Jump to content

ИТ-риск

Риск информационных технологий , ИТ-риск , риск, связанный с ИТ , или киберриск — это любой риск, связанный с информационными технологиями . [1] Хотя информация уже давно ценится как ценный и важный актив, развитие экономики знаний и цифровой революции привело к тому, что организации становятся все более зависимыми от информации, ее обработки и особенно ИТ. Таким образом, различные события или инциденты, которые тем или иным образом ставят под угрозу ИТ, могут оказать неблагоприятное воздействие на бизнес-процессы или миссию организации, от незначительного до катастрофического по своему масштабу.

Оценка вероятности или вероятности различных типов событий/инцидентов с их прогнозируемыми последствиями или последствиями, если они произойдут, является распространенным способом оценки и измерения ИТ-рисков. [2] Альтернативные методы измерения ИТ-рисков обычно включают оценку других сопутствующих факторов, таких как угрозы , уязвимости, воздействия и стоимость активов. [3] [4]

Определения [ править ]

ИСО [ править ]

риск : вероятность того, что данная угроза будет использовать уязвимости актива ИТ - или группы активов и тем самым причинить вред организации. Он измеряется как сочетание вероятности возникновения события и его последствий. [5]

Комитет по системам национальной безопасности [ править ]

Комитет по системам национальной безопасности Соединенных Штатов Америки определил риск в различных документах:

  • Из Инструкции ЦНСС № 4009 от 26 апреля 2010 г. [6] базовое и более техническое определение:
    Риск – вероятность того, что конкретная угроза окажет негативное влияние на ИС за счет использования определенной уязвимости.
  • Инструкция по безопасности телекоммуникаций и информационных систем национальной безопасности (NSTISSI) № 1000, [7] вводит вероятностный аспект, очень похожий на аспект NIST SP 800-30:
    Риск – сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности результирующего воздействия.

Национальный учебно-образовательный центр информационного обеспечения определяет риск в сфере ИТ как: [8]

  1. Потенциал потерь, который существует в результате пар «угроза-уязвимость». Уменьшение угрозы или уязвимости снижает риск.
  2. Неопределенность потерь, выраженная через вероятность таких потерь.
  3. Вероятность того, что враждебная организация успешно воспользуется конкретной телекоммуникационной системой или системой COMSEC в разведывательных целях; его факторами являются угроза и уязвимость.
  4. Сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности результирующего неблагоприятного воздействия.
  5. вероятность того, что конкретная угроза воспользуется определенной уязвимостью системы.

НИСТ [ править ]

Многие публикации NIST определяют риск в контексте ИТ в различных публикациях: FISMApedia. [9] срок [10] предоставьте список. Между ними:

  • Согласно NIST SP 800-30: [11]
    Риск является функцией вероятности того, что данный источник угрозы проявит определенную потенциальную уязвимость, и результирующего воздействия этого неблагоприятного события на организацию.
  • Из НИСТ ФИПС 200 [12]
    Риск – уровень воздействия на операции организации (включая миссию, функции, имидж или репутацию), активы организации или отдельных лиц в результате работы информационной системы с учетом потенциального воздействия угрозы и вероятности возникновения этой угрозы.

НИСТ СП 800-30 [11] определяет:

Риск, связанный с ИТ
Чистый эффект миссии с учетом:
  1. вероятность того, что конкретный источник угрозы воспользуется (случайно вызовет или намеренно воспользуется) определенной уязвимостью информационной системы и
  2. результирующее воздействие, если это произойдет. Риски, связанные с ИТ, возникают в результате юридической ответственности или потери миссии из-за:
    1. Несанкционированное (злонамеренное или случайное) раскрытие, изменение или уничтожение информации.
    2. Непреднамеренные ошибки и упущения
    3. Сбои в работе ИТ-инфраструктуры из-за природных или техногенных катастроф.
    4. Несоблюдение должной осторожности и осмотрительности при внедрении и эксплуатации ИТ-системы.

рисками Понимание управления

ИТ-риск — это вероятная частота и вероятная величина будущих потерь. [13]

ИСАКА [ править ]

ISACA опубликовала структуру рисков ИТ , чтобы обеспечить комплексное и комплексное представление обо всех рисках, связанных с использованием ИТ. Там, [14] ИТ-риск определяется как:

Бизнес-риск, связанный с использованием, владением, эксплуатацией, вовлечением, влиянием и внедрением ИТ на предприятии.

По данным Risk IT , [14] ИТ-риск имеет более широкое значение: он включает в себя не только негативное влияние операций и предоставления услуг, которое может привести к разрушению или снижению стоимости организации, но также риск выгоды/ценности, связанный с упущенными возможностями использования технологий для обеспечения или улучшить бизнес или управление ИТ-проектами для таких аспектов, как перерасход или задержка доставки с неблагоприятными последствиями для бизнеса.

Измерение ИТ-рисков [ править ]

Вы не можете эффективно и последовательно управлять тем, что не можете измерить, и вы не можете измерить то, что не определили. [13] [15]

Измерение ИТ-риска (или киберриска) может происходить на многих уровнях. На бизнес-уровне риски управляются категорически. Передовые ИТ-отделы и центральные операционные центры склонны измерять более дискретные, индивидуальные риски. Управление связями между ними является ключевой ролью для современных директоров по информационной безопасности .

При измерении риска любого рода важным шагом является выбор правильного уравнения для данной угрозы, актива и доступных данных. Это вопрос сам по себе, но существуют общие компоненты уравнений риска, которые полезно понять.

