Уязвимости ИБ
Тренды информационной безопасности. Часть 2
Активы, уязвимости (конспект лекции)
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)
Новости
Важно отметить, что сами по себе уязвимости информационной безопасности не опасны. Они лишь открывают возможности для осуществления угроз ИБ. К наиболее распространенным причинам возникновения уязвимостей, как правило, относят: ошибки при проектировании и использовании программного обеспечения; несанкционированное внедрение и последующее использование ПО; внедрение вредоносного ПО; человеческий фактор.
Существует достаточно большое число классификаций уязвимостей информационной безопасности. Например, их подразделяют на объективные (обусловленные особенностями технических характеристик программного обеспечения), субъективные (возникшие вследствие действий разработчиков и пользователей ПО, системных администраторов) и случайные (возникшие вследствие непредвиденных обстоятельств). Еще одна классификация выделяет такие виды уязвимостей, как: технологические или архитектурные, выражающиеся в отсутствии необходимых технологий обеспечения информационной безопасности; организационные, выражающиеся в отсутствии выстроенных и регламентированных процедур обеспечения информационной безопасности; эксплуатационные, связанные с недостатками информационной структуры организации.
Активы, уязвимости (конспект лекции)
Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020
Актив – это ресурс, которым владеет или который контролирует бизнес, в материальной или нематериальной форме, используемый для создания экономической выгоды.
Актив в контексте ИБ – это сущность, имеющая ценность для организации, использующаяся для достижения целей организации, являющаяся объектом защиты и атаки с целью нарушения свойств безопасности.
• материальные: программное и аппаратное обеспечение, платформа, устройство;
• нематериальные: информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация.
Системы CMDB (Configuration Management Database, база данных управления конфигурацией) предназначены для хранения, обработки, поддержания в актуальном состоянии информации об ИТ-активах и их взаимосвязях.
Программные (ОС, ПО, файлы) и аппаратные (» target=»_blank»>серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:
• бизнес-владелец (business owner) актива,
• риск-владелец (risk owner) актива,
• ответственный за актив со стороны ИТ (IT custodian),
• выполняемая активом техническая или бизнес-роль/функция,
• зависимый от актива бизнес-процесс,
• местоположение (адрес, этаж, номер стойки в » target=»_blank»>серверной и т.д.),
• конфигурация: FQDN-имя, версия ОС, установленное ПО, IP-адрес, MAC-адрес, объем ОЗУ и т.д.
Системы ITAM (IT Asset Management, управление ИТ-активами) – эволюция CMDB-систем для решения следующих задач:
• первоначальное наполнение информацией,
• автоматизированное обогащение и поддержание сведений в актуальном состоянии,
• интеграция с системами, содержащими актуальные сведения об ИТ-активах,
• интеграция с СЗИ для помощи в реагировании на инциденты ИБ.
Модуль позволяет автоматизировать процесс управления активами:
• инвентаризация активов (в ручном, автоматизированном и автоматическом режиме);
• определение взаимосвязей между активами;
• определение владельцев и ответственных за обслуживание активов;
• мониторинг сетевой доступности и состояния работоспособности.
Автоматический режим инвентаризации реализован при помощи коннекторов данных, применяемых для сбора информации (WMI, PowerShell, WinRM, cmd, bash) и интеграции с существующими ИТ-системами и СЗИ (Active Directory, сканеры уязвимостей, DLP, антивирусные системы, CMDB-системы и т.д.).
• сбор и агрегация актуальной информации об активах в едином модуле управления,
контроль сетевой доступности, качества связи и текущего состояния активов.
Скриншот модуля «Управление активами» системы Security Vision:
Альтернативы: сетевые сканеры nmap (Zenmap – версия nmap с графической оболочкой для Windows), ZMap, Masscan, Unicornscan и т.д. Результат – список ответивших устройств с открытыми портами.
Шкала оценок уязвимостей CVSS позволяет описать основные особенности уязвимости и количественно (с помощью формулы) оценить её опасность по значению от 0 (минимум) до 10 (максимально опасная уязвимость).
Для расчета характеристики уязвимости описываются в трех группах метрик:
1. Базовые метрики, не изменяющиеся со временем и не зависящие от среды функционирования системы, которые подразделяются на:
2. Временные метрики, изменяющиеся со временем по факту появления дополнительной информации об уязвимости, которые учитывают:
• возможность эксплуатации (например, наличие готового эксплойта);
• уровень устранения уязвимости (например, наличие официального исправления от разработчика);
• степень достоверности отчета об уязвимости (например, подтверждение от вендора).
