ИТ-риск

Риск информационных технологий, ИТ-риск, ИТ-риск, или киберриск - любой риск, связанный с информационными технологиями. Хотя информация уже давно считается ценным и важным активом, рост экономики знаний и цифровой революции привел к тому, что организации стали все более зависимыми от информации, обработки информации и особенно ИТ. Таким образом, различные события или инциденты, которые каким-то образом подвергают риску ИТ, могут оказывать неблагоприятное воздействие на бизнес-процессы или миссию организации, начиная от несущественного до катастрофического по масштабу.

Оценка вероятности или вероятности различных типов событий / инцидентов с их прогнозируемыми воздействиями или последствиями, если они произойдут, является распространенным способом оценки и измерения ИТ-рисков. Альтернативные методы измерения ИТ-риска обычно включают оценку других сопутствующих факторов, таких как угрозы, уязвимости, уязвимости и стоимость активов.

• 1 Определения
  • 1.1 ISO
  • 1.2 Комитет по системам национальной безопасности
  • 1.3 NIST
  • 1.4 Идеи управления рисками
  • 1.5 ISACA
• 2 Измерение ИТ-риска
• 3 Управление ИТ-рисками
• 4 Законы и правила ИТ-рисков
  • 4.1 ОЭСР
  • 4.2 Европейский Союз
  • 4.3 Совет Европы
  • 4.4 США
• 5 Организации по стандартизации и стандарты
  • 5.1 Краткое описание стандартов
    • 5.1.1 ISO
    • 5.1.2 BSI
    • 5.1.3 Форум по информационной безопасности
• 6 См. Также
• 7 Ссылки
• 8 Внешние ссылки

ISO

ИТ-риск : потенциал, который данный угроза будет эксплуатировать уязвимости актива или группы активов и тем самым причинит вред организации. Он измеряется как комбинация вероятности возникновения события и его последствий.

Комитет по системам национальной безопасности

Комитет по системам национальной безопасности Соединенные Штаты Америки определили риск в различных документах:

• Из инструкции CNSS № 4009 от 26 апреля 2010 года основное и более техническое определение:

  Риск - Вероятность того, что конкретная угроза отрицательно повлияет на ИБ за счет использования определенной уязвимости.

• Инструкция по безопасности телекоммуникаций и информационных систем национальной безопасности (NSTISSI) № 1000 вводит аспект вероятности, очень похожий на NIST SP 800- 30 one:

  Риск - сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности результирующего воздействия

Национальное обучение по обеспечению информационной безопасности и Образовательный центр определяет риск в сфере ИТ как:

1. Th Потенциал потерь, который существует в результате пары угроза-уязвимость. Уменьшение угрозы или уязвимости снижает риск.
2. Неопределенность потерь, выраженная в терминах вероятности таких потерь.
3. Вероятность того, что враждебный объект успешно воспользуется конкретными средствами связи или COMSEC система в разведывательных целях; ее факторами являются угроза и уязвимость.
4. Сочетание вероятности того, что угроза произойдет, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности результирующего неблагоприятного воздействия.
5. вероятность того, что конкретная угроза будет использовать конкретную уязвимость системы.

NIST

Многие публикации NIST определяют риск в контексте ИТ в различных публикациях : Термин FISMApedia предоставит список. Между ними:

• Согласно NIST SP 800-30:

  Риск является функцией вероятности того, что данный источник угрозы реализует конкретную потенциальную уязвимость, и результирующее воздействие это неблагоприятное событие для организации.

• Из NIST FIPS 200

  Риск - Уровень воздействия на операции организации (включая миссию, функции, имидж или репутацию), активы организации или отдельных лиц в результате операции информационной системы с учетом потенциального воздействия угрозы и вероятности ее возникновения.

NIST SP 800-30 определяет:

ИТ-риск

Чистое воздействие на миссию с учетом:

1. вероятность того, что конкретный источник угрозы проявит (случайно вызовет или намеренно воспользуется) конкретную уязвимость информационной системы и
2. результирующее воздействие, если это произойдет. Связанные с ИТ риски возникают в результате юридической ответственности или потери миссии из-за:
   1. несанкционированного (злонамеренного или случайного) раскрытия, изменения или уничтожения информации
   2. непреднамеренных ошибок и упущений
   3. Сбои в работе ИТ из-за стихийных бедствий или техногенных катастроф
   4. Несоблюдение должной осторожности и осмотрительности при внедрении и эксплуатации ИТ-системы.

Понимание управления рисками

Вероятность ИТ-риска частота и вероятный размер будущих убытков.

ISACA

ISACA опубликовала Risk IT Framework, чтобы обеспечить сквозное, всестороннее представление обо всех связанных рисках к использованию ИТ. Здесь ИТ-риск определяется как:

Бизнес-риск, связанный с использованием, владением, эксплуатацией, участием, влиянием и внедрением ИТ на предприятии

Согласно ИТ-риск, ИТ-риск имеет в более широком смысле: он включает в себя не только отрицательные стороны операций и предоставления услуг, которые могут привести к разрушению или снижению стоимости организации, но также риск, связанный с упущением возможностей использования технологий для обеспечения или улучшения бизнеса или управление ИТ-проектами по таким аспектам, как перерасход или несвоевременная доставка с неблагоприятным влиянием на бизнес

Вы не можете эффективно и последовательно управлять тем, что не можете измерить, и вы не можете измерить то, что вы не определено.

