Перейти к содержанию
Сергей Ильин

Как оценить риски связанные с информационной безопасностью?

Recommended Posts

Сергей Ильин

Многое говориться о том, что нужно защищаться от той или иной угрозы, что на предприятии и у простых домашних пользователей должен стоять антивирус, firewall, anti-spyware и т.д. и т.п.

Как расчитать риски связанные с возможными атаками и ущерб от них, цифры которые потом лягут на стол руководству при согласовании бюджета на информационную безопасность?

Как посчитать, окупится ли покупка и установка этих программ?

Может дешевле и правильнее будет не заморачиваться с защитой вообще или не покупать ту или иную программу(распространенное мнение среди персональщиков, типа вирусы мне не мешают)?

Интересны любые мнения на эту проблему, ну и, конечно, хотелось бы обсудить реальные методики расчета :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Многое говориться о том, что нужно защищаться от той или иной угрозы, что на предприятии и у простых домашних пользователей должен стоять антивирус, firewall, anti-spyware и т.д. и т.п.

Как расчитать риски связанные с возможными атаками и ущерб от них, цифры которые потом лягут на стол руководству при согласовании бюджета на информационную безопасность?

Как посчитать, окупится ли покупка и установка этих программ?

Может дешевле и правильнее будет не заморачиваться с защитой вообще или не покупать ту или иную программу(распространенное мнение среди персональщиков, типа вирусы мне не мешают)?

Интересны любые мнения на эту проблему, ну и, конечно, хотелось бы обсудить реальные методики расчета :-)

Итак, мы пришли к теме аудита инф безопасности. Откровенно? Наконец-то!

Здесь же мы будем говорить и об анализе рисков и т.д.

На мой взгляд стоит помнить что все же это вопрос достаточно "эмпирический", т.е. вероятность можно определить лишь весьма приблизительно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

В России международные стандарты принимаются во внимание при разработке общероссийских стандартов, которые призваны решать те же задачи, что и международные, но в масштабе РФ. Среди них отметим следующие стандарты:

22.01.1998 Аудит в условиях компьютерной обработки данных

Сформулированы общие требования к аудиту в условиях компьютерной обработки данных. Описаны особенности планирования и проведения аудита в этой среде.

11.07.2000 Проведение аудита с помощью компьютеров

Сформулированы условия применения компьютеров для проведения аудита. Описаны особенности планирования и проведения аудита с помощью компьютеров.

Кто из вас видел эти документы? Сможете ли (если они у вас есть) прислать их мне? На Украине соответствующих документов я не видел, потому хотел бы посмотреть ваши

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

есть всякие цифры, если мы говорим о рисках нарушения ИБ, то в принципе их можно оценить, даже с разных точек зрения; если говорим об окупаемости средств защиты, то тут проще: сумарный ущерб ($) вследствии инцидента ИБ должен значительно превышать средства ($) затраченные на то, чтобы инцидент не наступил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
есть всякие цифры, если мы говорим о рисках нарушения ИБ, то в принципе их можно оценить, даже с разных точек зрения; если говорим об окупаемости средств защиты, то тут проще: сумарный ущерб ($) вследствии инцидента ИБ должен значительно превышать средства ($) затраченные на то, чтобы инцидент не наступил.

1. Что такое значительно? В цифрах?

2. Как (в деньгах) оценить ущерб репутации?

3. Как (в деньгах) оценить ущерб, нанесенный банку вследствие утечки приватных данных о клиентах?

На самом деле масса вопросов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

:) да очень просто, вчера клиенты были - а сегодня клиентов НЕТ.

Клиентов НЕТ - считайте упущеную выгоду.. Не соглашусь, что управляющие не строят планы на прибыль, а планы строят в соответсвии с вложениями..

Например Вы устраиваете рекламную компанию на 500000$, одновременно с рекламой выходит сообщение, что у вас инфу стырили..

УЩЕРБ ОЧЕВИДЕН

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
:) да очень просто, вчера клиенты были - а сегодня клиентов НЕТ.

Клиентов НЕТ - считайте упущеную выгоду.. Не соглашусь, что управляющие не строят планы на прибыль, а планы строят в соответсвии с вложениями..

