ПОЗНАВАТЕЛЬНОЕ

Оси и плоскости тела человека - Тело человека состоит из определенных топографических частей и участков, в которых расположены органы, мышцы, сосуды, нервы и т.д.

Отёска стен и прирубка косяков - Когда на доме не достаёт окон и дверей, красивое высокое крыльцо ещё только в воображении, приходится подниматься с улицы в дом по трапу.

Дифференциальные уравнения второго порядка (модель рынка с прогнозируемыми ценами) - В простых моделях рынка спрос и предложение обычно полагают зависящими только от текущей цены на товар.

Розподіл обов’язків, пов’язаних з інформаційною безпекою

1 23

Необхідно чітко визначити відповідальність за захист окремих ресурсів, за виконання конкретних процедур, пов’язаних з безпекою. Політика інформаційної безпеки повинна містити загальні правила з розподілу посад й обов’язків, пов’язаних з інформаційною безпекою. Якщо буде потреба цю політику потрібно доповнити більш докладними правилами для конкретних відділів, систем або сервисів. Варто чітко визначити локальну відповідальність за окремі фізичні й інформаційні ресурси й процеси, пов’язані з безпекою, наприклад, планування безперервності бізнесу, у багатьох організаціях призначається керівник підрозділу інформаційної безпеки, що приймає загальну відповідальність за розробку й впровадження засобів безпеки й за управління вибором цих засобів. Однак обов’язки за набір персоналу й реалізацію конкретних засобів найчастіше зберігаються за іншими співробітниками. Розповсюдженим методом є призначення власника кожного інформаційного ресурсу. Такий власник відповідає за щоденне забезпечення безпеки свого ресурсу. Власники інформаційних ресурсів можуть передавати свої обов’язки, пов’язані з безпекою, окремим співробітникам або постачальникам послуг. Незважаючи на це, власник несе повну відповідальність за безпеку ресурсу. Він повинен мати можливість контролювати коректність звільнення інших співробітників від переданих їм обов’язків, пов’язаних з безпекою. Варто чітко визначити коло обов’язків кожного керівника. Зокрема необхідно дотримувати перераховані нижче правила:

a. повинні бути чітко визначені ресурси й процеси, пов’язані з безпекою кожної окремо взятої системи;

b. повинні бути визначені керівники, відповідальні за кожен ресурс або процес, пов’язаний з безпекою. Обов’язки кожного керівника повинні бути докладно сформульовані у відповідному документі;

c. необхідно чітко визначити й документувати рівні авторизації.

Потрібно розробити процес, відповідно до якого введення нових засобів обробки інформації буде затверджуватися керівництвом. Необхідно брати до увагу таке:

a. нові засоби повинні пройти відповідне затвердження керівництва для однозначного визначення їхнього призначення і способу застосування. Крім того, керівник, відповідальний за підтримку безпеки локальної інформаційної системи, повинен схвалити ці засоби й підтвердити дотримання всіх необхідних умов і вимог політики безпеки;

b. за необхідності устаткування й програмне забезпечення варто перевірити на сумісність із іншими компонентами системи;

c. примітка: для певних підключень може знадобитися узгодження типових зразків;

d. застосування особистих засобів обробки інформації для роботи з інформацією організації й застосування всіх необхідних засобів управління інформаційною безпекою повинне бути санкціоноване;

e. застосування особистих засобів обробки інформації на робочому місці може привести до появи нових вразливих місць, тому в цьому випадку потрібна їхня окрема перевірка й затвердження. Ці міркування мають особливу важливість при роботі в сітковому середовищі.

