекомендации, которые можно использовать для определения подходящего метода обеспечения безопасности для оценки услуги безопасности, продукта или фактора окружающей среды.
• ISO/IEC 15816:2002 – Информационные технологии. Методы обеспечения безопасности. Информационные объекты безопасности для контроля доступа. Ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (Примечание: это ссылка на страница ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Управление безопасностью – Контроль доступа. Стандарт позволяет специалистам по безопасности полагаться на определенный набор синтаксических определений и объяснений в отношении SIO, избегая таким образом дублирования или расхождений в других усилиях по стандартизации.
• ISO/IEC TR 15947:2002 – Информационные технологии. Методы обеспечения безопасности. Ссылка на структуру обнаружения вторжений в ИТ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (Примечание: это ссылка на Страница ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Управление безопасностью – Обнаружение вторжений в ИТ-системы. Стандарт позволяет специалистам по безопасности полагаться на определенный набор концепций и методологий для описания и оценки рисков безопасности в отношении потенциальных вторжений в ИТ-системы. Он не содержит каких-либо обязательств по РМ/РА как таковых, а скорее является инструментом для содействия деятельности РМ/РА в затрагиваемой сфере.
• ISO/IEC 15408-1 /2/3:2005 – Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель (15408-1). Часть 2. Функциональные требования безопасности (15408-2). Часть 3. : Требования к обеспечению безопасности (15408-3). Ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm . Тема: Стандарт, содержащий общий набор требований к функциям безопасности ИТ-продукты и системы, а также меры обеспечения безопасности, применяемые к ним во время оценки безопасности. Область применения: общедоступный стандарт ISO, который может быть внедрен добровольно. Текст представляет собой ресурс для оценки безопасности ИТ-продуктов и систем и, таким образом, может использоваться в качестве инструмента для RM/RA. Стандарт обычно используется в качестве ресурса для оценки безопасности ИТ-продуктов и систем; в том числе (если не специально) для принятия решений о закупках такой продукции. Таким образом, стандарт можно использовать в качестве инструмента RM/RA для определения безопасности ИТ-продукта или системы во время его проектирования, производства или маркетинга или перед его приобретением.
• ISO/IEC 17799 :2005 – Информационные технологии. Методы обеспечения безопасности. Свод правил управления информационной безопасностью. ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Стандарт, содержащий общепринятые рекомендации и общие принципы инициирования, внедрения, поддержания и улучшения управления информационной безопасностью в организации, включая управление непрерывностью бизнеса. Стандарт представляет собой широко используемый свод правил и служит ресурсом для реализации методов управления информационной безопасностью и критерием для аудита таких методов. (См. также ISO/IEC 17799 )
• ISO/IEC TR 15446:2004 – Информационные технологии. Методы обеспечения безопасности. Руководство по созданию профилей защиты и целей безопасности. ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Тема: Технический отчет (TR), содержащий рекомендации по созданию профилей защиты (PP) и целей безопасности (ST). ), которые должны соответствовать стандарту ISO/IEC 15408 («Общие критерии»). Стандарт преимущественно используется профессионалами в области безопасности в качестве инструмента для разработки ПЗ и ЗБ, но также может использоваться для оценки их обоснованности (путем использования ТР в качестве критерия для определения того, соблюдаются ли его стандарты). Таким образом, это (необязательный) нормативный инструмент для создания и оценки практик RM/RA.
• ISO/IEC 18028 :2006 – Информационные технологии – Методы обеспечения безопасности – Справочник по безопасности ИТ-сети: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (Примечание: это ссылка на страницу ISO /IEC 18028:2006). где стандарт можно приобрести. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть указаны). Тема: Стандарт из пяти частей (ISO/IEC 18028-1–18028-5), содержащий общепринятые рекомендации по аспектам безопасности управления, эксплуатации и использования сетей информационных технологий. Этот стандарт считается расширением руководящих принципов, содержащихся в ISO/IEC 13335 и ISO/IEC 17799, с уделением особого внимания рискам сетевой безопасности. Стандарт представляет собой широко используемый свод правил и служит ресурсом для реализации методов управления безопасностью и критерием для аудита таких методов.
• ISO/IEC 27001 :2005 – Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Ссылка на требования: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (Примечание: это ссылка на страница ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Стандарт, содержащий общепринятые рекомендации по внедрению системы управления информационной безопасностью в любой организации. Область применения: не является общедоступным стандартом ISO, который может быть внедрен добровольно. Хотя текст не имеет обязательной юридической силы, он содержит прямые рекомендации по созданию надежных методов информационной безопасности. Стандарт представляет собой очень часто используемый свод правил и служит ресурсом для внедрения систем управления информационной безопасностью и критерием для аудита таких систем. и/или сопутствующие практики. Его применение на практике часто сочетается с соответствующими стандартами, такими как BS 7799-3:2006, который содержит дополнительные рекомендации для поддержки требований, приведенных в ISO/IEC 27001:2005. http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 ^{[ постоянная мертвая ссылка ]} >
• ISO/IEC 27001:2013 — обновленный стандарт для систем управления информационной безопасностью.
• ISO/IEC TR 18044:2004 – Информационные технологии. Методы обеспечения безопасности. Справочник по управлению инцидентами информационной безопасности: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (Примечание: это ссылка на Страница ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Технический отчет (ТР), содержащий общепринятые рекомендации и общие принципы управления инцидентами информационной безопасности в организации. Область применения: Не общедоступный ТР ISO, который можно использовать добровольно. Хотя текст не имеет юридической силы, он содержит прямые рекомендации по управлению инцидентами. . Стандарт представляет собой ресурс высокого уровня, в котором представлены основные концепции и соображения в области реагирования на инциденты. Таким образом, он в основном полезен в качестве катализатора инициатив по повышению осведомленности в этом отношении.
• безопасности. Методология оценки ИТ-безопасности . ISO/IEC 18045:2005 – Информационные технологии. Методы обеспечения руководящие принципы оценки соответствия ISO/IEC 15408 (Информационные технологии – Методы обеспечения безопасности – Критерии оценки ИТ-безопасности) Область применения Общедоступный стандарт ISO, которому необходимо следовать при оценке соответствия ISO/IEC 15408 (Информационные технологии – Методы обеспечения безопасности – Критерии оценки для ИТ-безопасность). Стандарт представляет собой «сопутствующий документ», который, таким образом, в первую очередь используется специалистами по безопасности, участвующими в оценке соответствия ISO/IEC 15408 (Информационные технологии – Методы обеспечения безопасности – Критерии оценки ИТ-безопасности). Поскольку он описывает минимальные действия, которые должны выполнять такие аудиторы, соответствие стандарту ISO/IEC 15408 невозможно, если ISO/IEC 18045 был проигнорирован.
• ISO/TR 13569:2005 – Финансовые услуги. Ссылка на рекомендации по информационной безопасности: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (Примечание: это ссылка на страницу ISO, где стандарт Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы. Тема: Стандарт, содержащий рекомендации по внедрению и оценке политики информационной безопасности в учреждениях финансовых услуг. Стандарт является широко используемым руководством и служит ресурсом для реализации программ управления информационной безопасностью в учреждениях финансового сектора, а также критерием для аудита таких программ. (См. также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf . Архивировано 6 декабря 2010 г. в Wayback Machine .)
• ISO/IEC 21827:2008 – Информационные технологии – Методы обеспечения безопасности – Проектирование системной безопасности – Модель зрелости возможностей (SSE-CMM): ISO/IEC 21827:2008 определяет проектирование системной безопасности – Модель зрелости возможностей (SSE-CMM), которая описывает основные характеристики процесса разработки безопасности организации, которые должны существовать для обеспечения хорошей разработки безопасности. ISO/IEC 21827:2008 не предписывает конкретный процесс или последовательность, но отражает практику, обычно наблюдаемую в промышленности. Модель представляет собой стандартную метрику для практики обеспечения безопасности.

