ИТ-риск

Любой риск, связанный с информационными технологиями

Риск информационных технологий , ИТ-риск , ИТ-связанный риск или киберриск — это любой риск, связанный с информационными технологиями . ^[1] Хотя информация уже давно ценится как ценный и важный актив, рост экономики знаний и цифровая революция привели к тому, что организации становятся все более зависимыми от информации, обработки информации и особенно ИТ. Различные события или инциденты, которые каким-либо образом ставят под угрозу ИТ, могут, таким образом, оказывать неблагоприятное воздействие на бизнес-процессы или миссию организации, варьирующееся от незначительных до катастрофических по масштабу.

Оценка вероятности или вероятности различных типов событий/инцидентов с их прогнозируемым воздействием или последствиями, если они произойдут, является распространенным способом оценки и измерения ИТ-рисков. ^[2] Альтернативные методы измерения ИТ-рисков обычно включают оценку других сопутствующих факторов, таких как угрозы , уязвимости, воздействия и стоимость активов. ^{[3] [4]}

Определения

ИСО

Риск ИТ : вероятность того, что данная угроза будет использовать уязвимости актива или группы активов и тем самым нанести вред организации. Он измеряется с точки зрения комбинации вероятности возникновения события и его последствий. ^[5]

Комитет по системам национальной безопасности

Комитет по системам национальной безопасности Соединенных Штатов Америки определил риск в различных документах:

• Из Инструкции Национальной службы безопасности № 4009 от 26 апреля 2010 г. ^[6] следует базовое и более техническое определение:

  Риск — вероятность того, что конкретная угроза окажет негативное влияние на ИС, используя определенную уязвимость.

• Инструкция по безопасности телекоммуникационных и информационных систем национальной безопасности (NSTISSI) № 1000 ^[7] вводит вероятностный аспект, весьма схожий с аспектом NIST SP 800-30:

  Риск – сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности возникшего воздействия.

Национальный центр обучения и образования в области обеспечения информации определяет риск в сфере ИТ следующим образом: ^[8]

1. Потенциал потерь, который существует в результате пар угроза-уязвимость. Уменьшение либо угрозы, либо уязвимости уменьшает риск.
2. Неопределенность потерь, выраженная через вероятность таких потерь.
3. Вероятность того, что враждебная организация успешно использует конкретную систему телекоммуникаций или COMSEC в разведывательных целях; ее факторами являются угроза и уязвимость.
4. Сочетание вероятности возникновения угрозы, вероятности того, что возникновение угрозы приведет к неблагоприятному воздействию, и серьезности возникшего неблагоприятного воздействия.
5. вероятность того, что конкретная угроза воспользуется конкретной уязвимостью системы.

НИСТ

Многие публикации NIST определяют риск в контексте ИТ в различных публикациях: FISMApedia ^[9] term ^[10] предоставляет список. Среди них:

• Согласно NIST SP 800-30: ^[11]

  Риск — это функция вероятности реализации определенной потенциальной уязвимости определенного источника угрозы и результирующего воздействия этого неблагоприятного события на организацию.

• Из NIST FIPS 200 ^[12]

  Риск — уровень воздействия на деятельность организации (включая миссию, функции, имидж или репутацию), активы организации или отдельных лиц в результате эксплуатации информационной системы с учетом потенциального воздействия угрозы и вероятности возникновения этой угрозы.

NIST SP 800-30 ^[11] определяет:

Риск, связанный с ИТ

Чистое воздействие миссии с учетом:

1. вероятность того, что конкретный источник угрозы воспользуется (случайно активирует или намеренно использует) уязвимость конкретной информационной системы и
2. последующее воздействие, если это произойдет. Риски, связанные с ИТ, возникают из-за юридической ответственности или потери миссии из-за:
   1. Несанкционированное (злонамеренное или случайное) раскрытие, изменение или уничтожение информации
   2. Непреднамеренные ошибки и упущения
   3. Сбои в работе ИТ из-за стихийных бедствий или техногенных катастроф
   4. Непроявление должной осмотрительности и заботливости при внедрении и эксплуатации ИТ-системы.

Понимание управления рисками

Риск ИТ – это вероятная частота и вероятная величина будущих потерь. ^[13]

ИСАКА

ISACA опубликовала Risk IT Framework, чтобы обеспечить сквозной, всеобъемлющий взгляд на все риски, связанные с использованием ИТ. Там ^[14] ИТ-риск определяется как:

Бизнес-риск, связанный с использованием, владением, эксплуатацией, участием, влиянием и внедрением ИТ на предприятии.

Согласно Risk IT , ^[14] ИТ-риск имеет более широкое значение: он охватывает не только негативное влияние операций и предоставления услуг, которое может привести к разрушению или снижению стоимости организации, но и риск получения выгоды/ценности, связанный с упущенными возможностями использования технологий для поддержки или улучшения бизнеса или управления ИТ-проектами из-за таких аспектов, как перерасход средств или несвоевременная поставка с неблагоприятным воздействием на бизнес.

Измерение ИТ-риска

Вы не можете эффективно и последовательно управлять тем, что вы не можете измерить, и вы не можете измерить то, что вы не определили. ^{[13] [15]}

Измерение ИТ-риска (или киберриска) может происходить на многих уровнях. На уровне бизнеса риски управляются категориально. Отделы ИТ на передовой и NOC , как правило, измеряют более дискретные, индивидуальные риски. Управление связью между ними является ключевой ролью современных CISO .

При измерении любого вида риска выбор правильного уравнения для заданной угрозы, актива и доступных данных является важным шагом. Это само по себе является предметом, но есть общие компоненты уравнений риска, которые полезно понимать.

