21 сентября, пятница 13:42
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Практическое применение методов.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Практическое применение методов.

    Здравствуйте, уважаемые господа.
    Человек я новый на форуме, да и в ИБ теоретик больше, практик никакой, не судите строго.
    У меня возник следующий вопрос, который уже поднимался на форуме, но в другом контексте.
    Существует этап оценки рисков - это выявление угроз активов. Я в теоретическом плане под это пункт, довольно общий, отнес следующие решаемые вопросы:

    1. Какие существуют угрозы в отношении активов?
    2. Идентификация угроз и уязвимостей для идентифицированных активов;
    3. Выявить угрозы для этих активов.
    4. Выявить уязвимые места, которые могут быть использованы угрозами.
    5. Составление модели нарушителей;
    6. Составление модели угроз;

    Как мне кажется, здесь два способа решения данного вопроса:

    1. От всех активов к угрозам. Т.е. Берем каждый актив и рассматриваем с каждой стороны, какие ему присущи угрозы.
    Плюсы(ИМХО):
    а) процесс длительный, но более-менее определен алгоритмически
    б) можно пользоваться не только жизненным опытом, но и отталкиваться от различных стандартов, практик и рекомендаций.
    Минусы(ИМХО):
    а) Угрозы направлены не только на активы, но и на бизнес-процессы, и не каждый бизнес-процесс - является активом. Выходит, при выявлении угроз, не выявляются угрозы на бизнес-процессы.
    б) Некоторые активы не представляют ценности, чтобы о них даже думать.

    2. Построение модели угроз и модели нарушителя. На мой взгляд, здесь легче отталкиваться от бизнес-процессов для выявления угроз.
    Плюсы(ИМХО):
    а) Метод более предпочтителен при работе с(в) государственными и военными учреждениями. Это зачастую то, с чего начинается почти любой разговор, а не с политики безопасности.
    б) Не все активы, имеющиеся в организации, участвуют в бизнес-процессе. Или их просто не стоит включать в рассмотрение.А исходя из бизнес-процессов, выявятся все необходимые активы.
    Минусы(ИМХО):
    а) Метод требует большего практического опыта, т.к. некоторые активы могут быть просто не выявлены, или некоторые небольшие бизнес-процессы забыты.



    Вопрос:
    Каким из способов все же лучше пользоваться на практике, а не в теории? Существуют ли какие-нибудь способы еще?

  • #2
    )на мой взгляд- все равно изначально нужно идентифицировать активы (и бизнес процессы) а потом уж строить модели угроз и нарушителей.
    Почему так- потому нет "абсюлютных, самих по-себе" угроз- любая угроза всегда на что-то направлена (чему-то или кому-то угрожает), не может быть угрозы и не быть объекта(актива) которому эта угроза угрожает))).
    Аналогично и нарушители - (чего и когда они нарушают?)-
    ИМХО- сперва идентифицируем активы (и бизнес-процессы)с нужной нам детализацией, а потом строим модели угроз и нарушителей ))
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      На счет детализации:
      Тогда важен процесс детализации идентификации активов. На сколько мелко дробить активы? Или это опять "практическая опытность специалиста" или все же предпочтения руководства?

      На счет применяемого метода:
      Допустим, описываем активы, а потом выходит, что часть из них просто есть (смешно конечно) и ни в каких бизнес-процессах не используется, ну и соответственно нет нарушителей.
      Например(об активах):
      купили 100 ziv накопителей, фирма поставщик в качестве подарка подарила еще 7 flash драйвов. По документам 100 штук используются, 7 flash драйвов лежат или используются для своих нужд, не в бизнес-процессах. Идентифицируем при учете, что есть у нас ziv (даже 100 штук), что есть у него такие то угрозы, а вот flash драйвы мы даже не возьмем рассматривать, т.к. в бизнес-процессах они у нас не фигурируют.
      (ИМХО Выводы):
      То есть опять отталкиваемся от бизнес-процессов для понимания, что же все-таки у нас используется, и чего будем защищать.