Измерение ИТ-риска (или киберриска) может происходить на многих уровнях. На уровне бизнеса рисками управляют категорически. Передовые ИТ-отделы и NOC, как правило, измеряют более скрытые индивидуальные риски. Управление связью между ними - ключевая роль современных CISO.

При измерении риска любого рода важным шагом является выбор правильного уравнения для данной угрозы, актива и доступных данных. Это зависит от себя, но есть общие компоненты уравнений риска, которые полезно понять.

В управлении рисками задействованы четыре основных фактора, которые также применимы к кибербезопасности. Это активы, влияние, угрозы и вероятность. Вы обладаете внутренними знаниями и достаточной степенью контроля над активами, которые представляют собой материальные и нематериальные вещи, которые имеют ценность. У вас также есть некоторый контроль над воздействием, которое относится к потере или повреждению актива. Однако угрозы, представляющие злоумышленников, и их методы атаки находятся вне вашего контроля. Вероятность - это дикая карта в этой связке. Вероятность определяет, когда и когда угроза материализуется, удастся и нанесет ущерб. Несмотря на то, что вы никогда полностью не контролируете ситуацию, для управления риском можно сформировать вероятность и повлиять на нее.

Математически силы могут быть представлены в следующей формуле: $R\; isk\; =\; p\; (A\; sset,\; T\; hreat)\; \times \; d\; (A\; sset,\; T\; hreat)\; \{\backslash \; textstyle\; Risk\; =\; p\; (Asset,\; Threat)\; \backslash \; times\; d\; (Актив,\; Угроза)\}$где p () - это вероятность того, что Угроза материализуется / будет успешной в отношении Актива, а d () - это вероятность различных уровней ущерба, который может произойти.

В области управления ИТ-рисками возник ряд терминов и методов, уникальных для отрасли. Некоторые отраслевые термины еще предстоит согласовать. Например, термин "уязвимость" часто используется как синоним вероятности возникновения, что может быть проблематичным. Часто используемые термины и методы управления ИТ-рисками включают:

Событие информационной безопасности

Идентифицированное событие состояния системы, службы или сети, указывающее на возможное нарушение политики информационной безопасности или отказ мер защиты, или ранее неизвестное ситуация, которая может иметь отношение к безопасности.

Возникновение определенного набора обстоятельств

• Событие может быть достоверным или неопределенным.
• Событие может быть единичным или серией случаев. : (ISO / IEC Guide 73)

Инцидент информационной безопасности

обозначается одним или серией нежелательных событий информационной безопасности, которые имеют значительную вероятность компрометации бизнес-операций и угрозы информационной безопасности

событие [G.11], которое было оценено как имеющее фактическое или потенциально неблагоприятное влияние на безопасность или производительность системы.

Результат нежелательного инцидента [G.17]. (ISO / IEC PDTR 13335-1)

Последствия

Результат события [G.11]

• Одно событие может иметь более одного последствия.
• Последствия могут варьироваться от от положительного до отрицательного.
• Последствия могут быть выражены качественно или количественно (ISO / IEC Guide 73)

Риск R является произведением вероятности L инцидент безопасности, произошедший, умноженный на I, который будет понесен организацией из-за инцидента, то есть:

R= L× I

Вероятность возникновения инцидента безопасности является функцией вероятности наличие угрозы и вероятность того, что угроза может успешно использовать соответствующие уязвимости системы.

Последствия возникновения инцидента безопасности являются функцией вероятного воздействия, которое инцидент окажет на организацию в результате ущерба, который понесут активы организации. Вред связан со стоимостью активов для организации; один и тот же актив может иметь разную ценность для разных организаций.

Таким образом, R может быть функцией четырех факторов :

• A = Стоимость активов
• T = вероятность угрозы
• V = характер уязвимость т.е. вероятность, которая может быть использована (пропорциональна потенциальной выгоде для атакующего и обратно пропорциональна стоимости эксплуатации)
• I = вероятность, степень ущерба

Если числовые значения (деньги за воздействие и вероятности для других факторов), риск можно выразить в денежном выражении и сравнить со стоимостью контрмер и остаточным риском после применения мер безопасности. Выражение этих значений не всегда практично, поэтому на первом этапе оценки риска степень риска безразмерна по трех- или пятиступенчатой ​​шкале.

OWASP предлагает практическое руководство по измерению риска на основе:

