IT риск - IT risk

Риск информационных технологий, IT риск, IT-риск, или же киберриск есть ли рисковать относится к информационные технологии. Хотя информация уже давно ценится как ценный и важный актив, рост экономика знаний и Цифровая революция привело к тому, что организации стали все более зависимыми от информации, обработка информации и особенно ИТ. Таким образом, различные события или инциденты, которые каким-то образом подвергают риску ИТ, могут оказывать неблагоприятное воздействие на бизнес-процессы или миссию организации, начиная от несущественного до катастрофического по масштабу.

Оценка вероятности или вероятности различных типов событий / инцидентов с их прогнозируемыми воздействиями или последствиями, если они произойдут, является распространенным способом оценки и измерения ИТ-рисков.^[1] Альтернативные методы измерения ИТ-риска обычно включают оценку других способствующих факторов, таких как угрозы, уязвимости, риски и стоимость активов.^[2]^[3]

Определения

ISO

IT риск: потенциал, что данный угроза будет эксплуатировать уязвимости из актив или группу активов и тем самым причинить вред организации. Он измеряется как комбинация вероятности возникновения события и его последствий.^[4]

Комитет по системам национальной безопасности

В Комитет по системам национальной безопасности из Соединенные Штаты Америки определенный рисковать в разных документах:

Из Инструкции CNSS № 4009 от 26 апреля 2010 г.^[5] базовое и более техническое определение:
Риск - возможность того, что конкретная угроза отрицательно повлияет на ИБ, используя определенную уязвимость.
Инструкция по безопасности телекоммуникаций и информационных систем национальной безопасности (НСТИСИ) № 1000, г.^[6] вводит вероятностный аспект, очень похожий на NIST SP 800-30:
Риск - сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности результирующего воздействия.

Национальный учебно-образовательный центр по обеспечению информационной безопасности определяет риск в сфере ИТ как:^[7]

Потенциал потерь, который существует в результате пары угроза-уязвимость. Уменьшение угрозы или уязвимости снижает риск.
Неопределенность потерь, выраженная в вероятности таких потерь.
Вероятность того, что враждебный субъект успешно воспользуется определенной телекоммуникационной системой или системой COMSEC в разведывательных целях; его факторами являются угроза и уязвимость.
Сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности результирующего неблагоприятного воздействия.
вероятность того, что конкретная угроза будет использовать конкретную уязвимость системы.

NIST

Много NIST публикации определяют рисковать в ИТ-контексте в разных публикациях: FISMApedia^[8] срок^[9] предоставить список. Между ними:

В соответствии с NIST СП 800-30:^[10]
Риск - это функция вероятности того, что данный источник угрозы реализует конкретную потенциальную уязвимость, и результирующее влияние этого неблагоприятного события на организацию.
От NIST FIPS 200^[11]
Риск - уровень воздействия на операции организации (включая миссию, функции, имидж или репутацию), активы организации или отдельных лиц в результате работы информационной системы с учетом потенциального воздействия угрозы и вероятности ее возникновения.

NIST СП 800-30^[10] определяет:

IT-риск

Чистое воздействие на миссию с учетом:

вероятность того, что конкретный источник угрозы проявит (случайно вызовет или намеренно использует) определенную уязвимость информационной системы и
результирующий удар, если это произойдет. Риски, связанные с ИТ, возникают в результате юридической ответственности или потери миссии из-за:
1. Несанкционированное (злонамеренное или случайное) раскрытие, изменение или уничтожение информации
2. Непреднамеренные ошибки и упущения
3. Сбои в работе ИТ из-за природных или техногенных катастроф
4. Неспособность проявить должную осторожность и осмотрительность при внедрении и эксплуатации ИТ-системы.

Понимание управления рисками

ИТ-риск - это вероятная частота и вероятный размер будущих убытков.^[12]

ISACA

ISACA опубликовал Рисковать IT Структура для обеспечения непрерывного, всестороннего обзора всех рисков, связанных с использованием ИТ. Там,^[13] ИТ-риск определяется как:

Бизнес-риск, связанный с использованием, владением, эксплуатацией, участием, влиянием и внедрением ИТ на предприятии.

В соответствии с Рисковать IT,^[13] ИТ-риск имеет более широкое значение: он охватывает не только негативные влияние операций и предоставления услуг, которые могут привести к разрушению или снижению стоимости организации, а также к риску, связанному с упущенными возможностями использования технологий для обеспечения или улучшения бизнеса или управления ИТ-проектами, такими как перерасход или несвоевременная доставка с неблагоприятным влиянием на бизнес

Измерение ИТ-риска

Вы не можете эффективно и последовательно управлять тем, что не можете измерить, и вы не можете измерить то, что не определили.^[12]^[14]

Измерение ИТ-риска (или киберриска) может происходить на многих уровнях. На уровне бизнеса рисками управляют категорически. ИТ-отделы первой линии и NOC склонны оценивать более осторожные индивидуальные риски. Управление связями между ними - ключевая роль современных CISO с.

При измерении риска любого рода важным шагом является выбор правильного уравнения для данной угрозы, актива и доступных данных. Это само по себе, но есть общие компоненты уравнений риска, которые полезно понять.