Консультації фахівців з інформаційної безпеки як правило, консультації фахівців з безпеки потрібні більшості організацій. В ідеалі варто запросити досвідченого консультанта з інформаційної безпеки на постійну роботу. Однак не кожна організація має можливість включити у свій штат професійного консультанта. У подібних випадках рекомендується призначити співробітника, що буде координувати й узгоджувати дії, пов’язані з питаннями безпеки в організації, і допомагати при прийнятті рішень у галузі безпеки. Такі співробітники повинні мати можливість звертатися до сторонніх консультантів для одержання порад з питань, що виходять за рамки їхньої компетенції. В обов’язки консультантів з інформаційної безпеки повинні входити консультації з усіх аспектів інформаційної безпеки – як на основі власного досвіду, так і із залученням фахівців зі сторони. Ефективність засобів інформаційної безпеки в організації буде визначатися здатністю такого консультанта оцінити загрози для безпеки й запропонувати рекомендації із приводу необхідних заходів. Щоб забезпечити максимальну ефективність, консультанти повинні мати можливість прямо звертатися до всіх керівників в організації. До консультанта з інформаційної безпеки варто звертатися якомога раніше у випадку виявлення вразливих місць або виникнення інцидентів, пов’язаних з безпекою, щоб одержати пораду від фахівця або допомогу при вивченні обставин. Хоча в більшості випадків внутрішні розслідування, пов’язані з безпекою, проводяться представниками керівництва, до них можна залучити й фахівця з інформаційної безпеки, що буде консультувати провідне розслідування співробітників, керувати ними або здійснювати саме розслідування.

Необхідно підтримувати зв’язок із правоохоронними й регулятивними органами, постачальниками інформаційних послуг та операторами телекомунікаційних служб, щоб у випадку інцидентів мати можливість швидко вжити відповідних заходів й одержати консультації. З тієї ж причини варто подумати про участь у групах забезпечення безпеки і у галузевих промислових радах. Обмін відомостями про заходи безпеки варто обмежити, щоб не допустити витоку конфіденційної інформації з організації.

У документі, що описує політику інформаційної безпеки, визначається політика й відповідальність за інформаційну безпеку. Реалізація політики інформаційної безпеки повинна бути оцінена незалежними фахівцями. Вони повинні перевірити, наскільки введені в організації заходи відбивають вимоги політики й наскільки вони практичні й ефективні. Така оцінка може бути зроблена внутрішніми аудиторами, незалежним фахівцем або сторонньою організацією, що спеціалізується на таких перевірках. Слід переконатися, що кандидати на цю роль мають необхідні навички та досвід.

Метою безпеки доступу з боку зовнішніх користувачів є забезпечити безпеку доступу до засобів обробки інформації й інформаційних ресурсів організації з боку зовнішніх користувачів. Доступ сторонніх до приналежної організації засобам обробки інформації необхідно контролювати. Якщо необхідність такого доступу диктується специфікою завдання, варто провести оцінку ризиків і визначити вплив на безпеку й необхідні засоби контролю. Засоби контролю варто погодити зі сторонньою організацією та вказати в договорі. Доступ до інформаційних ресурсів організації можуть одержувати й інші сторонні учасники. Контракти, що припускають доступ з боку, повинні містити в собі відомості про можливості призначення інших учасників й умовах їхнього доступу. Ций стандарт можна використати як основу для подібних контрактів; крім того, його можна використати при оцінці необхідності залучення інших організацій до обробки інформації.

Тип доступу, який надається сторонньою організацією, має особливу важливість. Наприклад, ризики при доступі через сіткове з’єднання відрізняються відбитком при фізичному доступі.

Варто розглянути такі типи доступу:

a. фізичний доступ – наприклад, доступ до приміщень, комп’ютерних залів, шафів з документацією;

b. логічний доступ – наприклад, доступ до баз даних й інформаційних систем організації.

Доступ стороннім організаціям може надаватися з різних причинах. Наприклад, існують групи, які не перебувають на території організації, однак мають фізичний і логічний доступ до ресурсів організації для виконання певних обов’язків, наприклад:

a. групи підтримки устаткування й програмного забезпечення, яким необхідний доступ до систем і прикладних програм на низькому рівні;

b. комерційні партнери та спільні підприємства, які можуть обмінюватися інформацією, працювати з інформаційними системами або спільно використати бази даних. доступ зі сторонніх організацій з недостатньо високим рівнем інформаційної безпеки може становити загрозу для безпеки інформації. При виникненні необхідності підключення до сторонньої організації варто провести оцінку ризиків і визначити, які заходи безпеки варто ввести. При цьому варто враховувати тип необхідного доступу, цінність інформації, засобу, реалізовані сторонньою організацією, і вплив такого доступу на безпеку інформації в організації.

Сторонні групи, які відповідно до умов договору протягом певного часу перебувають на території організації, також можуть послабити безпеку. Ось кілька прикладів таких груп:

a. групи підтримки устаткування й програмного забезпечення;

b. прибиральники, постачальники, охорона й інші допоміжні служби, найняті на стороні;

c. студенти й інші тимчасові працівники;

d. консультанти.