• оценки вероятности как среднего между различными факторами по шкале от 0 до 9:
  • факторов угрозы факторов
    • Уровень квалификации: насколько технически квалифицирована эта группа агентов угрозы? Отсутствие технических навыков (1), некоторые технические навыки (3), опытный пользователь компьютера (4), навыки работы в сети и программирования (6), навыки проникновения в систему безопасности (9)
    • Мотив: Насколько мотивирована эта группа угроз агентов, чтобы найти и использовать эту уязвимость? Низкое вознаграждение или его отсутствие (1), возможное вознаграждение (4), высокое вознаграждение (9)
    • Возможность: какие ресурсы и возможности требуются этой группе агентов угроз, чтобы найти и использовать эту уязвимость? требуется полный доступ или дорогостоящие ресурсы (0), требуется специальный доступ или ресурсы (4), требуется некоторый доступ или ресурсы (7), доступ или ресурсы не требуются (9)
    • Размер: Насколько велика эта группа агенты угрозы? Разработчики (2), системные администраторы (2), пользователи интрасети (4), партнеры (5), аутентифицированные пользователи (6), анонимные пользователи Интернета (9)
  • Уязвимость Факторы: следующий набор факторов связан уязвимости. Цель здесь - оценить вероятность обнаружения и использования конкретной уязвимости. Предположим, что агент угрозы выбран выше.
    • Легкость обнаружения: насколько легко этой группе агентов угроз обнаружить эту уязвимость? Практически невозможно (1), сложно (3), легко (7), доступны автоматизированные инструменты (9)
    • Простота эксплойта : Насколько легко этой группе агентов угроз на самом деле использовать эту уязвимость? Теоретические (1), сложные (3), простые (5), доступные автоматизированные инструменты (9)
    • Осведомленность: насколько хорошо известна эта уязвимость для этой группы агентов угроз? Неизвестно (1), скрыто (4), очевидно (6), общедоступно (9)
    • Обнаружение вторжений: насколько вероятно обнаружение эксплойта? Активное обнаружение в приложении (1), регистрируется и проверяется (3), регистрируется без проверки (8), не регистрируется (9)
• Оценка воздействия как среднее значение между различными факторами по шкале от 0 до 9
  • Технические факторы воздействия; Техническое воздействие можно разбить на факторы, соответствующие традиционным областям безопасности: конфиденциальность, целостность, доступность и подотчетность. Цель состоит в том, чтобы оценить масштаб воздействия на систему, если уязвимость будет использована.
    • Утрата конфиденциальности : какой объем данных может быть раскрыт и насколько они конфиденциальны? Раскрыты минимальные неконфиденциальные данные (2), раскрыты минимальные критические данные (6), раскрыты обширные неконфиденциальные данные (6), раскрыты обширные важные данные (7), раскрыты все данные (9)
    • Потеря целостность : сколько данных могло быть повреждено и насколько они повреждены? Минимальные слегка поврежденные данные (1), минимальные серьезно поврежденные данные (3), обширные слегка поврежденные данные (5), обширные серьезно поврежденные данные (7), все данные полностью повреждены (9)
    • Потеря доступность Сколько услуг может быть потеряно и насколько это важно? Минимальное количество вторичных услуг прервано (1), минимальное количество первичных услуг прервано (5), обширное количество вторичных услуг прервано (5), большое количество первичных услуг прервано (7), все услуги полностью потеряны (9)
    • Потеря ответственности действия агентов угроз можно проследить до человека? Полностью отслеживаемый (1), возможно отслеживаемый (7), полностью анонимный (9)
  • Факторы воздействия на бизнес: влияние на бизнес проистекает из технического воздействия, но требует глубокого понимания того, что важно для компании, запускающей приложение. В общем, вы должны стремиться поддерживать свои риски с помощью воздействия на бизнес, особенно если ваша аудитория относится к руководящему уровню. Бизнес-риск - это то, что оправдывает инвестиции в решение проблем безопасности.
    • Финансовый ущерб: Какой финансовый ущерб будет нанесен в результате эксплойта? Меньше, чем затраты на устранение уязвимости (1), незначительное влияние на годовую прибыль (3), значительное влияние на годовую прибыль (7), банкротство (9)
    • Ущерб репутации: может ли эксплойт нанести ущерб репутации что навредит бизнесу? Минимальный ущерб (1), потеря основных счетов (4), потеря деловой репутации (5), ущерб бренду (9)
    • Несоблюдение: Насколько подвержено несоблюдение? Незначительное нарушение (2), явное нарушение (5), серьезное нарушение (7)
    • Конфиденциальность нарушение: какой объем личной информации может быть раскрыт? Один человек (3), сотни людей (5), тысячи людей (7), миллионы людей (9)
  • Если влияние на бизнес рассчитано точно, используйте его ниже, иначе используйте Техническое влияние
• Оценка вероятность и воздействие по шкале НИЗКАЯ, СРЕДНЯЯ, ВЫСОКАЯ при условии, что менее 3 - НИЗКАЯ, от 3 до менее 6 - СРЕДНЯЯ, а от 6 до 9 - ВЫСОКАЯ.
• Рассчитайте риск, используя следующую таблицу

Управление ИТ-рисками можно рассматривать как компонент более широкой системы управления рисками предприятия.

Создание, обслуживание и постоянное обновление Системы управления информационной безопасностью (СМИБ) убедительно свидетельствует о том, что компания - это мы. системного подхода к идентификации, оценке и управлению рисками информационной безопасности.

Были предложены различные методологии управления ИТ-рисками, каждая из которых разделена на процессы и этапы.

Сертифицированный аудитор информационных систем Руководство по обзору 2006 г., выпущенное ISACA, международной профессиональной ассоциацией, специализирующейся на управлении ИТ, дает следующее определение управления рисками: «Управление рисками - это процесс выявления уязвимостей и угрозы информационным ресурсам, используемым организацией для достижения бизнес-целей, и принятие решения о том, какие контрмеры, если таковые имеются, принять для снижения риска до приемлемого уровня на основе ценности информационного ресурса в организацию. "

Структура кибербезопасности NIST поощряет организации к управлению ИТ-рисками в рамках функции идентификации (ID):

Оценка риска (ID.RA) : Организация понимает кибербезопасность • риск для операций организации (включая миссию, функции, имидж или репутацию), активов организации и отдельных лиц.

