Текст книги "Информационная безопасность. Национальные стандарты Российской Федерации"

Глава 2
Национальные стандарты по менеджменту информационной безопасности

План, что и говорить, был превосходный: простой и ясный, лучше не придумать. Недостаток у него был только один: было совершенно неизвестно, как привести его в исполнение.

Льюис Кэрролл. Алиса в Стране чудес

2.1. Перечень стандартов

В систему стандартов в области менеджмента информационной безопасности входят следующие:

1. ГОСТ Р ИСО/МЭК 27000–2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

2. ГОСТ Р ИСО/МЭК 27001–2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

3. ГОСТ Р ИСО/МЭК 27002–2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».

4. ГОСТ Р ИСО/МЭК 27003–2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности».

5. ГОСТ Р ИСО/МЭК 27004–2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения».

6. ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».

7. ГОСТ Р ИСО/МЭК 27006–2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности».

8. ГОСТ Р ИСО/МЭК 27007–2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности».

9. ГОСТ Р ИСО/МЭК 27011–2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002».

10. ГОСТ Р ИСО/МЭК 27013–2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1».

11. ГОСТ Р ИСО/МЭК 27031–2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса».

12. ГОСТ Р ИСО/МЭК 27034-1–2014 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия».

13. ГОСТ Р ИСО/МЭК 27037–2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме».

14. ГОСТ Р ИСО 27799–2015 «Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002».

15. ГОСТ Р ИСО/МЭК 13335-1–2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».

16. ГОСТ Р ИСО/МЭК ТО 13335-5–2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети».

17. ГОСТ Р 56045–2014 «Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью».

18. ГОСТ Р 56939–2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

19. ГОСТ Р 57640–2017 «Информационные технологии. Эталонная модель процесса (ЭМП) для управления информационной безопасностью».

20. ГОСТ Р ИСО/МЭК ТО 18044–2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».

21. ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство».

22. ГОСТ Р ИСО/МЭК 31010–2011 «Менеджмент риска. Методы оценки риска».

23. ГОСТ Р 29100–2013 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Основы обеспечения приватности».

24. ГОСТ Р ИСО/МЭК 38500–2017 «Информационные технологии (ИТ). Стратегическое управление ИТ в организации».

2.2. Национальный стандарт по менеджменту инцидентов ИБ ГОСТ Р ИСО/МЭК ТО 18044–2007

Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК ТО 18044–2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» введен в действие с 01.07.2008 г. Он идентичен международному стандарту ISO/IEC TR 18044:2004 «Information technology – Security techniques – Information security incident management».

В стандарте содержатся рекомендации по менеджменту инцидентов информационной безопасности в организациях для руководителей подразделений по обеспечению ИБ при применении информационных технологий, информационных систем, сервисов и сетей.

Его положения могут использоваться совместно с другими стандартами, в том числе стандартами, содержащими требования к системе менеджмента ИБ организации, которые будут рассмотрены далее.

Предпринимаемые защитные меры ИБ не могут полностью гарантировать защиту информации, информационных систем, сервисов или сетей. После внедрения защитных мер останутся (или возникнут со временем) слабые места, которые могут сделать обеспечение информационной безопасности неэффективным и, следовательно, возможными инциденты ИБ.

Под инцидентом информационной безопасности в стандарте понимается появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.

Событие информационной безопасности в стандарте трактуется как «идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности».

Инциденты ИБ могут быть преднамеренными или случайными и вызваны как техническими, так и нетехническими средствами. Их последствиями могут быть такие события, как несанкционированные раскрытие или изменение информации, ее уничтожение или другие события, которые делают ее недоступной, а также нанесение ущерба активам организации или их хищение.

В качестве примера в стандарте приведены следующие инциденты:

1. Отказ в обслуживании.

2. Сбор информации (предполагает проведение разведки с целью определения потенциальных уязвимостей, потенциальных целей атаки и получения представления о сервисах).

3. Несанкционированный доступ (к информации, сервисам, сети).

В качестве основы общей стратегии ИБ организации стандарт рекомендует использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:

• события ИБ должны быть обнаружены и эффективно обработаны;

• идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;

• воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами;

• из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения защитных мер ИБ и системы менеджмента инцидентов ИБ.

Менеджмент инцидентов ИБ подразделяют на четыре отдельных этапа:

1) планирование и подготовка;

2) использование;

3) анализ;

4) улучшение.

Первый этап предполагает, в частности, создание в организации соответствующего структурного подразделения менеджмента инцидентов ИБ – группы реагирования на инциденты ИБ (ГРИИБ).