В управлении рисками участвуют четыре фундаментальные силы, которые также применимы и к кибербезопасности. Это активы, влияние, угрозы и вероятность. У вас есть внутренние знания и достаточная степень контроля над активами , которые представляют собой материальные и нематериальные вещи, имеющие ценность. У вас также есть некоторый контроль над воздействием , которое относится к утрате или повреждению актива. Однако угрозы , которые представляют собой противники и их методы атаки, находятся вне вашего контроля. Вероятность — это джокер в группе. Вероятность определяет, когда и когда угроза материализуется, увенчается успехом и нанесет ущерб. Хотя вероятность событий никогда не находится под вашим полным контролем, ее можно формировать и влиять на нее, чтобы управлять риском. [16]

Математически силы можно представить в виде такой формулы: где p() — это вероятность того, что Угроза материализуется/успех в отношении Актива, а d() — это вероятность того, что могут возникнуть различные уровни ущерба. [17]

Область управления ИТ-рисками породила ряд терминов и методов, уникальных для отрасли. Некоторые отраслевые термины еще не согласованы. Например, термин «уязвимость» часто используется как синоним вероятности возникновения, что может быть проблематичным. Часто встречающиеся термины и методы управления ИТ-рисками включают в себя:

Мероприятие по информационной безопасности
Выявленное возникновение состояния системы, службы или сети, указывающее на возможное нарушение политики информационной безопасности или отказ средств защиты, или на ранее неизвестную ситуацию, которая может иметь отношение к безопасности. [5]
Наступление определенного стечения обстоятельств [18]
  • Событие может быть определенным или неопределенным.
  • Событие может быть единичным событием или серией событий. :(Руководство ISO/IEC 73)
Инцидент информационной безопасности
обозначается одним или серией нежелательных событий информационной безопасности, которые имеют значительную вероятность поставить под угрозу бизнес-операции и поставить под угрозу информационную безопасность. [5]
Событие [G.11], которое было оценено как имеющее фактическое или потенциально неблагоприятное воздействие на безопасность или производительность системы. [19]
Влияние [20]
Результат нежелательного инцидента [G.17]. (ISO/IEC PDTR 13335-1).
Последствие [21]
Исход события [G.11]
  • Одно событие может иметь несколько последствий.
  • Последствия могут варьироваться от положительных до отрицательных.
  • Последствия могут быть выражены качественно или количественно (Руководство ISO/IEC 73).

Риск R представляет собой произведение вероятности L возникновения инцидента безопасности, умноженное на воздействие I , которое будет нанесено организации в результате инцидента, то есть: [22]

р = л × я

Вероятность возникновения инцидента безопасности является функцией вероятности появления угрозы и вероятности того, что угроза сможет успешно использовать соответствующие уязвимости системы.

Последствия возникновения инцидента безопасности являются функцией вероятного воздействия, которое инцидент окажет на организацию в результате ущерба, который будет нанесен активам организации. Ущерб связан со стоимостью активов для организации; один и тот же актив может иметь разную ценность для разных организаций.

Таким образом, R может быть функцией четырех факторов :

  • A = Стоимость активов
  • T = вероятность угрозы
  • V = характер уязвимости , т.е. вероятность того, что она может быть использована (пропорциональна потенциальной выгоде для злоумышленника и обратно пропорциональна стоимости эксплуатации).
  • I = вероятное воздействие , степень вреда

При числовых значениях (деньги за воздействие и вероятности других факторов) риск может быть выражен в денежном выражении и сравнен со стоимостью контрмер и остаточным риском после применения мер безопасности. Не всегда практично выражать эти значения, поэтому на первом этапе оценки риска риски оцениваются безразмерно по трех- или пятиступенчатой ​​шкале.

OWASP предлагает практическое руководство по измерению рисков [22] на основе:

