IT қаупі - IT risk

Ақпараттық технологиялар қаупі, IT қаупі, IT-мен байланысты тәуекел, немесе кибер тәуекел кез келген тәуекел байланысты ақпараттық технологиясы. Ақпарат ұзақ уақыт бойы құнды және маңызды құндылық ретінде бағаланғанымен, оның өсуі білім экономикасы және Сандық революция ұйымдардың ақпаратқа тәуелді болуына алып келді, ақпаратты өңдеу және әсіресе IT. АТ-ны қандай-да бір түрде бұзатын түрлі оқиғалар немесе оқиғалар ұйымның іскери процестеріне немесе миссиясына жағымсыз әсер етуі мүмкін, олар маңызды емес деңгейден апаттыққа дейін.

Болуы мүмкін оқиғалар мен оқиғалардың ықтималдықтарын немесе ықтималдылықтарын олардың болжамды әсерлерімен немесе салдарларымен, егер олар орын алса, бағалау - бұл АТ тәуекелдерін бағалау мен өлшеудің кең тараған әдісі.^[1] АТ қаупін өлшеудің баламалы әдістері, әдетте, басқа ықпал ететін факторларды бағалауды қамтиды қауіп-қатер, осалдықтар, экспозициялар және актив құндылықтары.^[2]^[3]

Анықтамалар

ISO

IT қаупі: берілген әлеует қауіп-қатер пайдаланады осалдықтар туралы актив немесе активтер тобы болып табылады және сол арқылы ұйымға зиян келтіреді. Ол оқиғаның пайда болу ықтималдығы мен оның салдары комбинациясы бойынша өлшенеді.^[4]

Ұлттық қауіпсіздік жүйелері комитеті

The Ұлттық қауіпсіздік жүйелері комитеті туралы Америка Құрама Штаттары анықталған тәуекел әртүрлі құжаттарда:

CNSS 2010 жылғы 26 сәуірдегі № 4009 нұсқаулықтан^[5] негізгі және техникалық бағытталған анықтама:
Тәуекел - белгілі бір осалдықты пайдалану арқылы белгілі бір қауіптің АЖ-ға кері әсер ету мүмкіндігі.
Ұлттық қауіпсіздік телекоммуникация және ақпараттық жүйелерді қорғау жөніндегі нұсқаулық (NSTISSI) № 1000,^[6] NIST SP 800-30-ға ұқсас ықтималдық аспектісін ұсынады:
Тәуекел - қауіптің пайда болу ықтималдығы, қауіптің туындауы жағымсыз әсерге әкелу ықтималдығы және алынған әсердің ауырлығы

Ұлттық ақпаратты қамтамасыз етуді оқыту және тәрбиелеу орталығы IT саласындағы тәуекелді анықтайды:^[7]

Қауіп-қатердің осалдығы нәтижесінде пайда болатын шығындар әлеуеті. Қауіпті немесе осалдықты азайту қауіпті азайтады.
Мұндай шығын ықтималдылығымен көрсетілген шығынның белгісіздігі.
Дұшпандықтың белгілі бір телекоммуникация жүйесін немесе COMSEC жүйесін барлау мақсатында сәтті пайдалануы ықтималдығы; оның факторлары қауіп пен осалдық болып табылады.
Қауіптің пайда болу ықтималдығы, қауіптің туындауы кері әсердің пайда болу ықтималдығы мен алынған жағымсыз әсердің ауырлығының жиынтығы.
белгілі бір қауіптің жүйенің белгілі бір осалдығын пайдалану ықтималдығы.

NIST

Көптеген NIST басылымдар анықтайды тәуекел әр түрлі басылымдарда АТ контекстінде: FISMApedia^[8] мерзім^[9] тізімін беріңіз. Олардың арасында:

Сәйкес NIST SP 800-30:^[10]
Тәуекел - бұл қауіп-қатер көздерінің белгілі бір ықтимал осалдықты қолдану ықтималдығының функциясы және осы жағымсыз оқиғаның ұйымға әсері.
NIST FIPS 200-ден^[11]
Тәуекел - қауіптің ықтимал әсері және сол қауіптің туындау ықтималдығын ескере отырып, ақпараттық жүйенің жұмысынан туындайтын ұйымдық операцияларға (миссияға, функцияларға, имиджге немесе беделге), ұйым активтеріне немесе жеке адамдарға әсер ету деңгейі.

NIST SP 800-30^[10] анықтайды:

АТ-мен байланысты тәуекел

Миссияның таза әсері:

белгілі бір қауіп-қатер көзі белгілі бір ақпараттық жүйенің осалдығын (кездейсоқ іске қосуы немесе әдейі пайдалануы) мүмкін болу ықтималдығы және
нәтижесінде пайда болатын әсер. АТ-мен байланысты тәуекелдер заңды жауапкершіліктен немесе миссияны жоғалтудан туындайды:
1. Ақпаратты рұқсат етілмеген (зиянды немесе кездейсоқ) жариялау, өзгерту немесе жою
2. Байқаусызда жіберілген қателіктер мен кемшіліктер
3. Табиғи немесе техногендік сипаттағы апаттардың салдарынан ІТ-нің бұзылуы
4. ІТ жүйесін енгізу мен пайдалану кезінде тиісті сақтық пен ұқыптылықты қолданбау.

Тәуекелдерді басқару жөніндегі түсінік

АТ тәуекелі - болашақтағы жоғалтудың ықтимал жиілігі мен ықтимал шамасы.^[12]

ISACA

ISACA жариялады Тәуекел етіңіз Ақпараттық технологияларды қолдануға байланысты барлық тәуекелдердің түпкілікті, жан-жақты көрінісін қамтамасыз ету үшін шеңбер. Ана жерде,^[13] АТ қаупі:

Кәсіпорын ішінде АТ пайдалану, иелену, пайдалану, тарту, әсер ету және қабылдаумен байланысты іскерлік тәуекел

Сәйкес Тәуекел етіңіз,^[13] АТ тәуекелі неғұрлым кең мағынаға ие: ол тек жағымсызды ғана қамтымайды әсер ету ұйымның құнын төмендетуге немесе төмендетуге әкелетін операциялар мен қызметтерді ұсыну, сонымен қатар артық жұмсау немесе кеш жеткізу сияқты аспектілер үшін бизнесті немесе АТ-жобасын басқаруды қосу немесе жақсарту үшін технологияны пайдаланудың мүмкіндіктерін жоғалтумен байланысты пайда мәні жағымсыз бизнес әсерімен

АТ қаупін өлшеу

Сіз өлшей алмайтын нәрсені тиімді және дәйекті басқара алмайсыз, анықтамаған нәрсені өлшей алмайсыз.^[12]^[14]

АТ қаупін (немесе киберлік тәуекелді) өлшеу көптеген деңгейде болуы мүмкін. Іскери деңгейде тәуекелдер қатаң түрде басқарылады. Алдыңғы қатардағы IT бөлімдері және ҰОК неғұрлым ақылды, жеке тәуекелдерді өлшеуге бейім. Олардың арасындағы байланыстарды басқару заманауи үшін маңызды рөл атқарады CISO.