• ID.RA-1: уязвимости активов идентифицированы и задокументированы
• ID.RA-2: информация о киберугрозах и уязвимостях получена с форумов по обмену информацией и источника
• ID.RA -3: Угрозы, как внутренние, так и внешние, идентифицированы и задокументированы
• ID.RA-4: выявлены потенциальные воздействия на бизнес и вероятность
• ID.RA-5: Угрозы, уязвимости, вероятности, а воздействия используются для определения риска
• ID.RA-6: Выявление и определение приоритетов реагирования на риски

Стратегия управления рисками (ID.RM) : приоритеты организации, ограничения, допуски к риску, а допущения устанавливаются и используются для обоснования решений по операционным рискам.

• ID.RM-1: процессы управления рисками устанавливаются, управляются и согласовываются заинтересованными сторонами организации
• ID.RM-2: Допуск к организационному риску определен и четко выражен
• ID.RM-3: определение терпимости к риску определяется ее ролью в критической инфраструктуре и анализе рисков для конкретных секторов.

Ниже приводится краткое описание применимых правил с разбивкой по источникам.

OECD

OECD издала следующее:

• Рекомендация Совета Организации экономического сотрудничества и развития (OECD) относительно руководящих принципов, регулирующих защиту частной жизни и трансграничных потоков личные данные (23 сентября 1980 г.)
• Руководство ОЭСР по безопасности информационных систем и сетей: на пути к культуре безопасности (25 июля 2002 г.). Тема: Общая информационная безопасность. Объем: Необязательные рекомендации для любых организаций ОЭСР (правительства, предприятия, другие организации и отдельные пользователи, которые разрабатывают, владеют, предоставляют, управляют, обслуживают и используют информационные системы и сети). В Руководящих принципах ОЭСР изложены основные принципы, лежащие в основе практики управления рисками и информационной безопасности. Хотя никакая часть текста не является обязательной как таковая, несоблюдение любого из принципов свидетельствует о серьезном нарушении передовых практик RM / RA, котороеможет повлечь за собой ответственность.

Европейский Союз

Европейский Союз издал следующие документы, разделенные по темам:

• Конфиденциальность
  • Регламент (ЕС) № 45/2001 о защите физических лиц в относительно обработки личных данных учреждениями Сообщества. и внутреннее регулирование. Кроме того, статья 35 Регламента требует, чтобы учреждения и органы Сообщества принимали аналогичные меры предосторожности в отношении телекоммуникационной инфраструктуры и должным образом информировали пользователей о любых рисках нарушения безопасности.
  • Директива 95/46 / EC о защите физических лиц в отношении обработки личных данных и о свободном перемещении таких данных требует, чтобы любая деятельность по обработке данных подвергалась предварительному анализу рисков, чтобы определить последствия Конфиденциальность данных и для определения правовых норм, технических и организационных мер деятельности для защиты такой деятельности; Эффективен такими мерами, которые должны быть современными, с учетом конфиденциальности и безопасности деятельности (в том числе, когда третья сторона обвиняется в целях обработки) доводится до сведения органа по защите данных, включая меры, принятые для обеспечения безопасности деятельности. Кроме того, члены Директивы 25 и последующие статьи требуют, чтобы государства-члены запретили передачу личных данных в государство, если только такие страны не являются безопасными правовую защиту таких данных или не запретили некоторые другие исключения.
  • Решение Комиссии 2001 г. / 497 / EC от 15 июня 2001 о стандартных положениях о передаче данных в третьи страны в соответствии с Директивой 95/46 / EC; и Решение Комиссии 2004/915 / EC от 27 декабря 2004 г. о внесении поправок в Решение 2001/497 / EC в отношении введения альтернативного набора стандартных договорных положений для передачи данных в третьи страны. Тема: Экспорт данных в третьи страны, в частности за пределами ЕС. страны, которые не были признаны имеющими адекватный уровень защиты данных (то есть есть уровень ЕС). Оба решения, предоставленные набором добровольных типовых положений, которые действуют в соответствии с правилами, установленными ЕС, за пределами ЕС.
  • Принципы конфиденциальности International Safe Harbor (см. Ниже США и Директива о принципах конфиденциальности International Safe Harbor )
  • , на которые распространяются эти правила или аналогичный набор соответствующих правил. 2002 / 58 / EC от 12 июля 2002 г. относительно обработки данных и защиты конфиденциальности в различных электронных коммуникациях
• Директива национальной безопасности
  • 2006/24 / EC от 15 марта 2006 г. Сохранение данных, созданных или обработанных в связи с предоставлением общедоступных услуг электронной связи или сетей общего пользования, а также внесение поправок в Директиву 2002/58 / EC («Директива о хранении данных »). Тема: Требование к поставщики общедоступных поставщиков телекоммуникационных услуг для хранения информации для целей расследования, обнаружения и судебного преследования электронных преступлений
  • Директива Совета 2008/114 / EC от 8 декабря 2008 г. о б идентификации и обозначении европейских критических инфра конструкций и необходимости улучшения их защиты. Тема: Идентификация и защита критических инфраструктур Европы. Сфера применения: применимо к другим государствам-членам, или одно государство-член, если критическая инфраструктура применена в, нарушение или уничтожение которых может повлиять на два или более государства-члена. Это включает эффекты, обеспечивающие в результате межотраслевой зависимости от других типов инфраструктуры. Требует от государств-членов своей критической инфраструктуры на территории и обозначения их в качестве объектов раннего доступа. После этого назначения владельцы / операторы ECI должны создать планы безопасности операторов (OSP), которые должны установить соответствующие решения безопасности для их защиты
• Гражданское и уголовное право
  • Рамочное решение Совета 2005/222 / JHA от 24 февраля 2005 г. г. об атаках на информационные системы. Тема: Общее решение, направленное на гармонизацию национальных положений в области киберпреступности, охватывающее материальное уголовное право (то есть определения преступлений), процессуальное уголовное право (включая следственные меры и международное сотрудничество) и вопросы ответственности. Сфера применения: требует от государств-членов имплементировать положения Рамочного решения в своих национальных правилах. Рамочное решение актуально для РМ / РА, поскольку оно содержит условия, которые могут быть возложены на юридических лиц за поведение конкретных лиц, полномочиями в рамках юридического лица. Таким образом, Рамочное решение требует, чтобы поведение таких лиц в надлежащим образом контролировалось, в том числе, что в Решении говорится, что юридическое лицо может быть привлечено к ответственности за бездействие в этом отношении.