      Пример(о бизнес-процессах):
      В компании существует бизнес-процесс, допустим, хранения данных об их постоянных клиентах и накопления данных о потенциальных. В качестве атаки на данный процесс может выступить разглашение в СМИ информации о торговле данной компанией информацией о их клиентах. Репутация фирмы подорвана. Компания понесла убытки.
      (ИМХО Выводы):
      Атака- да. А на какой актив? Неужели в активы еще необходимо записывать: «Репутация фирмы»?


      Я понимаю, что два способа есть, и понимаю, Ваши, George, предпочтения отталкиваться от активов. Может все-таки это опять те способы, когда надо их применять по обстоятельствам и нет единого правильного способа?

      Комментарий


      • #4
        Почему это flash-drive'ы не рассматриваются? Если они лежат, то здесь угроза - похищение. Если же используются, то налицо участие в бизнес-процессах. То есть угроза - похищение самого flash-drive'а + информации на нем. И если они используются, то обязательно должны быть указаны в документах.

        Насчет примера с бизнес-процессами, то имхо вы немного не поняли. Определяется бизнес-процесс, затем определяются активы, участвующие в нем. И вот именно здесь и производится оценка рисков. А "репутация фирмы" - да, тоже актив.
        Вот только вопрос оценки этого актива до сих пор обсуждается на этом форуме (как я заметил).

        Комментарий


        • #5
          Почему это flash-drive'ы не рассматриваются? Если они лежат, то здесь угроза - похищение.
          Нет, все понятно, хотел предположить, что возможно не все активы необходимо идентифицировать и вносить их наравне с особо важными активами в один список. Одной документации по активам будет невпроворот, а работы по оценке рисков вообще. Есть предположение (опять ИМХО), что начинаем идентификацию с особо важных бизнес-процессов, а к ним "прилепляются" активы, используемые в них. Возможно, эти флешки просто будут учтены в самую последнюю очередь, или вообще не будут, т.к. даже при их воровстве это на отчет руководству(ом) не выставиться, т.к. они даже не числятся .

          Вот только вопрос оценки этого актива до сих пор обсуждается на этом форуме (как я заметил).
          Прошу прощения, не нашел.

          Комментарий


          • #6
            На сколько мелко дробить активы?- конечно здесь должна присутствовать разумная достаточность- теоретически мы можем раздробить активы до отдельных записей в АБС и до конкретных значений в отдельных справочниках (допустим паспортные данные Сидорова-один актив, паспортные данные Иванова - второй актив и т.д или другая крайность, объявить что ВСЕ однородно и является одним большим и важным активом)- так что конечно здесь решающее значение имеет "практическая опытность специалиста"- и терпение Вашего руководства т.к. неизменно будет стойкое сопротивление от "владельцев" активов- которые собственно говоря и должны будут проводить процесс идентификации-учета активов(бизнес-процессов). ))
            Мы продолжаем делать то, что мы уже много наделали

            Комментарий


            • #7
              Есть предположение (опять ИМХО), что начинаем идентификацию с особо важных бизнес-процессов, а к ним "прилепляются" активы, используемые в них.
              Я тоже склоняюсь к такому варианту.

              Прошу прощения, не нашел.
              Ну хотя бы обсуждение статьи "О заблуждениях в безопасности, ставших классикой".

              Комментарий


              • #8
                В эту тему "практического применения методов", хочется задать вопрос по практическим методам анализа бизнес-процессов с целью последующей идентификации активов.
                Какие методы наиболее распространены у практиков? Используется ли моделирование бизнес-процессов и систем методами UML или все же это в практике делают другими способами? Зависят ли применяемые методы анализа от размера организации?