Кез-келген түрдегі тәуекелді өлшеу кезінде берілген қауіп, актив және қол жетімді мәліметтер үшін дұрыс теңдеуді таңдау маңызды қадам болып табылады. Мұны істеу өзіне бағынады, бірақ түсінуге көмектесетін тәуекел теңдеулерінің жалпы компоненттері бар.

Тәуекелдерді басқаруға төрт негізгі күш қатысады, олар киберқауіпсіздікке де қатысты. Олар активтер, әсер, қауіптер және ықтималдылық. Сізде ішкі білім және бақылау жеткілікті активтер, бұл құндылыққа ие материалдық және материалдық емес заттар. Сізде біраз бақылау бар әсер ету, бұл активтің жоғалуын немесе бүлінуін білдіреді. Алайда, қауіп-қатер қарсыластарды білдіретін және олардың шабуыл жасау тәсілдері сіздің бақылауыңыздан тыс. Ықтималдығы топтағы wild card. Ықтималдықтар қауіптің қашан және қашан жүзеге асатынын, табысқа жететінін және зиян тигізетінін анықтайды. Ешқашан сіздің бақылауыңызда болмасаңыз да, ықтималдылықты қалыптастыруға және тәуекелді басқаруға әсер етуге болады.^[15]

Математикалық тұрғыдан күштер келесі формулада ұсынылуы мүмкін: ${ textstyle Тәуекел = p (Актив, Қауіп) есе d (Актив, Қауіп)}$ мұндағы p () - активке қатысты қауіптің пайда болуы / сәтті болуы ықтималдығы, ал d () - орын алуы мүмкін әр түрлі деңгейдегі зиян.^[16]

АТ тәуекелдерін басқару саласы осы салаға ғана тән бірқатар терминдер мен тәсілдерді тудырды. Кейбір салалық терминдер әлі келісілмеген. Мысалы, термин осалдық жиі пайда болу ықтималдылығымен ауыстырылады, бұл проблемалы болуы мүмкін. АТ қаупін басқарудың жиі кездесетін шарттары мен тәсілдеріне мыналар жатады:

Ақпараттық қауіпсіздік шарасы

Ақпараттық қауіпсіздік саясатының ықтимал бұзылуын немесе кепілдіктердің орындалмауын көрсететін жүйенің, қызметтің немесе желі күйінің анықталған пайда болуы немесе қауіпсіздікке қатысты болуы мүмкін бұрын белгісіз жағдай.^[4]

Жағдайлардың белгілі бір жиынтығының пайда болуы^[17]

Оқиға белгілі немесе белгісіз болуы мүмкін.
Оқиға бір немесе бірнеше рет болуы мүмкін. : (ISO / IEC нұсқаулығы 73)

Ақпараттық қауіпсіздік оқиғасы

іскери операцияларды бұзу және ақпараттық қауіпсіздікке қауіп төндіру ықтималдығы бар бір немесе қажетсіз ақпараттық қауіпсіздік оқиғаларының бір немесе бірқатарымен көрсетіледі.^[4]

Жүйенің қауіпсіздігіне немесе жұмысына нақты немесе ықтимал жағымсыз әсер етуі ретінде бағаланған оқиға [G.11].^[18]

Әсер^[19]

Қалаусыз оқиғаның нәтижесі [G.17]. (ISO / IEC PDTR 13335-1)

Салдары^[20]

Оқиғаның нәтижесі [G.11]

Бір оқиғаның бірнеше салдары болуы мүмкін.
Мұның салдары жағымдыдан жағымсызға дейін болуы мүмкін.
Салдары сапалы немесе сандық түрде көрсетілуі мүмкін (ISO / IEC нұсқаулығы 73)

Тәуекел R ықтималдылықтың туындысы болып табылады L уақыт аралығында болған қауіпсіздік оқиғасы әсер ету Мен оқиғаға байланысты ұйымға келтірілетін, яғни:^[21]

R = L × Мен

Қауіпсіздік оқиғаларының пайда болу ықтималдығы - бұл қауіптің пайда болу ықтималдығы және қауіптің тиісті жүйенің осалдықтарын сәтті пайдалануы мүмкіндігінің функциясы.

Қауіпсіздік оқиғасының пайда болуының салдары - бұл ұйым активтеріне келтіретін зиянның салдарынан ұйымға әсер етуі мүмкін әсер ету функциясы. Зиян ұйымға активтердің құнымен байланысты; бір активтің әртүрлі ұйымдар үшін әр түрлі мәні болуы мүмкін.

Сонымен R төрт функция болуы мүмкін факторлар:

A =. Мәні активтер
T = ықтималдығы қауіп-қатер
V = сипаты осалдық яғни пайдалануға болатын ықтималдығы (шабуылдаушы үшін ықтимал пайдаға пропорционалды және пайдалану құнына кері пропорционалды)
I = мүмкін әсер ету, зиян мөлшері

Егер сандық мәндер болса (әсер ету үшін ақша және басқа факторлардың ықтималдығы), тәуекел ақшалай көріністе көрсетілуі мүмкін және қауіпсіздік шараларын қолданғаннан кейін қарсы шаралар мен қалдық тәуекелдер құнымен салыстырылады. Бұл мәндерді білдіру әрдайым практикалық бола бермейді, сондықтан тәуекелді бағалаудың бірінші сатысында тәуекел үш немесе бес саты шкаласында өлшемсіз бағаланады.

OWASP тәуекелдерді өлшеудің практикалық нұсқаулығын ұсынады^[21] негізінде:

Ықтималдылықты 0-ден 9-ға дейінгі шкаладағы әртүрлі факторлар арасындағы орташа мән ретінде бағалау:
- Қауіп төндіруші факторлар
  - Дағды деңгейі: қауіп төндіретін агенттердің бұл тобы техникалық жағынан қаншалықты білікті? Техникалық дағдылар жоқ (1), кейбір техникалық дағдылар (3), компьютердің озық пайдаланушысы (4), желілік және бағдарламалау дағдылары (6), қауіпсіздікке ену дағдылары (9)
  - Мотив: қауіп төндіретін агенттердің осы тобы осалдықты табуға және пайдалануға қаншалықты ынталы? Сыйақы төмен немесе жоқ (1), мүмкін сыйақы (4), жоғары сыйақы (9)
  - Мүмкіндік: қауіптілік агенттерінің осы тобы үшін осалдықты табу және пайдалану үшін қандай ресурстар мен мүмкіндіктер қажет? толық қол жетімділік немесе қымбат ресурстар қажет (0), арнайы қол жетімділік немесе ресурстар қажет (4), кейбір қол жетімділік немесе ресурстар қажет (7), қол жетімділік немесе ресурстар қажет емес (9)
  - Көлемі: бұл қауіп агенттерінің тобы қаншалықты үлкен? Әзірлеушілер (2), жүйелік әкімшілер (2), интранет пайдаланушылар (4), серіктестер (5), аутентификацияланған пайдаланушылар (6), анонимді интернет қолданушылар (9)
- Осалдық Факторлар: келесі факторлар жиынтығы осалдыққа қатысты. Мұндағы мақсат - осалдықтың ашылуы мен пайдаланылуының ықтималдығын бағалау. Жоғарыда таңдалған қауіп агентін қабылдаңыз.
  - Табудың қарапайымдылығы: қауіптілік агенттерінің осы тобы осалдығын анықтау қаншалықты оңай? Іс жүзінде мүмкін емес (1), қиын (3), жеңіл (7), автоматтандырылған құралдар (9)
  - Жеңілдік пайдалану: Қауіп төндіретін агенттердің осы тобы осалдықты пайдалану қаншалықты оңай? Теориялық (1), қиын (3), оңай (5), автоматтандырылған құралдар (9)
  - Хабардар болу: қауіптілік агенттерінің осы тобына осалдығы қаншалықты белгілі? Белгісіз (1), жасырын (4), анық (6), көпшілікке мәлім (9)
  - Интрузияны анықтау: қанаудың анықталу ықтималдығы қандай? Қолданбадағы белсенді анықтау (1), тіркелген және қаралған (3), тексерусіз тіркелген (8), тіркелмеген (9)
Әсерді 0-ден 9-ға дейінгі шкаладағы әртүрлі факторлар арасындағы орташа мән ретінде бағалау
- Техникалық әсер ету факторлары; техникалық әсер дәстүрлі қауіпсіздік салаларына сәйкес келетін факторларға бөлінуі мүмкін: құпиялылық, тұтастық, қол жетімділік және есеп беру. Мақсат - осалдық пайдаланылатын болса, жүйеге әсер ету шамасын бағалау.
  - Жоғалту құпиялылық: Қанша деректерді ашуға болады және олар қаншалықты сезімтал? Ашылған минималды сезімтал емес мәліметтер (2), ашылған минималды критикалық деректер (6), кең ауқымды сезімтал емес мәліметтер (6), кең ауқымды критикалық деректер (7), барлық мәліметтер (9)
  - Жоғалту тұтастық: Қандай деректер бүлінуі мүмкін және қаншалықты зақымдалған? Аздап бүлінген мәліметтер (1), ең аз жемқорлар (3), аздап бүлінгендер (5), кең ауқымды бүлінгендер (7), барлық мәліметтер мүлдем бүлінген (9)
  - Жоғалту қол жетімділік Қанша қызмет жоғалуы мүмкін және бұл қаншалықты маңызды? Минималды қосалқы қызметтер үзілді (1), минималды негізгі қызметтер үзілді (5), кеңейтілген қосалқы қызметтер үзілді (5), кеңейтілген бастапқы қызметтер үзілді (7), барлық қызметтер толығымен жоғалды (9)
  - Есеп беруді жоғалту: қауіп төндіретін агенттердің әрекеттері жеке адамға қадағалана ма? Толық бақыланатын (1), мүмкін бақыланатын (7), толықтай жасырын (9)
- Іскери факторлар: Іскери әсер техникалық әсерден туындайды, бірақ қосымшаны басқаратын компания үшін маңызды нәрсені терең түсінуді талап етеді. Тұтастай алғанда, сіз өзіңіздің тәуекелдеріңізді іскерлік әсермен қолдауды мақсат етуіңіз керек, әсіресе сіздің аудиторияңыз жетекші деңгейде болса. Іскерлік тәуекел - қауіпсіздік проблемаларын шешуге инвестицияларды ақтайтын нәрсе.
  - Қаржылық зиян: қанаудан қаншалықты қаржылық шығын болады? Осалдықты түзету шығындарынан аз (1), жылдық пайдаға аз әсер (3), жылдық пайдаға айтарлықтай әсер ету (7), банкроттық (9)
  - Репутацияға зиян: пайдаланушылық бизнеске зиян келтіретін беделге нұқсан келтіруі мүмкін бе? Минималды зиян (1), ірі шоттардың жоғалуы (4), гудвиллдің жоғалуы (5), брендтің зақымдануы (9)
  - Сәйкессіздік: Сәйкессіздік қанша экспозицияны тудырады? Ұсақ құқық бұзушылық (2), айқын бұзушылық (5), маңызды бұзушылық (7)
  - Құпиялылық бұзушылық: жеке сәйкестендіруге болатын ақпарат қаншалықты ашылуы мүмкін? Бір жеке тұлға (3), жүздеген адам (5), мыңдаған адам (7), миллиондаған адам (9)
- Егер іскери әсер дәл есептелген болса, оны келесі жағдайда қолданыңыз, әйтпесе Техникалық әсерді қолданыңыз
3-тен аз ТӨМЕН, 3-тен 6-ға ОРТА және 6-дан 9-ға ЖОҒАРЫ деп болжанған ТӨМЕН, ОРТА, ЖОҒАРЫ шкаладағы ықтималдылық пен әсерді бағалаңыз.
Тәуекелді келесі кесте арқылы есептеңіз

Жалпы тәуекел дәрежесі
Әсер	ЖОҒАРЫ	Орташа	Жоғары	Сыни
	ОРТА	Төмен	Орташа	Жоғары
	ТӨМЕН	Жоқ	Төмен	Орташа
		ТӨМЕН	ОРТА	ЖОҒАРЫ
	Ықтималдығы

АТ тәуекелдерін басқару

Тәуекелдерді басқару элементтері

АТ тәуекелін басқару кеңірек компонент деп санауға болады тәуекелдерді басқару жүйе.^[22]

Ан-ны құру, қолдау және үздіксіз жаңарту Ақпараттық қауіпсіздікті басқару жүйесі (БААЖ) компанияның ақпараттық қауіпсіздік тәуекелдерін сәйкестендіру, бағалау және басқару үшін жүйелік тәсілді қолданатындығының айқын дәлелі болып табылады.^[23]

АТ-тәуекелдерді басқарудың әртүрлі әдістемелері ұсынылды, олардың әрқайсысы процестер мен кезеңдерге бөлінді.^[24]

The Сертификатталған ақпараттық жүйелер аудиторы Ақпараттық технологияларды басқаруға бағытталған халықаралық кәсіби қауымдастық ISACA шығарған 2006 ж. Шолу бойынша нұсқаулық тәуекелдерді басқарудың келесі анықтамасын береді: «Тәуекелдерді басқару - бұл анықтау процесі осалдықтар және қауіп-қатер ұйымның іскерлік мақсаттарға қол жеткізуде пайдаланатын ақпараттық ресурстарына және нені шешуге болатындығына қарсы шаралар, егер бар болса, ұйым үшін ақпараттық ресурстардың құндылығына негізделген тәуекелді қолайлы деңгейге дейін төмендету туралы ».^[25]

The NIST киберқауіпсіздік шеңбері бөлігі ретінде IT қаупін басқаруға ұйымдарды шақырады Анықтау (ID) функциясы:^[26]^[27]

Тәуекелді бағалау (ID.RA): Ұйым ұйымдық операцияларға (миссияға, функцияларға, имиджге немесе беделге), ұйым активтері мен жеке тұлғаларға киберқауіпсіздік қаупін түсінеді.