В управлении рисками задействованы четыре основные силы, которые также применимы к кибербезопасности. Это активы, воздействие, угрозы и вероятность. У вас есть внутренние знания и достаточный контроль над активами , которые являются материальными и нематериальными вещами, имеющими ценность. У вас также есть некоторый контроль над воздействием , которое относится к потере или повреждению актива. Однако угрозы , которые представляют собой противников и их методы атаки, находятся вне вашего контроля. Вероятность — это джокер в этой группе. Вероятности определяют, материализуется ли угроза, будет ли она успешной и нанесет ли ущерб. Хотя они никогда не находятся под вашим полным контролем, вероятности можно формировать и влиять на них, чтобы управлять риском. ^[16]

Математически силы можно представить в виде формулы, например: где p() — вероятность того, что угроза материализуется/успешно воздействует на актив, а d() — вероятность различных уровней ущерба, которые могут возникнуть. ^[17] ${\textstyle Risk=p(Asset,Threat)\times d(Asset,Threat)}$

Область управления ИТ-рисками породила ряд терминов и методов, которые являются уникальными для отрасли. Некоторые отраслевые термины еще не согласованы. Например, термин «уязвимость» часто используется взаимозаменяемо с «вероятностью возникновения», что может быть проблематичным. Часто встречающиеся термины и методы управления ИТ-рисками включают:

Мероприятие по информационной безопасности

Выявленное событие состояния системы, службы или сети, указывающее на возможное нарушение политики информационной безопасности или отказ защитных мер, или ранее неизвестную ситуацию, которая может иметь отношение к безопасности. ^[5]

Возникновение определенного набора обстоятельств ^[18]

• Событие может быть определенным или неопределенным.
• Событие может быть единичным или представлять собой серию событий. :(Руководство ISO/IEC 73)

Инцидент информационной безопасности

обозначается одним или серией нежелательных событий информационной безопасности, которые имеют значительную вероятность поставить под угрозу бизнес-операции и информационную безопасность ^[5]

Событие [G.11], которое было оценено как имеющее фактическое или потенциально неблагоприятное воздействие на безопасность или производительность системы. ^[19]

Воздействие ^[20]

Результат нежелательного инцидента [G.17].(ISO/IEC PDTR 13335-1)

Последствие ^[21]

Результат события [G.11]

• Одно событие может иметь более одного последствия.
• Последствия могут быть как положительными, так и отрицательными.
• Последствия могут быть выражены качественно или количественно (Руководство ISO/IEC 73)

Риск R представляет собой произведение вероятности L возникновения инцидента безопасности на воздействие I , которое будет нанесено организации в результате инцидента, то есть: ^[22]

П = Д × Я

Вероятность возникновения инцидента безопасности является функцией вероятности возникновения угрозы и вероятности того, что угроза сможет успешно использовать соответствующие уязвимости системы.

Последствия возникновения инцидента безопасности являются функцией вероятного воздействия, которое инцидент окажет на организацию в результате ущерба, который понесут активы организации. Ущерб связан со стоимостью активов для организации; один и тот же актив может иметь разную стоимость для разных организаций.

Итак, R может быть функцией четырех факторов :

• A = Стоимость активов
• T = вероятность угрозы
• V = характер уязвимости , т.е. вероятность того, что она может быть использована (пропорционально потенциальной выгоде для злоумышленника и обратно пропорционально стоимости использования)
• I = вероятное воздействие, степень вреда

Если численные значения (деньги для воздействия и вероятности для других факторов), риск может быть выражен в денежном выражении и сравнен со стоимостью контрмер и остаточным риском после применения контроля безопасности. Не всегда практично выражать эти значения, поэтому на первом этапе оценки риска риск ранжируется безразмерно по трех- или пятиступенчатым шкалам.

OWASP предлагает практическое руководство по измерению риска ^[22], основанное на:

• Оценка вероятности как среднего значения между различными факторами по шкале от 0 до 9:
  • Факторы, вызывающие угрозу
    • Уровень навыков: Насколько технически квалифицирована эта группа агентов угрозы? Нет технических навыков (1), некоторые технические навыки (3), продвинутый пользователь компьютера (4), навыки работы с сетями и программирования (6), навыки проникновения в систему безопасности (9)
    • Мотив: Насколько мотивирована эта группа агентов угрозы, чтобы найти и использовать эту уязвимость? Низкая или нулевая награда (1), возможная награда (4), высокая награда (9)
    • Возможность: Какие ресурсы и возможности требуются этой группе агентов угроз для обнаружения и использования этой уязвимости? требуется полный доступ или дорогостоящие ресурсы (0), требуется особый доступ или ресурсы (4), требуется некоторый доступ или ресурсы (7), не требуется доступ или ресурсы (9)
    • Размер: Насколько велика эта группа агентов угрозы? Разработчики (2), системные администраторы (2), пользователи интрасети (4), партнеры (5), аутентифицированные пользователи (6), анонимные пользователи Интернета (9)
  • Факторы уязвимости : следующий набор факторов связан с уязвимостью. Цель здесь — оценить вероятность обнаружения и эксплуатации конкретной уязвимости. Предположим, что агент угрозы выбран выше.
    • Легкость обнаружения: Насколько легко для этой группы агентов угроз обнаружить эту уязвимость? Практически невозможно (1), сложно (3), легко (7), доступны автоматизированные инструменты (9)
    • Простота эксплуатации : насколько легко для этой группы агентов угроз фактически использовать эту уязвимость? Теоретически (1), сложно (3), легко (5), доступны автоматизированные инструменты (9)
    • Осведомленность: Насколько хорошо известна эта уязвимость к этой группе агентов угроз? Неизвестно (1), скрыто (4), очевидно (6), общеизвестно (9)
    • Обнаружение вторжений: насколько вероятно обнаружение эксплойта? Активное обнаружение в приложении (1), зарегистрированное и проверенное (3), зарегистрированное без проверки (8), не зарегистрированное (9)
• Оценка воздействия как среднего значения между различными факторами по шкале от 0 до 9
  • Факторы технического воздействия; техническое воздействие можно разбить на факторы, соответствующие традиционным областям безопасности: конфиденциальность, целостность, доступность и подотчетность. Цель состоит в том, чтобы оценить масштаб воздействия на систему, если уязвимость будет использована.
    • Потеря конфиденциальности : какой объем данных может быть раскрыт и насколько они конфиденциальны? Минимально раскрытые неконфиденциальные данные (2), минимально раскрытые критические данные (6), обширные неконфиденциальные данные раскрыты (6), обширные критические данные раскрыты (7), все данные раскрыты (9)
    • Потеря целостности : какой объем данных может быть поврежден и насколько они повреждены? Минимально слегка поврежденные данные (1), минимально серьезно поврежденные данные (3), обширные слегка поврежденные данные (5), обширные серьезно поврежденные данные (7), все данные полностью повреждены (9)
    • Потеря доступности Сколько услуг может быть потеряно и насколько это важно? Минимальные вторичные услуги прерваны (1), минимальные первичные услуги прерваны (5), обширные вторичные услуги прерваны (5), обширные первичные услуги прерваны (7), все услуги полностью потеряны (9)
    • Потеря ответственности: можно ли отследить действия агентов угрозы до конкретного человека? Полностью отслеживаемо (1), возможно отслеживаемо (7), полностью анонимно (9)
  • Факторы влияния на бизнес: влияние на бизнес вытекает из технического влияния, но требует глубокого понимания того, что важно для компании, использующей приложение. В целом, вы должны стремиться поддерживать свои риски влиянием на бизнес, особенно если ваша аудитория — руководители высшего звена. Риск для бизнеса — это то, что оправдывает инвестиции в устранение проблем безопасности.
    • Финансовый ущерб: Какой финансовый ущерб будет нанесен эксплойтом? Меньше, чем стоимость устранения уязвимости (1), незначительное влияние на годовую прибыль (3), значительное влияние на годовую прибыль (7), банкротство (9)
    • Ущерб репутации: приведет ли эксплойт к ущербу репутации, который нанесет вред бизнесу? Минимальный ущерб (1), потеря крупных клиентов (4), потеря деловой репутации (5), ущерб бренду (9)
    • Несоблюдение: насколько сильное воздействие оказывает несоблюдение? Незначительное нарушение (2), явное нарушение (5), серьезное нарушение (7)
    • Нарушение конфиденциальности : Какой объем персональной информации может быть раскрыт? Один человек (3), сотни людей (5), тысячи людей (7), миллионы людей (9)
  • Если влияние на бизнес рассчитано точно, используйте его в следующем, в противном случае используйте техническое влияние.
• Оцените вероятность и воздействие по шкале НИЗКАЯ, СРЕДНЯЯ, ВЫСОКАЯ, предполагая, что менее 3 — НИЗКАЯ, от 3 до 6 — СРЕДНЯЯ, а от 6 до 9 — ВЫСОКАЯ.
• Рассчитайте риск, используя следующую таблицу