Совет Европейской конвенции о киберпреступности, Будапешт, 23.XI.2001, Серии европейских договоров - № 185. Тема: Общий договор, направленный на гармонизацию национальных положений в области киберпреступности, охватывающий материальное уголовное уголовное уголовное право (включая следственные меры и международное сотрудничество), вопросы и вопросы хранения данных. Помимо определений ряда уголовных преступлений в статьях 2–10 Конвенция имеет отношение к РМ / РА, поскольку в ней изложены условия, при юридической ответственности может быть возложена на юридических лиц за поведение физических лиц, полномочиями в рамках закона. организация. Таким образом, Конвенция требует, чтобы поведение таких лиц в организации надлежащим образом контролировалось, в том числе, что Конвенция гласит, что юридическое лицо может привлечь к ответственности за бездействие в этом отношении.

США

США выпустили следующие документы, разделенные по темам:

• Гражданское и уголовное право
  • Поправки к Федеральным правилам гражданского судопроизводства в отношении электронного обнаружения. Тема: Федеральные правила США в отношении производства электронных документов в гражданском судопроизводстве. Правила раскрытия информации сторонней судопроизводства требуются, чтобы противная сторона представила всю имеющуюся у нее соответствующую документацию (определена запрашивающей стороной), чтобы сторонняя сторона могла правильно оценить дело. Благодаря такой поправке к электронному открытию, которая вступила в силу 1 декабря 2006 года, информация может электронная информация. Это означает, что любую сторону, которая предстает перед судом США в рамках гражданского судопроизводства, можно попросить предоставить такие документы, которые включают в себя окончательные отчеты, рабочие документы, внутренние служебные записки и электронные письма по определенной теме, которые могут быть или не быть конкретными. очерчены. Поэтому любая сторона, подразумевает использование такого расследования, включает адекватные меры предосторожности для управления таким информацией, включая безопасное хранение. В частности: сторона должна иметь возможность инициировать «судебный запрет», техническую / организационную меру, которая может допускать, что соответствующая информация больше не может быть изменена каким-либо образом. Политики хранения нести ответственность: хотя настройка информации, конечно, разрешена, когда это является общим общим политик управления информацией, Правило 37 (f)). штрафами (в одном конкретном случае 1,6 миллиарда долларов США). Таким образом, на практике любой бизнес, который рискует подать гражданский иск в суды США, должен применять адекватную политику управления и принимать необходимые меры для инициирования судебного запрета.
• Конфиденциальность
  • Закон Грамма - Лича - Блайли (GLBA)
  • Закон США PATRIOT, Раздел III
  • Закон о переносимости и подотчетности медицинского страхования (HIPAA) С точки зрения RM / RA, Закон особенно известен своими положениями, касающимися административного упрощения (Раздел II HIPAA). Это название потребовало от системы здравоохранения и социальных служб США (HHS) использования набора конкретных правил, каждый из которых состоит из стандартов, которые повысят эффективность системы здравоохранения и предотвращения злоупотребления. В результате HHS принял пять основных правил: правила конфиденциальности, правила транзакций и кодовых наборов, правило уникальных инструментов, правило принудительного исполнения и правило безопасности. Последнее, опубликованное в Федеральном реестре 20 февраля 2003 г. (см.: http://www.cms.hhs.gov/SecurityStandard/Downloads/securityfinalrule.pdf ), особенно актуально, поскольку в нем указывается серия административных, и технических процедур безопасности для безопасности защищенной электронным способом медицинской информации. Эти аспекты были описаны в наборе стандартов безопасности по административным, физическим, организационным и техническим мерам, все из которых были опубликованы вместе с руководящим документом по основам управления рисками HIPAA и оценки рисков <http: / /www.cms.hhs. gov / EducationMaterials / 04_SecurityMaterials.asp >. Поставщики медицинских услуг в Европе или других странах, как правило, не подпадают под действие обязательств HIPAA, если они не работают на рынке США. Поскольку их деятельность по обработке данных соответствует аналогичным обязательствам в соответствии с общим европейским законодательством (включая Директиву о конфиденциальности), как основные тенденции модернизации и развития электронных файлов здоровья одинаковы, меры безопасности HHS могут быть в качестве начального критерия. для измерения стратегий RM / RA, применяемых европейскими поставщиками медицинских услуг, особенно в отношении электронной информации о здоровье. Стандарты безопасности HIPAA включают следующее:
    • Административные меры безопасности:
      • Процесс управления безопасностью
      • Назначенная ответственность за безопасность
      • Безопасность персонала
      • Доступ к информации
      • Осведомленность о безопасности и обучении
      • Процедуры инцидентов безопасности
      • План действий в чрезвычайных ситуациях
      • Оценка
      • Контракты с деловыми части и другие договоренности
    • Физические меры безопасности
      • Управление доступом к объектм
      • Использование рабочей станции
      • Безопасность рабочей станции
      • Управление устройствами и носителями
    • Технические меры безопасности
      • Управление доступом
      • Контроль аудита
      • Целостность
      • Аутентификация личности или организации
      • Безопасность передачи
    • Организационные требования
      • Контракты с деловыми партнерами и другие договоренности
      • Требования к груп повым планам медицинского страхования
  • Международные принципы конфиденциальности Safe Harbor, изданные торговством США 21 июля 2000 г. Экспорт личных данных из компании Data Cotroller, который подчиняется E.U. правила конфиденциальности для пункта назначения в США; до того, как персональные данные могут быть экспортированы из организации, подпадающей под действие ЕС. правила конфиденциальности в пункте назначения, в соответствии с законодательством США, Европейская организация должна обеспечить адекватные гарантии для таких данных от ряда неудач. Один из способов выполнения этого обязательства - потребовать от принимающей организации присоединиться к Safe Harbor, потребовав, чтобы организация самостоятельно подтверждала свое соответствие так называемым принципам Safe Harbor. Если выбрана эта дорога, диспетчер данных, экспортирующий данные, должен убедиться, что пункт назначения в США действительно находится в списке Safe Harbor (см. список Safe Harbor )
• Закон Сарбейнса-Оксли
• FISMA