Целью создания ГРИИБ является обеспечение организации соответствующим персоналом для оценки инцидентов ИБ, реагирования на них и извлечения уроков из них. Состав и количество персонала, а также структура ГРИИБ должны соответствовать масштабу и структуре организации. Уровень полномочий руководителя и членов ГРИИБ должен позволять предпринимать необходимые действия, адекватные инциденту ИБ. Руководитель ГРИИБ должен иметь делегированные полномочия немедленного принятия решения о том, какие меры предпринять относительно инцидента.

Необходимо установить отношения между ГРИИБ и соответствующими сторонними лицами и организациями, которые могут быть привлечены для анализа инцидентов и ликвидации их последствий.

Блок-схема последовательности операций обработки событий и инцидентов информационной безопасности (на этапе «Использование»), как она представлена в стандарте, изображена на рис. 2.1.

На этапе «Использование» ключевыми процессами являются:

• обнаружение события ИБ и оповещение о нем одним из сотрудников организации или автоматически;

• сбор информации о событии ИБ и проведение первичной оценки персоналом группы обеспечения эксплуатации организации с целью определения, является ли событие инцидентом ИБ или ложным сигналом тревоги;

Рис. 2.1. Блок-схема обработки инцидентов

• проведение второй оценки ГРИИБ с целью подтвердить, что событие является инцидентом ИБ, и, в положительном случае, инициировать немедленное реагирование, а также необходимость правовой экспертизы и действий по передаче информации;

• анализ, проводимый ГРИИБ с целью определить, находится ли инцидент под контролем. В положительном случае инициируется дальнейшее необходимое реагирование и обеспечивается готовность всей информации для использования в процессе анализа последствий инцидента. При отрицательном ответе инициируются антикризисные действия с привлечением соответствующего персонала.

Во многих случаях, когда ГРИИБ подтвердила реальность инцидента ИБ, возникает необходимость информирования конкретных лиц как внутри организации, так и за ее пределами, включая прессу. Информация, подлежащая распространению среди общественности, должна быть проанализирована соответствующими лицами, например высшим руководством, координаторами по связям с общественностью и персоналом ИБ.

После разрешения инцидента необходимо изучить извлеченные из него уроки, определить необходимые улучшения в систему защиты, а также определить улучшения для СМИБ (этап «Анализ»).

Этап «Улучшение» включает в себя внедрение рекомендаций, сформированных на этапе «Анализ», и подразумевает улучшение системы менеджмента инцидентов ИБ, а также инициирование улучшений в области безопасности, включая внедрение новых и/или обновленных защитных мер.

Для принятия структурного подхода к менеджменту инцидентов ИБ жизненно необходима постоянная поддержка со стороны руководства. Персонал организации должен распознавать инциденты ИБ и знать свои действия при их возникновении.

В системе менеджмента инцидентов ИБ может содержаться конфиденциальная информация, и лицам, занимающимся инцидентами, может потребоваться доступ к ней. Поэтому во время обработки необходимо обеспечивать анонимность этой информации, или персонал должен подписать соглашение о конфиденциальности (неразглашении) при получении доступа к ней.

2.3. Национальный стандарт по менеджменту безопасности информационных и телекоммуникационных технологий ГОСТ Р ИСО/МЭК 13335-1–2006

Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 13335-1–2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» введен в действие с 01.06.2007 г. Он идентичен международному стандарту ISO/IEC 13335-1:2004 «Information technology – Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communications technology security management».

Стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Стандарт вводит несколько терминов в своей предметной области.

Безопасность информационно-телекоммуникационных технологий – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий.

Информационная безопасность – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

Конфиденциальность – свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.

ПРИМЕЧАНИЕ

В утратившем силу Федеральном законе 24-ФЗ был введен термин конфиденциальная информация – «документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» исключил термин «конфиденциальная информация», а ввел термин «конфиденциальность информации» как «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».

Конфиденциальность в переводе с латинского означает «доверие» (то есть, передавая такую информацию, мы надеемся на ее сохранность и нераспространение). Таким образом, в законе 149–ФЗ «конфиденциальность» определяется как требование к лицу, а в стандарте как свойство информации.

Неотказуемость – способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.

Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами ИБ согласно стандарту являются:

• утрата услуг, оборудования или устройств;

• системные сбои или перегрузки;

• ошибки пользователей;

• несоблюдение политик или рекомендаций;

• нарушение физических мер защиты;

• неконтролируемые изменения систем;

• сбои программного обеспечения и отказы технических средств;

• нарушение правил доступа.

Риск – потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов. Риск определяется как сочетание вероятности события и его последствий.

Остаточный риск – риск, остающийся после его обработки.

Обработка риска – процесс выбора и осуществления мер по модификации риска.