Управление ИТ-рисками

Элементы управления рисками

Система управления ИТ-рисками (ITRMS) является компонентом более широкой системы управления корпоративными рисками (ERM). ^[23] ITRMS также интегрированы в более широкие системы управления информационной безопасностью (ISMS). Постоянное обновление и поддержание ISMS, в свою очередь, является частью системного подхода организации к выявлению, оценке и управлению рисками информационной безопасности. ^[24] В Руководстве по проверке сертифицированных аудиторов информационных систем 2006 года ISACA дается следующее определение управления рисками: « Управление рисками — это процесс выявления уязвимостей и угроз информационным ресурсам, используемым организацией для достижения бизнес-целей, и принятия решения о том, какие контрмеры , если таковые имеются, следует предпринять для снижения риска до приемлемого уровня на основе ценности информационного ресурса для организации » . ^[25] Структура кибербезопасности NIST призывает организации управлять ИТ-рисками как частью функции идентификации (ID): ^{[26] [27]}

Оценка риска (ID.RA) : Организация осознает риск кибербезопасности для своей деятельности (включая миссию, функции, имидж или репутацию), активов организации и отдельных лиц.

• ID.RA-1: Уязвимости активов выявлены и задокументированы
• ID.RA-2: Информация о киберугрозах и уязвимостях получена с форумов обмена информацией и из других источников
• ID.RA-3: Угрозы, как внутренние, так и внешние, идентифицированы и документированы
• ID.RA-4: Определены потенциальные бизнес-влияния и вероятности
• ID.RA-5: Угрозы, уязвимости, вероятности и воздействия используются для определения риска
• ID.RA-6: Реакция на риски идентифицирована и расставлена ​​по приоритетам

Стратегия управления рисками (ID.RM) : Приоритеты, ограничения, допустимые уровни риска и допущения организации устанавливаются и используются для поддержки решений в области операционных рисков.

• ID.RM-1: Процессы управления рисками устанавливаются, управляются и согласовываются заинтересованными сторонами организации
• ID.RM-2: Организационная толерантность к риску определена и четко выражена
• ID.RM-3: Определение организацией толерантности к риску основано на ее роли в анализе рисков критической инфраструктуры и сектора

Законы и правила в области ИТ-рисков

Далее следует краткое описание применимых правил, организованных по источникам. ^[28]

ОЭСР

ОЭСР опубликовала следующее:

• Организация экономического сотрудничества и развития (ОЭСР) Рекомендация Совета относительно руководящих принципов, регулирующих защиту частной жизни и трансграничные потоки персональных данных (23 сентября 1980 г.)
• Руководящие принципы ОЭСР по безопасности информационных систем и сетей: на пути к культуре безопасности (25 июля 2002 г.). Тема: Общая информационная безопасность. Область применения: Необязательные руководящие принципы для любых субъектов ОЭСР (правительств, предприятий, других организаций и индивидуальных пользователей, которые разрабатывают, владеют, предоставляют, управляют, обслуживают и используют информационные системы и сети). Руководящие принципы ОЭСР излагают основные принципы, лежащие в основе управления рисками и практики информационной безопасности. Хотя ни одна часть текста не является обязательной как таковая, несоблюдение любого из принципов свидетельствует о серьезном нарушении надлежащей практики RM/RA, которое может потенциально повлечь за собой ответственность.