• Международные органы по стандартизации:
  • Международная организация по стандартизации - ISO
  • Совет по стандартам безопасности индустрии платежных карт
  • Форум информационной безопасности
  • The Open Group
• Стандарт США органы:
  • Национальный институт стандартов и технологий - NIST
  • Федеральные стандарты обработки информации - FIPS от NIST, посвященный федеральному правительству и агентствам
• органы по стандартизации Великобритании
  • Британский стандарт Институт

Краткое описание стандартов

Список в основном основан на:

ISO

• -1: 2004 - Информационные технологии - Методы безопасности - Управление безопасностью информационных и коммуникационных технологий - Часть 1. Концепции и модели маны по безопасности информационных и коммуникационных технологий. gement http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. Стандарт, содержащий общепринятые описания концепций и моделей управления безопасностью информационных и коммуникационных технологий. Стандарт является обычно используемым сводом правил и служит ресурсом для внедрения методов управления безопасностью и критерием для аудита таких практик. (См. Также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf )
• -1: 2005 - Информационные технологии - Методы безопасности - Основа для обеспечения безопасности ИТ Ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (Примечание: это ссылка на страницу ISO, где можно получить стандарт. Однако стандарт не бесплатно, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть цитированы). Тема: Обеспечение безопасности - Технический отчет (TR) содержит общепринятые руководящие принципы, которые можно использовать для определения подходящего метода гарантии для оценки услуга безопасности, продукт или фактор окружающей среды
• ISO / IEC 15816: 2002 - Информационные технологии - Методы безопасности - Информационные объекты безопасности для управления доступом Ссылка: http://www.iso.org/iso/ ru / CatalogueDetailPage.CatalogueDetail? CSNUMBER = 29139 (Примечание: это ссылка на страницу ISO, где стандарт может быть приобретенным. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Управление безопасностью - Контроль доступа. Стандарт позволяет специалистам по безопасности полагаться на определенный набор синтаксических определений и объяснений в отношении SIO, тем самым избегая дублирования или расхождения в других усилиях по стандартизации.
• ISO / IEC TR 15947: 2002 - Информационные технологии. Методы безопасности. —Справка по структуре обнаружения вторжений: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (Примечание: это ссылка на страницу ISO, где может быть Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Управление безопасностью - Обнаружение вторжений в ИТ-системы. Стандарт позволяет специалистам по безопасности полагаться на определенный набор концепций и методологий для описания и оценки рисков безопасности в отношении потенциальных вторжений в ИТ-системы. Он не содержит никаких обязательств RM / RA как таковых, но скорее является инструментом для облегчения действий RM / RA в затронутой области.
• ISO / IEC 15408 -1/2/3: 2005 - Информационные технологии - Методы безопасности - Критерии оценки ИТ-безопасности - Часть 1: Введение и общая модель (15408-1) Часть 2: Функциональные требования безопасности (15408-2) Часть 3: Требования обеспечения безопасности (15408-3) ссылка: http : //isotc.iso.org/livelink/livelink/fetch /2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Тема: Стандарт, общий набор требований к функциям безопасности продуктов и систем ИТ, а также к мерам обеспечения безопасности, применяемым к ним во время оценки безопасности. Область применения: общедоступный стандарт ISO, который может быть внедрено добровольно. Текст является ресурсом для обеспечения безопасности продуктов и систем ИТ и, таким образом, может быть, инстинктивно в качестве инструмента для RM / RA. Стандарт обычно используется в качестве ресурса для оценки безопасности продуктов и систем ИТ; в том числе (если не специально) для принятия решений о закупках таких продуктов. Таким образом, стандарт можно использовать в качестве инструмента RM / RA для определения безопасности ИТ-продукта или системы их проектирования, производства или сбыта либо перед их закупкой.
• ISO / IEC 17799 : 2005 - Информационные технологии —Методы безопасности - Свод правил управления информационной безопасностью. ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612ICS1=35ICS2=40ICS3= (Примечание: это ссылка на страницу ISO, где может быть, однако, стандарт не является Это не цитируется, и его положения не являются общедоступными. Тема: Стандарт, поддержанные общепринятые принципы и общие принципы для инициирования, внедрения, поддержки и улучшения управления информационной безопасностью организации, включая управление непрерывностью. Используется стандартная сводка правил и стандартов для распространения информационных технологий и критерием аудита таких практик. (См. Также ISO / IEC 17799 )
• ISO / IEC TR 15446: 2004 - Информационные технологии - Методы безопасности - Руководство по созданию профилей защиты и безопасности. Ссылка: http: //isotc.iso. org / livelink / livelink / fetch / 2000/2489 / Ittf_Home / PubliclyAvailableStandards.htm Тема: Технический отчет (TR), созданы рекомендации по созданию профилей защиты (PP) и целей безопасности (ST), которые предназначены для соответствия ISO / IEC 15408 («Общие критерии»). Стандарт преимущественно используется в качестве инструмента для специалистов по безопасности для разработки ПЗ и ЗБ, но также может использоваться для оценки их действительности (с использованием ТР в качестве критерий для определения того, соблюдались ли его стандарты). Таким образом, это (необязательный) нормативный инструмент для создания и оценки практик RM / RA.