                Комментарий


                • #9
                  Сообщение от kuzuyak Посмотреть сообщение
                  Пример(о бизнес-процессах):
                  В компании существует бизнес-процесс, допустим, хранения данных об их постоянных клиентах и накопления данных о потенциальных. В качестве атаки на данный процесс может выступить разглашение в СМИ информации о торговле данной компанией информацией о их клиентах. Репутация фирмы подорвана. Компания понесла убытки.
                  (ИМХО Выводы):
                  Атака- да. А на какой актив? Неужели в активы еще необходимо записывать: «Репутация фирмы»?[/B]
                  Что вы понимаете под торговлей информацией о клиентах? Это действие может быть либо санкционмровано руководством (типа, побочный бизнес), либо нет. Соответственно, непонятно, что именно вы имели в виду.

                  1. Вы имели в виду санкционированную торговлю.

                  В этом случае актив - это информация о деятельности фирмы. Угроза - разглашение (нарушение конфиденциальности) этой информации. Это в чистом виде репутационный риск. Актив нематериален, поэтому на практике вы не сможете его идентифицировать тни при процессном подходе, ни при инвентаризации активов.

                  2 Вы имели в виду, что произошел слив информации, в результате которого в прессе появились публикации "о торговле данной компанией информацией о их клиентах".

                  В этом случае, на мой взгляд вы смешали в кучу два понятия - угроза (threat) и ущерб (impact).

                  Активом в этом примере является клиентская база. Угроза - сам слив информации. Слитую информацию можно использовать разными способами, которые приводят к разным ущербам. Вы рассмотрели один из возможных вариантов косвенного ущерба (репутационные потери как следствие черного пиара, который в свою очередь является следствием слива). Но та же самая угроза приводит и к другим, прямым щербам (переманивание ваших клиентов конкурентом).

                  Актив по-прежнему нематериален, при инвентаризации активов вам его идентифицировать сложно. Вы знаете, что у вас есть СУБД, но о том, что в этой СУБД есть клиентская база, вы узнаете только в том случае, если базы данных хорошо ддокументированы (что в наших условиях - редкость). При анализе бизнес-проуессов вы о существовании клиентской базы узнаете обязательно.

                  Комментарий


                  • #10
                    2malotavr
                    Актив по-прежнему нематериален, при инвентаризации активов вам его идентифицировать сложно. Вы знаете, что у вас есть СУБД, но о том, что в этой СУБД есть клиентская база, вы узнаете только в том случае, если базы данных хорошо ддокументированы (что в наших условиях - редкость). При анализе бизнес-проуессов вы о существовании клиентской базы узнаете обязательно.
                    Понял, спасибо.

                    И еще маленькое уточнение:
                    Что вы понимаете под торговлей информацией о клиентах?
                    Я подразумевал клевету на организацию сторонними организациями. Организация не торгует информацией из клиентской базы и утечки не было.

                    Комментарий


                    • #11
                      Для начала вам необходимо определиться с целью процесса.
                      Подробное описание бизнес процессов потребуется при разработке BCP.

                      Комментарий


                      • #12
                        Сообщение от teofrast Посмотреть сообщение
                        А "репутация фирмы" - да, тоже актив. Вот только вопрос оценки этого актива до сих пор обсуждается на этом форуме (как я заметил).
                        Интересное утверждение.

                        С точки зрения стандартов (например, ISO 13335) репутация - это пример немматериального актива. Но с точки зрения тех же самых стандартов, для того, чтобы вы могли включить актив в систему менеджимента рисков, он должен обладать рядом атрибутов, например, определяемой ценностью или идентифицируемыми уязвимостями. Вы уверены, что вы можете привести пример уязвимости для репутации? Я не могу. Идентифицировать саму репутацию я, кстати, тоже не могу.

                        Так что предлагаю не умножать сущностей без необходимости То есть, если вы действительно можете работать с репутацией так же, как и с другими активами - респект вам и уважуха, но можете ли вы?