Евросоюз

Европейский Союз опубликовал следующие документы, разделенные по темам:

• Конфиденциальность
  • Регламент (ЕС) № 45/2001 о защите лиц в отношении обработки персональных данных учреждениями и органами Сообщества и о свободном перемещении таких данных представляет собой внутреннее регулирование, которое является практическим применением принципов Директивы о конфиденциальности, описанных ниже. Кроме того, статья 35 Регламента требует от учреждений и органов Сообщества принимать аналогичные меры предосторожности в отношении своей телекоммуникационной инфраструктуры и надлежащим образом информировать пользователей о любых конкретных рисках нарушения безопасности.
  • Директива 95/46/EC о защите лиц в отношении обработки персональных данных и о свободном перемещении таких данных требует, чтобы любая деятельность по обработке персональных данных подвергалась предварительному анализу рисков с целью определения последствий для конфиденциальности этой деятельности и определения соответствующих правовых, технических и организационных мер для защиты такой деятельности; эффективно защищена такими мерами, которые должны быть современными с учетом чувствительности и последствий для конфиденциальности этой деятельности (в том числе, когда задача обработки возложена на третью сторону); уведомлена в национальный орган по защите данных, включая меры, принятые для обеспечения безопасности этой деятельности. Кроме того, статья 25 и последующие статьи Директивы требуют от государств-членов запретить передачу персональных данных в государства, не являющиеся членами, если только такие страны не предоставили адекватную правовую защиту для таких персональных данных или за исключением некоторых других исключений.
  • Решение Комиссии 2001/497/EC от 15 июня 2001 года о стандартных договорных положениях для передачи персональных данных в третьи страны в соответствии с Директивой 95/46/EC; и Решение Комиссии 2004/915/EC от 27 декабря 2004 года о внесении поправок в Решение 2001/497/EC в отношении введения альтернативного набора стандартных договорных положений для передачи персональных данных в третьи страны. Тема: Экспорт персональных данных в третьи страны, в частности, в страны, не входящие в ЕС, которые не были признаны имеющими адекватный уровень защиты данных (т. е. эквивалентный уровню ЕС). Оба Решения Комиссии содержат набор добровольных типовых положений, которые могут использоваться для экспорта персональных данных от контролера данных (на которого распространяются правила ЕС о защите данных) к обработчику данных за пределами ЕС, на которого не распространяются эти правила или аналогичный набор адекватных правил.
  • Международные принципы конфиденциальности Safe Harbor (см. ниже Принципы конфиденциальности США и International Safe Harbor )
  • Директива 2002/58/EC от 12 июля 2002 г. об обработке персональных данных и защите конфиденциальности в секторе электронных коммуникаций
• Национальная безопасность
  • Директива 2006/24/EC от 15 марта 2006 г. о сохранении данных, полученных или обработанных в связи с предоставлением общедоступных услуг электронной связи или сетей связи общего пользования, и вносящая поправки в Директиву 2002/58/EC (« Директива о сохранении данных »). Тема: Требование к поставщикам услуг электронной связи общего пользования сохранять определенную информацию в целях расследования, обнаружения и преследования тяжких преступлений
  • Директива Совета 2008/114/EC от 8 декабря 2008 г. об идентификации и обозначении европейских критических инфраструктур и оценке необходимости улучшения их защиты. Тема: Идентификация и защита европейских критических инфраструктур. Область применения: Применима к государствам-членам и операторам европейской критических инфраструктур (определяемых проектом директивы как «критические инфраструктуры, нарушение или уничтожение которых может существенно повлиять на два или более государств-членов или одно государство-член, если критическая инфраструктура расположена в другом государстве-члене. Это включает эффекты, возникающие в результате межсекторальных зависимостей от других типов инфраструктуры»). Требует от государств-членов идентифицировать критические инфраструктуры на своих территориях и обозначать их как ECI. После этого обозначения владельцы/операторы ECI должны создать планы безопасности операторов (OSP), которые должны устанавливать соответствующие решения по безопасности для их защиты
• Гражданское и уголовное право
  • Рамочное решение Совета 2005/222/JHA от 24 февраля 2005 г. об атаках на информационные системы. Тема: Общее решение, направленное на гармонизацию национальных положений в области киберпреступности, охватывающее материальное уголовное право (т. е. определения конкретных преступлений), процессуальное уголовное право (включая следственные меры и международное сотрудничество) и вопросы ответственности. Область применения: Требует от государств-членов имплементировать положения Рамочного решения в свои национальные правовые рамки. Рамочное решение имеет отношение к RM/RA, поскольку содержит условия, при которых юридическая ответственность может быть возложена на юридические лица за поведение определенных физических лиц, обладающих полномочиями в рамках юридического лица. Таким образом, Рамочное решение требует, чтобы поведение таких лиц в рамках организации надлежащим образом контролировалось, также потому, что в Решении говорится, что юридическое лицо может быть привлечено к ответственности за бездействие в этом отношении.

Совет Европы

• Конвенция Совета Европы о киберпреступности, Будапешт, 23.XI.2001, European Treaty Series-No. 185. Тема: Общий договор, направленный на гармонизацию национальных положений в области киберпреступности, охватывающий материальное уголовное право (т. е. определения конкретных преступлений), процессуальное уголовное право (включая следственные меры и международное сотрудничество), вопросы ответственности и хранения данных. Помимо определений ряда уголовных преступлений в статьях 2–10, Конвенция имеет отношение к RM/RA, поскольку в ней указаны условия, при которых юридическая ответственность может быть возложена на юридические лица за поведение определенных физических лиц, наделенных полномочиями в рамках юридического лица. Таким образом, Конвенция требует, чтобы поведение таких лиц в рамках организации надлежащим образом контролировалось, также потому, что в Конвенции указано, что юридическое лицо может быть привлечено к ответственности за бездействие в этом отношении.