В управлении рисками задействованы четыре фундаментальные силы, которые также применимы к кибербезопасности. Это активы, влияние, угрозы и вероятность. У вас есть внутренние знания и достаточный контроль над ресурсы, которые представляют собой материальные и нематериальные вещи, имеющие ценность. Вы также можете контролировать влияние, который относится к потере или повреждению актива. Тем не мение, угрозы которые представляют противников, и их методы атаки находятся вне вашего контроля. Вероятность это дикая карта в кучке. Вероятность определяет, когда и когда угроза материализуется, удастся и нанесет ущерб. Несмотря на то, что вы никогда полностью не контролируете ситуацию, для управления риском можно сформировать вероятность и повлиять на нее.^[15]

Математически силы можно представить в виде такой формулы: ${ textstyle Risk = p (Актив, Угроза) times d (Актив, Угроза)}$ где p () - это вероятность того, что Угроза материализуется / будет успешной в отношении Актива, а d () - это вероятность различных уровней ущерба, который может возникнуть.^[16]

В области управления ИТ-рисками появился ряд терминов и методов, уникальных для данной отрасли. Некоторые отраслевые термины еще предстоит согласовать. Например, термин уязвимость часто используется как синоним вероятности возникновения, что может быть проблематичным. Часто используемые термины и методы управления ИТ-рисками включают:

Событие информационной безопасности

Выявленное возникновение состояния системы, службы или сети, указывающее на возможное нарушение политики информационной безопасности или отказ мер защиты, или ранее неизвестную ситуацию, которая может иметь отношение к безопасности.^[4]

Возникновение определенного стечения обстоятельств^[17]

Событие может быть достоверным или неопределенным.
Событие может быть единичным или серией. : (Руководство ISO / IEC 73)

Инцидент информационной безопасности

обозначается одним или серией нежелательных событий информационной безопасности, которые имеют значительную вероятность компрометации бизнес-операций и угрозы информационной безопасности^[4]

Событие [G.11], которое было оценено как имеющее фактическое или потенциально неблагоприятное влияние на безопасность или производительность системы.^[18]

Влияние^[19]

Результат нежелательного инцидента [G.17]. (ISO / IEC PDTR 13335-1)

Последствие^[20]

Результат события [G.11]

Одно событие может иметь несколько последствий.
Последствия могут варьироваться от положительных до отрицательных.
Последствия могут быть выражены качественно или количественно (ISO / IEC Guide 73).

Риск р это продукт вероятности L инцидента безопасности, произошедшего раз влияние я что будет понесено организацией в результате инцидента, а именно:^[21]

р = L × я

Вероятность возникновения инцидента безопасности является функцией вероятности появления угрозы и вероятности того, что угроза может успешно использовать соответствующие уязвимости системы.

Последствия возникновения инцидента безопасности являются функцией вероятного воздействия, которое инцидент окажет на организацию в результате ущерба, который понесут активы организации. Вред связан со стоимостью активов для организации; один и тот же актив может иметь разную ценность для разных организаций.

Итак, R может быть функцией четырех факторы:

A = Стоимость ресурсы
T = вероятность угроза
V = природа уязвимость то есть вероятность того, что может быть использована (пропорциональна потенциальной выгоде для злоумышленника и обратно пропорциональна стоимости эксплуатации)
I = вероятный влияние, размер вреда

Если числовые значения (деньги за воздействие и вероятности для других факторов), риск можно выразить в денежном выражении и сравнить со стоимостью контрмер и остаточным риском после применения мер безопасности. Выражение этих значений не всегда практично, поэтому на первом этапе оценки риска степень риска безразмерна по трех- или пятиступенчатой шкале.

OWASP предлагает практическое руководство по измерению рисков^[21] на основе:

Оценка правдоподобия как среднее значение между различными факторами по шкале от 0 до 9:
- Агент угрозы факторы
  - Уровень квалификации: насколько технически квалифицирована эта группа агентов угрозы? Отсутствие технических навыков (1), некоторые технические навыки (3), опытный пользователь компьютера (4), навыки работы в сети и программирования (6), навыки проникновения в систему безопасности (9)
  - Мотив: Насколько мотивирована эта группа агентов угроз для поиска и использования этой уязвимости? Низкое вознаграждение или его отсутствие (1), возможное вознаграждение (4), высокое вознаграждение (9)
  - Возможность: какие ресурсы и возможности требуются этой группе агентов угроз, чтобы найти и использовать эту уязвимость? требуется полный доступ или дорогостоящие ресурсы (0), требуется специальный доступ или ресурсы (4), требуется некоторый доступ или ресурсы (7), доступ или ресурсы не требуются (9)
  - Размер: насколько велика эта группа агентов угрозы? Разработчики (2), системные администраторы (2), пользователи интрасети (4), партнеры (5), аутентифицированные пользователи (6), анонимные пользователи Интернета (9)
- Уязвимость Факторы: следующий набор факторов связан с уязвимостью. Цель здесь - оценить вероятность обнаружения и использования конкретной уязвимости. Предположим, что агент угрозы выбран выше.
  - Легкость обнаружения: насколько легко этой группе агентов угроз обнаружить эту уязвимость? Практически невозможно (1), сложно (3), легко (7), доступны автоматизированные инструменты (9)
  - Простота эксплуатировать: Насколько легко этой группе агентов угроз реально воспользоваться этой уязвимостью? Теоретический (1), сложный (3), легкий (5), доступные автоматизированные инструменты (9)
  - Осведомленность: насколько хорошо известна эта уязвимость для этой группы агентов угроз? Неизвестно (1), скрыто (4), очевидно (6), общеизвестно (9)
  - Обнаружение вторжений: насколько вероятно обнаружение эксплойта? Активное обнаружение в приложении (1), регистрируется и проверяется (3), регистрируется без проверки (8), не регистрируется (9)
Оценка воздействия как среднее значение между различными факторами по шкале от 0 до 9
- Технические факторы воздействия; Техническое воздействие можно разбить на факторы, соответствующие традиционным областям безопасности: конфиденциальность, целостность, доступность и подотчетность. Цель состоит в том, чтобы оценить масштаб воздействия на систему, если уязвимость будет использована.
  - Утрата конфиденциальность: Сколько данных может быть раскрыто и насколько они конфиденциальны? Раскрыты минимальные неконфиденциальные данные (2), раскрыты минимальные важные данные (6), раскрыты обширные неконфиденциальные данные (6), раскрыты обширные критические данные (7), раскрыты все данные (9)
  - Утрата честность: Насколько данные могут быть повреждены и насколько они повреждены? Минимальные слегка поврежденные данные (1), минимальные серьезно поврежденные данные (3), обширные слегка поврежденные данные (5), обширные серьезно поврежденные данные (7), все данные полностью повреждены (9)
  - Утрата доступность Сколько услуг может быть потеряно и насколько это важно? Минимальное количество вторичных услуг прервано (1), минимальное количество первичных услуг прервано (5), обширные вторичные услуги прерваны (5), обширные первичные услуги прерваны (7), все услуги полностью потеряны (9)
  - Утрата ответственности: можно ли проследить действия агентов угрозы до человека? Полностью отслеживаемый (1), возможно отслеживаемый (7), полностью анонимный (9)
- Факторы влияния на бизнес: влияние на бизнес обусловлено техническим воздействием, но требует глубокого понимания того, что важно для компании, запускающей приложение. В общем, вы должны стремиться поддерживать свои риски с помощью влияния на бизнес, особенно если ваша аудитория относится к руководящему уровню. Бизнес-риск - это то, что оправдывает инвестиции в решение проблем безопасности.
  - Финансовый ущерб: какой финансовый ущерб нанесет эксплойт? Меньше затрат на устранение уязвимости (1), незначительное влияние на годовую прибыль (3), значительное влияние на годовую прибыль (7), банкротство (9)
  - Ущерб репутации: приведет ли эксплойт к ущербу репутации, который нанесет ущерб бизнесу? Минимальный ущерб (1), потеря крупных счетов (4), потеря репутации (5), ущерб бренду (9)
  - Несоблюдение: Насколько подвержено несоблюдение? Незначительное нарушение (2), явное нарушение (5), серьезное нарушение (7)
  - Конфиденциальность Нарушение: Какой объем личной информации может быть раскрыт? Один человек (3), сотни человек (5), тысячи человек (7), миллионы человек (9)
- Если влияние на бизнес рассчитано точно, используйте его в следующих случаях, иначе используйте Техническое влияние
Оцените вероятность и влияние по шкале НИЗКИЙ, СРЕДНИЙ, ВЫСОКИЙ, предполагая, что менее 3 - НИЗКИЙ, от 3 до менее 6 - СРЕДНИЙ, а от 6 до 9 - ВЫСОКИЙ.
Рассчитайте риск, используя следующую таблицу

Общая серьезность риска
Влияние	ВЫСОКО	Середина	Высоко	Критический
	СРЕДНИЙ	Низкий	Середина	Высоко
	НИЗКИЙ	Никто	Низкий	Середина
		НИЗКИЙ	СРЕДНИЙ	ВЫСОКО
	Вероятность

Управление ИТ-рисками

Элементы управления рисками

Управление ИТ-рисками можно рассматривать как компонент более широкого Управление рисками система.^[22]

Создание, поддержание и постоянное обновление Система управления информационной безопасностью (СМИБ) являются убедительным свидетельством того, что компания использует систематический подход для выявления, оценки и управления рисками информационной безопасности.^[23]

Были предложены различные методологии управления ИТ-рисками, каждая из которых разделена на процессы и этапы.^[24]

В Сертифицированный аудитор информационных систем Руководство по обзору 2006 года, выпущенное ISACA, международной профессиональной ассоциацией, специализирующейся на управлении ИТ, дает следующее определение управления рисками: «Управление рисками - это процесс выявления уязвимости и угрозы к информационным ресурсам, используемым организацией для достижения бизнес-целей, и принятия решения о том, что контрмеры, если таковые имеются, принять меры по снижению риска до приемлемого уровня, исходя из ценности информационного ресурса для организации ».^[25]

В Структура кибербезопасности NIST поощряет организации к управлению ИТ-рисками в рамках Идентифицировать (ID) функция:^[26]^[27]

Оценка рисков (ID.RA): Организация понимает риск кибербезопасности для операций организации (включая миссию, функции, имидж или репутацию), активов организации и отдельных лиц.