Необхідно зрозуміти, які заходи потрібні для управління доступом сторонніх до засобів обробки інформації. Як правило, всі вимоги до безпеки, пов’язані з доступом з боку, і внутрішні заходи повинні бути відбиті в договорі зі сторонньою організацією. Наприклад, за необхідності збереження конфіденційності інформації можна використати угоди про конфіденційність (або про нерозголошення конфіденційної інформації), доступ до інформації й засобів її обробки повинен надаватися стороннім організаціям тільки після реалізації необхідних засобів захисту й підписання договору, що визначає умови підключення або доступу.

Угоди, що припускають доступ сторонніх підрядників до приналежної організації засобам обробки інформації, повинні полягати в основі формального контракту, що містить всі необхідні вимоги до безпеки або посилання на них. Це допоможе забезпечити відповідність стандартам і політиці безпеки, прийнятій в організації. Такий контракт повинен гарантувати відсутність розбіжностей між організацією й стороннім підрядником. Організації повинні мати систему захисту від збитків, пов’язаних з постачальником. Варто розглянути включення в контракт таких відомостей:

a. загальний опис політики інформаційної безпеки;

b. опис захисту ресурсів, у тому числі:

1. процедури захисту ресурсів організації, у тому числі інформації й програмного забезпечення;

2. процедури, які дозволяють визначити факти компрометації ресурсів, наприклад, втрату або модифікацію даних;

3. засоби, які гарантують повернення або знищення інформації й ресурсів після закінчення терміну контракту або на обговореному етапі;

4. цілісність і доступність;

5. обмеження на копіювання й розкриття інформації;

c. цільовий рівень послуг і неприйнятні рівні послуг;

d. порядок допуску персоналу постачальника до інформації й ресурсів;

e. відповідні зобов’язання сторін, що містяться у договірі;

f. відповідальність, пов’язана з вимогами законодавства, наприклад законів про захист даних; у тому випадку, якщо контракт має на увазі співробітництво з організаціями в інших країн необхідно приділити особливу увагу законодавчим системам інших країн;

g. права на інтелектуальну власність, присвоєння авторських прав і захист спільної роботи.

h. угоди по контролю доступу, зокрема:

1. дозволені методи доступу, а також контроль і використання унікальних ідентифікаторів, наприклад, користувальницьких ідентифікаторів і паролів;

2. процес авторизації для одержання; користувальницький доступ і привілеї;

3. необхідність обов’язкової підтримки списку осіб, що має повноваження на використання доставлених послуг, із зазначенням прав і привілеїв стосовно такого використання;

i. визначення критеріїв, що піддаються перевірці, ефективності, методів їхнього моніторингу й звітності;

j. право на моніторинг діяльність користувачів і припинення доступу;

k. право на аудита обов’язків контракту або виконання цього аудита сторонньою організацією;

l. встановлення процесу ескалації для вирішення проблем; за необхідності варто також передбачити можливість виникнення не ситуацій;

m. обов’язку з установки й обслуговування устаткування й програмного забезпечення;

n. чітка структура звітності й погоджені формати звітів;

o. чіткий і певний процес гармонізації внесення змін;

p. всі необхідні засоби фізичного захисту й механізми, які забезпечують дотримання вжитих заходів;

q. підготовка користувачів й адміністраторів у галузі методів, процедур і безпеки;

r. засоби захисту від зловмисного забезпечення;

s. угоди про оповіщення, виявлення, повідомлення про інциденти, що відбулися, і порушення безпеки, а також їхньому розслідуванні;

t. участь субпідрядників у діяльності сторонньої організації.

Метою контактів на аутсорсинг є забезпечити безпеку інформації в тому випадку, коли відповідальність за обробку інформації покладено на іншу організацію.

Контакти на аутсорсинг повинні розроблятися з урахуванням ризиків, заходів безпеки й процедур для інформаційних систем, мереж й/або робочих місць.