  • Оценка вероятности как среднего значения между различными факторами по шкале от 0 до 9:
    • агента угрозы Факторы
      • Уровень квалификации: насколько технически подготовлена ​​эта группа агентов угроз? Никаких технических навыков (1), некоторые технические навыки (3), продвинутый пользователь компьютера (4), навыки работы в сети и программирования (6), навыки проникновения в систему безопасности (9)
      • Мотив: Насколько мотивирована эта группа агентов угроз найти и использовать эту уязвимость? Низкая награда или ее отсутствие (1), возможная награда (4), высокая награда (9)
      • Возможность. Какие ресурсы и возможности необходимы этой группе агентов угроз для обнаружения и использования этой уязвимости? требуется полный доступ или требуются дорогостоящие ресурсы (0), требуется специальный доступ или ресурсы (4), требуется некоторый доступ или ресурсы (7), доступ или ресурсы не требуются (9)
      • Размер: насколько велика эта группа агентов угроз? Разработчики (2), системные администраторы (2), пользователи интрасети (4), партнеры (5), прошедшие проверку пользователи (6), анонимные пользователи Интернета (9)
    • Факторы уязвимости : следующий набор факторов связан с уязвимостью. Цель здесь — оценить вероятность того, что конкретная уязвимость будет обнаружена и использована. Предположим, что агент угрозы выбран выше.
      • Легкость обнаружения: насколько легко этой группе агентов угроз обнаружить эту уязвимость? Практически невозможно (1), сложно (3), легко (7), доступны автоматизированные инструменты (9)
      • Простота использования . Насколько легко этой группе агентов угроз фактически воспользоваться этой уязвимостью? Теоретический (1), сложный (3), простой (5), доступны автоматизированные инструменты (9)
      • Осведомленность: насколько хорошо известна эта уязвимость этой группе агентов угроз? Неизвестно (1), скрыто (4), очевидно (6), общеизвестно (9)
      • Обнаружение вторжений: насколько вероятно, что эксплойт будет обнаружен? Активное обнаружение в приложении (1), записывается и проверяется (3), записывается без проверки (8), не записывается (9)
  • Оценка воздействия как среднее между различными факторами по шкале от 0 до 9.
    • Факторы технического воздействия; техническое воздействие можно разбить на факторы, соответствующие традиционным областям безопасности: конфиденциальность, целостность, доступность и подотчетность. Цель состоит в том, чтобы оценить масштабы воздействия на систему, если уязвимость будет использована.
      • Утрата конфиденциальности : какой объем данных может быть раскрыт и насколько они конфиденциальны? Раскрыто минимальное количество неконфиденциальных данных (2), раскрыто минимальное количество важных данных (6), раскрыто большое количество неконфиденциальных данных (6), раскрыто большое количество важных данных (7), раскрыты все данные (9)
      • Потеря целостности : какой объем данных может быть поврежден и насколько они повреждены? Минимальные слегка поврежденные данные (1), минимальные серьезно поврежденные данные (3), обширные слегка поврежденные данные (5), обширные серьезно поврежденные данные (7), все данные полностью повреждены (9)
      • Потеря доступности Сколько услуг может быть потеряно и насколько это важно? Минимальные вторичные услуги прерваны (1), минимальные первичные услуги прерваны (5), обширные вторичные услуги прерваны (5), обширные первичные услуги прерваны (7), все услуги полностью потеряны (9)
      • Потеря ответственности: можно ли отследить действия агентов угроз до конкретного человека? Полностью отслеживаемый (1), возможно отслеживаемый (7), полностью анонимный (9)
    • Факторы влияния на бизнес. Влияние на бизнес обусловлено техническим воздействием, но требует глубокого понимания того, что важно для компании, использующей приложение. В общем, вы должны стремиться поддерживать свои риски с помощью бизнеса, особенно если ваша аудитория — это руководители высшего звена. Бизнес-риск — это то, что оправдывает инвестиции в решение проблем безопасности.
      • Финансовый ущерб: какой финансовый ущерб может нанести эксплойт? Меньше, чем стоимость устранения уязвимости (1), незначительное влияние на годовую прибыль (3), значительное влияние на годовую прибыль (7), банкротство (9)
      • Ущерб репутации: приведет ли эксплойт к ущербу репутации, который нанесет вред бизнесу? Минимальный ущерб (1), потеря основных клиентов (4), потеря репутации (5), ущерб бренду (9)
      • Несоблюдение требований: Насколько велик риск несоблюдения требований? Незначительное нарушение (2), явное нарушение (5), громкое нарушение (7)
      • Нарушение конфиденциальности : какой объем личной информации может быть раскрыт? Один человек (3), сотни людей (5), тысячи людей (7), миллионы людей (9)
    • Если влияние на бизнес рассчитано точно, используйте его в следующих случаях, в противном случае используйте Техническое воздействие.
  • Оцените вероятность и влияние по шкале НИЗКИЙ, СРЕДНИЙ, ВЫСОКИЙ, при условии, что менее 3 – НИЗКИЙ, от 3 до менее 6 – СРЕДНИЙ, а от 6 до 9 – ВЫСОКИЙ.
  • Рассчитайте риск, используя следующую таблицу
Общая серьезность риска
Влияние ВЫСОКИЙ Середина Высокий Критический
СЕРЕДИНА Низкий Середина Высокий
НИЗКИЙ Никто Низкий Середина
 НИЗКИЙ СЕРЕДИНА ВЫСОКИЙ
 Вероятность

Управление ИТ-рисками [ править ]

Элементы управления рисками
Основная статья: Управление ИТ-рисками

Управление ИТ-рисками можно рассматривать как компонент более широкой системы управления рисками предприятия . [23]

Создание, поддержание и постоянное обновление системы управления информационной безопасностью (СУИБ) являются убедительным свидетельством того, что компания использует систематический подход для выявления, оценки и управления рисками информационной безопасности. [24]

Для управления ИТ-рисками были предложены различные методологии, каждая из которых разделена на процессы и этапы. [25]

В «Руководстве по проверке сертифицированных аудиторов информационных систем» , выпущенном в 2006 году ISACA, международной профессиональной ассоциацией, занимающейся управлением ИТ, содержится следующее определение управления рисками: «Управление рисками – это процесс выявления уязвимостей и угроз информационным ресурсам, используемым организацией для достижения бизнес-целей и принятия решения о том, какие контрмеры , если таковые имеются, предпринять для снижения риска до приемлемого уровня, исходя из ценности информационного ресурса для организации». [26]

Структура кибербезопасности NIST поощряет организации управлять ИТ-рисками в рамках функции идентификации (ID): [27] [28]

Оценка риска (ID.RA) : Организация понимает риск кибербезопасности для деятельности организации (включая миссию, функции, имидж или репутацию), активов организации и отдельных лиц.

  • ID.RA-1: Уязвимости активов идентифицированы и задокументированы.
  • ID.RA-2: Информация о киберугрозах и уязвимостях получена с форумов и источников по обмену информацией.
  • ID.RA-3: Угрозы, как внутренние, так и внешние, идентифицированы и документированы.
  • ID.RA-4: Определены потенциальные последствия и вероятности для бизнеса.
  • ID.RA-5: Для определения риска используются угрозы, уязвимости, вероятности и воздействия.
  • ID.RA-6: Меры реагирования на риски определены и расставлены по приоритетам

Стратегия управления рисками (ID.RM) : Приоритеты, ограничения, толерантность к риску и предположения организации устанавливаются и используются для поддержки решений по операционным рискам.

  • ID.RM-1: Процессы управления рисками устанавливаются, управляются и согласовываются заинтересованными сторонами организации.
  • ID.RM-2: Толерантность к риску в организации определена и четко выражена.
  • ID.RM-3: Определение толерантности организации к риску определяется ее ролью в критической инфраструктуре и анализе рисков для конкретного сектора.