ID.RA-1: уязвимости активов идентифицированы и задокументированы
ID.RA-2: информация о киберугрозах и уязвимостях получена с форумов по обмену информацией и из источника.
ID.RA-3: внутренние и внешние угрозы выявляются и документируются.
ID.RA-4: потенциальные воздействия на бизнес и их вероятность определены.
ID.RA-5: Угрозы, уязвимости, вероятности и воздействия используются для определения риска
ID.RA-6: меры реагирования на риски определены и приоритизированы

Стратегия управления рисками (ID.RM): Приоритеты, ограничения, допустимые пределы риска и допущения организации устанавливаются и используются для поддержки решений по операционным рискам.

ID.RM-1: процессы управления рисками устанавливаются, управляются и согласовываются заинтересованными сторонами организации
ID.RM-2: Организационная устойчивость к риску определена и четко выражена
ID.RM-3: определение терпимости к риску зависит от ее роли в критической инфраструктуре и анализа рисков в конкретных секторах.

Законы и правила, касающиеся ИТ-рисков

Ниже приводится краткое описание применимых правил с разбивкой по источникам.^[28]

ОЭСР

ОЭСР выдал следующее:

Организация экономического сотрудничества и развития (ОЭСР) Рекомендация Совета относительно руководящих принципов, регулирующих защиту конфиденциальности и трансграничные потоки персональных данных (23 сентября 1980 г.)
Руководящие принципы ОЭСР по безопасности информационных систем и сетей: на пути к культуре безопасности (25 июля 2002 г.). Тема: Общая информационная безопасность. Объем: Необязывающие руководящие принципы для любых организаций ОЭСР (правительства, предприятия, другие организации и отдельные пользователи, которые разрабатывают, владеют, предоставляют, управляют, обслуживают и используют информационные системы и сети). В Руководящих принципах ОЭСР изложены основные принципы, лежащие в основе практики управления рисками и информационной безопасности. Хотя никакая часть текста не является обязательной как таковая, несоблюдение любого из принципов свидетельствует о серьезном нарушении передовой практики RM / RA, которое потенциально может повлечь за собой ответственность.

Евросоюз

В Евросоюз выдал следующие, разделенные по темам:

Конфиденциальность
- Регламент (ЕС) № 45/2001 о защите физических лиц в отношении обработки персональных данных учреждениями и органами Сообщества и о свободном перемещении таких данных предусмотрено внутреннее регулирование, которое является практическим применением принципов Директивы о конфиденциальности, описанной ниже. Кроме того, статья 35 Регламента требует, чтобы учреждения и органы Сообщества принимали аналогичные меры предосторожности в отношении своей телекоммуникационной инфраструктуры и должным образом информировали пользователей о любых конкретных рисках нарушения безопасности.
- Директива 95/46 / EC о защите физических лиц в отношении обработка личных данных и о свободном перемещении таких данных требует, чтобы любая деятельность по обработке персональных данных подвергалась предварительному анализу рисков, чтобы определить последствия этой деятельности для конфиденциальности и определить соответствующие юридические, технические и организационные меры для защиты такой деятельности; эффективно защищена такими мерами, которые должны быть современными, с учетом чувствительности и последствий для конфиденциальности деятельности (в том числе, когда третья сторона отвечает за выполнение задачи обработки) уведомляется национальному органу по защите данных, включая меры, принятые для обеспечения безопасность деятельности. Кроме того, статья 25 и следующие за ней Директивы требуют, чтобы государства-члены запретили передачу персональных данных в государства, не являющиеся членами, если только такие страны не обеспечили надлежащую правовую защиту таких персональных данных или не запретили некоторые другие исключения.
