Перейти к содержанию
Сергей Ильин

Как оценить риски связанные с информационной безопасностью?

Recommended Posts

Сергей Ильин

Многое говориться о том, что нужно защищаться от той или иной угрозы, что на предприятии и у простых домашних пользователей должен стоять антивирус, firewall, anti-spyware и т.д. и т.п.

Как расчитать риски связанные с возможными атаками и ущерб от них, цифры которые потом лягут на стол руководству при согласовании бюджета на информационную безопасность?

Как посчитать, окупится ли покупка и установка этих программ?

Может дешевле и правильнее будет не заморачиваться с защитой вообще или не покупать ту или иную программу(распространенное мнение среди персональщиков, типа вирусы мне не мешают)?

Интересны любые мнения на эту проблему, ну и, конечно, хотелось бы обсудить реальные методики расчета :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Многое говориться о том, что нужно защищаться от той или иной угрозы, что на предприятии и у простых домашних пользователей должен стоять антивирус, firewall, anti-spyware и т.д. и т.п.

Как расчитать риски связанные с возможными атаками и ущерб от них, цифры которые потом лягут на стол руководству при согласовании бюджета на информационную безопасность?

Как посчитать, окупится ли покупка и установка этих программ?

Может дешевле и правильнее будет не заморачиваться с защитой вообще или не покупать ту или иную программу(распространенное мнение среди персональщиков, типа вирусы мне не мешают)?

Интересны любые мнения на эту проблему, ну и, конечно, хотелось бы обсудить реальные методики расчета :-)

Итак, мы пришли к теме аудита инф безопасности. Откровенно? Наконец-то!

Здесь же мы будем говорить и об анализе рисков и т.д.

На мой взгляд стоит помнить что все же это вопрос достаточно "эмпирический", т.е. вероятность можно определить лишь весьма приблизительно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

В России международные стандарты принимаются во внимание при разработке общероссийских стандартов, которые призваны решать те же задачи, что и международные, но в масштабе РФ. Среди них отметим следующие стандарты:

22.01.1998 Аудит в условиях компьютерной обработки данных

Сформулированы общие требования к аудиту в условиях компьютерной обработки данных. Описаны особенности планирования и проведения аудита в этой среде.

11.07.2000 Проведение аудита с помощью компьютеров

Сформулированы условия применения компьютеров для проведения аудита. Описаны особенности планирования и проведения аудита с помощью компьютеров.

Кто из вас видел эти документы? Сможете ли (если они у вас есть) прислать их мне? На Украине соответствующих документов я не видел, потому хотел бы посмотреть ваши

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

есть всякие цифры, если мы говорим о рисках нарушения ИБ, то в принципе их можно оценить, даже с разных точек зрения; если говорим об окупаемости средств защиты, то тут проще: сумарный ущерб ($) вследствии инцидента ИБ должен значительно превышать средства ($) затраченные на то, чтобы инцидент не наступил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
есть всякие цифры, если мы говорим о рисках нарушения ИБ, то в принципе их можно оценить, даже с разных точек зрения; если говорим об окупаемости средств защиты, то тут проще: сумарный ущерб ($) вследствии инцидента ИБ должен значительно превышать средства ($) затраченные на то, чтобы инцидент не наступил.

1. Что такое значительно? В цифрах?

2. Как (в деньгах) оценить ущерб репутации?

3. Как (в деньгах) оценить ущерб, нанесенный банку вследствие утечки приватных данных о клиентах?

На самом деле масса вопросов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

:) да очень просто, вчера клиенты были - а сегодня клиентов НЕТ.

Клиентов НЕТ - считайте упущеную выгоду.. Не соглашусь, что управляющие не строят планы на прибыль, а планы строят в соответсвии с вложениями..

Например Вы устраиваете рекламную компанию на 500000$, одновременно с рекламой выходит сообщение, что у вас инфу стырили..

УЩЕРБ ОЧЕВИДЕН

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
:) да очень просто, вчера клиенты были - а сегодня клиентов НЕТ.

Клиентов НЕТ - считайте упущеную выгоду.. Не соглашусь, что управляющие не строят планы на прибыль, а планы строят в соответсвии с вложениями..