Законы и положения об ИТ-рисках [ править ]

Ниже приводится краткое описание применимых правил, сгруппированных по источникам. [29]

ОЭСР [ править ]

ОЭСР опубликовала следующее:

Европейский Союз [ править ]

Европейский Союз опубликовал следующее, разделенное по темам:

  • Конфиденциальность
    • Регламент (ЕС) № 45/2001 о защите физических лиц в отношении обработки персональных данных учреждениями и органами Сообщества, а также о свободном перемещении таких данных представляет собой внутреннее регулирование, которое представляет собой практическое применение принципов Директива о конфиденциальности, описанная ниже. Кроме того, статья 35 Регламента требует, чтобы учреждения и органы Сообщества принимали аналогичные меры предосторожности в отношении своей телекоммуникационной инфраструктуры и должным образом информировали пользователей о любых конкретных рисках нарушений безопасности.
    • Директива 95/46/EC о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных требует, чтобы любая деятельность по обработке персональных данных подвергалась предварительному анализу рисков с целью определения последствий такой деятельности для конфиденциальности. и определить соответствующие правовые, технические и организационные меры для защиты такой деятельности; эффективно защищен такими мерами, которые должны соответствовать современному уровню техники, принимая во внимание конфиденциальность и последствия деятельности для конфиденциальности (в том числе, когда третье лицо обвиняется в задача обработки) уведомляется национальный орган по защите данных, включая меры, принятые для обеспечения безопасности деятельности. Кроме того, статья 25 и последующие Директивы требуют от государств-членов запретить передачу персональных данных государствам, не являющимся членами ЕС, за исключением случаев, когда такие страны обеспечили адекватную правовую защиту таких персональных данных или за исключением некоторых других исключений.
    • Решение Комиссии 2001/497/EC от 15 июня 2001 г. о стандартных договорных условиях передачи персональных данных в третьи страны в соответствии с Директивой 95/46/EC; и Решение Комиссии 2004/915/EC от 27 декабря 2004 г., вносящее поправки в Решение 2001/497/EC в отношении введения альтернативного набора стандартных договорных условий для передачи персональных данных в третьи страны. Тема: Экспорт персональных данных в третьи страны, в частности в страны, не входящие в ЕС, которые не были признаны имеющими адекватный уровень защиты данных (т.е. эквивалентный уровню ЕС). Оба решения Комиссии содержат ряд добровольных типовых положений, которые могут использоваться для экспорта персональных данных от контролера данных (на которого распространяются правила защиты данных ЕС) обработчику данных за пределами ЕС, на которого не распространяются эти правила или аналогичные правила. набор адекватных правил.
    • Международные принципы конфиденциальности Safe Harbor (см. ниже США и Международные принципы конфиденциальности Safe Harbor )
    • Директива 2002/58/EC от 12 июля 2002 г. об обработке персональных данных и защите конфиденциальности в секторе электронных коммуникаций.
  • Национальная безопасность
    • Директива 2006/24/EC от 15 марта 2006 г. о хранении данных, созданных или обработанных в связи с предоставлением общедоступных услуг электронной связи или сетей общественной связи, и вносящая поправки в Директиву 2002/58/EC (« Директива о хранении данных »). Тема: Требование к поставщикам государственных электронных телекоммуникационных услуг сохранять определенную информацию для целей расследования, выявления и преследования тяжких преступлений.
    • Директива Совета 2008/114/EC от 8 декабря 2008 г. об идентификации и назначении европейских критически важных инфраструктур и оценке необходимости улучшения их защиты. Тема: Идентификация и защита европейских критических инфраструктур. Область применения: Применимо к государствам-членам и операторам европейской критической инфраструктуры (определенной в проекте директивы как «критическая инфраструктура, нарушение или разрушение которой существенно повлияет на два или более государства-члена или одно государство-член, если критическая инфраструктура расположена в другом государстве-члене ЕС Это включает эффекты, возникающие в результате межсекторальной зависимости от других типов инфраструктуры»). Требует от государств-членов определить критически важные инфраструктуры на своих территориях и обозначить их как ECI. После этого назначения владельцы/операторы ECI должны создать планы безопасности операторов (OSP), которые должны установить соответствующие решения безопасности для их защиты.
  • Гражданское и уголовное право
    • Рамочное решение Совета 2005/222/JHA от 24 февраля 2005 г. об атаках на информационные системы. Тема: Общее решение, направленное на гармонизацию национальных положений в области киберпреступности, охватывающее материальное уголовное право (т.е. определения конкретных преступлений), уголовно-процессуальное право (включая следственные меры и международное сотрудничество) и вопросы ответственности. Сфера применения: Требует от государств-членов имплементировать положения Рамочного решения в свои национальные правовые рамки. Рамочное решение актуально для РМ/РА, поскольку оно содержит условия, при которых юридическая ответственность может быть возложена на юридических лиц за поведение определенных физических лиц, обладающих полномочиями внутри юридического лица. Таким образом, Рамочное решение требует, чтобы поведение таких лиц внутри организации подвергалось адекватному контролю, в том числе и потому, что в Решении указано, что юридическое лицо может быть привлечено к ответственности за бездействие в этом отношении.

Совет Европы [ править ]

  • Конвенция Совета Европы о киберпреступности, Будапешт, 23.XI.2001 г. , Серия европейских договоров-№. 185. Тема: Общий договор, направленный на гармонизацию национальных положений в области киберпреступности, охватывающий материальное уголовное право (т.е. определения конкретных преступлений), уголовно-процессуальное право (включая следственные меры и международное сотрудничество), вопросы ответственности и хранения данных. Помимо определений ряда уголовных правонарушений, содержащихся в статьях 2–10, Конвенция актуальна для РМ/РА, поскольку она устанавливает условия, при которых юридическая ответственность может быть возложена на юридических лиц за поведение определенных физических лиц, обладающих властью в пределах юридического права. сущность. Таким образом, Конвенция требует, чтобы поведение таких лиц внутри организации адекватно контролировалось, в том числе и потому, что в Конвенции говорится, что юридическое лицо может быть привлечено к ответственности за бездействие в этом отношении.

