ISO/IEC 27032-2012 Руководство по кибербезопасности. Часть 2

7. Стейкхолдеры в Киберпространстве

7.1. Общие сведения

Киберпространство не принадлежит никому; каждый может найти в нем свое место и иметь в нем свою долю.

Согласно настоящему Стандарту, все стейкхолдеры в Киберпространстве делятся на две группы:

  • потребители: физические лица и юридические лица (государственные и частные организации);
  • провайдеры Интернет-сервисов, прикладных услуг Интернет и прочие.

7.2. Потребители

К потребителям относятся отдельные физические и юридические лица (в т.ч. частные предприятия, государственные и общественные организации). Частные предприятия могут быть как малыми, так и средними или крупными. Под государственными организациями подразумеваются органы власти и управления, а также учреждения, которые содержатся за счет средств государственного или местных бюджетов. Физическое лицо, частное предприятие, государственная или общественная организация обретают качества потребителя тогда, когда получают доступ к Киберпространству или пользуются любыми услугами, доступными в нем.

Если, в свою очередь, потребитель предоставляет какие-либо услуги в Киберпространстве другим пользователям или обеспечивает их доступом в Киберпространство, то по отношению к этим пользователям и в этом качестве он является провайдером.

7.3. Провайдеры

К этой категории относятся провайдеры доступа в Киберпространство, а также поставщики прикладных сервисов Киберпространства и услуг виртуального мира.

Провайдеры прикладных сервисов предоставляют потребителям услуги на основе специализированного программного обеспечения. В качестве примеров прикладных сервисов можно назвать:

  • редактирование, хранение, распространение документов;
  • предоставление доступа к виртуальным сообществам для общения, развлечений и прочего взаимодействия с другими пользователями;
  • обращение с онлайновыми репозитариям, обеспечивающим возможность поиска, просмотра, каталогизации, индексирования, комплектования и покупки товаров;
  • управление ресурсами предприятия: кадровыми, финансовыми, документационными, логистики, связи с клиентами.

В целом функции провайдеров можно разделить на две группы: транспорт (крупный опт) и распределение (мелкий опт и розница). Это разделение важно не только с точки зрения безопасности, но и с позиций возможных правовых разбирательств, а именно: в случае неспособности дистрибьютора обеспечить законное право доступа и должный уровень безопасности, потребитель может обратиться к оптовому поставщику. Понимание функций поставщика услуг - важная часть менеджмента рисков в Киберпространстве.

8. Активы в Киберпространстве

8.1. Общие сведения

Актив представляет собой некую сущность, представляющую ценность для человека или организации. Существуют различные виды активов, например:

  • информация;
  • компьютерное программное обеспечение;
  • физические объект и предметы;
  • услуги;
  • люди, их квалификации, навыки, и опыт;
  • права и нематериальные активы, такие как репутация (имидж).

ПРИМЕЧАНИЕ 1. Иногда в качестве активов отмечают либо только информацию, либо ресурсы.

ПРИМЕЧАНИЕ 2. Стандарт ISO/IEC 15408-1:2005 определяет активы как информацию или ресурсы, защищаемые соответствующими мерами, ассоциированными с данными активами.

ПРИМЕЧАНИЕ 3. Известен стандарт ISO/IEC 19770-1, который сосредотачивает свое внимание на процессах эффективного обращения с программным обеспечением (Software Asset Management - SAM).

ПРИМЕЧАНИЕ 4. Существует стандарт менеджмента ИТ-сервисов ISO/IEC 20000-1, который призван продвигать интегрированный процессный подход в сферу предоставления ИТ-услуг.

В целях настоящего Стандарта, активы в Киберпространстве разделены на следующие два класса:

  • личные активы;
  • активы организации.

Далее активы обоих классов могут быть разделены на две группы:

  • физические активы, которые существуют в реальном мире в материальной форме;
  • виртуальные активы, которые существуют только в Киберпространстве и не обнаруживаются в реальном мире.

8.2. Персональные активы

К  ключевым виртуальным активам отдельной персоны следует относить ее онлайновый имидж и ее онлайновую кредитную историю. Онлайновый имидж является активом, так как он наиболее ярко отображает личность в Киберпространстве.