ID.RA-1: активтердің осалдығы анықталды және құжатталды
ID.RA-2: киберқауіп туралы ақпараттар және осалдықтар туралы ақпарат ақпарат алмасу форумдары мен ақпарат көздерінен алынады
ID.RA-3: Қауіптер ішкі де, сыртқы да анықталған және құжатталған
ID.RA-4: Бизнеске ықтимал әсерлер мен ықтималдылықтар анықталды
ID.RA-5: Қауіптер, осалдықтар, ықтималдықтар және әсерлер тәуекелді анықтау үшін қолданылады
ID.RA-6: Тәуекелге жауаптар анықталып, оларға басымдық беріледі

Тәуекелдерді басқару стратегиясы (ID.RM): Ұйымның басымдықтары, шектеулері, тәуекелге жол беруі және болжамдары операциялық тәуекел туралы шешімдерді қолдау үшін белгіленеді және қолданылады.

ID.RM-1: Тәуекелдерді басқару процестері ұйымдастырушылық мүдделі тараптармен белгіленеді, басқарылады және келісіледі
ID.RM-2: Ұйымның қауіп-қатерге төзімділігі анықталған және айқын көрсетілген
ID.RM-3: Ұйымның қауіп-қатерге төзімділікті айқындауы оның маңызды инфрақұрылымдағы рөлі мен сектордың ерекше тәуекелдік талдауы арқылы хабардар етіледі

АТ қаупі туралы заңдар мен ережелер

Төменде дерек көздері бойынша қолданылатын ережелердің қысқаша сипаттамасы келтірілген.^[28]

ЭЫДҰ

ЭЫДҰ келесілерді шығарды:

Экономикалық ынтымақтастық және даму ұйымы (ЭЫДҰ) Кеңестің жеке деректердің жеке өмірі мен трансшекаралық ағындарын қорғауды реттейтін нұсқауларға қатысты ұсынымы (23 қыркүйек 1980 ж.)
ЭЫДҰ Ақпараттық жүйелер мен желілер қауіпсіздігі жөніндегі нұсқаулық: қауіпсіздік мәдениетіне (25 шілде 2002). Тақырыбы: Жалпы ақпараттық қауіпсіздік. Қолдану саласы: ЭЫДҰ кез-келген субъектілері үшін міндетті емес нұсқаулар (үкіметтер, кәсіпкерлер, басқа ұйымдар және ақпараттық жүйелер мен желілерді дамытатын, иеленетін, ұсынатын, басқаратын, қызмет көрсететін және пайдаланатын жеке пайдаланушылар). ЭЫДҰ нұсқаулығында тәуекелдерді басқару мен ақпараттық қауіпсіздік практикасын қолдайтын негізгі қағидалар келтірілген. Мәтіннің ешқандай бөлігі міндетті болып табылмаса да, кез-келген қағидаттың сақталмауы жауапкершілікті туындатуы мүмкін RM / RA тиімді тәжірибесінің елеулі бұзылуын көрсетеді.

Еуропа Одағы

The Еуропа Одағы тақырып бойынша бөлінген келесі шығарылым:

Құпиялылық
- Ереже (EC) № 45/2001 Қауымдастық мекемелері мен органдарының жеке деректерді өңдеуге қатысты адамдарды қорғау туралы және мұндай деректердің еркін қозғалысы туралы төменде сипатталған Құпиялылыққа қатысты директиваның қағидаларын іс жүзінде қолданатын ішкі реттеуді қамтамасыз етеді. Сонымен қатар, Ереженің 35-бабы Қоғамдастық мекемелері мен органдарынан өздерінің телекоммуникациялық инфрақұрылымына қатысты осындай сақтық шараларын қолдануды және қауіпсіздікті бұзудың кез-келген нақты тәуекелдері туралы пайдаланушыларға тиісті түрде хабарлауды талап етеді.
- 95/46 / EC директивасы қатысты жеке тұлғаларды қорғау туралы жеке деректерді өңдеу және осындай деректердің еркін қозғалысы кезінде жеке деректерді өңдеу бойынша кез-келген қызмет қызметтің құпиялылық салдарын анықтау және осындай қызметті қорғау үшін тиісті заңдық, техникалық және ұйымдастырушылық шараларды анықтау үшін алдын-ала тәуекелдік талдаудан өтуді талап етеді; тиімді қорғалған қызметтің сезімталдығы мен құпиялылық салдарын ескере отырып, ең жоғары деңгейдегі болуы керек шаралармен (оның ішінде өңдеу міндеті үшінші тұлғаға жүктелген кезде) ұлттық қауіпсіздік органына, оның ішінде қамтамасыз ету үшін қабылданған шаралар туралы хабарлау қызметтің қауіпсіздігі. Сонымен қатар, Директиваның 25-бабы және одан кейінгі ережелер мүше мемлекеттерден жеке деректерді мүше емес мемлекеттерге беруге тыйым салуды талап етеді, егер мұндай елдер осындай жеке деректерге тиісті құқықтық қорғауды қамтамасыз етпесе немесе кейбір басқа ерекшеліктерге тыйым салмаса.
- Комиссияның 2001 жылғы 15 маусымдағы шешімі 2001/497 / EC 95/46 / EC директивасына сәйкес дербес деректерді үшінші елдерге беруге арналған шарттық ережелер бойынша; және Комиссия шешімі 2004/915 / EC 2001/497 / EC шешіміне жеке деректерді үшінші елдерге беруге арналған стандартты шарттық баптардың баламалы жиынтығын енгізу туралы 2004 жылғы 27 желтоқсандағы шешім. Тақырып: Дербес деректерді үшінші елдерге экспорттау, атап айтқанда Е.У. барабар деректерді қорғау деңгейі бар деп танылмаған елдер (яғни Е.У. деңгейіне балама). Комиссияның екі шешімі де жеке деректерді деректерді бақылаушыдан (Е.У. деректерді қорғау ережелеріне сәйкес) Е.У.-дан тыс деректерді өңдеушіге экспорттау үшін қолдануға болатын ерікті модельдер жиынтығын ұсынады. кім осы ережелерге немесе осыған ұқсас барабар ережелер жиынтығына бағынбайды.
- Халықаралық қауіпсіз айлақтың құпиялылық қағидаттары (төменде қараңыз АҚШ және Халықаралық қауіпсіз айлақтың құпиялылық қағидаттары )
- 2002/58 / EC директивасы Электрондық коммуникация саласындағы жеке деректерді өңдеу және жеке өмірді қорғауға қатысты 2002 жылғы 12 шілдедегі шешім
Ұлттық қауіпсіздік
- Директива 2006/24 / EC жалпыға қол жетімді электрондық байланыс қызметтерін көрсетуге немесе жалпыға қол жетімді байланыс желілеріне байланысты өндірілген немесе өңделген деректерді сақтау және 2002/58 / EC директивасына өзгеріс енгізу туралы 2006 ж.Деректерді сақтау жөніндегі директива ’). Тақырыбы: Жалпыға ортақ электрондық телекоммуникация қызметтерін жеткізушілерге тергеу, анықтау және ауыр қылмыстарды қозғау мақсатында белгілі бір ақпаратты сақтау туралы талап
- Кеңес директивасы 2008/114 / EC Еуропалық маңызды инфрақұрылымдарды анықтау және белгілеу және оларды қорғауды жақсарту қажеттілігін бағалау туралы 2008 жылғы 8 желтоқсандағы шешім. Тақырыбы: Еуропалық маңызды инфрақұрылымдарды анықтау және қорғау. Қолдану саласы: мүше мемлекеттерге және еуропалық маңызды инфрақұрылым операторларына қатысты (директиваның жобасында «бұзылуы немесе жойылуы екі немесе одан да көп мүше мемлекеттерге немесе егер маңызды инфрақұрылым орналасқан болса, бір мүше мемлекетке айтарлықтай әсер ететін маңызды инфрақұрылым» ретінде анықталған. басқа мүше мемлекетте. Бұған инфрақұрылымның басқа түрлеріне сектораралық тәуелділіктен туындайтын әсерлер кіреді '). Мүше мемлекеттерден өз аумақтарындағы маңызды инфрақұрылымдарды анықтап, оларды ECI ретінде белгілеуді талап етеді. Осы тағайындаудан кейін ECI иелері / операторлары оларды қорғау үшін тиісті қауіпсіздік шешімдерін құруы қажет Операторлық қауіпсіздік жоспарларын (OSP) құруға міндетті.
Азаматтық және қылмыстық құқық
- Кеңестің негіздемелік шешімі 2005/222 / JHA 2005 жылғы 24 ақпандағы ақпараттық жүйелерге қарсы шабуылдар туралы. Тақырыбы: Киберқылмыс саласындағы ұлттық ережелерді үйлестіруге бағытталған, жалпы қылмыстық заңнаманы (яғни нақты қылмыстардың анықтамаларын), процессуалдық қылмыстық заңнаманы (тергеу шаралары мен халықаралық ынтымақтастықты қоса алғанда) және жауапкершілік мәселелерін қамтитын жалпы шешім. Қолдану аясы: мүше мемлекеттерден өздерінің ұлттық заңнамалық шеңберінде Шешім шешімінің ережелерін орындауды талап етеді. Негіздемелік шешім RM / RA үшін маңызды, өйткені онда заңды тұлғалардың ішінде белгілі бір жеке тұлғалардың өкілеттіктері үшін заңды тұлғаларға заңды жауапкершілік жүктелуі мүмкін жағдайлар бар. Осылайша, негіздемелік шешім ұйым ішінде осындай көрсеткіштердің жүргізілуін тиісті деңгейде бақылауды талап етеді, өйткені Шешімде заңды тұлға осыған қатысты әрекетсіздік әрекеттері үшін жауаптылықта болуы мүмкін делінген.