США [ править ]

Соединенные Штаты выпустили следующее, разделенное по темам:

  • Гражданское и уголовное право
    • Поправки к Федеральным правилам гражданского судопроизводства в части электронного раскрытия информации . Тема: Федеральные правила США в отношении производства электронных документов в гражданском судопроизводстве. Правила раскрытия информации позволяют стороне гражданского судопроизводства требовать от противной стороны предоставления всей имеющейся у нее соответствующей документации (которая будет определена запрашивающей стороной), чтобы позволить сторонам и суду правильно оценить дело. Благодаря поправке об электронном раскрытии информации, которая вступила в силу 1 декабря 2006 года, такая информация теперь может включать электронную информацию. Это означает, что любую сторону, представляемую в суд США по гражданскому делу, можно попросить предоставить такие документы, которые включают в себя окончательные отчеты, рабочие документы, внутренние записки и электронные письма по конкретному вопросу, который может или не может быть специально очерчено. Поэтому любая сторона, чья деятельность предполагает риск участия в таких разбирательствах, должна принять адекватные меры предосторожности для управления такой информацией, включая безопасное хранение. В частности: сторона должна иметь возможность инициировать «судебное удержание», техническую/организационную меру, которая должна гарантировать, что никакая соответствующая информация не может быть изменена каким-либо образом. Политика хранения должна быть ответственной: хотя удаление конкретной информации, конечно, остается разрешенным, если оно является частью общей политики управления информацией («обычное добросовестное функционирование информационной системы», Правило 37 (f)), умышленное уничтожение потенциально значимая информация может быть наказана чрезвычайно высокими штрафами (в одном конкретном случае — 1,6 миллиарда долларов США). Таким образом, на практике любой бизнес, который рискует подать гражданский иск в суды США, должен внедрить адекватную политику управления информацией и принять необходимые меры для инициирования приостановления судебного разбирательства.
  • Конфиденциальность
    • Закон Калифорнии о конфиденциальности потребителей (CCPA)
    • Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA)
    • Закон Грэма-Лича-Блайли (GLBA)
    • Закон США «Патриот», Раздел III
    • Закон о переносимости и подотчетности медицинского страхования (HIPAA) С точки зрения RM/RA, этот Закон особенно известен своими положениями, касающимися административного упрощения (Раздел II HIPAA). Это название требовало от Министерства здравоохранения и социальных служб США (HHS) разработки конкретных наборов правил, каждый из которых предусматривал бы конкретные стандарты, которые повышали бы эффективность системы здравоохранения и предотвращали злоупотребления. В результате HHS приняло пять основных правил: Правило конфиденциальности, Правило транзакций и наборов кодов, Правило уникальных идентификаторов, Правоприменительное правило и Правило безопасности. Последний, опубликованный в Федеральном реестре 20 февраля 2003 г. (см.: http://www.cms.hhs.gov/SecurityStandard/Downloads/securityfinalrule.pdf. Архивировано 29 декабря 2009 г. на Wayback Machine ), особенно актуален, поскольку он определяет ряд административных, технических и физических процедур безопасности для обеспечения конфиденциальности защищенной электронной медицинской информации. Эти аспекты были дополнительно изложены в наборе Стандартов безопасности по административным, физическим, организационным и техническим мерам безопасности, которые были опубликованы вместе с руководящим документом по основам управления рисками и оценки рисков HIPAA < http://www.cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp. Архивировано 23 января 2010 г. в Wayback Machine >. На поставщиков медицинских услуг в Европе и других странах обязательства HIPAA, как правило, не распространяются, если они не ведут активную деятельность на рынке США. Однако, поскольку их деятельность по обработке данных подпадает под аналогичные обязательства в соответствии с общим европейским законодательством (включая Директиву о конфиденциальности), а также поскольку основные тенденции модернизации и перехода к электронным медицинским файлам одинаковы, гарантии HHS могут быть полезны в качестве первоначального критерия. для измерения стратегий RM/RA, применяемых европейскими поставщиками медицинских услуг, особенно в отношении обработки электронной медицинской информации. Стандарты безопасности HIPAA включают следующее:
      • Административные гарантии:
        • Процесс управления безопасностью
        • Назначенная ответственность за безопасность
        • Безопасность персонала
        • Управление доступом к информации
        • Осведомленность и обучение безопасности
        • Процедуры инцидентов безопасности
        • План действий на случай непредвиденных обстоятельств
        • Оценка
        • Контракты с деловыми партнерами и другие договоренности
      • Физические гарантии
        • Контроль доступа к объектам
        • Использование рабочей станции
        • Безопасность рабочей станции
        • Элементы управления устройствами и мультимедиа
      • Технические гарантии
        • Контроль доступа
        • Аудиторский контроль
        • Честность
        • Аутентификация физического или юридического лица
        • Безопасность передачи
      • Организационные требования
        • Контракты с деловыми партнерами и другие договоренности
        • Требования к групповым планам медицинского страхования
    • Международные принципы конфиденциальности Safe Harbor, изданные Министерством торговли США 21 июля 2000 г. Экспорт персональных данных от контролера данных, на которого распространяются правила конфиденциальности ЕС, в пункт назначения, базирующийся в США; Прежде чем персональные данные могут быть экспортированы из организации, на которую распространяются правила конфиденциальности ЕС, в пункт назначения, на который распространяется действие законодательства США, европейская организация должна убедиться, что принимающая организация обеспечивает адекватные гарантии для защиты таких данных от ряда неудач. Одним из способов выполнения этого обязательства является требование от принимающей организации присоединиться к «Безопасной гавани», потребовав от этой организации самостоятельно подтвердить свое соответствие так называемым «Принципам безопасной гавани». Если выбрана эта дорога, контролер данных, экспортирующий данные, должен убедиться, что пункт назначения в США действительно находится в списке «безопасной гавани» (см. список «безопасной гавани» ).
    • США Министерство внутренней безопасности также использует оценку воздействия на конфиденциальность (PIA) в качестве инструмента принятия решений для выявления и снижения рисков нарушения конфиденциальности. [30]
  • Закон Сарбейнса-Оксли
  • ФИСМА
  • Управление рисками кибербезопасности SEC, стратегия, управление и раскрытие инцидентов [31]