Оценка риска – процесс, объединяющий идентификацию риска, анализ риска и оценивание риска.

Менеджмент риска – полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий.

Угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации.

Уязвимость – слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.

Для создания эффективной программы безопасности ИТТ фундаментальными являются следующие принципы безопасности:

• менеджмент риска – активы должны быть защищены путем принятия соответствующих мер;

• обязательства – важны обязательства организации в области безопасности ИТТ и в управлении рисками;

• служебные обязанности и ответственность – руководство организации несет ответственность за обеспечение безопасности активов;

• цели, стратегии и политика – управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации;

• управление жизненным циклом – управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.

Основными компонентами безопасности согласно стандарту являются: активы, угрозы, уязвимости, воздействие, риск, защитные меры, ограничения.

Защитная мера – сложившаяся практика, процедура или механизм обработки риска.

Воздействие – результат нежелательного инцидента ИБ.

Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

В соответствии со стандартом инцидентами информационной безопасности являются:

• утрата услуг, оборудования или устройств;

• системные сбои или перегрузки;

• ошибки пользователей;

• несоблюдение политик или рекомендаций;

• нарушение физических мер защиты;

• неконтролируемые изменения систем;

• сбои программного обеспечения и отказы технических средств;

• нарушение правил доступа.

Активы – все, что имеет ценность для организации.

Активы включают в себя:

• материальные активы;

• информацию (например, документы, базы данных);

• программное обеспечение;

• способность производить продукт или предоставлять услугу;

• людей;

• нематериальные ресурсы (престиж фирмы, репутацию и т. п.).

Все активы должны быть идентифицированы и оценены.

Активы могут быть подвержены многим видам угроз. Все угрозы должны быть идентифицированы, а их уровень и вероятность возникновения должны быть оценены.

Угрозы могут быть естественного происхождения или связаны с человеческим фактором, которые в свою очередь могут быть случайными или целенаправленными.

Характеристики угроз:

• источник (внутренний или внешний);

• мотивация, например финансовая выгода;

• частота возникновения;

• правдоподобие;

• вредоносное воздействие.

При оценке уровень угрозы в зависимости от результата ее воздействия может быть определен как высокий, средний или низкий.

Уязвимость сама по себе не причиняет ущерб, но она является условием или набором условий, позволяющим угрозе воздействовать на активы. Уязвимость необходимо оценивать индивидуально и в совокупности, чтобы рассмотреть сложившуюся ситуацию в целом. Оценка уязвимостей – это проверка слабостей, которые могут быть использованы существующими угрозами. Эта оценка должна учитывать окружающую среду и существующие защитные меры. При оценке уровень уязвимости может быть определен как высокий, средний или низкий.

Воздействие – это результат инцидента ИБ, вызванного угрозой и нанесшего ущерб ее активу. Контроль за воздействием позволяет достичь равновесия между предполагаемыми последствиями инцидента и стоимостью защитных мер. Количественное и качественное измерение воздействия могут быть проведены:

• определением финансовых потерь;

• использованием эмпирической шкалы серьезности воздействия, например от 1 до 10;

• использованием заранее оговоренных уровней (высокий, средний и низкий).

Риск – это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации. Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием. Риск никогда не устраняется полностью. Принятие остаточного риска является частью заключения о соответствии уровня безопасности потребностям организации.

Защитные меры – это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов. Защитные меры могут выполнять одну или несколько из следующих функций: предотвращение, сдерживание, обнаружение, ограничение, исправление, восстановление, мониторинг, осведомление. Области использования защитных мер включают в себя физическую среду, техническую среду (аппаратно-программное обеспечение и средства связи), персонал, администрирование.

Ограничения устанавливает или признает руководство организации, а также определяет среда, в которой действует организация. Ограничения могут включать в себя: организационные, коммерческие, финансовые, по окружающей среде, по персоналу, временные, правовые, технические, социальные. Ограничения могут со временем изменяться, поэтому необходимо периодически пересматривать существующие и учитывать новые.

Для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:

 менеджмент риска – активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;

 обязательства – важны обязательства организации в области безопасности ИТТ и в управлении рисками;

 служебные обязанности и ответственность – руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала;

 цели, стратегии и политика – управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации;

 управление жизненным циклом – управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.

На рис. 2.2 представлена модель, которая отображает взаимосвязь компонентов безопасности:

• окружающую среду, содержащую ограничения и угрозы, которые постоянно меняются и известны лишь частично;

• активы организации;

• уязвимости, присущие данным активам;

• меры для защиты активов;

• приемлемые для организации остаточные риски.

В модели используются следующие обозначения: R – риск; RR – остаточный риск; S – защитная мера; T – угроза; V – уязвимость актива.