3. Контекстные метрики, учитывающие конкретную среду функционирования уязвимой системы, которые позволяют:
· модифицировать рассчитанные базовые метрики в привязке к конкретной организации или системе;
· указать требования к свойствам информационной безопасности конкретного актива (его конфиденциальность, целостность, доступность).
Пример расчета CVSS v3.1:
Расчет по CVSSv2: используется меньше параметров для расчета, менее точная качественная шкала опасности.
Пример расчета CVSS для уязвимости Eternal Blue (CVE-2017-0144):
Описание уязвимости на сайте производителя уязвимого ПО:
Реестры уязвимостей: БДУ ФСТЭК, MITRE CVE, NIST NVD, CERT/CC NVD.
Процесс управления уязвимостями состоит из этапов:
• инвентаризации, классификации и приоритизации ИТ-активов (т.е. процесс управления активами, см. предыдущие слайды);
• анализа текущей защищенности с непрерывным обнаружением хостов и сервисов;
• поиска уязвимостей и их обработки (устранение/минимизация/изоляция/принятие) в соответствии с их опасностью (CVSS-оценка, наличие защитных мер);
• последующей проверки и оценки эффективности пройденных шагов.
Документальная поддержка процесса:
• стандарты ИБ для аппаратного и программного обеспечения;
• разработка процедур и регламентов анализа защищенности, тестирования и установки обновлений;
• согласование целевых показателей защищенности систем компании;
• непрерывный контроль соответствия.
Инструменты для обеспечения процесса управления уязвимостями:
Сканеры уязвимостей, анализаторы защищенности, ПО для сканирования сетей с дополнительными плагинами.
Логика работы: считывание «баннеров» с версией ПО, эвристическое определение версии ПО, аутентифицированное сканирование (опрос ОС для построения списка установленного ПО и настроек системы).
Примеры: Tenable Nessus, OpenVAS, Qualys, Rapid7 Nexpose, MaxPatrol (XSpider), RedCheck, Сканер-ВС, nmap (с NSE-скриптами).
Управление уязвимостями в системе Security Vision:
• интеграция со сканерами уязвимостей (MaxPatrol, RedCheck, Nessus, Qualys) и любым репозиторием уязвимостей;
• определение уязвимого ПО в процессе инвентаризации за счет интеграции с БДУ ФСТЭК (ПО ScanOVAL для автоматизированных проверок наличия уязвимостей программного обеспечения);
• выстраивание процесса управления уязвимостями (все этапы процесса) через конструктор логических объектов с постановкой и контролем задач.
Уязвимость в информационной безопасности что такое
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
Классификация уязвимостей информационных систем
Information protection. Vulnerabilities in information systems. The classification of vulnerabilities in information systems
Дата введения 2016-04-01
Предисловие
1 РАЗРАБОТАН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»
5 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.
Введение
Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем (ИС).
Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением и устранением уязвимостей ИС, при создании и эксплуатации ИС.
В настоящем стандарте принята классификация уязвимостей ИС исходя из области происхождения уязвимостей, типов недостатков ИС и мест возникновения (проявления) уязвимостей ИС.
1 Область применения
Настоящий стандарт устанавливает классификацию уязвимостей информационных систем (ИС). Настоящий стандарт направлен на совершенствование методического обеспечения определения и описания угроз безопасности информации при проведении работ по защите информации в ИС.
Настоящий стандарт не распространяется на уязвимости ИС, связанные с утечкой информации по техническим каналам, в том числе уязвимости электронных компонентов технических (аппаратных и аппаратно-программных) средств ИС.
2 Нормативные ссылки
В настоящем стандарте использована нормативная ссылка на следующий стандарт:
ГОСТ Р 50922 Защита информации. Основные термины и определения
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:
3.1 информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
3.2 компонент информационной системы: Часть информационной системы, включающая некоторую совокупность информации и обеспечивающих ее обработку отдельных информационных технологий и технических средств.
3.3 признак классификации уязвимостей: Свойство или характеристика уязвимостей, по которым производится классификация.
3.4 информационная технология [технология обработки (передачи) информации в информационной системе]: Процесс, метод поиска, сбора, хранения, обработки, предоставления, распространения информации и способ осуществления таких процессов и методов.
3.5 конфигурация информационной системы: Взаимосвязанные структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между компонентами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, а также с полномочиями субъектов доступа к объектам доступа информационной системы.
3.6 угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
3.7 уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.
3.8 уязвимость кода: Уязвимость, появившаяся в процессе разработки программного обеспечения.
3.9 уязвимость конфигурации: Уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) программного обеспечения и технических средств информационной системы.
3.10 уязвимость архитектуры: Уязвимость, появившаяся в процессе проектирования информационной системы.