• ISO / IEC 18028 : 2006 - Информационные технологии - Методы безопасности - Справочник по сетевой безопасности ИТ: http:// www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Стандарт из пяти частей (ISO / IEC 18028-1–18028-5), содержащий общепринятые руководящие принципы по аспектам безопасности управления, эксплуатации и использования сетей информационных технологий. Стандарт считается расширением рекомендаций, изложенных в ISO / IEC 13335 и ISO / IEC 17799, с упором на риски сетевой безопасности. Стандарт является обычно используемым сводом правил и служит ресурсом для внедрения методов управления безопасностью и критерием для аудита таких практик.
• ISO / IEC 27001 : 2005 - Информационные технологии - Методы безопасности— Системы управления информационной безопасностью - Ссылка на требования: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (Примечание: это ссылка на страницу ISO, где можно найти стандарт Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Стандарт, содержащий общепринятые рекомендации по внедрению системы менеджмента информационной безопасности в любой организации. Сфера применения: не является общедоступным стандартом ISO, который может быть внедрен добровольно. Хотя этот текст не имеет обязательной юридической силы, он содержит прямые рекомендации по созданию надежных практик информационной безопасности. Стандарт является очень часто используемым сводом правил и служит ресурсом для внедрения систем управления информационной безопасностью и критерием для аудита таких систем. и / или окружающие практики. Его применение на практике часто сочетается со связанными стандартами, такими как BS 7799-3: 2006, в котором содержится дополнительное руководство для поддержки требований, изложенных в ISO / IEC 27001: 2005 <http://www.bsiglobal.com/en/ Shop / Publication-Detail /? Pid = 000000000030125022 recid = 2491 >
• ISO / IEC 27001: 2013, обновленный стандарт для систем управления информационной безопасностью.
• ISO / IEC TR 18044: 2004 - Информационные технологии —Методы безопасности — Справочник по управлению инцидентами информационной безопасности: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (Примечание: это ссылка на страницу ISO, где Стандарт можно приобрести. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Технический отчет (TR), содержащий общепринятые руководящие принципы и общие принципы управления инцидентами информационной безопасности в организации. Объем: не общедоступный ISO TR, который можно использовать добровольно. Хотя текст не имеет обязательной юридической силы, он содержит прямые инструкции по управлению инцидентами.. Стандарт - это ресурс высокого уровня, в котором представлены основные концепции и соображения в области реагирования на инциденты. Как таковой, он в основном полезен в качестве катализатора инициатив по повышению осведомленности в этом отношении.
• ISO / IEC 18045: 2005 - Информационные технологии - Методы безопасности - Методология оценки ИТ-безопасности Ссылка: http: / /isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Тема: Стандарт, содержащий рекомендации по аудиту для оценки соответствия ISO / IEC 15408 (Информационные технологии. Методы безопасности. Критерии оценки для ИТ-безопасность) Объем Общедоступный стандарт ISO, которого необходимо придерживаться при оценке соответствия ISO / IEC 15408 (Информационные технологии - Методы безопасности - Критерии оценки ИТ-безопасности). Стандарт является «сопутствующим документом», который, таким образом, в первую очередь используется профессионалами в области безопасности, участвующими в оценке соответствия ISO / IEC 15408 (Информационные технологии - Методы безопасности - Критерии оценки ИТ-безопасности). Поскольку он описывает минимальные действия, которые должны выполняться такими аудиторами, соблюдение ISO / IEC 15408 невозможно, если не соблюдается ISO / IEC 18045.
• ISO / TR 13569: 2005 - Финансовые услуги - Справочные руководства по информационной безопасности: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (Примечание: это ссылка на страницу ISO, где можно получить стандарт. Однако стандарт не бесплатно, и его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Стандарт, содержащий рекомендации по внедрению и оценке политик информационной безопасности в финансовых учреждениях. Стандарт является часто упоминаемым руководством и служит ресурсом для реализации программ управления информационной безопасностью в учреждениях финансового сектора и критерием для аудита таких программ. (См. Также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf )
• ISO / IEC 21827: 2008 - Информационные технологии - Методы безопасности - Разработка системной безопасности - Модель зрелости возможностей (SSE-CMM): ИСО / МЭК 21827: 2008 определяет Системную инженерию безопасности - Модель зрелости возможностей (SSE-CMM), которая описывает основные характеристики процесса проектирования безопасности организации, которые должны существовать для обеспечения хорошего проектирования безопасности. ИСО / МЭК 21827: 2008 не предписывает конкретный процесс или последовательность, но отражает практики, обычно наблюдаемые в отрасли. Модель является стандартной метрикой для практики разработки безопасности.