- Решение Комиссии 2001/497 / EC от 15 июня 2001 г. о стандартных условиях договора о передаче персональных данных в третьи страны в соответствии с Директивой 95/46 / EC; и Решение Комиссии 2004/915 / EC от 27 декабря 2004 г. о внесении поправок в Решение 2001/497 / EC в отношении введения альтернативного набора стандартных договорных условий для передачи персональных данных в третьи страны. Тема: Экспорт персональных данных в третьи страны, в частности за пределами ЕС. страны, которые не были признаны имеющими адекватный уровень защиты данных (то есть эквивалентный уровню ЕС). Оба решения Комиссии содержат набор добровольных типовых положений, которые могут использоваться для экспорта личных данных от контроллера данных (который подчиняется правилам защиты данных ЕС) процессору данных за пределами ЕС. кто не подчиняется этим правилам или аналогичному набору адекватных правил.
- Принципы конфиденциальности International Safe Harbor (Смотри ниже Соединенные Штаты Америки и Принципы конфиденциальности International Safe Harbor )
- Директива 2002/58 / EC от 12 июля 2002 г. относительно обработки персональных данных и защиты конфиденциальности в секторе электронных коммуникаций
Национальная безопасность
- Директива 2006/24 / EC от 15 марта 2006 г. о хранении данных, созданных или обработанных в связи с предоставлением общедоступных услуг электронной связи или сетей связи общего пользования, и об изменении Директивы 2002/58 / ЕС (‘Директива о хранении данных ’). Тема: Требование к поставщикам общедоступных поставщиков электронных телекоммуникационных услуг хранить определенную информацию для целей расследования, обнаружения и судебного преследования серьезных преступлений.
- Директива Совета 2008/114 / EC от 8 декабря 2008 г. об идентификации и обозначении важнейших европейских инфраструктур и оценке необходимости улучшения их защиты. Тема: Идентификация и защита критических инфраструктур Европы. Сфера применения: применимо к государствам-членам и операторам европейской критической инфраструктуры (определяется в проекте директивы как `` критические инфраструктуры, нарушение или уничтожение которых может существенно повлиять на два или более государства-члена, или одно государство-член, если критическая инфраструктура расположена в другом государстве-члене. Это включает эффекты, возникающие в результате межотраслевой зависимости от других типов инфраструктуры »). Требует от государств-членов определения критических инфраструктур на своей территории и обозначения их в качестве объектов раннего доступа. После этого назначения владельцы / операторы ECI должны создать планы безопасности оператора (OSP), которые должны установить соответствующие решения безопасности для их защиты.
Гражданское и уголовное право
- Рамочное решение Совета 2005/222 / JHA от 24 февраля 2005 г. об атаках на информационные системы. Тема: Общее решение, направленное на гармонизацию национальных положений в области киберпреступности, охватывающих материальное уголовное право (то есть определения конкретных преступлений), процессуальное уголовное право (включая следственные меры и международное сотрудничество) и вопросы ответственности. Сфера применения: требует от государств-членов имплементировать положения Рамочного решения в своих национальных правовых рамках. Рамочное решение актуально для РМ / РА, поскольку оно содержит условия, при которых юридическая ответственность может быть возложена на юридических лиц за поведение определенных физических лиц, обладающих полномочиями в рамках юридического лица. Таким образом, Рамочное решение требует, чтобы поведение таких лиц внутри организации подвергалось адекватному мониторингу, в том числе потому, что в Решении говорится, что юридическое лицо может нести ответственность за бездействие в этом отношении.