Еуропа Кеңесі

Еуропалық Кеңестің киберқылмыс туралы конвенциясы, Будапешт, 23.XI.2001, Еуропалық келісім-серия. 185. Тақырыбы: Киберқылмыс саласындағы ұлттық ережелерді үйлестіруге бағытталған жалпы келісім, материалдық қылмыстық заңнаманы (яғни нақты қылмыстардың анықтамаларын), процессуалдық қылмыстық заңнаманы (тергеу шаралары мен халықаралық ынтымақтастықты қоса алғанда), жауапкершілік мәселелері мен мәліметтерді сақтауды қамтиды. 2-ден 10-ға дейінгі баптардағы бірқатар қылмыстық құқық бұзушылықтардың анықтамаларынан басқа, Конвенция RM / RA үшін маңызды, өйткені онда заңды тұлғалардың кейбір жеке тұлғаларының заң шеңберінде әрекеттері үшін заңды тұлғаларға заңды жауапкершілік жүктелуі мүмкін жағдайлар көрсетілген. тұлға. Осылайша, Конвенция мұндай тұлғалардың ұйым ішіндегі жүріс-тұрысы тиісті деңгейде бақылануын талап етеді, өйткені Конвенцияда заңды тұлға осыған қатысты әрекетсіздік әрекеттері үшін жауаптылықта болуы мүмкін делінген.

АҚШ

Америка Құрама Штаттары тақырып бойынша бөлінген келесі шығарды:

Азаматтық және қылмыстық құқық
- Электрондық жаңалықтарға қатысты Федералдық Азаматтық іс жүргізу ережелеріне түзетулер. Тақырыбы: Азаматтық сот ісін жүргізуде электронды құжаттарды өндіруге қатысты АҚШ-тың Федералдық ережелері. Табу ережелері азаматтық сот ісін жүргізуші тараптан қарсылас тараптан барлық тиісті құжаттаманы (сұрау салушы анықтайтын) оның иелігінде талап етуіне мүмкіндік береді, осылайша тараптар мен сот мәселені дұрыс бағалауға мүмкіндік береді. 2006 жылдың 1 желтоқсанында күшіне енген электронды жаңалықты түзету арқылы енді мұндай ақпарат электронды ақпаратты қамтуы мүмкін. Бұл азаматтық сот ісін жүргізу кезінде АҚШ сотына жіберілетін кез-келген тараптан белгілі бір тақырыпқа қатысты аяқталған есептерді, жұмыс құжаттарын, ішкі жадынамалар мен электрондық поштаны қамтитын осындай құжаттарды жасауды сұрауға болатындығын білдіреді, ол арнайы немесе арнайы болмауы мүмкін. белгіленген. Қызметі осындай процеске қатысу қаупін білдіретін кез-келген тарап, сондықтан қауіпсіз сақтауды қоса, осындай ақпаратты басқару үшін тиісті сақтық шараларын қабылдауы керек. Нақтырақ: Тарап «сот процесін тоқтата тұруға» қабілетті болуы керек, бұл техникалық / ұйымдастырушылық шара болып табылады, ол ешқандай тиісті ақпаратты бұдан әрі өзгертуге болмайтындығына кепілдік беруі керек. Сақтау саясаты жауапты болуы керек: ал белгілі бір ақпаратты жою, егер бұл жалпы ақпаратты басқару саясатының бөлігі болғанда («ақпараттық жүйенің әдеттегі, адал жұмысы», 37 (f) ережесі) рұқсат етілсе, оларды жою ықтимал ықтимал ақпарат өте жоғары айыппұлдармен жазалануы мүмкін (нақты жағдайда - 1,6 млрд. АҚШ доллары). Осылайша, іс жүзінде АҚШ соттары алдында азаматтық сот ісін жүргізуге қатер төндіретін кез-келген кәсіпкерлер тиісті ақпараттық басқару саясатын жүзеге асыруы және сот ісін бастау үшін қажетті шараларды қабылдауы керек.
Құпиялылық
- Грамматика - Сілт - Блейли туралы заң (GLBA)
- АҚШ ПАТРИОТТАРЫ туралы Заң, III тақырып
- Медициналық сақтандыру портативтілігі және есеп беру туралы заң (HIPAA) RM / RA тұрғысынан, Заң, әсіресе, Әкімшілік жеңілдетуге қатысты ережелерімен танымал (HIPAA II тақырыбы). Бұл атақ АҚШ Денсаулық сақтау және халыққа қызмет көрсету департаментінен (HHS) денсаулық сақтау жүйесінің тиімділігін арттыратын және теріс пайдаланудың алдын алатын нақты стандарттарды ұсынатын нақты ережелер жинағын дайындауды талап етті. Нәтижесінде HHS бес негізгі ережені қабылдады: құпиялылық ережесі, транзакциялар және код жиынтықтары ережесі, бірегей идентификаторлар ережесі, мәжбүрлеу ережелері және қауіпсіздік ережелері. Соңғысы 2003 жылғы 20 ақпанда Федералдық тіркелімде жарияланған (қараңыз: http://www.cms.hhs.gov/SecurityStandard/Downloads/securityfinalrule.pdf ), электронды түрде қорғалатын денсаулық сақтау туралы ақпараттың құпиялылығын қамтамасыз ету үшін бірқатар әкімшілік, техникалық және физикалық қауіпсіздік процедураларын көрсететіндіктен, өте маңызды. Бұл аспектілер HIPAA тәуекелдерді басқару және тәуекелдерді бағалау негіздеріне арналған нұсқаулық құжатымен бірге жарияланған, әкімшілік, физикалық, ұйымдық және техникалық қауіпсіздік бойынша қауіпсіздік стандарттарының жиынтығында баяндалған.http://www.cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp >. Еуропалық немесе басқа елдердегі денсаулық сақтау қызметтерін жеткізушілер, егер олар АҚШ нарығында белсенді болмаса, әдетте HIPAA міндеттемелеріне әсер етпейді. Алайда, олардың деректерді өңдеу қызметі жалпы еуропалық заңдар бойынша (құпиялылыққа қатысты директиваны қоса алғанда) ұқсас міндеттемелерге тәуелді болғандықтан және электронды денсаулық сақтау файлдары бойынша модернизация мен эволюцияның тенденциялары бірдей болғандықтан, HHS қауіпсіздік шаралары бастапқы өлшем ретінде пайдалы болуы мүмкін денсаулық сақтау саласындағы еуропалық провайдерлер орнатқан RM / RA стратегияларын өлшеу үшін, электронды денсаулық сақтау ақпаратын өңдеуге қатысты. HIPAA қауіпсіздік стандарттарына мыналар кіреді:
  - Әкімшілік қауіпсіздік шаралары:
    - Қауіпсіздікті басқару процесі
    - Қауіпсіздікке тағайындалған жауапкершілік
    - Жұмыс күшінің қауіпсіздігі
    - Ақпаратқа қол жетімділікті басқару
    - Қауіпсіздік туралы ақпараттандыру және оқыту
    - Қауіпсіздік оқиғаларының рәсімдері
    - Төтенше жағдайлар жоспары
    - Бағалау
    - Іскери ассоциация туралы келісімшарттар және басқа келісімдер
  - Физикалық қауіпсіздік шаралары
    - Нысанға қол жеткізуді басқару
    - Жұмыс станциясын пайдалану
    - Жұмыс бекетінің қауіпсіздігі
    - Құрылғыны және медианы басқару
  - Техникалық қауіпсіздік шаралары
    - Қатынасты басқару
    - Аудиторлық бақылау
    - Адалдық
    - Жеке тұлғаның немесе ұйымның түпнұсқалық растамасы
    - Беріліс қауіпсіздігі
  - Ұйымдастырушылық талаптар
    - Іскери ассоциация келісімшарттары және басқа келісімдер
    - Топтық денсаулық сақтау жоспарларына қойылатын талаптар
- Халықаралық қауіпсіз айлақтың құпиялылық қағидаттары АҚШ Сауда министрлігі 2000 жылы 21 шілдеде шығарған, Е.У.-ға бағынатын деректерді бақылаушыдан жеке деректерді экспорттау. құпиялылық ережелері АҚШ-қа негізделген мақсатқа; жеке мәліметтер Э.У.-ға тәуелді ұйымнан экспортталмас бұрын. АҚШ заңына сәйкес тағайындалған орынға қатысты құпиялылық ережелері, еуропалық ұйым қабылдаушы ұйымның мұндай деректерді бірқатар сәтсіздіктерден қорғау үшін тиісті кепілдіктермен қамтамасыз етуі керек. Осы міндеттемені орындаудың бір тәсілі - қабылдаушы ұйымнан оның қауіпсіз порт деп аталатын қағидаларға сәйкестігін өзі растауын талап ете отырып, оның қауіпсіз портқа қосылуын талап ету. Егер бұл жол таңдалса, деректерді экспорттайтын деректерді бақылаушы АҚШ-тың баратын жері Қауіпсіз айлақ тізімінде екеніне көз жеткізуі керек (қараңыз) қауіпсіз порт тізімі )
Сарбэнс - Оксли туралы заң
FISMA

Стандартты ұйымдар мен стандарттар

Халықаралық стандарттар:
Америка Құрама Штаттарының стандартты органдары:
- Ұлттық стандарттар және технологиялар институты – NIST
- Федералдық ақпаратты өңдеу стандарттары - Федералды үкімет пен ведомстволарға арналған NIST-тен FIPS
Ұлыбританияның стандартты органдары
- Британдық стандарт институты

Стандарттардың қысқаша сипаттамасы

Тізім негізінен мыналарға негізделген:^[28]