Вимоги до безпеки в організації, які покладаються на іншу організацію, обов’язки з контролю всіх або частини своїх інформаційних систем, і/або робочих місць, повинні обговорюватися в контракті, укладеному між сторонами. Зокрема контракт повинен включати такі відомості:

a. як буде забезпечуватися відповідність вимогам законодавства (наприклад, законам про захист даних);

b. якими заходами буде гарантуватися, що всім сторонам, що беруть участь у контракті на аутсорсинг, у тому числі субпідрядникам, відомі їхні обов’язки, пов’язані з безпекою;

c. методи забезпечення й перевірки цілісності й конфіденційності бізнес-ресурсів організації;

d. фізичні й логічні засоби, які повинні використовуватися для забезпечення доступу до конфіденційної інформації, пов’язаної з діяльністю організації, тільки авторизованих користувачів;

e. методи підтримки доступності сервісів у надзвичайних обставинах,

f. рівні фізичної безпеки, які повинні бути забезпечені для устаткування, наданого іншою стороною;

g. право на аудит.

Контракт повинен давати можливість більш докладно описати вимоги до безпеки й процедури в плані управління безпекою, яка буде прийнятна обом сторонам. Хоча контракти на аутсорсинг можуть привести до виникнення низки складних питань у галузі безпеки, описані в цьому зведенні правил та рекомендацій можуть послужити основою для узгодження структури й змісту плану управління безпекою.

ISO / IEC 27001

ISO / IEC 27001 - міжнародний стандарт по інформаційної безпеки розроблений спільно Міжнародною Організацією по Стандартизації (ISO) і Міжнародної електротехнічної комісією (IEC). Підготовлено до випуску підкомітетом SC27 Об'єднаного технічного комітету JTC 1.

Стандарт містить вимоги в області інформаційної безпеки для створення, розвитку і підтримки Системи менеджменту інформаційної безпеки.

Кращі світові практики в галузі управління інформаційною безпекою описані в міжнародному стандарті на системи менеджменту інформаційної безпеки ISO / IEC 27001 (ISO 27001). ISO 27001 встановлює вимоги до системи менеджменту інформаційної безпеки (СМІБ) для демонстрації здатності організації захищати свої інформаційні ресурси.

Поняття "захисту інформації" трактується міжнародним стандартом як забезпечення конфіденційності, цілісності та доступності інформації.

Основа стандарту ІСО 27001 - система управління ризиками, пов'язаними з інформацією.

Система управління ризиками дозволяє отримувати відповіді на наступні питання: - На якому напрямку інформаційної безпеки потрібно зосередити увагу? - Скільки часу і коштів можна витратити на дане технічне рішення для захисту інформації?

Сертифікація

Організація може бути сертифікована акредитованими агентствами згідно з цим стандартом. Процес сертифікації складається з трьох стадій:

Стадія 1 вивчення аудитором ключових документів Системи Менеджменту Інформаційної Безпеки - Положення про застосування (SoA), План Обробки Ризиків (RTP), та ін Може виконуватися як на території організації так і шляхом висилки цих документів зовнішньому аудитору.

Стадія 2 детальний, глибокий аудит включаючи тестування впроваджених заходів та оцінка їх ефективності. Включає повне вивчення документів, які вимагає стандарт.

Стадія 3 виконання інспекційного аудиту для підтвердження, що сертифікована організація відповідає заявленим вимогам. Виконується на періодичній основі.

Впровадження стандарту

Алгоритм впровадження системи менеджменту інформаційної безпеки відповідно до вимог міжнародного стандарту ISO / IEC 27001

Розроблено відповідно до німецької методикою ІТ-Груншутц і практиками реалізації на просторах СНД. Автор: Олександр Дмитрієв

Перший етап. Управлінський

1. Усвідомити цілі і вигоди впровадження СМІБ

2. Отримати підтримку керівництва на впровадження та введення в експлуатацію системи менеджменту інформаційної безпеки (СМІБ)