                        Комментарий


                        • #13
                          2barmalei
                          Для начала вам необходимо определиться с целью процесса.
                          Подробное описание бизнес процессов потребуется при разработке BCP.
                          Если Вы по поводу
                          В эту тему "практического применения методов", хочется задать вопрос по практическим методам анализа бизнес-процессов с целью последующей идентификации активов.
                          Какие методы наиболее распространены у практиков? Используется ли моделирование бизнес-процессов и систем методами UML или все же это в практике делают другими способами? Зависят ли применяемые методы анализа от размера организации?
                          Не совсем понял Ваш ответ . Попробую задать еще разок:
                          Я имел ввиду: как используются и используются ли вообще в практике "анализа рисков" методы "анализа бизнес-процессов". Цель процесса (анализ бизнес-процессов) - выявить все активы участвующие в бизнес-процессах. Какие методики и ПО тогда предпочтительны? Непрерывность бизнеса не трогаем.

                          Комментарий


                          • #14
                            Скрываемая судимость за мошенничество руководителя банка не уязвимость для репутации этого банка? (пример конечно условный)

                            Комментарий


                            • #15
                              Сообщение от VSB Посмотреть сообщение
                              Скрываемая судимость за мошенничество руководителя банка не уязвимость для репутации этого банка? (пример конечно условный)
                              Может быть это просто информация, наряду с другой конфиденциальной информацией? Сомневаюсь, что всю информацию конфиденциального характера можно считать уязвимостью.

                              Комментарий


                              • #16
                                В эту тему "практического применения методов", хочется задать вопрос по практическим методам анализа бизнес-процессов с целью последующей идентификации активов.
                                Какие методы наиболее распространены у практиков? Используется ли моделирование бизнес-процессов и систем методами UML или все же это в практике делают другими способами? Зависят ли применяемые методы анализа от размера организации?
                                Если вам не нужен BCP, тогда нет особого смысла в описании процессов. Вам нужны владельцы активов, которые вам смогут все рассказать о своих активах. Так же необходимо собрать информацию от ИТ.

                                Комментарий


                                • #17
                                  Сообщение от kuzuyak Посмотреть сообщение
                                  Я подразумевал клевету на организацию сторонними организациями. Организация не торгует информацией из клиентской базы и утечки не было.
                                  А, тут немножко другая история.

                                  У СУИБ есть определенная область применения (scope). Черный пиар, как и раскрытие информации о судимости владельца фирмы, находятся за областью действия СУИБ (у вас нет способов контролировать СМИ, поэтому включать такой актив в область действия СУИБ просто бессмысленно). Поэтому в этом случае нет ни угрозы, ни уязвимости.

                                  Комментарий


                                  • #18
                                    Сообщение от barmalei Посмотреть сообщение
                                    ...Вам нужны владельцы активов, которые вам смогут все рассказать о своих активах. Так же необходимо собрать информацию от ИТ.
                                    Знаете, меня мучает мысль не о том, что спрашивать у владельцев активов, а как их найти , сейчас поясню. Прежде чем найти владельца актива, мне нужно понять с каким активов я имею дело, а чтобы понять с каким(и) активом(ами) придется возиться и смотреть, кто у них владелец, мне все же опять придется отправляться не с потолка, а от "практического применения методов" анализа бизнес-процессов.

                                    Комментарий


                                    • #19
                                      секундочку - я писал про руководителя, а не владельца. Как раз владелец и должен определить нашу стратегию: уволить такого руководителя, купить СМИ (пусть это маленький городок), уничтожить документы свидетельствующие о судимости и т.д.

                                      Комментарий


                                      • #20
                                        Сообщение от kuzuyak Посмотреть сообщение
                                        Я имел ввиду: как используются и используются ли вообще в практике "анализа рисков" методы "анализа бизнес-процессов". Цель процесса (анализ бизнес-процессов) - выявить все активы участвующие в бизнес-процессах. Какие методики и ПО тогда предпочтительны? Непрерывность бизнеса не трогаем.
                                        Я только их и использую. Обычно это выглядит так - я прихожу в отделение и прошу на моем примере продемонстрировать выполнение интересующего меня процесса (открытие счета, выдачу наличных и т.п.). По ходу "обслуживания" фиксирую действия (отсканировали страничку паспорта, отправили запрос такому-то сотруднику бэк-офиса, выполнили в АБС такую-то транзакцию. Дальше прихожу в бэк-офис и прошу показать, как обрабатываются запросы вроде тех, который я зафиксировал в отделении. И так далее, пока процесс для меня самого не станет прозрачным.