3.11 организационная уязвимость: Уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы защиты информации информационной системы, требований организационно-распорядительных документов по защите информации и (или) несвоевременном выполнении соответствующих действий должностным лицом (работником) или подразделением, ответственным за защиту информации.
3.12 многофакторная уязвимость: Уязвимость, появившаяся в результате наличия нескольких недостатков различных типов.
3.13 язык программирования: Язык, предназначенный для разработки (представления) программного обеспечения.
3.14 степень опасности уязвимости: Мера (сравнительная величина), характеризующая подверженность информационной системы уязвимости и ее влияние на нарушение свойств безопасности информации (конфиденциальность, целостность, доступность).
4 Основные положения
4.1 В основе классификации уязвимостей ИС используются следующие классификационные признаки:
— область происхождения уязвимости;
— типы недостатков ИС;
— место возникновения (проявления) уязвимости ИС.
4.2 Помимо классификационных признаков уязвимостей ИС используются поисковые признаки (основные и дополнительные). Поисковые признаки предназначены для организации расширенного поиска в базах данных уязвимостей.
4.3 К основным поисковым признакам уязвимостей ИС относятся следующие:
— наименование операционной системы (ОС) и тип аппаратной платформы;
— наименование ПО и его версия;
— степень опасности уязвимости.
4.4 К дополнительным поисковым признакам уязвимостей ИС относятся следующие:
— служба (порт), которая(ый) используется для функционирования ПО.
5 Классификация
5.1 Уязвимости ИС по области происхождения подразделяются на следующие классы:
5.2 Уязвимости ИС по типам недостатков ИС подразделяются на следующие:
— недостатки, связанные с неправильной настройкой параметров ПО.
— недостатки, связанные с неполнотой проверки вводимых (входных) данных.
— недостатки, связанные с возможностью прослеживания пути доступа к каталогам.
— недостатки, связанные с возможностью перехода по ссылкам.
— недостатки, связанные с возможностью внедрения команд ОС.
— недостатки, связанные с межсайтовым скриптингом (выполнением сценариев).
— недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки.
— недостатки, связанные с внедрением произвольного кода.
— недостатки, связанные с переполнением буфера памяти.
— недостатки, связанные с неконтролируемой форматной строкой.
— недостатки, связанные с вычислениями.
Анализ уязвимостей в сфере информационной безопасности
Анализ уязвимостей – процесс, направленный на обнаружение всевозможных угроз, уязвимых мест и рисков вероятного несанкционированного проникновения третьих лиц в инфосистему компании. Уязвимость выступает в качестве слабого места информационной системы компании. Угроза – фактор оказания отрицательного воздействия со стороны киберпреступника, которое потенциально становится причиной компрометации конфиденциальных и других видов защищаемых данных.
При анализе уязвимостей в сфере кибербезопасности в качестве третьих лиц рассматриваются злоумышленники, использующие уязвимости, чтобы реализовать различные угрозы.
Если в информационной системе компании присутствуют уязвимости, то подобное отрицательно сказывается на ее профессиональной деятельности, потому что она является незащищенной перед недобросовестными конкурентам. Наличие уязвимостей в системе кибербезопасности облегчает деятельность преступников по нанесению вреда, позволяя посторонним лицам заполучить доступ к конфиденциальной информации. Источники киберугроз могут быть намеренными или случайными. Также в качестве источников угроз часто рассматриваются природные и техногенные факторы. Каждая угроза имеет собственный перечень уязвимостей, при помощи которых третьи лица могут реализовать свои планы.
Особенности анализа уязвимостей в сфере кибербезопасности
Грамотно организованная и высокоэффективная система информационной безопасности способна обеспечить защиту от кражи любых видов информации из корпоративной, внутренней сети компании, а также финансовую защиту бизнеса в общем. Компании, которые заинтересованы в получении эффективной системы информационной безопасности, постоянно работают над тем, чтобы предотвратить:
У киберугроз может быть несколько источников, поэтому крайне важно иметь их четкую классификацию и иметь схему их анализа по каждому источнику. С помощью такого подхода можно получить максимальный охват вероятных уязвимостей в бизнес-процессах компании. В системе информационной безопасности необходимо следовать некоторым принципам:
Виды анализируемых угроз
Для проведения эффективного анализа уязвимостей информационной безопасности существующей информационной инфраструктуры, требуется различать типы угроз, возникающих в информационных системах компаний. Подобные угрозы классифицируются по следующим категориям:
При проведении атак на IT-инфраструктуру организации злоумышленники обычно преследуют несколько целей – получение контроля над наиболее важной информацией и ресурсами, обеспечение полного доступа к внутренней сети организации, ограничение работы предприятия в определенной сфере.