Например Вы устраиваете рекламную компанию на 500000$, одновременно с рекламой выходит сообщение, что у вас инфу стырили..

УЩЕРБ ОЧЕВИДЕН

Расчет упущенной прибыли не всегда подходит, не говоря уже о точности. Предпложим у нас компания оказывает услуги, да 10 клиентов ушли, когда узнали, что нашу компанию поломали хацкеры. Как перевести потерю этих 10 клиентов в деньги, ведь мы не знаем сколько бы они у нас покупали услуг, польовались ли они ими еще год или всего месяц?

Тут можно произвести только грубую оценку, взять средний показатель доходности с клиента по компании, учесть средний цикл жизни клиента (если такое вообще возможно). Это будет оценка по недополученной прибыли.

Далее считаем ущер нанесенный инфраструктуре предприятия: восставновление работоспособности сети, компьютеров и т.д. (прямы затраты + время персонала пересчитанное в деньги).

Идем дальше, самое сложное:

1. Упущенные возможности. Что могло бы быть если бы атаки не было? Как быть с этим? :) Может к нам бы пришел жирный клиент или инвестор, который бы поднял наше предприятие на новый уровень

2. Потерянные управленческие ресурсы, это связано с потерей времени руководства, которое оно бы потратило на менеджмент, стратегию и т.д., но которое ушло на борьбу с последнствиями атаки. Это вообще нельзя посчитать.

Уверен я не все написал, экспромт, думаю, коллеги дополнят меня. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
:) да очень просто, вчера клиенты были - а сегодня клиентов НЕТ.

Клиентов НЕТ - считайте упущеную выгоду.. Не соглашусь, что управляющие не строят планы на прибыль, а планы строят в соответсвии с вложениями..

Например Вы устраиваете рекламную компанию на 500000$, одновременно с рекламой выходит сообщение, что у вас инфу стырили..

УЩЕРБ ОЧЕВИДЕН

Как оценить недополученную прибыль???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

процесс расчетов (денег) за утраченную репутацию вывести просто нельзя (в крайнем случае весма сложно) потому и рекомендуется проводить не количественный, а качественный анализ рисков. (См. все классические учебники)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

рассказываю для тех кто в танке:

банки работают за проценты, проценты получаются от каждой услуги -чем больше услуг тем больше денег.

Репутация потеряна - прогнозы по развитию не сбылись, как бы Вы не оценивали риски.. руководству важна ЦИФРА..и следствия

Пока цифры не будет, вся ИБ останется обслугой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
рассказываю для тех кто в танке:

банки работают за проценты, проценты получаются от каждой услуги -чем больше услуг тем больше денег.

Репутация потеряна - прогнозы по развитию не сбылись, как бы Вы не оценивали риски.. руководству важна ЦИФРА..и следствия

Пока цифры не будет, вся ИБ останется обслугой.

Хорошо, предположим отдел ИБ работает на отлично и успешных атак не было, как посчитать, сколько клиентов у банка уйдет, если, скажем общественности будет известно о несанкционированном доступе к его базе? :)

Часто бывает такая ситуация, руководству неизвестны факты, угрозы и т.д. и вообще они далеки отвсего этого, могут сказать, что типа нам хакеры не угрожают, ни разу и так не ломали, зачем нам вообще эта защита и Х штук баксов в бюджете на эту никому не нужную затею.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
рассказываю для тех кто в танке:

банки работают за проценты, проценты получаются от каждой услуги -чем больше услуг тем больше денег.

Репутация потеряна - прогнозы по развитию не сбылись, как бы Вы не оценивали риски.. руководству важна ЦИФРА..и следствия

Пока цифры не будет, вся ИБ останется обслугой.

Еще раз. Как узнать сколько клиентов к тебе не пришло из-за потерянной репутации? Сколько сделок (и сумма) неполученной прибыли в этом случае? Все эти расчеты из области пол-потолок!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

как я писал выше есть ТЕНДЕНЦИЯ, ОЖИДАЕМАЯ ПРИБЫЛЬ.

Причём распределённая на кварталы, месяцы и т п.

Или вы считаете, что все процессы спонтанны????

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×