По мере развития законодательства все больше внимания уделяется требованию «разумной безопасности» для управления информацией. CCPA заявляет, что «производители подключенных устройств должны обеспечить достаточную безопасность устройств». [32] Закон штата Нью-Йорк SHIELD требует, чтобы организации, которые управляют информацией жителей Нью-Йорка, «разрабатывали, внедряли и поддерживали разумные меры безопасности для защиты безопасности, конфиденциальности и целостности частной информации, включая, помимо прочего, удаление данных». Эта концепция будет влиять на то, как предприятия будут управлять своим планом управления рисками по мере развития требований соответствия.

и стандарты Организации по стандартизации

Краткое описание стандартов [ править ]

Список в основном основан на: [29]

ИСО [ править ]

  • ISO/IEC 13335-1 :2004 – Информационные технологии. Методы обеспечения безопасности. Управление безопасностью информационных и коммуникационных технологий. Часть 1. Концепции и модели управления безопасностью информационных и коммуникационных технологий http://www.iso.org/iso/en/ CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066 . Стандарт, содержащий общепринятые описания концепций и моделей управления безопасностью информационных и коммуникационных технологий. Стандарт представляет собой широко используемый свод правил и служит ресурсом для реализации практик управления безопасностью и критерием для аудита таких практик. (См. также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf. Архивировано 6 декабря 2010 г. в Wayback Machine .)
  • ISO/IEC TR 15443-1 :2005 – Информационные технологии. Методы обеспечения безопасности. Структура обеспечения безопасности ИТ. Ссылка http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 : ссылка на страницу ISO, где можно получить стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы. Тема: Обеспечение безопасности. Технический отчет (TR) содержит общепринятые рекомендации, которые можно использовать для определения подходящего метода обеспечения безопасности для оценки услуги безопасности, продукта или фактора окружающей среды.
  • ISO/IEC 15816:2002 – Информационные технологии. Методы обеспечения безопасности. Информационные объекты безопасности для контроля доступа. Ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (Примечание: это ссылка на страница ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Управление безопасностью – Контроль доступа. Стандарт позволяет специалистам по безопасности полагаться на определенный набор синтаксических определений и объяснений в отношении SIO, избегая таким образом дублирования или расхождений в других усилиях по стандартизации.
  • ISO/IEC TR 15947:2002 – Информационные технологии. Методы обеспечения безопасности. Ссылка на структуру обнаружения вторжений в ИТ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (Примечание: это ссылка на Страница ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Управление безопасностью – Обнаружение вторжений в ИТ-системы. Стандарт позволяет специалистам по безопасности полагаться на определенный набор концепций и методологий для описания и оценки рисков безопасности в отношении потенциальных вторжений в ИТ-системы. Он не содержит каких-либо обязательств по РМ/РА как таковых, а скорее является инструментом для содействия деятельности РМ/РА в затрагиваемой сфере.
  • ISO/IEC 15408-1 /2/3:2005 – Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель (15408-1). Часть 2. Функциональные требования безопасности (15408-2). Часть 3. : Требования к обеспечению безопасности (15408-3). Ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm . Тема: Стандарт, содержащий общий набор требований к функциям безопасности ИТ-продукты и системы, а также меры обеспечения безопасности, применяемые к ним во время оценки безопасности. Область применения: общедоступный стандарт ISO, который может быть внедрен добровольно. Текст представляет собой ресурс для оценки безопасности ИТ-продуктов и систем и, таким образом, может использоваться в качестве инструмента для RM/RA. Стандарт обычно используется в качестве ресурса для оценки безопасности ИТ-продуктов и систем; в том числе (если не специально) для принятия решений о закупках такой продукции. Таким образом, стандарт можно использовать в качестве инструмента RM/RA для определения безопасности ИТ-продукта или системы во время его проектирования, производства или маркетинга или перед его приобретением.
  • ISO/IEC 17799 :2005 – Информационные технологии. Методы обеспечения безопасности. Свод правил управления информационной безопасностью. ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Стандарт, содержащий общепринятые рекомендации и общие принципы инициирования, внедрения, поддержания и улучшения управления информационной безопасностью в организации, включая управление непрерывностью бизнеса. Стандарт представляет собой широко используемый свод правил и служит ресурсом для реализации методов управления информационной безопасностью и критерием для аудита таких методов. (См. также ISO/IEC 17799 )
  • ISO/IEC TR 15446:2004 – Информационные технологии. Методы обеспечения безопасности. Руководство по созданию профилей защиты и целей безопасности. ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Тема: Технический отчет (TR), содержащий рекомендации по созданию профилей защиты (PP) и целей безопасности (ST). ), которые должны соответствовать стандарту ISO/IEC 15408 («Общие критерии»). Стандарт преимущественно используется профессионалами в области безопасности в качестве инструмента для разработки ПЗ и ЗБ, но также может использоваться для оценки их обоснованности (путем использования ТР в качестве критерия для определения того, соблюдаются ли его стандарты). Таким образом, это (необязательный) нормативный инструмент для создания и оценки практик RM/RA.
  • ISO/IEC 18028 :2006 – Информационные технологии – Методы обеспечения безопасности – Справочник по безопасности ИТ-сети: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (Примечание: это ссылка на страницу ISO/IEC 18028:2006). где стандарт можно приобрести. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть указаны). Тема: Стандарт из пяти частей (ISO/IEC 18028-1–18028-5), содержащий общепринятые рекомендации по аспектам безопасности управления, эксплуатации и использования сетей информационных технологий. Этот стандарт считается расширением руководящих принципов, содержащихся в ISO/IEC 13335 и ISO/IEC 17799, с уделением особого внимания рискам сетевой безопасности. Стандарт представляет собой широко используемый свод правил и служит ресурсом для реализации практик управления безопасностью и критерием для аудита таких практик.
  • ISO/IEC 27001 :2005 – Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Ссылка на требования: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (Примечание: это ссылка на страница ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Стандарт, содержащий общепринятые рекомендации по внедрению системы управления информационной безопасностью в любой организации. Область применения: не является общедоступным стандартом ISO, который может быть внедрен добровольно. Хотя текст не имеет обязательной юридической силы, он содержит прямые рекомендации по созданию надежных методов информационной безопасности. Стандарт представляет собой очень часто используемый свод правил и служит ресурсом для внедрения систем управления информационной безопасностью, а также критерием для аудита таких систем. и/или сопутствующие практики. Его применение на практике часто сочетается с соответствующими стандартами, такими как BS 7799-3:2006, который содержит дополнительные рекомендации для поддержки требований, приведенных в ISO/IEC 27001:2005. http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 [ постоянная мертвая ссылка ] >
  • ISO/IEC 27001:2013 — обновленный стандарт для систем управления информационной безопасностью.
  • ISO/IEC TR 18044:2004 – Информационные технологии. Методы обеспечения безопасности. Справочник по управлению инцидентами информационной безопасности: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (Примечание: это ссылка на Страница ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Технический отчет (ТР), содержащий общепринятые рекомендации и общие принципы управления инцидентами информационной безопасности в организации. Область применения: Не общедоступный ТР ISO, который можно использовать добровольно. Хотя текст не имеет юридической силы, он содержит прямые рекомендации по управлению инцидентами. . Стандарт представляет собой ресурс высокого уровня, в котором представлены основные концепции и соображения в области реагирования на инциденты. Таким образом, он в основном полезен в качестве катализатора инициатив по повышению осведомленности в этом отношении.
  • Методы обеспечения безопасности. Методология оценки ИТ-безопасности. ISO/IEC 18045 : 2005 – Информационные технологии . руководящие принципы оценки соответствия ISO/IEC 15408 (Информационные технологии – Методы обеспечения безопасности – Критерии оценки ИТ-безопасности) Область применения Общедоступный стандарт ISO, которому необходимо следовать при оценке соответствия ISO/IEC 15408 (Информационные технологии – Методы обеспечения безопасности – Критерии оценки для ИТ-безопасность). Стандарт представляет собой «сопутствующий документ», который, таким образом, в первую очередь используется специалистами по безопасности, участвующими в оценке соответствия ISO/IEC 15408 (Информационные технологии – Методы обеспечения безопасности – Критерии оценки ИТ-безопасности). Поскольку он описывает минимальные действия, которые должны выполнять такие аудиторы, соответствие стандарту ISO/IEC 15408 невозможно, если ISO/IEC 18045 не соблюдается.
  • ISO/TR 13569:2005 – Финансовые услуги. Ссылка на рекомендации по информационной безопасности: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (Примечание: это ссылка на страницу ISO, где стандарт Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Стандарт, содержащий рекомендации по внедрению и оценке политики информационной безопасности в учреждениях финансовых услуг. Стандарт является широко используемым руководством и служит ресурсом для реализации программ управления информационной безопасностью в учреждениях финансового сектора, а также критерием для аудита таких программ. (См. также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf. Архивировано 6 декабря 2010 г. в Wayback Machine .)
  • ISO/IEC 21827:2008 – Информационные технологии – Методы обеспечения безопасности – Проектирование системной безопасности – Модель зрелости возможностей (SSE-CMM): ISO/IEC 21827:2008 определяет проектирование системной безопасности – Модель зрелости возможностей (SSE-CMM), которая описывает основные характеристики процесса разработки безопасности организации, которые должны существовать для обеспечения хорошей разработки безопасности. ISO/IEC 21827:2008 не предписывает конкретный процесс или последовательность, но отражает практику, обычно наблюдаемую в промышленности. Модель представляет собой стандартную метрику для практики обеспечения безопасности.