3. Розподілити відповідальність за СМІБ

Другий етап. Організаційний

4. Створити групу з впровадження та підтримки СМІБ

5. Навчити групу з впровадження та підтримки СМІБ

6. Визначити область дії СМІБ

Третій етап. Початковий аналіз СМІБ

7. Провести аналіз існуючої СМІБ

8. Визначити перелік робіт з доопрацювання існуючої СМІБ

Четвертий етап. Визначення політики і цілей СМІБ

9. Визначити політику СМІБ

10. Визначити цілі СМІБ по кожному процесу СМІБ

П'ятий етап. Порівняння поточної ситуації зі стандартом

11. Провести навчання відповідальних за СМІБ вимогам стандарту

12. Опрацювати вимоги стандарту

13. Порівняти вимоги стандарту з існуючим станом справ

Шостий етап. Планування впровадження СМІБ

14. Визначити перелік заходів для досягнення вимог стандарту

15. Розробити керівництво з інформаційної безпеки

Сьомий етап. Впровадження системи управління ризиками

16. Розробити процедуру з ідентифікації ризиків

17. Ідентифікувати і ранжувати активи Каталог "Модулі" методики ІТ-Грундшутц

18. Визначити відповідальних за активи

19. Оцінити активи

20. Ідентифікувати загрози та вразливості активів Каталог "Загрози" методики ІТ-

Грундшутц

21. Розрахувати і ранжувати ризики

22. Розробити план по зниженню ризиків Каталог "Заходи захисту" методики ІТ-Грундшутц

23. Визначити непридатні контролі (напрями) безпеки з програми А

24. Розробити положення про застосування контролів

Восьмий етап. Розробка документації СМІБ

25. Визначити перелік документів (процедур, записів, інструкцій) для розробки

26. Розробка процедур та інших документів - управлінські процедури (стандарт на розробку документів, управління документацією, записами; коригувальні і попереджуючі заходи; внутрішній аудит; управління персоналом та ін) - технічні процедури (придбання, розвиток і підтримка інформаційних систем; управління доступом; реєстрація та аналіз інцидентів; резервне копіювання; управління знімними носіями та ін) - записи управлінські (звіти про внутрішні аудити, аналіз СМІБ з боку вищого керівництва; звіт про аналіз ризиків; звіт про роботу комітету з інформаційної безпеки; звіт про стан коригувальних і запобіжних дій; договору; особисті справи співробітників та ін) - записи технічні (реєстр активів; план підприємства; план фізичного розміщення активів; план комп'ютерної мережі; журнал реєстрації резервного копіювання; журнал реєстрації факту технічного контролю після змін в операційній системі; логи інформаційних систем; логи системного адміністратора; журнал реєстрації інцидентів; журнал реєстрації тестів з безперервності бізнесу та ін) - інструкції, положення (правила роботи з ПК, правила роботи з інформаційною системою, правила поводження з паролями, інструкція з відновлення даних з резервних копій, політика віддаленого доступу, правила роботи з переносним обладнанням та ін)

27. Розробка і введення в дію документів СМІБ

Дев'ятий етап. Навчання персоналу

28. Навчання керівників підрозділів вимогам ІБ

29. Навчання всього персоналу вимогам ІБ

Десятий етап. Розробка та прийняття заходів щодо забезпечення роботи СМІБ

30. Впровадження засобів захисту - адміністративних - навчальних - технічних

Одинадцятий етап. Внутрішній аудит СМІБ

31. Підбір команди внутрішнього аудиту СМІБ

32. Планування внутрішнього аудиту СМІБ 33. Проведення внутрішнього аудиту СМІБ

Дванадцятий етап. Аналіз СМІБ з боку вищого керівництва

34. Проведення аналізу СМІБ з боку вищого керівництва

Тринадцятий етап. Офіційний запуск СМІБ

35. Наказ про введення в дію СМІБ

Чотирнадцятий етап. Оповіщення зацікавлених сторін

36. Інформування клієнтів, партнерів, ЗМІ про запуск СМІБ

Зовнішні посилання

Список сертифікованих організацій

ISO 27001 оригінал від Британського інституту стандартів

Користувацька група ISO 27001 та ISO 17799

ISO 17799 та ISO 27001 Wiki

Текст білорускою версії СТБ ISO / IEC 27001-2011 на офіційному сайті

Авторські статті А. Дмитрієва за стандартом ISO 27001

Статті, рекомендації, описи за стандартом ISO 27001 на сайті ТЮФ Зюд України

ISO/IES 15408

Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних технологій» (англ. Common Criteria for Information Technology Security Evaluation) описує інфраструктуру (Framework) в якій користувачі комп'ютерної системи можуть описати вимоги, розробники можуть заявити про властивості безпеки продуктів, а експерти з безпеки визначити, чи задовольняє продукт заявам. Таким чином цей стандарт дозволяє бути впевненим, що процес опису, розробки та перевірки продукту був проведений в строгому порядку. Прообразом даного документа послужили «Критерії оцінки безпеки інформаційних технологій» (англ. Evaluation Criteria for IT Security, ECITS), робота над якими почалася в 1990 році.