Соединенные Штаты

Соединенные Штаты выпустили следующее, разделенное по темам:

• Гражданское и уголовное право
  • Поправки к Федеральным правилам гражданского судопроизводства в отношении электронного раскрытия информации. Тема: Федеральные правила США в отношении предоставления электронных документов в гражданском судопроизводстве. Правила раскрытия информации позволяют стороне в гражданском судопроизводстве требовать, чтобы противоположная сторона предоставила всю соответствующую документацию (которая будет определена запрашивающей стороной), имеющуюся в ее распоряжении, чтобы позволить сторонам и суду правильно оценить вопрос. Благодаря поправке об электронном раскрытии информации, которая вступила в силу 1 декабря 2006 года, такая информация теперь может включать электронную информацию. Это означает, что любая сторона, предстающая перед судом США в гражданском судопроизводстве, может быть запрошена предоставить такие документы, которые включают в себя окончательные отчеты, рабочие документы, внутренние меморандумы и электронные письма в отношении конкретного предмета, который может быть или не быть конкретно очерчен. Поэтому любая сторона, чья деятельность подразумевает риск вовлечения в такое разбирательство, должна принять адекватные меры предосторожности для управления такой информацией, включая безопасное хранение. В частности: сторона должна иметь возможность инициировать «судебное удержание», техническую/организационную меру, которая должна гарантировать, что никакая соответствующая информация больше не может быть изменена каким-либо образом. Политики хранения должны быть ответственными: хотя удаление определенной информации, конечно, остается разрешенным, когда это является частью общей политики управления информацией («рутинная, добросовестная эксплуатация информационной системы», Правило 37 (f)), преднамеренное уничтожение потенциально важной информации может быть наказано чрезвычайно высокими штрафами (в одном конкретном случае в размере 1,6 млрд долларов США). Таким образом, на практике любые предприятия, которые рискуют гражданским судебным разбирательством в судах США, должны внедрить адекватную политику управления информацией и должны принять необходимые меры для инициирования судебного удержания.
• Конфиденциальность
  • Закон штата Калифорния о защите прав потребителей (CCPA)
  • Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA)
  • Закон Грэма-Лича-Блайли (GLBA)
  • Закон США «ПАТРИОТ», Раздел III
  • Закон о переносимости и подотчетности медицинского страхования (HIPAA) С точки зрения RM/RA, Закон особенно известен своими положениями в отношении административного упрощения (Раздел II HIPAA). Этот раздел потребовал от Министерства здравоохранения и социальных служб США (HHS) разработать конкретные наборы правил, каждый из которых будет содержать конкретные стандарты, которые повысят эффективность системы здравоохранения и предотвратят злоупотребления. В результате HHS приняло пять основных правил: Правило конфиденциальности, Правило транзакций и наборов кодов, Правило уникальных идентификаторов, Правило обеспечения соблюдения и Правило безопасности. Последнее, опубликованное в Федеральном реестре 20 февраля 2003 года (см.: http://www.cms.hhs.gov/SecurityStandard/Downloads/securityfinalrule.pdf Архивировано 29 декабря 2009 г. на Wayback Machine ), особенно актуально, поскольку оно определяет ряд административных, технических и физических процедур безопасности для обеспечения конфиденциальности электронной защищенной медицинской информации. Эти аспекты были дополнительно изложены в наборе стандартов безопасности по административным, физическим, организационным и техническим мерам безопасности, все из которых были опубликованы, вместе с руководящим документом по основам управления рисками HIPAA и оценки рисков <http://www.cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp Архивировано 2010-01-23 на Wayback Machine >. Поставщики медицинских услуг из Европы или других стран, как правило, не будут затронуты обязательствами HIPAA, если они не работают на рынке США. Однако, поскольку их деятельность по обработке данных подчиняется аналогичным обязательствам в соответствии с общим европейским законодательством (включая Директиву о конфиденциальности), и поскольку основные тенденции модернизации и эволюции в сторону электронных медицинских файлов одинаковы, меры безопасности HHS могут быть полезны в качестве первоначального критерия для измерения стратегий RM/RA, внедряемых европейскими поставщиками медицинских услуг, особенно в отношении обработки электронной медицинской информации. Стандарты безопасности HIPAA включают следующее:
    • Административные гарантии:
      • Процесс управления безопасностью
      • Назначенная ответственность за безопасность
      • Безопасность рабочей силы
      • Управление доступом к информации
      • Осведомленность и обучение по вопросам безопасности
      • Процедуры реагирования на инциденты безопасности
      • План действий в чрезвычайных ситуациях
      • Оценка
      • Контракты о деловом партнерстве и другие соглашения
    • Физические меры безопасности
      • Контроль доступа на объект
      • Использование рабочей станции
      • Безопасность рабочей станции
      • Управление устройствами и медиа
    • Технические меры безопасности
      • Контроль доступа
      • Аудиторский контроль
      • Честность
      • Аутентификация лица или субъекта
      • Безопасность передачи
    • Организационные требования
      • Контракты делового партнерства и другие соглашения
      • Требования к групповым планам медицинского страхования
  • Международные принципы конфиденциальности Safe Harbor, выпущенные Министерством торговли США 21 июля 2000 г. Экспорт персональных данных от контролера данных, на которого распространяются правила конфиденциальности ЕС, в пункт назначения в США; прежде чем персональные данные могут быть экспортированы от субъекта, на которого распространяются правила конфиденциальности ЕС, в пункт назначения, на который распространяются законы США, европейский субъект должен убедиться, что получающий субъект предоставляет адекватные меры безопасности для защиты таких данных от ряда неудач. Одним из способов выполнения этого обязательства является требование к получающему субъекту присоединиться к Safe Harbor, потребовав, чтобы субъект самостоятельно подтвердил свое соответствие так называемым принципам Safe Harbor. Если выбран этот путь, контролер данных, экспортирующий данные, должен убедиться, что пункт назначения в США действительно находится в списке Safe Harbor (см. список Safe Harbor)
  • Министерство внутренней безопасности США также использует оценку воздействия на конфиденциальность (PIA) в качестве инструмента принятия решений для выявления и снижения рисков нарушения конфиденциальности. ^[29]
• Закон Сарбейнса-Оксли
• ФИСМА
• Управление рисками кибербезопасности SEC, стратегия, руководство и раскрытие информации об инцидентах ^[30]

По мере развития законодательства все больше внимания уделяется требованию «разумной безопасности» для управления информацией. CCPA гласит, что «производители подключенных устройств должны оснастить устройства разумной безопасностью». ^[31] Закон SHIELD в Нью-Йорке требует, чтобы организации, управляющие информацией жителей Нью-Йорка, «разрабатывали, внедряли и поддерживали разумные меры безопасности для защиты безопасности, конфиденциальности и целостности частной информации, включая, помимо прочего, утилизацию данных». Эта концепция повлияет на то, как компании управляют своим планом управления рисками по мере развития требований соответствия.