BSI

• BS 25999 -1: 2006 - Непрерывность бизнеса Управление Часть 1: Свод правил Примечание: это только первая часть стандарта BS 25999, который был опубликован в ноябре 2006 г. Часть вторая (которая должна содержать более конкретные критерии с целью возможной аккредитации) еще не опубликована. ссылка: http://www.bsi-global.com/en/Shop/Publicati on-Detail /? pid = 000000000030157563. Тема: Стандарт, содержащий свод правил обеспечения непрерывности бизнеса. Стандарт задуман как свод правил управления непрерывностью бизнеса и будет расширен второй частью, которая должна разрешить аккредитацию на соответствие стандарту. Учитывая его относительную новизну, потенциальное влияние стандарта трудно оценить, хотя он может иметь большое влияние на практику RM / RA, учитывая общее отсутствие универсально применимых стандартов в этом отношении и растущее внимание к непрерывности бизнеса и планированию на случай непредвиденных обстоятельств в нормативные инициативы. Применение этого стандарта может быть дополнено другими нормами, в частности PAS 77: 2006 - Свод правил управления непрерывностью ИТ-услуг <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid = 000000000030141858 >. TR позволяет специалистам по безопасности определить подходящую методологию для оценки услуги безопасности, продукта или фактора окружающей среды (результат). Следуя данному ТЗ, можно определить, какой уровень гарантии безопасности должен соответствовать поставляемый результат, и соответствует ли этот порог на самом деле.
• BS 7799 -3: 2006 - Системы менеджмента информационной безопасности - Руководящие принципы для справки по управлению рисками информационной безопасности: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022recid=2491 (Примечание: это ссылка на страницу BSI где можно приобрести стандарт. Однако стандарт не является бесплатным, а его положения не являются общедоступными. По этой причине нельзя цитировать конкретные положения). Тема: Стандарт, содержащий общие рекомендации по управлению рисками информационной безопасности. Область применения: Не общедоступный стандарт BSI, который может быть реализован добровольно. Хотя этот текст не имеет обязательной юридической силы, он содержит прямые инструкции по созданию надежных методов защиты информации. Стандарт в основном предназначен в качестве руководящего дополнительного документа к применению вышеупомянутого ISO 27001: 2005 и поэтому обычно применяется вместе с этим стандартом в практике оценки рисков

Форум информационной безопасности

• Стандарт передовой практики

• Портал бизнес_и_экономики

• Актив (компьютерная безопасность)
• Доступность
• BS 7799
• BS 25999
• Комитет по системам национальной безопасности
• Общие критерии
• Конфиденциальность
• Регулирование кибербезопасности
• Директива о защите данных
• Сбои в электроснабжении, вызванные белками
• Эксплойт (компьютерная безопасность)
• Факторный анализ информационного риска
• Федеральный закон об управлении информационной безопасностью 2002 года
• Грамм – Лич –Закон Блили
• Закон о переносимости и подотчетности в медицинском страховании
• Информационная безопасность
• Форум информационной безопасности
• Информационные технологии
• Целостность
• Принципы конфиденциальности International Safe Harbor
• ISACA
• ISO
• Серия ISO / IEC 27000
• I SO / IEC 27001: 2013
• ISO / IEC 27002
• Управление ИТ-рисками
• Долгосрочная поддержка
• Национальный учебно-образовательный центр по обеспечению информационной безопасности
• Национальный институт стандартов и технологий
• Национальная безопасность
• OWASP
• Патриотический акт, Раздел III
• Конфиденциальность
• Риск
• Фактор риска (вычисление)
• ИТ-риск
• Закон Сарбейнса-Оксли
• Стандарт передовой практики
• Угроза (компьютер)
• Уязвимость

• Руководство по информационной безопасности Internet2: эффективные методы и решения для высшего образования
• Управление рисками - Принципы и инвентаризация для управления рисками / оценки рисков методы и инструменты, Дата публикации: 01 июня 2006 г. Авторы: Проведено техническим отделом отдела управления рисками ENISA
• Clusif Club de la Sécurité de l'Information Français
• 800-30 Руководство по управлению рисками NIST
• 800-39 ПРОЕКТ NIST Управление рисками из информационных систем: организационная перспектива
• Публикация 199 FIPS, Стандарты безопасности Категоризация федеральной информации и информации
• Публикация 200 FIPS Минимальные требования безопасности для федеральной информации и информационных систем
• 800-37 Руководство NIST по применению структуры управления рисками к федеральным информационным системам: подход к жизненному циклу безопасности
• Обязанности Стандарта анализа рисков медицинского обслуживания (DoCRA)