Например Вы устраиваете рекламную компанию на 500000$, одновременно с рекламой выходит сообщение, что у вас инфу стырили..

УЩЕРБ ОЧЕВИДЕН

Расчет упущенной прибыли не всегда подходит, не говоря уже о точности. Предпложим у нас компания оказывает услуги, да 10 клиентов ушли, когда узнали, что нашу компанию поломали хацкеры. Как перевести потерю этих 10 клиентов в деньги, ведь мы не знаем сколько бы они у нас покупали услуг, польовались ли они ими еще год или всего месяц?

Тут можно произвести только грубую оценку, взять средний показатель доходности с клиента по компании, учесть средний цикл жизни клиента (если такое вообще возможно). Это будет оценка по недополученной прибыли.

Далее считаем ущер нанесенный инфраструктуре предприятия: восставновление работоспособности сети, компьютеров и т.д. (прямы затраты + время персонала пересчитанное в деньги).

Идем дальше, самое сложное:

1. Упущенные возможности. Что могло бы быть если бы атаки не было? Как быть с этим? :) Может к нам бы пришел жирный клиент или инвестор, который бы поднял наше предприятие на новый уровень

2. Потерянные управленческие ресурсы, это связано с потерей времени руководства, которое оно бы потратило на менеджмент, стратегию и т.д., но которое ушло на борьбу с последнствиями атаки. Это вообще нельзя посчитать.

Уверен я не все написал, экспромт, думаю, коллеги дополнят меня. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
:) да очень просто, вчера клиенты были - а сегодня клиентов НЕТ.

Клиентов НЕТ - считайте упущеную выгоду.. Не соглашусь, что управляющие не строят планы на прибыль, а планы строят в соответсвии с вложениями..

Например Вы устраиваете рекламную компанию на 500000$, одновременно с рекламой выходит сообщение, что у вас инфу стырили..

УЩЕРБ ОЧЕВИДЕН

Как оценить недополученную прибыль???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

процесс расчетов (денег) за утраченную репутацию вывести просто нельзя (в крайнем случае весма сложно) потому и рекомендуется проводить не количественный, а качественный анализ рисков. (См. все классические учебники)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

рассказываю для тех кто в танке:

банки работают за проценты, проценты получаются от каждой услуги -чем больше услуг тем больше денег.

Репутация потеряна - прогнозы по развитию не сбылись, как бы Вы не оценивали риски.. руководству важна ЦИФРА..и следствия

Пока цифры не будет, вся ИБ останется обслугой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
рассказываю для тех кто в танке:

банки работают за проценты, проценты получаются от каждой услуги -чем больше услуг тем больше денег.

Репутация потеряна - прогнозы по развитию не сбылись, как бы Вы не оценивали риски.. руководству важна ЦИФРА..и следствия

Пока цифры не будет, вся ИБ останется обслугой.

Хорошо, предположим отдел ИБ работает на отлично и успешных атак не было, как посчитать, сколько клиентов у банка уйдет, если, скажем общественности будет известно о несанкционированном доступе к его базе? :)

Часто бывает такая ситуация, руководству неизвестны факты, угрозы и т.д. и вообще они далеки отвсего этого, могут сказать, что типа нам хакеры не угрожают, ни разу и так не ломали, зачем нам вообще эта защита и Х штук баксов в бюджете на эту никому не нужную затею.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
рассказываю для тех кто в танке:

банки работают за проценты, проценты получаются от каждой услуги -чем больше услуг тем больше денег.

Репутация потеряна - прогнозы по развитию не сбылись, как бы Вы не оценивали риски.. руководству важна ЦИФРА..и следствия

Пока цифры не будет, вся ИБ останется обслугой.

Еще раз. Как узнать сколько клиентов к тебе не пришло из-за потерянной репутации? Сколько сделок (и сумма) неполученной прибыли в этом случае? Все эти расчеты из области пол-потолок!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

как я писал выше есть ТЕНДЕНЦИЯ, ОЖИДАЕМАЯ ПРИБЫЛЬ.

Причём распределённая на кварталы, месяцы и т п.

Или вы считаете, что все процессы спонтанны????

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×