БСИ [ править ]

  • BS 25999-1 :2006 – Управление непрерывностью бизнеса. Часть 1. Свод правил. Примечание: это только первая часть стандарта BS 25999, опубликованного в ноябре 2006 г. Часть вторая (которая должна содержать более конкретные критерии с целью возможной аккредитации) еще не появился. ссылка: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563 . Тема: Стандарт, содержащий кодекс практики обеспечения непрерывности бизнеса. Стандарт задуман как свод правил управления непрерывностью бизнеса и будет расширен второй частью, которая должна разрешить аккредитацию на соответствие стандарту. Учитывая его относительную новизну, потенциальное влияние стандарта трудно оценить, хотя он может иметь большое влияние на практику RM/RA, учитывая общее отсутствие универсально применимых стандартов в этом отношении и растущее внимание к непрерывности бизнеса и планированию на случай непредвиденных обстоятельств в регуляторные инициативы. Применение этого стандарта может быть дополнено другими нормами, в частности PAS 77:2006 – Кодекс практики управления непрерывностью ИТ-услуг < http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858 >.TR позволяет специалистам по безопасности определить подходящую методологию для оценки услуги безопасности, продукта или фактора окружающей среды (результат) . Следуя этому ТР, можно определить, какому уровню обеспечения безопасности должен соответствовать результат поставки, и действительно ли этот результат соответствует этому порогу.
  • BS 7799-3 2006 – Системы управления информационной безопасностью. Рекомендации по управлению рисками информационной безопасности : . является ссылкой на страницу BSI, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы. Тема: Стандарт, содержащий общие рекомендации по управлению рисками информационной безопасности. Область применения: Не общедоступный стандарт BSI, который может быть внедрен добровольно. Хотя текст не имеет обязательной юридической силы, он содержит прямые рекомендации по созданию надежных методов информационной безопасности. Стандарт в основном задуман как руководящий дополнительный документ к применению вышеупомянутого ISO 27001:2005 и поэтому обычно применяется вместе с этим стандартом в практике оценки рисков.