Совет Европы

Конвенция Совета Европы о киберпреступности, Будапешт, 23.XI.2001 г., Серии европейских договоров, № 185. Тема: Общий договор, направленный на гармонизацию национальных положений в области киберпреступности, охватывающий материальное уголовное право (т.е. определения конкретных преступлений), процессуальное уголовное право (включая следственные меры и международное сотрудничество), вопросы ответственности и хранения данных. Помимо определений ряда уголовных преступлений в статьях 2–10, Конвенция имеет отношение к РМ / РА, поскольку в ней изложены условия, при которых юридическая ответственность может быть возложена на юридических лиц за поведение определенных физических лиц, обладающих полномочиями в рамках закона. юридическое лицо. Таким образом, Конвенция требует, чтобы поведение таких лиц в организации надлежащим образом контролировалось, в том числе потому, что Конвенция гласит, что юридическое лицо может быть привлечено к ответственности за бездействие в этом отношении.

Соединенные Штаты Америки

Соединенные Штаты выпустили следующее, разделенное по темам:

Гражданское и уголовное право
- Поправки к Федеральным правилам гражданского судопроизводства в отношении электронного обнаружения. Тема: Федеральные правила США в отношении производства электронных документов в гражданском судопроизводстве. Правила раскрытия информации позволяют стороне гражданского судопроизводства требовать, чтобы противная сторона представила всю имеющуюся у нее соответствующую документацию (будет определена запрашивающей стороной), чтобы позволить сторонам и суду правильно оценить дело. Благодаря поправке к электронному открытию, вступившей в силу 1 декабря 2006 года, такая информация теперь может включать электронную информацию. Это означает, что любую сторону, которая предстает перед судом США в рамках гражданского судопроизводства, можно попросить предоставить такие документы, которые включают окончательные отчеты, рабочие документы, внутренние служебные записки и электронные письма по определенной теме, которые могут или не могут быть конкретно очерчены. Поэтому любая сторона, деятельность которой подразумевает риск участия в таком разбирательстве, должна принимать адекватные меры предосторожности для управления такой информацией, включая безопасное хранение. В частности: сторона должна иметь возможность инициировать «судебное приостановление», техническую / организационную меру, которая должна гарантировать, что соответствующая информация больше не может быть изменена каким-либо образом. Политики хранения должны нести ответственность: хотя удаление конкретной информации, конечно, остается разрешенным, когда это является частью общих политик управления информацией («рутинная добросовестная работа информационной системы», Правило 37 (f)), преднамеренное уничтожение потенциально важная информация может быть наказана чрезвычайно высокими штрафами (в одном конкретном случае 1,6 миллиарда долларов США). Таким образом, на практике любой бизнес, который рискует возбудить гражданский иск в судах США, должен применять адекватную политику управления информацией и должен принимать необходимые меры для инициирования судебного приостановления.
Конфиденциальность
- Закон Грэмма – Лича – Блайли (GLBA)
- Закон США ПАТРИОТ, Раздел III
- Медицинское страхование Портативность и Акт об ответственности (HIPAA) С точки зрения RM / RA, Закон особенно известен своими положениями, касающимися административного упрощения (Раздел II HIPAA). Это название потребовало от Министерства здравоохранения и социальных служб США (HHS) разработки конкретных наборов правил, каждый из которых обеспечивал бы конкретные стандарты, которые повысят эффективность системы здравоохранения и предотвратят злоупотребления. В результате HHS принял пять основных правил: правило конфиденциальности, правило транзакций и кодовых наборов, правило уникальных идентификаторов, правило принудительного исполнения и правило безопасности. Последний, опубликованный в Федеральном реестре 20 февраля 2003 г. (см .: http://www.cms.hhs.gov/SecurityStandard/Downloads/securityfinalrule.pdf ), особенно актуален, поскольку он определяет ряд административных, технических и физических процедур безопасности для обеспечения конфиденциальности информации о здоровье, защищенной электронным способом. Эти аспекты были дополнительно изложены в наборе стандартов безопасности по административным, физическим, организационным и техническим мерам защиты, все из которых были опубликованы вместе с руководящим документом по основам управления рисками HIPAA и оценки рисков <http://www.cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp >. Поставщики медицинских услуг в Европе или других странах, как правило, не подпадают под действие обязательств HIPAA, если они не работают на рынке США. Однако, поскольку их деятельность по обработке данных подчиняется аналогичным обязательствам в соответствии с общим европейским законодательством (включая Директиву о конфиденциальности), и поскольку основные тенденции модернизации и развития электронных файлов здоровья одинаковы, меры безопасности HHS могут быть полезны в качестве начального критерия. для измерения стратегий RM / RA, применяемых европейскими поставщиками медицинских услуг, особенно в отношении обработки электронной информации о здоровье. Стандарты безопасности HIPAA включают следующее:
  - Административные гарантии:
    - Процесс управления безопасностью
    - Назначенная ответственность за безопасность
    - Безопасность персонала
    - Управление доступом к информации
    - Осведомленность о безопасности и обучение
    - Процедуры инцидентов безопасности
    - План действий в непредвиденных обстоятельствах
    - Оценка
    - Контракты с деловыми партнерами и другие договоренности
  - Физические гарантии
    - Контроль доступа к объектам
    - Использование рабочей станции
    - Безопасность рабочей станции
    - Управление устройством и мультимедиа
  - Технические гарантии
    - Контроль доступа
    - Контроль аудита
    - Честность
    - Аутентификация человека или сущности
    - Безопасность передачи
  - Организационные требования
    - Контракты с деловыми партнерами и другие договоренности
    - Требования к групповым планам медицинского обслуживания
- Принципы конфиденциальности International Safe Harbor выдано Министерством торговли США 21 июля 2000 г. Экспорт личных данных от контроллера данных, который подчиняется ЕС. правила конфиденциальности для пункта назначения в США; до того, как персональные данные могут быть экспортированы из организации, подпадающей под действие ЕС. правила конфиденциальности в пункт назначения, в соответствии с законодательством США, европейская организация должна гарантировать, что принимающая организация обеспечивает адекватные гарантии для защиты таких данных от ряда неудач. Один из способов выполнения этого обязательства - потребовать от принимающей организации присоединиться к Safe Harbor, потребовав, чтобы организация самостоятельно подтверждала свое соответствие так называемым принципам Safe Harbor. Если выбран этот путь, диспетчер данных, экспортирующий данные, должен убедиться, что пункт назначения в США действительно находится в списке Safe Harbor (см. список безопасной гавани )
Закон Сарбейнса – Оксли
FISMA

Организации по стандартизации и стандарты

Международные органы по стандартизации:
Стандартные органы США:
- Национальный институт стандартов и технологий – NIST
- Федеральные стандарты обработки информации - FIPS от NIST, посвященный федеральному правительству и агентствам
Стандартные органы Великобритании
- Британский институт стандартов

Краткое описание стандартов

Список в основном основан на:^[28]