Модель отражает пять возможных сценариев.

Сценарий 1 – защитная мера может быть эффективна для снижения рисков, связанных с угрозой, способной использовать уязвимость актива.

Рис. 2.2. Взаимосвязь компонентов безопасности

Сценарий 2 – защитная мера может быть эффективной для снижения риска, связанного с угрозой, использующей группу уязвимостей актива.

Сценарий 3 – группа защитных мер может быть эффективной для снижения рисков, связанных с группой угроз, использующих уязвимость актива.

Сценарий 4 – риск считают приемлемым, и никакие меры не реализуются даже в присутствии угроз и при наличии уязвимостей актива.

Сценарий 5 – существует уязвимость актива, но неизвестны угрозы, которые могли бы ее использовать. В качестве защитной меры может быть использован мониторинг угроз для того, чтобы убедиться, что угрозы, способные использовать уязвимость актива, не появились.

В качестве основы безопасности ИТТ организации в виде руководящих документов различного уровня должны быть сформулированы цели (чего необходимо достичь), стратегии (способы достижения цели), политика (правила, которые следует соблюдать при реализации стратегий) и процедуры (методы осуществления политики).

Они определяют уровень безопасности для организации и порог приемлемого риска. Иерархия документации должна поддерживаться и актуализироваться по результатам периодического анализа безопасности (например, по результатам оценки рисков, внешнего и внутреннего аудита безопасности) и в связи с изменениями целей деятельности организации.

Тщательное определение приемлемых рисков и, следовательно, соответствующего уровня безопасности – это ключ к успешному управлению безопасностью. Чтобы оценить, в какой мере бизнес организации зависит от ИТТ, и установить задачи безопасности ИТТ, необходимо рассмотреть следующие вопросы:

• какие составляющие бизнеса не могут осуществляться без ИТТ;

• какие задачи могут быть решены только при помощи ИТТ;

• какие важные решения зависят от конфиденциальности, целостности, доступности, неотказуемости, подотчетности и аутентичности информации, хранимой или обрабатываемой ИТТ;

• какая хранимая или обрабатываемая информация должна защищаться;

• каковы для организации последствия инцидента безопасности.

Политика безопасности ИТТ должна формироваться исходя из согласованных целей и стратегий безопасности ИТТ организации, соответствовать законодательству и требованиям регулирующих органов.

Политика безопасности ИТТ должна распространяться на:

• предмет и задачи безопасности;

• цели безопасности;

• требования безопасности ИТТ к обеспечению конфиденциальности, целостности, доступности информации и средств ее обработки;

• ссылки на стандарты;

• администрирование ИБ, охватывающее организационные и индивидуальные ответственности и полномочия;

• уровень безопасности и остаточный риск, определяемый руководством организации;

• общие правила контроля доступа;

• процедуры проверки и поддержания безопасности.

Стандарт определяет организационные меры обеспечения безопасности ИТТ. Руководство должно отвечать за все аспекты управления безопасностью, включая принятие решений по управлению рисками. В организации должны присутствовать следующие структурные единицы: совет по безопасности ИТТ, администратор безопасности ИТТ. Они должны иметь строго определенные и четко сформулированные обязанности и достаточные полномочия для обеспечения выполнения политики безопасности ИТТ.

В совет по безопасности ИТТ должны входить люди, обладающие достаточной квалификацией, чтобы давать консультации и рекомендации в отношении стратегий, определять требования, формулировать политику, разрабатывать программу безопасности, проверять их выполнение и руководить администратором безопасности ИТТ.

Администратор безопасности ИТТ должен играть роль центра для всех направлений безопасности ИТТ в рамках организации. В обязанности администратора безопасности ИТТ входит:

• наблюдение за реализацией программы безопасности ИТТ;

• координация расследования инцидентов;

• установление целей и критериев безопасности ИТТ;

• анализ, аудит и мониторинг эффективности контроля безопасности.

В крупных организациях может существовать сеть администраторов для подразделений, департаментов и т. д.

Обязательства руководства организации в отношении задач безопасности включают в себя:

• понимание общих потребностей организации;

• понимание потребности в безопасности ИТТ в рамках организации;

• демонстрацию обязательств в отношении безопасности ИТТ;

• необходимость выделения ресурсов для безопасности ИТТ;

• осведомленность о том, что является средствами безопасности ИТТ и в чем она заключается.

Безопасность должна быть обеспечена на протяжении всего жизненного цикла информации и ИТТ – от планирования до приобретения, тестирования и эксплуатации.

При управлении функциональной деятельностью в области безопасности необходимо учитывать внешнюю среду, в которой действует организация, поскольку она может оказывать значительное влияние на общий подход к организации информационной безопасности.