Iso!!!

Ризики інформаційної безпеки і потенційні області застосування засобів керування Як було відображено раніше, більшість організацій в даний час залежить від використання мереж і пов’язаних з ними інформаційних систем і інформації для підтримки функціонування своєї бізнес-діяльності. Крім того, у багатьох випадках існують чітко виражені бізнес-вимоги відносно використання мереж між інформаційними системами на кожній площадці організації, а також в інших місцях як усередині організації, так і за її межами, включаючи з'єднання з загальнодоступною мережею. При встановленні з'єднання з іншою мережею варто виявляти значну обережність для забезпечення того, щоб організація не піддавалася додатковим ризикам (унаслідок потенційних загроз, що використовують уразливості). Ці ризики можуть виходити, наприклад, від самого з'єднання або від абонента на іншому кінці мережі. Деякі з цих ризиків можуть бути пов’язані з забезпеченням дотримання відповідного законодавства і розпоряджень. (Особливу увагу варто приділяти законам про недоторканність приватного життя і захист даних. У деяких країнах прийняті закони, що регулюють керування збором, обробкою і передачею персональних даних, тобто даних, що можуть бути пов’язані з конкретною особою або особами. У залежності від відповідного національного законодавства такі засоби керування можуть накладати певні обов'язки на осіб, що збирають, обробляють і поширюють персональну інформацію через мережі, і навіть можуть обмежувати можливість передачі цих даних у певні країни, приводячи до додаткових серйозних проблем, пов’язаним з безпекою. Менш наочними прикладами даних, що можуть стати об'єктом такого законодавства, є деякі відомості про окремі категорії апаратних засобів і ІР-адреси.) Таким чином, ризики, з якими зіштовхується організація, можуть бути пов’язані з проблемами несанкціонованого доступу до інформації, несанкціонованої передачі інформації, внесення шкідливої програми, відмовлення від факту прийому або джерела інформації, відмовлення в обслуговуванні і неприступності інформації або сервісу. Зазначені загрози можуть бути пов’язані зі втратою: - конфіденційності інформації і коду (у мережах і системах, з'єднаних з мережами): - цілісності інформації і коду (у мережах і системах, з'єднаних з мережами); - приступності інформації і мережевих сервісів (і систем, з'єднаних з мережами); - безвідмовності мережевих транзакцій (зобов'язань); - підзвітності мережевих транзакцій; - автентичності інформації (а також автентичності мережевих користувачів і адміністраторів); - надійності інформації і коду (у мережах і системах, з'єднаних з мережами), - здатності контролювати несанкціоноване використання й експлуатацію мережевих ресурсів, включаючи здійснення контролю в контексті політики безпеки організації (наприклад, продаж смуги або пропущення використання смуги пропущення для власної вигоди) і виконання зобов'язань у відношенні законодавства і розпоряджень (наприклад, у відношенні збереження дитячої порнографії); - здатності контролювати зловживання санкціонованим доступом.