Стандартизирующие организации и стандарты

• Международные органы стандартизации:
  • Международная организация по стандартизации – ISO
  • Совет по стандартам безопасности индустрии платежных карт
  • Форум по информационной безопасности
  • Открытая Группа
• Органы стандартизации США:
  • Национальный институт стандартов и технологий – NIST
  • Федеральные стандарты обработки информации (FIPS) от NIST, предназначенные для федерального правительства и агентств
• Органы стандартизации Великобритании
  • Британский институт стандартов

Краткое описание стандартов

Список в основном основан на: ^[28]

ИСО

• ISO/IEC 13335-1:2004 – Информационные технологии — Методы обеспечения безопасности — Управление безопасностью информационных и коммуникационных технологий — Часть 1: Концепции и модели управления безопасностью информационных и коммуникационных технологий http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. Стандарт, содержащий общепринятые описания концепций и моделей управления безопасностью информационных и коммуникационных технологий. Стандарт является общепринятым сводом правил и служит ресурсом для внедрения практик управления безопасностью и мерилом для аудита таких практик. (См. также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf Архивировано 06.12.2010 на Wayback Machine )
• ISO/IEC TR 15443-1:2005 – Информационные технологии — Методы обеспечения безопасности — Ссылка на структуру обеспечения безопасности ИТ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть процитированы). Тема: Обеспечение безопасности — Технический отчет (TR) содержит общепринятые рекомендации, которые могут быть использованы для определения соответствующего метода обеспечения для оценки услуги безопасности, продукта или фактора окружающей среды
• ISO/IEC 15816:2002 – Информационные технологии — Методы обеспечения безопасности — Информационные объекты безопасности для управления доступом ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть процитированы). Тема: Управление безопасностью — Управление доступом. Стандарт позволяет специалистам по безопасности полагаться на определенный набор синтаксических определений и пояснений в отношении SIO, тем самым избегая дублирования или расхождений в других усилиях по стандартизации.
• ISO/IEC TR 15947:2002 – Информационные технологии — Методы обеспечения безопасности — Ссылка на структуру обнаружения вторжений в ИТ: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть процитированы). Тема: Управление безопасностью — Обнаружение вторжений в ИТ-системах. Стандарт позволяет специалистам по безопасности полагаться на определенный набор концепций и методологий для описания и оценки рисков безопасности в отношении потенциальных вторжений в ИТ-системы. Он не содержит никаких обязательств по RM/RA как таковых, но является скорее инструментом для упрощения деятельности по RM/RA в затронутой области.
• ISO/IEC 15408 -1/2/3:2005 – Информационные технологии — Методы обеспечения безопасности — Критерии оценки безопасности ИТ — Часть 1: Введение и общая модель (15408-1) Часть 2: Функциональные требования безопасности (15408-2) Часть 3: Требования к обеспечению безопасности (15408-3) ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Тема: Стандарт, содержащий общий набор требований к функциям безопасности продуктов и систем ИТ и к мерам обеспечения безопасности, применяемым к ним во время оценки безопасности. Область применения: Публично доступный стандарт ISO, который может быть добровольно внедрен. Текст является ресурсом для оценки безопасности продуктов и систем ИТ и, таким образом, может использоваться в качестве инструмента для RM/RA. Стандарт обычно используется в качестве ресурса для оценки безопасности продуктов и систем ИТ; включая (если не специально) для принятия решений о закупках в отношении таких продуктов. Таким образом, стандарт может использоваться как инструмент RM/RA для определения безопасности ИТ-продукта или системы во время его проектирования, производства или маркетинга, или перед его закупкой.
• ISO/IEC 17799 :2005 – Информационные технологии — Методы обеспечения безопасности — Свод правил по управлению информационной безопасностью. ссылка: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть процитированы). Тема: Стандарт, содержащий общепринятые руководящие принципы и общие принципы для инициирования, внедрения, поддержания и улучшения управления информационной безопасностью в организации, включая управление непрерывностью бизнеса. Стандарт является общепринятым сводом правил и служит ресурсом для внедрения практик управления информационной безопасностью и мерилом для аудита таких практик. (См. также ISO/IEC 17799 )
• ISO/IEC TR 15446:2004 – Информационные технологии — Методы обеспечения безопасности — Руководство по созданию профилей защиты и целей безопасности. ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Тема: Технический отчет (TR), содержащий рекомендации по построению профилей защиты (PP) и целей безопасности (ST), которые должны соответствовать ISO/IEC 15408 («Общие критерии»). Стандарт в основном используется как инструмент для специалистов по безопасности для разработки PP и ST, но также может использоваться для оценки их действительности (используя TR в качестве критерия для определения того, были ли соблюдены его стандарты). Таким образом, это (необязательный) нормативный инструмент для создания и оценки практик RM/RA.
• ISO/IEC 18028 :2006 – Информационные технологии — Методы обеспечения безопасности — Ссылка на безопасность ИТ-сетей: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть процитированы). Тема: Стандарт из пяти частей (ISO/IEC 18028-1 по 18028-5), содержащий общепринятые рекомендации по аспектам безопасности управления, эксплуатации и использования сетей информационных технологий. Стандарт считается расширением рекомендаций, представленных в ISO/IEC 13335 и ISO/IEC 17799, с особым упором на риски сетевой безопасности. Стандарт представляет собой общепринятый свод правил и служит ресурсом для внедрения практик управления безопасностью и мерилом для аудита таких практик.
• ISO/IEC 27001 :2005 – Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Ссылка на требования: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть процитированы). Тема: Стандарт, содержащий общепринятые рекомендации по внедрению Системы управления информационной безопасностью в любой данной организации. Область применения: Не общедоступный стандарт ISO, который может быть внедрен добровольно. Хотя он и не является юридически обязательным, текст содержит прямые рекомендации по созданию надежных методов обеспечения информационной безопасности. Стандарт является очень широко используемым сводом правил и служит ресурсом для внедрения систем управления информационной безопасностью и критерием для аудита таких систем и/или окружающих методов. Его применение на практике часто сочетается с соответствующими стандартами, такими как BS 7799-3:2006, который предоставляет дополнительные рекомендации для поддержки требований, изложенных в ISO/IEC 27001:2005 <http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 ^{[ постоянная неработающая ссылка ]} >
• ISO/IEC 27001:2013 — обновленный стандарт систем управления информационной безопасностью.
• ISO/IEC TR 18044:2004 – Информационные технологии — Методы обеспечения безопасности — Ссылка на управление инцидентами информационной безопасности: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть процитированы). Тема: Технический отчет (TR), содержащий общепринятые руководящие принципы и общие принципы управления инцидентами информационной безопасности в организации. Область применения: Не общедоступный ISO TR, который может использоваться добровольно. Хотя текст не является юридически обязательным, он содержит прямые руководящие принципы управления инцидентами. Стандарт представляет собой ресурс высокого уровня, в котором представлены основные концепции и соображения в области реагирования на инциденты. Таким образом, он в основном полезен в качестве катализатора для инициатив по повышению осведомленности в этом отношении.
• ISO/IEC 18045:2005 – Информационные технологии — Методы обеспечения безопасности — Методология оценки безопасности ИТ, ссылка: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Тема: Стандарт, содержащий рекомендации по аудиту для оценки соответствия стандарту ISO/IEC 15408 (Информационные технологии — Методы обеспечения безопасности — Критерии оценки безопасности ИТ) Область применения Публично доступный стандарт ISO, который необходимо соблюдать при оценке соответствия стандарту ISO/IEC 15408 (Информационные технологии — Методы обеспечения безопасности — Критерии оценки безопасности ИТ). Стандарт является «сопутствующим документом», который, таким образом, в первую очередь используется специалистами по безопасности, участвующими в оценке соответствия стандарту ISO/IEC 15408 (Информационные технологии — Методы обеспечения безопасности — Критерии оценки безопасности ИТ). Поскольку в нем описаны минимальные действия, которые должны выполнять такие аудиторы, соблюдение стандарта ISO/IEC 15408 невозможно, если не соблюдается стандарт ISO/IEC 18045.
• ISO/TR 13569:2005 – Финансовые услуги – Ссылка на руководящие принципы информационной безопасности: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (Примечание: это ссылка на страницу ISO, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть процитированы). Тема: Стандарт, содержащий руководящие принципы для внедрения и оценки политик информационной безопасности в учреждениях финансовых услуг. Стандарт является широко используемым руководством и служит ресурсом для внедрения программ управления информационной безопасностью в учреждениях финансового сектора, а также мерилом для аудита таких программ. (См. также http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf Архивировано 2010-12-06 на Wayback Machine )
• ISO/IEC 21827:2008 – Информационные технологии – Методы обеспечения безопасности – Системная инженерия безопасности – Модель зрелости возможностей (SSE-CMM): ISO/IEC 21827:2008 определяет Системную инженерию безопасности – Модель зрелости возможностей (SSE-CMM), которая описывает основные характеристики процесса обеспечения безопасности организации, которые должны существовать для обеспечения хорошей инженерии безопасности. ISO/IEC 21827:2008 не предписывает конкретный процесс или последовательность, но фиксирует практику, обычно наблюдаемую в отрасли. Модель является стандартной метрикой для практики обеспечения безопасности.