Стандарт ISO 15408 — один з найбільш поширених стандартів у галузі безпеки. У його створенні взяли участь організації зі США, Канади, Англії, Франції, Німеччини, Голландії.

У стандарті докладно розглянуті загальні підходи, методи та функції забезпечення захисту інформації в організаціях. Оцінка інформаційної безпеки базується на моделях системи безпеки, що складаються з перерахованих в стандарті функцій . У ISO 15408 міститься ряд зумовлених моделей (так званих профілів), що описують стандартні модулі системи безпеки. З їх допомогою можна не створювати моделі поширених засобів захисту самостійно, винаходячи велосипед, а користуватися вже готовими наборами описів, цілей, функцій і вимог до цих засобів. Простим прикладом профілів може служити модель брандмауера або СУБД.

Стандарт дозволяє визначити повний перелік вимог до засобів безпеки, а також критерії їх оцінки ( показники захищеності інформації) .

Стандарт визначає повний перелік об’єктів аналізу та вимог до них, не загострюючи уваги на методах створення, управління та оцінки системи безпеки. Стандарт дозволяє оцінити повноту системи інформаційної безпеки з технічної точки зору, не розглядаючи при цьому комплекс організаційних заходів щодо забезпечення захисту інформації.

Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, які пред'являються до технології та процесу розробки та експлуатації.

Нормативна документація

Міжнародний стандарт ISO/IEC 15408. В Україні стандарт цей документ введено до Плану національної стандартизації на 2007 рік.

НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу».

ISO/IEC 15408 складається з трьох частин:

Частина 1. Вступ і загальна модель;

Частина 2. Функціональні компоненти безпеки; Частина 3. Компоненти гарантій безпеки.

ISO/IEC 15408 допускає еквівалентність результатів кількох незалежних оцінювань безпеки. Досягнення еквівалентності ISO/IEC 15408 забезпечує єдиний набір вимог для функцій безпеки ІТ-продуктів і оцінювання заходів, задіяних до цих ІТ-продуктів протягом оцінювання безпеки. ІТ-продукти можна реалізувати як апаратне, убудоване або програмне забезпечення.

Процес оцінювання встановлює рівень довіри, що гарантує виконання вимог за допомогою наявності функцій безпеки в ІТ-продуктах і задіяних заходів до ІТпродуктів. Результати оцінювання допомагають споживачам оцінити потрібний рівень захищеності ІТ-продуктів.

ISO/IEC 15408 корисний як настанова для розробки, оцінювання та/або придбання

ІТ-продуктів з функціональністю безпеки.

ISO/IEC 15408 гнучкий, допускає використання набору методів оцінювання для множини властивостей безпеки набору ІТ-продуктів. Користувачі цього міжнародного стандарту повинні акуратно використовувати його гнучкість. Наприклад, використання ISO/IEC 15408 разом з некоректними методами оцінювання, недоцільними властивостями безпеки чи недоречними ІТ-продуктами може призвести до безглуздих результатів оцінювання.

Отже, факт оцінювання ІТ-продукту має значення тільки в контексті оцінених властивостей безпеки та задіяних методів оцінювання. Органам оцінювання рекомендовано ретельно перевіряти продукти, властивості та методи для гарантії одержання значимих результатів. Також покупцям оцінених продуктів рекомендовано ретельно оцінити корисність оцінених продуктів для застосування їх у конкретних ситуаціях і потребах.

ISO/IEC 15408 сконцентровано на захисті активів від несанкціонованого розкриття, модифікації або неможливості використання. Ці категорії захисту зазвичай називають: конфіденційністю, цілісністю та доступністю. Також ISO/IEC 15408 застосовний до інших аспектів ІТ-безпеки. ISO/IEC 15408 можна використовувати для оцінювання людських ризиків (зловмисних або інших дій) і ризиків, не пов'язаних з діяльністю людини. Крім ІТ-безпеки, ISO/IEC 15408 застосовний в інших сферах ІТ, але не зазіхає на них.

1 23