БСИ [ править ]

• BS 25999-1 :2006 – Управление непрерывностью бизнеса. Часть 1. Свод правил. Примечание: это только первая часть стандарта BS 25999, опубликованного в ноябре 2006 г. Часть вторая (которая должна содержать более конкретные критерии с целью возможной аккредитации) еще не появился. ссылка: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563 . Тема: Стандарт, содержащий кодекс практики обеспечения непрерывности бизнеса. Стандарт задуман как свод правил управления непрерывностью бизнеса и будет расширен второй частью, которая должна разрешить аккредитацию на соответствие стандарту. Учитывая его относительную новизну, потенциальное влияние стандарта трудно оценить, хотя он может иметь большое влияние на практику RM/RA, учитывая общее отсутствие универсально применимых стандартов в этом отношении и растущее внимание к непрерывности бизнеса и планированию на случай непредвиденных обстоятельств в регуляторные инициативы. Применение этого стандарта может быть дополнено другими нормами, в частности PAS 77:2006 – Кодекс практики управления непрерывностью ИТ-услуг < http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858 >.TR позволяет специалистам по безопасности определить подходящую методологию для оценки услуги безопасности, продукта или фактора окружающей среды (результат) . Следуя этому ТР, можно определить, какому уровню обеспечения безопасности должен соответствовать результат поставки, и действительно ли этот результат соответствует этому порогу.
• BS 7799-3 :2006 – Системы управления информационной безопасностью. Рекомендации по управлению рисками информационной . безопасности является ссылкой на страницу BSI, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы. Тема: Стандарт, содержащий общие рекомендации по управлению рисками информационной безопасности. Область применения: Не общедоступный стандарт BSI, который может быть внедрен добровольно. Хотя текст не имеет юридической силы, он содержит прямые рекомендации по созданию надежных методов информационной безопасности. Стандарт в основном задуман как руководящий дополнительный документ к применению вышеупомянутого ISO 27001:2005 и поэтому обычно применяется вместе с этим стандартом в практике оценки рисков.

Форум по информационной безопасности [ править ]

• Стандарт передовой практики информационной безопасности

См. также [ править ]

Ссылки [ править ]

Внешние ссылки [ править ]

• Руководство по информационной безопасности Internet2: эффективные практики и решения для высшего образования
• Управление рисками - Принципы и инвентаризация для управления рисками / Методы и инструменты оценки рисков. Архивировано 13 ноября 2010 г. в Wayback Machine , Дата публикации: 1 июня 2006 г. Авторы: Проведено техническим отделом ENISA. Раздел «Управление рисками».
• Clusif Французский клуб информационной безопасности
• 800-30 Руководство по управлению рисками NIST
• 800-39 NIST DRAFT Управление рисками информационных систем: организационная перспектива
• Публикация FIPS 199, Стандарты категоризации безопасности федеральной информации и информации.
• Публикация FIPS 200 «Минимальные требования безопасности для федеральной информации и информационных систем».
• 800-37 Руководство NIST по применению структуры управления рисками к федеральным информационным системам: подход к жизненному циклу безопасности
• FISMApedia is a collection of documents and discussions focused on USA Federal IT security
• Duty of Care Risk Analysis Standard (DoCRA)