Перейти к содержанию
Сергей Ильин

Как оценить риски связанные с информационной безопасностью?

Recommended Posts

Сергей Ильин

Многое говориться о том, что нужно защищаться от той или иной угрозы, что на предприятии и у простых домашних пользователей должен стоять антивирус, firewall, anti-spyware и т.д. и т.п.

Как расчитать риски связанные с возможными атаками и ущерб от них, цифры которые потом лягут на стол руководству при согласовании бюджета на информационную безопасность?

Как посчитать, окупится ли покупка и установка этих программ?

Может дешевле и правильнее будет не заморачиваться с защитой вообще или не покупать ту или иную программу(распространенное мнение среди персональщиков, типа вирусы мне не мешают)?

Интересны любые мнения на эту проблему, ну и, конечно, хотелось бы обсудить реальные методики расчета :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Многое говориться о том, что нужно защищаться от той или иной угрозы, что на предприятии и у простых домашних пользователей должен стоять антивирус, firewall, anti-spyware и т.д. и т.п.

Как расчитать риски связанные с возможными атаками и ущерб от них, цифры которые потом лягут на стол руководству при согласовании бюджета на информационную безопасность?

Как посчитать, окупится ли покупка и установка этих программ?

Может дешевле и правильнее будет не заморачиваться с защитой вообще или не покупать ту или иную программу(распространенное мнение среди персональщиков, типа вирусы мне не мешают)?

Интересны любые мнения на эту проблему, ну и, конечно, хотелось бы обсудить реальные методики расчета :-)

Итак, мы пришли к теме аудита инф безопасности. Откровенно? Наконец-то!

Здесь же мы будем говорить и об анализе рисков и т.д.

На мой взгляд стоит помнить что все же это вопрос достаточно "эмпирический", т.е. вероятность можно определить лишь весьма приблизительно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

В России международные стандарты принимаются во внимание при разработке общероссийских стандартов, которые призваны решать те же задачи, что и международные, но в масштабе РФ. Среди них отметим следующие стандарты:

22.01.1998 Аудит в условиях компьютерной обработки данных

Сформулированы общие требования к аудиту в условиях компьютерной обработки данных. Описаны особенности планирования и проведения аудита в этой среде.

11.07.2000 Проведение аудита с помощью компьютеров

Сформулированы условия применения компьютеров для проведения аудита. Описаны особенности планирования и проведения аудита с помощью компьютеров.

Кто из вас видел эти документы? Сможете ли (если они у вас есть) прислать их мне? На Украине соответствующих документов я не видел, потому хотел бы посмотреть ваши

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

есть всякие цифры, если мы говорим о рисках нарушения ИБ, то в принципе их можно оценить, даже с разных точек зрения; если говорим об окупаемости средств защиты, то тут проще: сумарный ущерб ($) вследствии инцидента ИБ должен значительно превышать средства ($) затраченные на то, чтобы инцидент не наступил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
есть всякие цифры, если мы говорим о рисках нарушения ИБ, то в принципе их можно оценить, даже с разных точек зрения; если говорим об окупаемости средств защиты, то тут проще: сумарный ущерб ($) вследствии инцидента ИБ должен значительно превышать средства ($) затраченные на то, чтобы инцидент не наступил.

1. Что такое значительно? В цифрах?

2. Как (в деньгах) оценить ущерб репутации?

3. Как (в деньгах) оценить ущерб, нанесенный банку вследствие утечки приватных данных о клиентах?

На самом деле масса вопросов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

:) да очень просто, вчера клиенты были - а сегодня клиентов НЕТ.

Клиентов НЕТ - считайте упущеную выгоду.. Не соглашусь, что управляющие не строят планы на прибыль, а планы строят в соответсвии с вложениями..

Например Вы устраиваете рекламную компанию на 500000$, одновременно с рекламой выходит сообщение, что у вас инфу стырили..

УЩЕРБ ОЧЕВИДЕН

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
:) да очень просто, вчера клиенты были - а сегодня клиентов НЕТ.

Клиентов НЕТ - считайте упущеную выгоду.. Не соглашусь, что управляющие не строят планы на прибыль, а планы строят в соответсвии с вложениями..

Например Вы устраиваете рекламную компанию на 500000$, одновременно с рекламой выходит сообщение, что у вас инфу стырили..

УЩЕРБ ОЧЕВИДЕН

Расчет упущенной прибыли не всегда подходит, не говоря уже о точности. Предпложим у нас компания оказывает услуги, да 10 клиентов ушли, когда узнали, что нашу компанию поломали хацкеры. Как перевести потерю этих 10 клиентов в деньги, ведь мы не знаем сколько бы они у нас покупали услуг, польовались ли они ими еще год или всего месяц?