БСИ

• BS 25999 -1:2006 – Управление непрерывностью бизнеса Часть 1: Свод правил Примечание: это только первая часть BS 25999, опубликованного в ноябре 2006 года. Вторая часть (которая должна содержать более конкретные критерии с целью возможной аккредитации) еще не опубликована. ссылка: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563 Архивировано 27.08.2009 в Wayback Machine . Тема: Стандарт, содержащий свод правил по обеспечению непрерывности бизнеса. Стандарт предназначен как свод правил по управлению непрерывностью бизнеса и будет расширен второй частью, которая должна разрешить аккредитацию для соблюдения стандарта. Учитывая его относительную новизну, потенциальное влияние стандарта трудно оценить, хотя он может оказать большое влияние на практику RM/RA, учитывая общее отсутствие универсально применимых стандартов в этом отношении и растущее внимание к непрерывности бизнеса и планированию на случай непредвиденных обстоятельств в нормативных инициативах. Применение этого стандарта может быть дополнено другими нормами, в частности PAS 77:2006 – Кодекс практики управления непрерывностью ИТ-услуг <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858>. ^{[ постоянная мертвая ссылка ]} ТР позволяет специалистам по безопасности определять подходящую методологию для оценки услуги безопасности, продукта или фактора окружающей среды (результат). Следуя этому ТР, можно определить, какому уровню обеспечения безопасности должен соответствовать результат, и действительно ли этот порог достигнут результатом.
• BS 7799 -3:2006 – Системы управления информационной безопасностью — Руководство по управлению рисками информационной безопасности ссылка: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 ^{[ постоянная неработающая ссылка ]} (Примечание: это ссылка на страницу BSI, где можно приобрести стандарт. Однако стандарт не является бесплатным, и его положения не являются общедоступными. По этой причине конкретные положения не могут быть процитированы). Тема: Стандарт, содержащий общие рекомендации по управлению рисками информационной безопасности. Область применения: Не общедоступный стандарт BSI, который может быть добровольно внедрен. Хотя он и не является юридически обязательным, текст содержит прямые рекомендации по созданию надежных методов обеспечения информационной безопасности. Стандарт в основном предназначен как руководящий дополнительный документ к применению вышеупомянутого стандарта ISO 27001:2005 и поэтому обычно применяется совместно с этим стандартом в практике оценки рисков.