Форум по информационной безопасности [ править ]

См. также [ править ]

Ссылки [ править ]

  1. ^ «Что такое ИТ-риск? | nibusinessinfo.co.uk» . www.nibusinessinfo.co.uk . Проверено 4 сентября 2021 г.
  2. ^ «Риск - это комбинация вероятности возникновения опасного события или воздействия и серьезности травмы или ухудшения здоровья, которые могут быть вызваны этим событием или воздействием (-ами)» (OHSAS 18001: 2007)
  3. ^ «3 типа оценок кибербезопасности – Очерк угроз» . Эскиз угрозы . 16 мая 2016 г. Архивировано из оригинала 07.11.2018 . Проверено 7 октября 2017 г.
  4. ^ «Виды оценки информационной безопасности» . danielmiessler.com . Проверено 7 октября 2017 г.
  5. Перейти обратно: Перейти обратно: а б с ISO/IEC, «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности». ISO/IEC FIDIS 27005:2008.
  6. Инструкция CNSS № 4009. Архивировано 27 февраля 2012 г. в Wayback Machine от 26 апреля 2010 г.
  7. ^ Национальный процесс сертификации и аккредитации обеспечения информации (NIACAP) Комитета национальной безопасности по безопасности телекоммуникаций и информационных систем.
  8. ^ «Словарь терминов» . Проверено 23 мая 2016 г.
  9. ^ вики-проект, заархивированный 26 сентября 2011 г. на Wayback Machine, посвященный FISMA.
  10. ^ FISMApedia Условия риска
  11. Перейти обратно: Перейти обратно: а б NIST SP 800-30 Руководство по управлению рисками для систем информационных технологий
  12. ^ Публикация FIPS 200 «Минимальные требования безопасности для федеральной информации и информационных систем».
  13. Перейти обратно: Перейти обратно: а б FAIR: Факторный анализ информационных рисков. Архивировано 18 ноября 2014 г. в Wayback Machine.
  14. Перейти обратно: Перейти обратно: а б ISACA THE RISK IT FRAMEWORK. Архивировано 5 июля 2010 г. в Wayback Machine. ISBN   978-1-60420-111-6 (требуется регистрация)
  15. ^ Таксономия технических стандартов рисков ISBN   1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г.
  16. ^ Арнольд, Роб (2017). Кибербезопасность: бизнес-решение: взгляд руководителей на управление киберрисками . Эскиз угрозы, ООО. ISBN  9780692944158 .
  17. ^ Арнольд, Роб (2017). Кибербезопасность: бизнес-решение . Эскиз угрозы, ООО. п. 22. ISBN  978-0692944158 .
  18. ^ «Глоссарий» . Архивировано из оригинала 29 февраля 2012 года . Проверено 23 мая 2016 г.
  19. ^ «Глоссарий» . Архивировано из оригинала 29 февраля 2012 года . Проверено 23 мая 2016 г.
  20. ^ «Глоссарий» . Архивировано из оригинала 29 февраля 2012 года . Проверено 23 мая 2016 г.
  21. ^ «Глоссарий» . Архивировано из оригинала 29 февраля 2012 года . Проверено 23 мая 2016 г.
  22. Перейти обратно: Перейти обратно: а б «Методология оценки рисков OWASP» . Проверено 23 мая 2016 г.
  23. ^ «ISACA THE RISK IT FRAMEWORK (требуется регистрация)» (PDF) . Архивировано из оригинала (PDF) 5 июля 2010 г. Проверено 14 декабря 2010 г.
  24. ^ Управление рисками Enisa, Инвентаризация оценки рисков, стр. 46
  25. ^ Кацикас, Сократис К. (2009). «35». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. с. 605. ИСБН  978-0-12-374354-1 .
  26. ^ ИСАКА (2006). Руководство по обзору CISA, 2006 г. Ассоциация аудита и контроля информационных систем. п. 85. ИСБН  978-1-933284-15-6 .
  27. ^ Келлер, Николь (12 ноября 2013 г.). «Система кибербезопасности» . НИСТ . Проверено 7 октября 2017 г.
  28. ^ Арнольд, Роб. «10-минутное руководство по системе кибербезопасности NIST» . Эскиз угрозы . Архивировано из оригинала 14 апреля 2021 г. Проверено 14 февраля 2018 г.
  29. Перейти обратно: Перейти обратно: а б Управление рисками / Оценка рисков в европейском регулировании, международных руководящих принципах и кодексах практики. Архивировано 23 июля 2011 г. в Wayback Machine. Проведено техническим отделом отдела управления рисками ENISA в сотрудничестве с: профессором Ж. Дюмортье и Хансом Грауксом www.lawfort. .be июнь 2007 г.
  30. ^ «Оценка воздействия на конфиденциальность» . Департамент внутренней безопасности . 6 июля 2009 г. Проверено 12 декабря 2020 г.
  31. ^ «Комиссия по ценным бумагам и биржам (SEC)» (PDF) . Комиссия по ценным бумагам и биржам (SEC) .
  32. ^ ИАПП. «Эволюция стандарта «разумной безопасности» в контексте США» .

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=IT_risk&oldid=1229130786"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 0f8a8a84817abb58305a595c4e22543f__1718405460
URL1:https://arc.ask3.ru/arc/aa/0f/3f/0f8a8a84817abb58305a595c4e22543f.html
Заголовок, (Title) документа по адресу, URL1:
IT risk - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)