ISO

ISO / IEC 13335 -1: 2004 - Ақпараттық технологиялар - Қауіпсіздік техникасы - Ақпараттық-коммуникациялық технологиялардың қауіпсіздігін басқару - 1 бөлім: Ақпараттық-коммуникациялық технологиялар қауіпсіздігін басқарудың тұжырымдамалары мен модельдері http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. Ақпараттық-коммуникациялық технологиялар қауіпсіздігін басқаруға арналған түсініктер мен модельдердің жалпы қабылданған сипаттамаларын қамтитын стандарт. Стандарт - бұл әдетте қолданылатын тәжірибе кодексі және ол қауіпсіздікті басқару тәжірибесін іске асырудың ресурсы және осындай практиканы тексерудің өлшемі ретінде қызмет етеді. (Сондай-ақ қараңыз) http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf )
ISO / IEC TR 15443 -1: 2005 - Ақпараттық технологиялар - Қауіпсіздік техникасы - АТ қауіпсіздігіне кепілдік беру негіздері:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (Ескерту: бұл стандартты алуға болатын ISO парағына сілтеме. Алайда стандарт тегін емес, және оның ережелері көпшілікке қол жетімді емес. Осы себепті нақты ережелерден үзінді келтіруге болмайды). Тақырып: Қауіпсіздікті қамтамасыз ету - Техникалық есеп (TR) қауіпсіздік қызметін, өнімді немесе қоршаған орта факторын бағалауға арналған сенімділіктің тиісті әдісін анықтау үшін қолданылатын жалпы қабылданған нұсқауларды қамтиды.
ISO / IEC 15816: 2002 - Ақпараттық технологиялар - Қауіпсіздік техникасы - Қол жетімділікті бақылау сілтемесі үшін қауіпсіздік ақпаратының объектілері:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (Ескерту: бұл стандартты алуға болатын ISO парағына сілтеме. Алайда стандарт тегін емес, және оның ережелері көпшілікке қол жетімді емес. Осы себепті нақты ережелерден үзінді келтіруге болмайды). Тақырыбы: Қауіпсіздікті басқару - Қатынауды басқару. Стандарт қауіпсіздік мамандарына SIO-ға қатысты синтаксистік анықтамалар мен түсініктемелердің нақты жиынтығына сүйенуге мүмкіндік береді, осылайша стандарттаудың басқа күш-жігерінде қайталанудан немесе алшақтықтан аулақ болады.
ISO / IEC TR 15947: 2002 - Ақпараттық технологиялар - Қауіпсіздік техникасы - АТ-ға кіруді анықтау шеңберіне сілтеме:http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (Ескерту: бұл стандартты алуға болатын ISO парағына сілтеме. Алайда стандарт тегін емес, және оның ережелері көпшілікке қол жетімді емес. Осы себепті нақты ережелерден үзінді келтіруге болмайды). Тақырыбы: Қауіпсіздікті басқару - АТ жүйелеріне енуді анықтау. Стандарт қауіпсіздік мамандарына АТ жүйелеріндегі ықтимал енулерге қатысты қауіпсіздік тәуекелдерін сипаттау мен бағалаудың белгілі бір тұжырымдамалары мен әдістемелеріне сүйене алады. Онда RM / RA міндеттемелері жоқ, бірақ бұл әсер етілген салада RM / RA қызметін жеңілдетуге арналған құрал.
ISO / IEC 15408 -1/2/3: 2005 - Ақпараттық технологиялар - Қауіпсіздік техникасы - АТ қауіпсіздігін бағалау өлшемдері - 1 бөлім: Кіріспе және жалпы модель (15408-1) 2 бөлім: Қауіпсіздіктің функционалдық талаптары (15408-2) 3 бөлім: Қауіпсіздікті қамтамасыз ету талаптары (15408-3) анықтама: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Тақырып: АТ өнімдері мен жүйелерінің қауіпсіздік функцияларына және оларға қауіпсіздікті бағалау кезінде қолданылатын сенімділік шараларына қойылатын жалпы талаптардың жиынтығы. Қолдану саласы: ерікті түрде енгізілуі мүмкін жалпыға қол жетімді ISO стандарты. Мәтін АТ өнімдері мен жүйелерінің қауіпсіздігін бағалауға арналған ресурстар болып табылады және осылайша RM / RA құралы ретінде қолданыла алады. Стандарт әдетте АТ өнімдері мен жүйелерінің қауіпсіздігін бағалауға арналған ресурс ретінде қолданылады; including (if not specifically) for procurement decisions with regard to such products. The standard can thus be used as an RM/RA tool to determine the security of an IT product or system during its design, manufacturing or marketing, or before procuring it.
ISO / IEC 17799:2005 – Information technology—Security techniques—Code of practice for information security management. анықтама: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (Note: this is a reference to the ISO page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Standard containing generally accepted guidelines and general principles for initiating, implementing, maintaining, and improving information security management in an organization, including business continuity management. The standard is a commonly used code of practice, and serves as a resource for the implementation of information security management practices and as a yardstick for auditing such practices. (Сондай-ақ қараңыз) ISO / IEC 17799 )
ISO/IEC TR 15446:2004 – Information technology—Security techniques—Guide for the production of Protection Profiles and Security Targets. анықтама: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Topic: Technical Report (TR) containing guidelines for the construction of Protection Profiles (PPs) and Security Targets (STs) that are intended to be compliant with ISO/IEC 15408 (the "Common Criteria"). The standard is predominantly used as a tool for security professionals to develop PPs and STs, but can also be used to assess the validity of the same (by using the TR as a yardstick to determine if its standards have been obeyed). Thus, it is a (nonbinding) normative tool for the creation and assessment of RM/RA practices.
ISO/IEC 18028:2006 – Information technology—Security techniques—IT network security reference: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (Note: this is a reference to the ISO page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Five part standard (ISO/IEC 18028-1 to 18028-5) containing generally accepted guidelines on the security aspects of the management, operation and use of information technology networks. The standard is considered an extension of the guidelines provided in ISO/IEC 13335 and ISO/IEC 17799 focusing specifically on network security risks. The standard is a commonly used code of practice, and serves as a resource for the implementation of security management practices and as a yardstick for auditing such practices.
ISO / IEC 27001:2005 – Information technology—Security techniques—Information security management systems—Requirements reference: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (Note: this is a reference to the ISO page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Standard containing generally accepted guidelines for the implementation of an Information Security Management System within any given organisation. Scope: Not publicly available ISO standard, which can be voluntarily implemented. While not legally binding, the text contains direct guidelines for the creation of sound information security practices The standard is a very commonly used code of practice, and serves as a resource for the implementation of information security management systems and as a yardstick for auditing such systems and/or the surrounding practices. Its application in practice is often combined with related standards, such as BS 7799-3:2006 which provides additional guidance to support the requirements given in ISO/IEC 27001:2005 <http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 >
ISO / IEC 27001: 2013, the updated standard for information security management systems.
ISO/IEC TR 18044:2004 – Information technology—Security techniques—Information security incident management reference: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (Note: this is a reference to the ISO page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Technical Report (TR) containing generally accepted guidelines and general principles for information security incident management in an organization.Scope: Not publicly available ISO TR, which can be voluntarily used.While not legally binding, the text contains direct guidelines for incident management. The standard is a high level resource introducing basic concepts and considerations in the field of incident response. As such, it is mostly useful as a catalyst to awareness raising initiatives in this regard.
ISO/IEC 18045:2005 – Information technology—Security techniques—Methodology for IT security evaluation reference: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Topic: Standard containing auditing guidelines for assessment of compliance with ISO/IEC 15408 (Information technology—Security techniques—Evaluation criteria for IT security) Scope Publicly available ISO standard, to be followed when evaluating compliance with ISO/IEC 15408 (Information technology—Security techniques—Evaluation criteria for IT security). The standard is a ‘companion document’, which is thus primarily of used for security professionals involved in evaluating compliance with ISO/IEC 15408 (Information technology—Security techniques—Evaluation criteria for IT security). Since it describes minimum actions to be performed by such auditors, compliance with ISO/IEC 15408 is impossible if ISO/IEC 18045 has been disregarded.
ISO/TR 13569:2005 – Financial services—Information security guidelines reference: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (Note: this is a reference to the ISO page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Standard containing guidelines for the implementation and assessment of information security policies in financial services institutions. The standard is a commonly referenced guideline, and serves as a resource for the implementation of information security management programmes in institutions of the financial sector, and as a yardstick for auditing such programmes. (Сондай-ақ қараңыз) http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf )
ISO/IEC 21827:2008 – Information technology—Security techniques—Systems Security Engineering—Capability Maturity Model (SSE-CMM): ISO/IEC 21827:2008 specifies the Systems Security Engineering – Capability Maturity Model (SSE-CMM), which describes the essential characteristics of an organization's security engineering process that must exist to ensure good security engineering. ISO/IEC 21827:2008 does not prescribe a particular process or sequence, but captures practices generally observed in industry. The model is a standard metric for security engineering practices.