Форум по информационной безопасности

• Стандарт надлежащей практики по информационной безопасности

Смотрите также

• Портал бизнеса и экономики

• Актив (компьютерная безопасность)
• Доступность
• БС 7799
• БС 25999
• Комитет по системам национальной безопасности
• Общие критерии
• Конфиденциальность
• Регулирование кибербезопасности
• Директива о защите данных
• Электрические сбои, вызванные белками
• Эксплойт (компьютерная безопасность)
• Факторный анализ информационного риска
• Федеральный закон об управлении информационной безопасностью 2002 г.
• Закон Грэма-Лича-Блайли
• Закон о переносимости и подотчетности медицинского страхования
• Информационная безопасность
• Форум по информационной безопасности
• Информационные технологии
• Честность
• Международные принципы конфиденциальности Safe Harbor
• ИСАКА
• ИСО
• Серия ISO/IEC 27000
• ИСО/МЭК 27001:2013
• ИСО/МЭК 27002
• Управление ИТ-рисками
• Долгосрочная поддержка
• Национальный центр обучения и образования по обеспечению информации
• Национальный институт стандартов и технологий
• Национальная безопасность
• OWASP
• Патриотический акт, Раздел III
• Конфиденциальность
• Риск
• Фактор риска (вычислительная техника)
• Риск ИТ
• Закон Сарбейнса-Оксли
• Угроза (компьютер)
• Уязвимость
• Модель Гордона–Лёба для инвестиций в кибербезопасность

Ссылки

1. "Что такое ИТ-риск? | nibusinessinfo.co.uk". www.nibusinessinfo.co.uk . Получено 2021-09-04 .
2. «Риск — это сочетание вероятности возникновения опасного события или воздействия(й) и тяжести травмы или ухудшения здоровья, которые могут быть вызваны событием или воздействием(ями)» (OHSAS 18001:2007)
3. "3 типа оценок кибербезопасности – Threat Sketch". Threat Sketch . 2016-05-16. Архивировано из оригинала 2018-11-07 . Получено 2017-10-07 .
4. "Типы оценки информационной безопасности". danielmiessler.com . Получено 2017-10-07 .
5. ISO/IEC, «Информационные технологии – Методы обеспечения безопасности – Управление рисками информационной безопасности» ISO/IEC FIDIS 27005:2008
6. Инструкция CNSS № 4009 Архивировано 27.02.2012 на Wayback Machine от 26 апреля 2010 г.
7. Национальный процесс сертификации и аккредитации по обеспечению информационной безопасности (NIACAP) Национального комитета по безопасности телекоммуникаций и информационных систем
8. "Глоссарий терминов" . Получено 23 мая 2016 г.
9. вики-проект, архив 2011-09-26 на Wayback Machine, посвященный FISMA
10. FISMApedia Термин риска
11. NIST SP 800-30 Руководство по управлению рисками для систем информационных технологий
12. Публикация FIPS 200 Минимальные требования безопасности для федеральной информации и информационных систем
13. FAIR: Факторный анализ информационных рисков Архивировано 18 ноября 2014 г. на Wayback Machine
14. ISACA THE RISK IT FRAMEWORK Архивировано 05.07.2010 на Wayback Machine ISBN 978-1-60420-111-6 (требуется регистрация) 
15. Технический стандарт таксономии рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г. 
16. Арнольд, Роб (2017). Кибербезопасность: бизнес-решение: взгляд руководителя на управление киберрисками. Threat Sketch, LLC. ISBN 9780692944158.
17. Арнольд, Роб (2017). Кибербезопасность: бизнес-решение. Threat Sketch, LLC. стр. 22. ISBN 978-0692944158.
18. "Глоссарий". Архивировано из оригинала 29 февраля 2012 года . Получено 23 мая 2016 года .
19. "Глоссарий". Архивировано из оригинала 29 февраля 2012 года . Получено 23 мая 2016 года .
20. "Глоссарий". Архивировано из оригинала 29 февраля 2012 года . Получено 23 мая 2016 года .
21. "Глоссарий". Архивировано из оригинала 29 февраля 2012 года . Получено 23 мая 2016 года .
22. "Методология оценки рисков OWASP" . Получено 23 мая 2016 г.
23. "ISACA THE RISK IT FRAMEWORK (требуется регистрация)" (PDF) . Архивировано из оригинала (PDF) 2010-07-05 . Получено 2010-12-14 .
24. Управление рисками Enisa, Инвентарь оценки рисков, стр. 46
25. ISACA (2006). Руководство по обзору CISA 2006. Ассоциация аудита и контроля информационных систем. стр. 85. ISBN 978-1-933284-15-6.
26. Келлер, Николь (2013-11-12). "Структура кибербезопасности". NIST . Получено 2017-10-07 .
27. Арнольд, Роб. "10-минутное руководство по структуре кибербезопасности NIST". Threat Sketch . Архивировано из оригинала 2021-04-14 . Получено 2018-02-14 .
28. Управление рисками / Оценка рисков в европейском регулировании, международных руководящих принципах и кодексах практики Архивировано 23 июля 2011 г. в Wayback Machine Проведено техническим департаментом ENISA Section Risk Management в сотрудничестве с: проф. Ж. Дюмортье и Гансом Граукс www.lawfort.be Июнь 2007 г.
29. "Оценка воздействия на конфиденциальность". Министерство внутренней безопасности . 2009-07-06 . Получено 2020-12-12 .
30. "Комиссия по ценным бумагам и биржам (SEC)" (PDF) . Комиссия по ценным бумагам и биржам (SEC) .
31. IAPP. «Эволюция стандарта «разумной безопасности» в контексте США».

Внешние ссылки

• Руководство по информационной безопасности Internet2: эффективные методы и решения для высшего образования. Архивировано 12 июня 2010 г. на Wayback Machine.
• Управление рисками – Принципы и инвентаризация для управления рисками / Методы и инструменты оценки рисков Архивировано 2010-11-13 на Wayback Machine , Дата публикации: 01 июня 2006 г. Авторы: Проведено Техническим департаментом ENISA, Раздел управления рисками
• Clusif Club de la Sécurité de l'Information Français
• 800-30 Руководство NIST по управлению рисками
• ПРОЕКТ 800-39 NIST Управление рисками в информационных системах: организационная перспектива
• Публикация FIPS 199, Стандарты категоризации безопасности федеральной информации и информации
• Публикация FIPS 200 Минимальные требования безопасности для федеральной информации и информационных систем
• 800-37 Руководство NIST по применению структуры управления рисками к федеральным информационным системам: подход к жизненному циклу безопасности
• FISMApedia — это сборник документов и обсуждений, посвященных федеральной ИТ-безопасности США.
• Стандарт анализа риска «Обязанность проявлять заботу» (DoCRA)