Методы анализа уязвимостей в сфере информационной безопасности
Можно выделить несколько методов, с помощью которых есть возможность проведения анализа уязвимостей информационной системы. Первый базируется на вероятностной методике. При его эксплуатации необходимо опираться на некоторые факторы:
При анализе уязвимостей информационных систем требуется учесть вероятные зоны дислокации. Для реализации подобного требуется своевременно найти и убрать ошибки в используемом программном обеспечении, а затем периодически проводить установку обновлений безопасности от разработчиков.
Анализ уязвимостей информационных систем, связанных с неграмотной настройкой средства защиты, должен осуществляться систематически. Оптимальный вариант в этом случае – настройка беспрерывного мониторинга информационной системы на предмет появления уязвимостей. Отдельно от описанного выше анализа обязательно требуется проведение некоторых мероприятий с сотрудниками организации – выдача прав доступа к конфиденциальной информации и ресурсам с минимальными привилегиями, прав на установку специального ПО, прав на копирование защищаемых данных и использование внешних носителей информации.
Основы риск- и бизнес-ориентированной информационной безопасности: основные понятия и парадигма
В данной публикации читателям предлагается ознакомиться с основными терминами и определениями в области информационной безопасности, а также будут рассмотрены концепция и парадигма информационной безопасности. Информация в данной и последующих публикациях основывается на общепринятых российских и мировых подходах к информационной безопасности.
С развитием информационных технологий и их всеобъемлющим проникновением практически во все сферы деятельности современных государств и компаний вопросы защиты информации становятся ключевыми: так называемая четвертая научная революция немыслима без использования наукоёмких информационных технологий, которые со всеми преимуществами привносят и связанные с ними риски, поскольку одновременно с проникновением ИТ в жизни государств, компаний и обычных граждан растут и множатся угрозы информационной безопасности.
Налицо постоянная эволюция как информационных технологий, так и сферы защиты информации, а также самих атакующих: если ещё в конце 20-го века вопросами взлома компьютерных систем занимались, как правило, увлеченные энтузиасты из академических сред, которые не ставили своей целью получение незаконной прибыли и обман компаний и граждан, то в последнее время с каждым годом растет количество финансово мотивированных злоумышленников. Более того, в современном киберпространстве орудуют настоящие армии хакеров, поддерживаемые и спонсируемые правительствами разных стран. Они осуществляют нападения на ресурсы и инфраструктуру других государств и крупных корпораций с целью получения разведывательной информации и, зачастую, вывода из строя объектов критической инфраструктуры или даже целых отраслей промышленности. Одновременно с этим нарастает также и государственное регуляторное давление: осознавая важность защиты информации и информационной инфраструктуры, практически все развитые государства принимают законодательные нормы, отвечающие современным вызовам. Таким образом, современная информационная безопасность находится «на линии перекрестного огня» высококвалифицированных атакующих, ИТ-потребностей бизнеса и государства, а также правового регулирования. Для победы в данных условиях прежде всего необходим твердый фундамент, а именно четкое понимание основных явлений, терминов, а также самой концепции информационной безопасности.
Под защитой информации в классическом понимании подразумевается обеспечение целостности, конфиденциальности, доступности информационных ресурсов. Кроме этого, дополнительными свойствами информации в состоянии защищенности являются неотказуемость, подлинность, подотчетность.
Под угрозой безопасности информации понимают потенциальную причину возникновения нежелательного инцидента информационной безопасности, который может нанести ущерб активам и нарушить состояние защищенности информации; инциденту может предшествовать несанкционированное изменение состояния актива, называющееся событием информационной безопасности.
Моделирование угроз — это идентификация всех угроз, которые могут нанести ущерб активам, и векторов атак, которые могут быть использованы источниками угроз для нанесения ущерба.
Под риском информационной безопасности понимают потенциальную возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации. Как и в классическом риск-менеджменте, есть следующие способы обработки киберриска: игнорировать, принять, избежать, передать, минимизировать. Выбор именно последнего, наиболее оптимального во многих случаях способа обработки риска предшествует разработке и внедрению систем и средств информационной безопасности. При этом при выборе и реализации конкретных мер по обеспечению информационной безопасности активов следует руководствоваться целесообразностью применения этих мер в контексте решаемой бизнес-задачи, стоимости актива и величины прогнозируемого ущерба, а также потенциальных затрат злоумышленников. Согласно общепринятому подходу, стоимость защитных мер не должна превышать стоимость актива или величину прогнозируемого ущерба, а расчетные целесообразные затраты на атаку для злоумышленника должны быть меньше, чем ожидаемая им прибыль от реализации этой атаки.