ISO

ISO / IEC 13335 -1: 2004 - Информационные технологии. Методы безопасности. Управление безопасностью информационных и коммуникационных технологий. Часть 1. Концепции и модели для управления безопасностью информационных и коммуникационных технологий. http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. Стандарт, содержащий общепринятые описания концепций и моделей управления безопасностью информационных и коммуникационных технологий. Стандарт является обычно используемым сводом правил и служит ресурсом для внедрения методов управления безопасностью и критерием для аудита таких практик. (Смотрите также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf )
ISO / IEC TR 15443 -1: 2005 - Информационные технологии. Методы безопасности. Основа для обеспечения безопасности ИТ. Справочник:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (Примечание: это ссылка на страницу ISO, на которой можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Обеспечение безопасности - Технический отчет (TR) содержит общепринятые руководящие принципы, которые могут использоваться для определения соответствующего метода обеспечения безопасности для оценки услуги, продукта или фактора окружающей среды безопасности.
ИСО / МЭК 15816: 2002 - Информационные технологии. Методы безопасности. Информационные объекты безопасности для управления доступом. Справка:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Управление безопасностью - Контроль доступа. Стандарт позволяет специалистам по безопасности полагаться на определенный набор синтаксических определений и объяснений в отношении SIO, тем самым избегая дублирования или расхождения в других усилиях по стандартизации.
ISO / IEC TR 15947: 2002 - Информационные технологии. Методы безопасности. Справочник по структуре обнаружения вторжений в ИТ:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Управление безопасностью - Обнаружение вторжений в ИТ-системы. Стандарт позволяет специалистам по безопасности полагаться на определенный набор концепций и методологий для описания и оценки рисков безопасности в отношении потенциальных вторжений в ИТ-системы. It does not contain any RM/RA obligations as such, but it is rather a tool for facilitating RM/RA activities in the affected field.
ISO / IEC 15408 -1/2/3:2005 – Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model (15408-1) Part 2: Security functional requirements (15408-2) Part 3: Security assurance requirements (15408-3) reference: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Topic: Standard containing a common set of requirements for the security functions of IT products and systems and for assurance measures applied to them during a security evaluation. Scope: Publicly available ISO standard, which can be voluntarily implemented. The text is a resource for the evaluation of the security of IT products and systems, and can thus be used as a tool for RM/RA. The standard is commonly used as a resource for the evaluation of the security of IT products and systems; including (if not specifically) for procurement decisions with regard to such products. The standard can thus be used as an RM/RA tool to determine the security of an IT product or system during its design, manufacturing or marketing, or before procuring it.
ISO/IEC 17799:2005 – Information technology—Security techniques—Code of practice for information security management. ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (Note: this is a reference to the ISO page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Standard containing generally accepted guidelines and general principles for initiating, implementing, maintaining, and improving information security management in an organization, including business continuity management. The standard is a commonly used code of practice, and serves as a resource for the implementation of information security management practices and as a yardstick for auditing such practices. (Смотрите также ISO/IEC 17799 )
ISO/IEC TR 15446:2004 – Information technology—Security techniques—Guide for the production of Protection Profiles and Security Targets. ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Topic: Technical Report (TR) containing guidelines for the construction of Protection Profiles (PPs) and Security Targets (STs) that are intended to be compliant with ISO/IEC 15408 (the "Common Criteria"). The standard is predominantly used as a tool for security professionals to develop PPs and STs, but can also be used to assess the validity of the same (by using the TR as a yardstick to determine if its standards have been obeyed). Thus, it is a (nonbinding) normative tool for the creation and assessment of RM/RA practices.
ISO/IEC 18028:2006 – Information technology—Security techniques—IT network security reference: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (Note: this is a reference to the ISO page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Five part standard (ISO/IEC 18028-1 to 18028-5) containing generally accepted guidelines on the security aspects of the management, operation and use of information technology networks. The standard is considered an extension of the guidelines provided in ISO/IEC 13335 and ISO/IEC 17799 focusing specifically on network security risks. The standard is a commonly used code of practice, and serves as a resource for the implementation of security management practices and as a yardstick for auditing such practices.
ISO/IEC 27001:2005 – Information technology—Security techniques—Information security management systems—Requirements reference: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (Note: this is a reference to the ISO page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Standard containing generally accepted guidelines for the implementation of an Information Security Management System within any given organisation. Scope: Not publicly available ISO standard, which can be voluntarily implemented. While not legally binding, the text contains direct guidelines for the creation of sound information security practices The standard is a very commonly used code of practice, and serves as a resource for the implementation of information security management systems and as a yardstick for auditing such systems and/or the surrounding practices. Its application in practice is often combined with related standards, such as BS 7799-3:2006 which provides additional guidance to support the requirements given in ISO/IEC 27001:2005 <http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 >
ISO/IEC 27001:2013, the updated standard for information security management systems.
ISO/IEC TR 18044:2004 – Information technology—Security techniques—Information security incident management reference: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (Note: this is a reference to the ISO page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Technical Report (TR) containing generally accepted guidelines and general principles for information security incident management in an organization.Scope: Not publicly available ISO TR, which can be voluntarily used.While not legally binding, the text contains direct guidelines for incident management. The standard is a high level resource introducing basic concepts and considerations in the field of incident response. As such, it is mostly useful as a catalyst to awareness raising initiatives in this regard.
ISO/IEC 18045:2005 – Information technology—Security techniques—Methodology for IT security evaluation reference: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Topic: Standard containing auditing guidelines for assessment of compliance with ISO/IEC 15408 (Information technology—Security techniques—Evaluation criteria for IT security) Scope Publicly available ISO standard, to be followed when evaluating compliance with ISO/IEC 15408 (Information technology—Security techniques—Evaluation criteria for IT security). The standard is a ‘companion document’, which is thus primarily of used for security professionals involved in evaluating compliance with ISO/IEC 15408 (Information technology—Security techniques—Evaluation criteria for IT security). Since it describes minimum actions to be performed by such auditors, compliance with ISO/IEC 15408 is impossible if ISO/IEC 18045 has been disregarded.
ISO/TR 13569:2005 – Financial services—Information security guidelines reference: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (Note: this is a reference to the ISO page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Standard containing guidelines for the implementation and assessment of information security policies in financial services institutions. The standard is a commonly referenced guideline, and serves as a resource for the implementation of information security management programmes in institutions of the financial sector, and as a yardstick for auditing such programmes. (Смотрите также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf )
ISO/IEC 21827:2008 – Information technology—Security techniques—Systems Security Engineering—Capability Maturity Model (SSE-CMM): ISO/IEC 21827:2008 specifies the Systems Security Engineering – Capability Maturity Model (SSE-CMM), which describes the essential characteristics of an organization's security engineering process that must exist to ensure good security engineering. ISO/IEC 21827:2008 does not prescribe a particular process or sequence, but captures practices generally observed in industry. The model is a standard metric for security engineering practices.