Тут можно произвести только грубую оценку, взять средний показатель доходности с клиента по компании, учесть средний цикл жизни клиента (если такое вообще возможно). Это будет оценка по недополученной прибыли.

Далее считаем ущер нанесенный инфраструктуре предприятия: восставновление работоспособности сети, компьютеров и т.д. (прямы затраты + время персонала пересчитанное в деньги).

Идем дальше, самое сложное:

1. Упущенные возможности. Что могло бы быть если бы атаки не было? Как быть с этим? :) Может к нам бы пришел жирный клиент или инвестор, который бы поднял наше предприятие на новый уровень

2. Потерянные управленческие ресурсы, это связано с потерей времени руководства, которое оно бы потратило на менеджмент, стратегию и т.д., но которое ушло на борьбу с последнствиями атаки. Это вообще нельзя посчитать.

Уверен я не все написал, экспромт, думаю, коллеги дополнят меня. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
:) да очень просто, вчера клиенты были - а сегодня клиентов НЕТ.

Клиентов НЕТ - считайте упущеную выгоду.. Не соглашусь, что управляющие не строят планы на прибыль, а планы строят в соответсвии с вложениями..

Например Вы устраиваете рекламную компанию на 500000$, одновременно с рекламой выходит сообщение, что у вас инфу стырили..

УЩЕРБ ОЧЕВИДЕН

Как оценить недополученную прибыль???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

процесс расчетов (денег) за утраченную репутацию вывести просто нельзя (в крайнем случае весма сложно) потому и рекомендуется проводить не количественный, а качественный анализ рисков. (См. все классические учебники)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

рассказываю для тех кто в танке:

банки работают за проценты, проценты получаются от каждой услуги -чем больше услуг тем больше денег.

Репутация потеряна - прогнозы по развитию не сбылись, как бы Вы не оценивали риски.. руководству важна ЦИФРА..и следствия

Пока цифры не будет, вся ИБ останется обслугой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
рассказываю для тех кто в танке:

банки работают за проценты, проценты получаются от каждой услуги -чем больше услуг тем больше денег.

Репутация потеряна - прогнозы по развитию не сбылись, как бы Вы не оценивали риски.. руководству важна ЦИФРА..и следствия

Пока цифры не будет, вся ИБ останется обслугой.

Хорошо, предположим отдел ИБ работает на отлично и успешных атак не было, как посчитать, сколько клиентов у банка уйдет, если, скажем общественности будет известно о несанкционированном доступе к его базе? :)

Часто бывает такая ситуация, руководству неизвестны факты, угрозы и т.д. и вообще они далеки отвсего этого, могут сказать, что типа нам хакеры не угрожают, ни разу и так не ломали, зачем нам вообще эта защита и Х штук баксов в бюджете на эту никому не нужную затею.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
рассказываю для тех кто в танке:

банки работают за проценты, проценты получаются от каждой услуги -чем больше услуг тем больше денег.

Репутация потеряна - прогнозы по развитию не сбылись, как бы Вы не оценивали риски.. руководству важна ЦИФРА..и следствия

Пока цифры не будет, вся ИБ останется обслугой.

Еще раз. Как узнать сколько клиентов к тебе не пришло из-за потерянной репутации? Сколько сделок (и сумма) неполученной прибыли в этом случае? Все эти расчеты из области пол-потолок!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

как я писал выше есть ТЕНДЕНЦИЯ, ОЖИДАЕМАЯ ПРИБЫЛЬ.

Причём распределённая на кварталы, месяцы и т п.

Или вы считаете, что все процессы спонтанны????