                                        Потом иду по пунктам и выясняю: что произойдет, если запрос не пройдет, где хранятся скан-копии, а вот я видел вы запись в экселевской табличке сделали - что это за табличка и какую информацию вы туда вносите. И так по всем известным мне процессам.

                                        ПО - записная книжка в КПК, Word и Excel на рабочем месте.

                                        Комментарий


                                        • #21
                                          Так что предлагаю не умножать сущностей без необходимости То есть, если вы действительно можете работать с репутацией так же, как и с другими активами - респект вам и уважуха, но можете ли вы?
                                          Извиняюсь, заблуждался. Действительно, не могу.
                                          Пока еще сам разбираюсь во всем этом, и до 13335 не дошел.

                                          Комментарий


                                          • #22
                                            Сообщение от malotavr Посмотреть сообщение
                                            ... И так по всем известным мне процессам.
                                            ПО - записная книжка в КПК, Word и Excel на рабочем месте.
                                            Понятно.Наверно, в больших организациях это весьма трудоемко. Наверно приятно, когда организация предоставляет сама аналитику по безопасности информацию о своих бизнес-процессах в виде, допустим, графов UML.

                                            to VSB
                                            секундочку - я писал про руководителя, а не владельца. Как раз владелец и должен определить нашу стратегию: уволить такого руководителя, купить СМИ (пусть это маленький городок), уничтожить документы свидетельствующие о судимости и т.д.
                                            Согласен с Вами по поводу отношений владельцев и руководителей. А по поводу "Скрываемая судимость за мошенничество руководителя банка" не совсем. Вы считаете, что скрываемая судимость, представляя собой информацию конфиденциального характера, является угрозой? Может быть сама потеря конфиденциальности в виде разглашения, опубликования, похищения является угрозой?

                                            Комментарий


                                            • #23
                                              Знаете, меня мучает мысль не о том, что спрашивать у владельцев активов, а как их найти , сейчас поясню. Прежде чем найти владельца актива, мне нужно понять с каким активов я имею дело, а чтобы понять с каким(и) активом(ами) придется возиться и смотреть, кто у них владелец, мне все же опять придется отправляться не с потолка, а от "практического применения методов" анализа бизнес-процессов.
                                              Собираете данные о ИА(в том числе, хранящихся на сетевых и локальных дисках),сервисах которыми пользуется ВА, аппаратном обеспечении, самом помещении где работает ВА.
                                              В результате вы идентифицируете все Активы которыми пользуется ВА.

                                              Комментарий


                                              • #24
                                                Сообщение от barmalei Посмотреть сообщение
                                                Собираете данные о ИА(в том числе, хранящихся на сетевых и локальных дисках),сервисах которыми пользуется ВА, аппаратном обеспечении, самом помещении где работает ВА.
                                                В результате вы идентифицируете все Активы которыми пользуется ВА.
                                                В общем, подход понятен. У нас без методик ничего не делается, да и я люблю систематизацию и алгоритмизацию. Буду кумекать . Спасибо.