BSI

BS 25999 -1:2006 – Business continuity management Part 1: Code of practice Note: this is only part one of BS 25999, which was published in November 2006. Part two (which should contain more specific criteria with a view of possible accreditation) is yet to appear. ссылка: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563. Topic: Standard containing a business continuity code of practice. The standard is intended as a code of practice for business continuity management, and will be extended by a second part that should permit accreditation for adherence with the standard. Given its relative newness, the potential impact of the standard is difficult to assess, although it could be very influential to RM/RA practices, given the general lack of universally applicable standards in this regard and the increasing attention to business continuity and contingency planning in regulatory initiatives. Application of this standard can be complemented by other norms, in particular PAS 77:2006 – IT Service Continuity Management Code of Practice <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858 >.The TR allows security professionals to determine a suitable methodology for assessing a security service, product or environmental factor (a deliverable). Following this TR, it can be determined which level of security assurance a deliverable is intended to meet, and if this threshold is actually met by the deliverable.
BS 7799 -3:2006 – Information security management systems—Guidelines for information security risk management reference: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 (Note: this is a reference to the BSI page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Standard containing general guidelines for information security risk management.Scope: Not publicly available BSI standard, which can be voluntarily implemented. While not legally binding, the text contains direct guidelines for the creation of sound information security practices. The standard is mostly intended as a guiding complementary document to the application of the aforementioned ISO 27001:2005, and is therefore typically applied in conjunction with this standard in risk assessment practices

Information Security Forum

Standard of Good Practice

Смотрите также

внешняя ссылка

[1] "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)

[2] "3 Types Of Cybersecurity Assessments – Threat Sketch". Threat Sketch. 2016-05-16. Получено 2017-10-07.

[3] "Information Security Assessment Types". danielmiessler.com. Получено 2017-10-07.

[ISO27005-4] а ^б ^c ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008

[CNSSI4009-5] CNSS Instruction No. 4009 В архиве 2012-02-27 в Wayback Machine dated 26 April 2010

[6] National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee

[7] "Glossary of Terms". Получено 23 мая 2016.

[8] wiki project посвященный FISMA

[9] FISMApedia Risk term

[SP80030-10] а ^б NIST SP 800-30 Risk Management Guide for Information Technology Systems

[11] FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems

[riskmanagementinsight.com-12] а ^б FAIR: Factor Analysis for Information Risks В архиве 2014-11-18 на Wayback Machine

[riskit-13] а ^б ISACA THE RISK IT FRAMEWORK ISBN 978-1-60420-111-6 (registration required)

[14] Technical Standard Risk Taxonomy ISBN 1-931624-77-1 Document Number: C081 Published by The Open Group, January 2009.

[15] Arnold, Rob (2017). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk. Threat Sketch, LLC. ISBN 9780692944158.

[16] Arnold, Rob (2017). Cybersecurity: A Business Solution. п. 22. ISBN 978-0692944158.

[17] "Glossary". Архивировано из оригинал 29 февраля 2012 г.. Получено 23 мая 2016.

[18] "Glossary". Архивировано из оригинал 29 февраля 2012 г.. Получено 23 мая 2016.

[ENISA_Glossary_Impact-19] "Glossary". Архивировано из оригинал 29 февраля 2012 г.. Получено 23 мая 2016.

[ENISA_Glossary_Consequence-20] "Glossary". Архивировано из оригинал 29 февраля 2012 г.. Получено 23 мая 2016.

[OWASP-21] а ^б "OWASP Risk Rating Methodology". Получено 23 мая 2016.

[RISKITW-22] "ISACA THE RISK IT FRAMEWORK (registration required)" (PDF).

[ENISAFULL-23] Enisa Risk management, Risk assessment inventory, page 46

[Vacca1-24] Katsicas, Sokratis K. (2009). "35". In Vacca, John (ed.). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. p. 605. ISBN 978-0-12-374354-1.

[25] ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association. п. 85. ISBN 978-1-933284-15-6.

[26] Keller, Nicole (2013-11-12). "Cybersecurity Framework". NIST. Получено 2017-10-07.

[27] Arnold, Rob. "A 10 Minute Guide to the NIST Cybersecurity Framework". Threat Sketch. Получено 2018-02-14.

[ENISALAW-28] а ^б Risk Management / Risk Assessment in European regulation, international guidelines and codes of practice Conducted by the Technical Department of ENISA Section Risk Management in cooperation with: Prof. J. Dumortier and Hans Graux www.lawfort.be June 2007

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]