BSI

BS 25999 -1:2006 – Business continuity management Part 1: Code of practice Note: this is only part one of BS 25999, which was published in November 2006. Part two (which should contain more specific criteria with a view of possible accreditation) is yet to appear. анықтама: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563. Topic: Standard containing a business continuity code of practice. The standard is intended as a code of practice for business continuity management, and will be extended by a second part that should permit accreditation for adherence with the standard. Given its relative newness, the potential impact of the standard is difficult to assess, although it could be very influential to RM/RA practices, given the general lack of universally applicable standards in this regard and the increasing attention to business continuity and contingency planning in regulatory initiatives. Application of this standard can be complemented by other norms, in particular PAS 77:2006 – IT Service Continuity Management Code of Practice <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858 >.The TR allows security professionals to determine a suitable methodology for assessing a security service, product or environmental factor (a deliverable). Following this TR, it can be determined which level of security assurance a deliverable is intended to meet, and if this threshold is actually met by the deliverable.
BS 7799 -3:2006 – Information security management systems—Guidelines for information security risk management reference: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 (Note: this is a reference to the BSI page where the standard can be acquired. However, the standard is not free of charge, and its provisions are not publicly available. For this reason, specific provisions cannot be quoted). Topic: Standard containing general guidelines for information security risk management.Scope: Not publicly available BSI standard, which can be voluntarily implemented. While not legally binding, the text contains direct guidelines for the creation of sound information security practices. The standard is mostly intended as a guiding complementary document to the application of the aforementioned ISO 27001:2005, and is therefore typically applied in conjunction with this standard in risk assessment practices

Ақпараттық қауіпсіздік форумы

Standard of Good Practice

Сондай-ақ қараңыз

Әдебиеттер тізімі

^ "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)
^ "3 Types Of Cybersecurity Assessments – Threat Sketch". Threat Sketch. 2016-05-16. Алынған 2017-10-07.
^ "Information Security Assessment Types". danielmiessler.com. Алынған 2017-10-07.
^ ^а ^б ^c ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008
^ № 4009 CNSS нұсқаулығы Мұрағатталды 2012-02-27 сағ Wayback Machine 26 сәуір 2010 ж
^ National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee
^ «Терминдер сөздігі». Алынған 23 мамыр 2016.
^ a wiki project арналған FISMA
^ FISMApedia Risk term
^ ^а ^б NIST SP 800-30 Risk Management Guide for Information Technology Systems
^ FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems
^ ^а ^б FAIR: Factor Analysis for Information Risks Мұрағатталды 2014-11-18 at the Wayback Machine
^ ^а ^б ISACA THE RISK IT FRAMEWORK ISBN 978-1-60420-111-6 (тіркеу қажет)
^ Technical Standard Risk Taxonomy ISBN 1-931624-77-1 Document Number: C081 Published by The Open Group, January 2009.
^ Arnold, Rob (2017). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk. Threat Sketch, LLC. ISBN 9780692944158.
^ Arnold, Rob (2017). Cybersecurity: A Business Solution. б. 22. ISBN 978-0692944158.
^ «Глоссарий». Архивтелген түпнұсқа 2012 жылғы 29 ақпанда. Алынған 23 мамыр 2016.
^ «Глоссарий». Архивтелген түпнұсқа 2012 жылғы 29 ақпанда. Алынған 23 мамыр 2016.
^ «Глоссарий». Архивтелген түпнұсқа 2012 жылғы 29 ақпанда. Алынған 23 мамыр 2016.
^ «Глоссарий». Архивтелген түпнұсқа 2012 жылғы 29 ақпанда. Алынған 23 мамыр 2016.
^ ^а ^б "OWASP Risk Rating Methodology". Алынған 23 мамыр 2016.
^ "ISACA THE RISK IT FRAMEWORK (registration required)" (PDF).
^ Enisa Risk management, Risk assessment inventory, page 46
^ Katsicas, Sokratis K. (2009). "35". In Vacca, John (ed.). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. б. 605. ISBN 978-0-12-374354-1.
^ ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association. б. 85. ISBN 978-1-933284-15-6.
^ Keller, Nicole (2013-11-12). "Cybersecurity Framework". NIST. Алынған 2017-10-07.
^ Arnold, Rob. "A 10 Minute Guide to the NIST Cybersecurity Framework". Threat Sketch. Алынған 2018-02-14.
^ ^а ^б Risk Management / Risk Assessment in European regulation, international guidelines and codes of practice Conducted by the Technical Department of ENISA Section Risk Management in cooperation with: Prof. J. Dumortier and Hans Graux www.lawfort.be June 2007

Сыртқы сілтемелер

[1] "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)

[2] "3 Types Of Cybersecurity Assessments – Threat Sketch". Threat Sketch. 2016-05-16. Алынған 2017-10-07.

[3] "Information Security Assessment Types". danielmiessler.com. Алынған 2017-10-07.

[ISO27005-4] а ^б ^c ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008

[CNSSI4009-5] № 4009 CNSS нұсқаулығы Мұрағатталды 2012-02-27 сағ Wayback Machine 26 сәуір 2010 ж

[6] National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee

[7] «Терминдер сөздігі». Алынған 23 мамыр 2016.

[8] wiki project арналған FISMA

[9] FISMApedia Risk term

[SP80030-10] а ^б NIST SP 800-30 Risk Management Guide for Information Technology Systems

[11] FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems

[riskmanagementinsight.com-12] а ^б FAIR: Factor Analysis for Information Risks Мұрағатталды 2014-11-18 at the Wayback Machine

[riskit-13] а ^б ISACA THE RISK IT FRAMEWORK ISBN 978-1-60420-111-6 (тіркеу қажет)

[14] Technical Standard Risk Taxonomy ISBN 1-931624-77-1 Document Number: C081 Published by The Open Group, January 2009.

[15] Arnold, Rob (2017). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk. Threat Sketch, LLC. ISBN 9780692944158.

[16] Arnold, Rob (2017). Cybersecurity: A Business Solution. б. 22. ISBN 978-0692944158.

[17] «Глоссарий». Архивтелген түпнұсқа 2012 жылғы 29 ақпанда. Алынған 23 мамыр 2016.

[18] «Глоссарий». Архивтелген түпнұсқа 2012 жылғы 29 ақпанда. Алынған 23 мамыр 2016.

[ENISA_Glossary_Impact-19] «Глоссарий». Архивтелген түпнұсқа 2012 жылғы 29 ақпанда. Алынған 23 мамыр 2016.

[ENISA_Glossary_Consequence-20] «Глоссарий». Архивтелген түпнұсқа 2012 жылғы 29 ақпанда. Алынған 23 мамыр 2016.

[OWASP-21] а ^б "OWASP Risk Rating Methodology". Алынған 23 мамыр 2016.

[RISKITW-22] "ISACA THE RISK IT FRAMEWORK (registration required)" (PDF).

[ENISAFULL-23] Enisa Risk management, Risk assessment inventory, page 46

[Vacca1-24] Katsicas, Sokratis K. (2009). "35". In Vacca, John (ed.). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. б. 605. ISBN 978-0-12-374354-1.

[25] ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association. б. 85. ISBN 978-1-933284-15-6.

[26] Keller, Nicole (2013-11-12). "Cybersecurity Framework". NIST. Алынған 2017-10-07.

[27] Arnold, Rob. "A 10 Minute Guide to the NIST Cybersecurity Framework". Threat Sketch. Алынған 2018-02-14.

[ENISALAW-28] а ^б Risk Management / Risk Assessment in European regulation, international guidelines and codes of practice Conducted by the Technical Department of ENISA Section Risk Management in cooperation with: Prof. J. Dumortier and Hans Graux www.lawfort.be June 2007

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]