Ущерб от реализации атаки может быть прямым или непрямым. Прямой ущерб — это непосредственные очевидные и легко прогнозируемые потери компании, такие как утеря прав интеллектуальной собственности, разглашение секретов производства, снижение стоимости активов или их частичное или полное разрушение, судебные издержки и выплата штрафов и компенсаций и т.д. Непрямой ущерб может означать качественные или косвенные потери. Качественными потерями могут являться приостановка или снижение эффективности деятельности компании, потеря клиентов, снижение качества производимых товаров или оказываемых услуг. Косвенные потери — это, например, недополученная прибыль, потеря деловой репутации, дополнительно понесенные расходы.
Угроза безопасности информации возникает при наличии следующих взаимосвязанных компонентов: источника угрозы, уязвимости актива, способа реализации угрозы, объекта воздействия и самого вредоносного воздействия. Приведем пример: хакер (источник угрозы) атакует непропатченный веб-» target=»_blank»>сервер компании (уязвимость актива) путем внедрения SQL-инъекции (способ реализации угрозы) в обслуживающую этот веб-» target=»_blank»>сервер СУБД (объект воздействия) и незаконно получает конфиденциальную информацию (вредоносное воздействие).
Далее эти компоненты угрозы информационной безопасности будут рассмотрены подробнее.
1. Источником угрозы могут являться внешние или внутренние (по отношению к рассматриваемому объекту защиты) нарушители, третьи лица, силы природы.
Внешние нарушители не являются сотрудниками компании, легитимными пользователями внутренних информационных систем, аутсорсерами, подрядчиками, поставщиками, заказчиками и прочими лицами, связанными юридическими отношениями с рассматриваемой организацией. Такие нарушители не имеют легитимного доступа к объекту защиты (информационному активу) и классифицируются по ихнавыкам, возможностям и мотивации. Примерами внешних нарушителей могут быть как проправительственные хакеры-эксперты с государственной финансовой поддержкой или нанятые конкурентами киберпреступники, так и «хактивисты», профессиональные кибермошенники или даже подростки, вооруженные широкодоступными хакерским программами. Мерами противодействия внешним нарушителям является практически весь спектр «классических» способов обеспечения информационной безопасности: разработка и внедрение внутренних регламентирующих документов, средств защиты информации, мер активного противодействия, реагирование и расследование киберинцидентов и т.д. Организациям следует проводить регулярную оценку собственной подверженности риску атаки внешних злоумышленников, при которой нужно учитывать сферу деятельности, зависимость от информационных технологий, публичность, привлекательность для атакующих, широту охвата потенциальной атаки. В целом, именно внешние нарушители являются самым непредсказуемым и бесконтрольным фактором киберриска, требующим реализации самых современных мер и способов защиты.
Внутренними нарушителями могут считаться физические лица — сотрудники и руководители компании, а также юридические лица, которые имеют договорные отношения с компанией. Внутренние нарушители классифицируются по целенаправленности и злонамеренности их действий, а для осуществления целенаправленного несанкционированного доступа у злонамеренного инсайдера должны быть мотив, способ и соответствующая возможность для атаки. Поставщики услуг, оборудования или персонала также несут в себе риски информационной безопасности — известны случаи, когда причинами утечек становились поставщики IT-сервисов, производители вспомогательного оборудования и сотрудники компании-подрядчика. Повайдеры облачных сервисов также попадают в категорию потенциальных внутренних нарушителей, чему может свидетельствовать большое количество утечек данных из некорректно сконфигурированных облачных хранилищ. Следует отметить тенденцию последнего времени в виде стандартизации методов оценки и управления риском привлечения сторонних организаций: ЦБ РФ выпустил стандарт СТО БР ИББС-1.4-2018 «Управление риском информационной безопасности при аутсорсинге», а международный стандарт ISO 27036 можно использовать для управления информационной безопасностью при взаимодействии с поставщиками услуг, в том числе и с провайдерами облачных сервисов (руководствуясь ISO 27036-4:2016).
Кроме внешних и внутренних нарушителей не стоит забывать и о других источниках угроз: третьи лица и силы природы могу оказать существенное негативное влияние на деятельность компании. Так, третьими лицами можно считать органы государственной власти, последствия от вмешательства которых в работу компании могут быть соразмерны с воздействием стихийного бедствия. Новости о проведении следственных мероприятий могут негативно сказаться на имидже и репутации компании, а вынесенное предписание о приостановке деятельности на даже относительно непродолжительный срок может фактически означать уход компании с рынка. Такими же последствиями могут обернуться изъятие оборудования, опечатывание