Еще одним важным виртуальным активом является собственный вымышленный образ пользователя (аватар), - его собственное олицетворение, используемое для презентации и/или идентификации своей личности как таковой и обеспечения определенного социально-психологического фона своей активности под маской своего аватара.

Следующим виртуальным активом может выступать виртуальная валюта, используемая для проведения виртуальных сделок. И  аватар, и виртуальную валюту следует рассматривать как активы, принадлежащие конкретному индивидууму.

ПРИМЕЧАНИЕ. Некоторые реальные банки работают в виртуальных мирах и признают виртуальные валюты наравне с официальными валютами.

В  контексте настоящего Стандарта программное обеспечение и аппаратные средства, такие как персональные цифровые устройства или оконечное оборудование, обеспечивающие доступ конечного потребителя в Киберпространство и функционирование в нем, также рассматриваются в качестве личных активов.

8.3. Активы организации

Основой Киберпространства является инфраструктура, представляющая собой совокупность взаимосвязанных сетей, серверов и приложений. Очевидно, что надежность и доступность инфраструктуры крайне важна для гарантированного доступа конечных потребителей к службам и приложениям Киберпространства.

Очевидно и то, что если инфраструктуру Киберпространства рассматривать только лишь как физический актив, то обеспечение ее безопасности будет пересекаться с вопросами, относящимися, например, к доменам защиты ключевых информационных систем объектов критической инфраструктуры, безопасности сетей или Интернет-безопасности.

Настоящий Стандарт концентрируется на рассмотрении только тех вопросов безопасности активов организации, которые не относятся к другим доменам безопасности, поскольку роль виртуальных активов организации, например таких, как ее онлайновый бренд и представительство в Киберпространстве, является не менее важной, чем ее физических активов, а функции виртуальных активов постоянно расширяются.

ПРИМЕР 1. Доменное имя организации и ее веб-сайт являются активами.

ПРИМЕР 2. Правительства разных стран и международные организации создают и поддерживают в Киберпространстве свои представительства, являющиеся их активами.

Другими примерами активов являются объекты интеллектуальной собственности (формулы, патенты, патентованные процессы, результаты исследований), бизнес-планы и стратегии (в контексте, например, запуска продукции в обращение, маркетинговой тактики, информации о конкурентах, финансовой отчетности и других важных сведений), которые могут быть подвержены в Киберпространстве определенным угрозам.

9. Угрозы безопасности Киберпространства

9.1. Угрозы

9.1.1. Общие сведения

Угрозы, существующие в Киберпространстве, имеют смысл лишь в контексте их привязки к активам. В связи с этим угрозы в Киберпространстве могут быть разделены на два основных класса:

  • угрозы персональным активам:
  • угрозы активам организации;

9.1.2. Угрозы персональным активам активам

Угрозы персональным активам рассматриваются, главным образом, в плане нарушения их неприкосновенности, приватности связаны с утечкой или раскрытием персональных данных.

ПРИМЕР 1. Черный рынок может стимулировать хищение и перепродажу персональных данных, в частности, сведений о кредитоспособности.

Личность, скомпрометированная в Киберпространстве, может быть ограничена в доступе к необходимым ей онлайновым службам и приложениям. В более тяжелых сценариях персона может оказаться жертвой преследований или финансовых санкций на уровне закона.

Возможность несанкционированного доступа к персональным данным финансового характера может выступать предпосылкой мошенничества или хищения личных средств.

Особый класс угроз связан с несанкционированным использованием оборудования конечных пользователей. Персональные устройства конечных пользователей могут быть скомпрометированы и включены в большие бот-сети в качестве их составляющих частей.

Персональные виртуальные активы в виртуальных мирах или в онлайновых играх также подвержены угрозе непосредственных атак и риску несанкционированного использования.

ПРИМЕР 2. Виртуальными активами, которые могут быть целями атак, выступают, например, операции с виртуальной валютой, а также аватары, прослеживаемые в реальный мир...

Чтобы прочитать стандарт полностью, напишите автору

Руководство по кибербезопасности (ISO/IEС 27032-2012). Часть 3

Книги | Автор | Статьи | Фильмы | Фото | Отзывы | Контакт | Студентам | Ветеранам | Творчество | Учебники | Астрология