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Компания ESET ― лидер в области информационной безопасности ― сообщает о выходе новой версии продуктов ESET NOD32 Antivirus, ESET Internet Security и ESET Smart Security Premium для пользователей операционной системы Windows. Основными новинками стали функция LiveGuard для дополнительной защиты от неизвестных угроз, платформа для управления безопасностью ESET HOME, а также другие усовершенствования функционала для всесторонней безопасности устройств. Новая платформа для управления безопасностью В условиях постоянных кибератак обеспечения защиты своих устройств становится необходимостью. Поскольку смартфоны активно используются пользователями, управление безопасностью с их помощью является решающим. Именно поэтому было обновлено платформу для управления безопасностью домашних устройств ESET HOME (ранее известная как myESET), которая обеспечивает полный обзор всех решений ESET для операционных систем Windows и Android. В частности, пользователи могут видеть текущие статусы защиты различных устройств, подключенных к их учетным записям. Стоит отметить, что ESET HOME доступна через веб-портал и мобильное приложение для Android и iOS с возможностью управления безопасностью на ходу. Приложения позволяют пользователям добавлять лицензии и делиться ими с семьей и друзьями, а через веб-портал можно дополнительно осуществлять Управление паролями, Антивором и Родительским контролем. Основные преимущества версии 15 Современные технологии ― защита онлайн-платежей теперь работает по умолчанию, защищая любой поддерживаемый браузер с помощью усиленного режима. Благодаря методам обнаружения на основе поведения улучшена защита от программ-вымогателей, а также усовершенствована защита от дополнительных вредоносных техник. Новая функция LiveGuard (реализована в ESET Smart Security Premium) обеспечивает дополнительный уровень защиты пользователей от ранее неизвестных угроз, предотвращая запуск вредоносного кода. Этот сервис анализирует подозрительные файлы, включая документы, скрипты, инсталляторы и исполняемые файлы, в безопасной среде песочницы. Обновленное управление паролями (доступно в ESET Smart Security Premium) предусматривает улучшенный уровень безопасности и простоту использования. Стоит отметить, что управление паролями доступно во всех основных браузерах как расширение и на устройствах Android и iOS как отдельное приложение. Кроме этого, обновленный функционал обеспечивает поддержку KeePass и Microsoft Authenticator. «Мы обеспечиваем защиту пользователей в соответствии с последними достижениями в области кибербезопасности. Обновленные продукты, включая новую функцию LiveGuard и платформу ESET HOME, позволяют пользователям контролировать безопасность и управлять несколькими устройствами на ходу. Для нас важно обеспечить защиту пользователей с помощью передовых решений, которые простые и удобные в использовании», ― прокомментировала Мария Трнкова, директор ESET в сегменте решений для защиты домашних устройств и Интернета вещей. Пресс-выпуск.
    • Ego Dekker
      Для активации программы щёлкните правой кнопкой мыши на значок в области уведомлений и выберите в меню пункт «Активируйте программу». Активацию антивируса также можно выполнить, последовательно щёлкнув в главном меню элементы «Справка и поддержка» → «Активация продукта/изменение лицензии» или «Домашняя страница» → «Активировать продукт». Для активации пробной версии нужно выбрать вариант «Лицензия на бесплатную пробную версию», заполнить поля, затем нажать «Активировать». Зарегистрированным пользователям нужно ввести лицензионный ключ, полученный после активации лицензии. При наличии имени пользователя и пароля для домашнего антивируса ESET их можно преобразовать в лицензионный ключ для версии 15.
       
              ESET NOD32 Antivirus 15.0.16  (Windows 7 SP1/8/8.1/10/11, 32-разрядная)
              ESET NOD32 Antivirus 15.0.16  (Windows 7 SP1/8/8.1/10/11, 64-разрядная)
              ESET Internet Security 15.0.16  (Windows 7 SP1/8/8.1/10/11, 32-разрядная)
              ESET Internet Security 15.0.16  (Windows 7 SP1/8/8.1/10/11, 64-разрядная)
              ESET Smart Security Premium 15.0.16  (Windows 7 SP1/8/8.1/10/11, 32-разрядная)
              ESET Smart Security Premium 15.0.16  (Windows 7 SP1/8/8.1/10/11, 64-разрядная)
                                                                   ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 15  (PDF-файл)
              Руководство пользователя ESET Internet Security 15  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 15  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      Стать пользователем антивируса ESET
      Форум российского представительства ESET
      Удаление антивирусов других компаний
      ESET Online Scanner
      ESET SysRescue Live (диск аварийного восстановления)
      Как удалить антивирус 15-й версии полностью (пользователям Windows)?
      Прислать образец вируса или сообщить о ложном срабатывании*.
      * Чтобы антивирус смог вылечить заражённый файл, нужно отправить такой файл в архиве с паролем «infected» на адрес [email protected] с темой «[virus_name] — cleaner needed», где [virus_name] — название файлового вируса.
    • PR55.RP55
      Хорошо бы, чтобы uVS мог "самостоятельно" пополнять базу проверенных. Так: Оператор указывает каталог где находятся файлы установки:  Типа: Firefox Setup 93.0.exe  ;  472.12-desktop-win10-win11-64bit-international-whql.exe;  и т.д. А программа "сама" их  распаковывает и пополняет базу проверенных. По хорошему ещё можно задать список\исключения\игнорирования - вложенных файлов. nvgwls.exe - не распаковывать. NvCplSetupInt.exe  - распаковать и т.д. Это позволит существенно быстрее пополнять базу + экономя времени.    
    • demkd
      ---------------------------------------------------------
       4.11.12
      ---------------------------------------------------------
       o В обработчик BITS добавлен разбор командной строки нотификации. (BITS v1.5+)  o Добавлено автоматическое определение NTFS линков.  
    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.11.2. В числе прочего добавлена поддержка macOS Monterey (версия 12).
×