оценка рисков

Оценка вероятности ИБ-инцидентов

...

Несмотря на то, что оценить вероятность инцидентов в области информационной безопасности достоверным образом непросто практически для любой компании, существуют определенные подходы, которые позволяют увидеть хотя бы и достаточно приблизительную, но, в общем-то, имеющую тесную связь с реальностью картину.

Взгляд с двух сторон

...

ИБ обычно ориентируется на потребности бизнеса – старается достичь баланса между затратами на защиту и остаточной стоимостью рисков. Но возможен и подход с противоположной стороны – ориентироваться на потребности злоумышленников, то есть искать баланс между риском при посягательстве на информационные активы и допустимой долей, которая будет списана на хищения.

Взвешивание аспектов

...

Тут верно заметил один из читателей, что для многих паролей (ключей шифрования) доступность не менее важна, чем конфиденциальность. А бывает, что даже важнее.

Поправка на досягаемость

...

Виртуализация и клаудизация информационной системы предприятия не увеличивает и не уменьшает риски. Она их перераспределяет. От собственных кадров – в сторону провайдера и его персонала. От ТК – к SLA и NDA.

В розницу

...

Подбросили тут френды ссылочку, вызывающую вопросики. Оказывается, полно в соцсетях наивных обывателей, которые постят фотографии своих банковских карт: полюбуйтесь, дескать, какую гламурненькую кредиточку мне выдали. Некий весёлый тролль все такие фотки собирает и репостит в одном месте. Не иначе, с целью пристыдить простодушных картодержателей и объяснить им элементарные правила безопасности.

Каждый сам несёт свой архив

...

Законами (а чаще – подзаконными актами) интернет-провайдеров обязывают хранить всякую информацию о пользователях. И чем дальше, тем более и более всякую. Вплоть до полной копии трафика. Вспомним, что в офлайне предприятия тоже обязаны много чего хранить. Бухгалтерскую документацию, например, или документы материального учёта. Хранить – не для себя. А затем, чтобы проверяющие органы могли в любой момент проверить и найти нарушение. А кому ж хочется, чтоб у тебя нарушения находили за твой же счёт.

Опасность незнания

...

Предположим, в одном классе с вашим ребёнком учится ВИЧ-инфицированный. Вы предпочитаете, чтоб от вас скрывали эту информацию? Или хотели бы знать о данном факте? Или будете взбешены, узнав, что "власти скрывают"? Апелляция к детям – это запрещённый приём в дискуссии. Потому что родительский инстинкт, если его удалось зацепить, затмевает все другие инстинкты, культурные установки, религиозные догмы, не говоря уже о логике.

Риск и его боязнь

...

Как показывает социология, из всех рисков, связанных с персональными данными, российское население наименее адекватно оценивает получение кредита от имени другого лица. То есть, этого риска люди боятся больше всего, а сталкиваются – реже всего.

Сколько стоит баг?

...

Это обстоятельство крайне мешает такому полезному предприятию, как оплата доброхакерам за найденные ошибки. На хакерском краудсорсинге можно было бы даже систему государственной сертификации построить, не говоря о банальном предотвращении мошенничества и утечек.

"От меня всё ушло. Проблема на вашей стороне"

...

Атака типа "человек посередине" (MitM) имеет существенно разные шансы на успех в зависимости от того, действуют ли стороны сообща для защиты от такой атаки или оно надо только одной из сторон.