                                                Комментарий


                                                • #25
                                                  я считаю, что скрываемая судимость нанятого руководителя банка есть уязвимость репутации банка.
                                                  Причем как скрываемая при принятии на работу им от банка, так и банком от "общественности".
                                                  Если первый случай лечится контролем А.8.1.2 от 27001, то второй это риск, принятый владельцем бизнеса, мы можем только предлагать мероприятия по уменьшению вероятности раскрытия и по уменьшению ущерба от такого раскрытия. Я так думаю
                                                  Но опять же повторюсь - пример условный, может за такое скрытие уголовная ответственность есть и ни один владелец не возьмётся скрывать. Или может такие судимости в порядке вещей среди руководства и не скрывать, а гордиться надо. Я не знаю.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от kuzuyak Посмотреть сообщение
                                                    Понятно.Наверно, в больших организациях это весьма трудоемко. Наверно приятно, когда организация предоставляет сама аналитику по безопасности информацию о своих бизнес-процессах в виде, допустим, графов UML.
                                                    Приятно. Но увы в природе не встречал.
                                                    По поводу трудоемкости - и соглашусь, и нет. В моем случае объем работы растет не с количеством отделений/сотрудников, а с количеством предлагаемых типов продуктов. Сами процессы при этом унифицированы для всех отделений. Наверно, есть какая-то критическая масса, с которой сложность начнет нарастать, но пока предпосылок не вижу.

                                                    А вот начинать эту работу с нуля в крупном, давно работающем банке - каторожный труд

                                                    Комментарий


                                                    • #27
                                                      Сообщение от VSB Посмотреть сообщение
                                                      то второй это риск, принятый владельцем бизнеса, мы можем только предлагать мероприятия по уменьшению вероятности раскрытия и по уменьшению ущерба от такого раскрытия. Я так думаю
                                                      У вас есть идеи на эту тему? Я бы не взялся

                                                      Кроме того, если риск уже принят, зачем его еще снижать?

                                                      Комментарий


                                                      • #28
                                                        В общем, подход понятен. У нас без методик ничего не делается, да и я люблю систематизацию и алгоритмизацию. Буду кумекать . Спасибо.
                                                        Чем вам не методика, что я предложил?
                                                        1. На первом этапе собираете вводную информацию(от ВА и тех. персонала), собираете все воедино, какие-то активы при этом возможно будет объеденить в группы.
                                                        Собираете данные о ИА(в том числе, хранящихся на сетевых и локальных дисках),сервисах которыми пользуется ВА, аппаратном обеспечении, самом помещении где работает ВА.
                                                        В результате вы идентифицируете все Активы которыми пользуется ВА.
                                                        2. После сбора вводной информации и ее систематизации идете второй раз к ВА, проводите оценку активов, по Ц,К,Д и др. дополнительным параметрам.

                                                        Если вы пойдете через процессы, это будет достаточно ресурсоемко, в не зависимости от размеров банка, по сравнению с вышеописанным подходом. Т.к. вы возьметесь изучать все процессы банка, то имеет смысл заодно их описать, что бы в будущем применить в разработке BCP.
                                                        А описание бизнес процессов, если они у вас нигде не описаны, работа не такая простая.

                                                        Комментарий


                                                        • #29
                                                          Идеи (идеализированные) я уже описал выше. Взяться может и я бы не взялся. Но мы начали с примера уязвимости репутации банка. Я привел пример (на мой взгляд) такой уязвимости и попытался это обосновать. Вы согласны с тем что это уязвимость или нет в итоге?

                                                          А по поводу снижения риска... Вы когда женились, принимали риск развода? А потом в семейной жизни уменьшали вероятность наступления оного? А если уж не миновать, то снижали (бы) величину ущерба?

                                                          Извините если слишком личный вопрос получился

                                                          Комментарий


                                                          • #30
                                                            Господа, разрешите вам задать крамольный вопрос - а что дает вся ваша теория с рисками?
                                                            Ведь ваша цель в конце-концов информационная безопасность, так? То есть надо каким-то образом уберечь информацию от похищения или искажения.
                                                            Вы пытаесь использовать для этого риски. Но ведь при этом надо определиться с 2 понятиями - стоимость актива и вероятность его искажения или кражи. И как вы это определите? Как можно определить сколько стоит экселевский файл содержащий список клиентов банка и их паспортные данные? Кто вам это скажет? Владелец актива? Не смешите. Точнее он вам назовет какую-то бредовую цифру чтоб вы от него отстали, но как близко это к истине?
                                                            А вероятность того, что этот файл сопрут или изменят как вы определите если у вас нет соответствующей статистики?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X