24 сентября, понедельник 22:09
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Замена экспертной оценки, без наличия статистики.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Замена экспертной оценки, без наличия статистики.

    Чем можно заменить экспертную оценку без наличия статистических данных. И вообще можно ли ее заменить?

  • #2
    barmalei
    Если честно, то х.з...
    Столкнувшись сейчас с ситуацией, когда компанией привлекается внешний аудитор ИБ и почитав кой-какие более ранние отчёты по проведённому аудиту понял, что т.н."экспертная оценка" в 9 случаях из 10 базируется всё на той же статистике.Т.е., у "эксперта" существует собственная база статистических данных, которую он пополняет из своих источников и на основании именно этой базы формирует свою "экспертную оценку".В связи с этим возникает вопрос о "приложимости" этой самой статистики к вполне конкретной ситуации...
    Всё в наших руках...(с)

    Комментарий


    • #3
      Я пришел к выводу что экспертная оценка - это прогноз погоды.
      Чем ее заменить - пока не нашел. Может malotavr искал какие пути обхода?

      Комментарий


      • #4
        Сообщение от barmalei Посмотреть сообщение
        Я пришел к выводу что экспертная оценка - это прогноз погоды.
        Чем ее заменить - пока не нашел. Может malotavr искал какие пути обхода?
        Ну почему же. статистика штука конечно хорошая, но только когда она есть. А с этим у нас туго. Создать бы что-то типа бюро кредитных историй - только про инциденты в ИБ. Так ведь никто не возьмется.
        Я бы все же больше доверил хорошему эксперту. Лучше - 2-м, независимым друг от друга.
        Я словно лист на ветру, посмотри как я лечу...

        Комментарий


        • #5
          Создать бы что-то типа бюро кредитных историй - только про инциденты в ИБ.
          Уже есть подобная организация.
          Только в России мне кажется мало кто такую информацию разглашает кому-либо

          Комментарий


          • #6
            Сообщение от barmalei Посмотреть сообщение
            Только в России мне кажется мало кто такую информацию разглашает кому-либо
            Да уж, инциденты ИБ - штука интимная. Я бы не стал о них никому лишнему рассказывать

            Комментарий


            • #7
              Сообщение от Mc`Sim Посмотреть сообщение
              Я бы все же больше доверил хорошему эксперту. Лучше - 2-м, независимым друг от друга.
              По-правде говоря, экспертная оценка - это действительно, из области шаманства. Ведь одни и те же найденные "проколы" могут привести совершенно к разным последствиям.

              Комментарий


              • #8
                Сообщение от malotavr Посмотреть сообщение
                Да уж, инциденты ИБ - штука интимная. Я бы не стал о них никому лишнему рассказывать
                А если Региональное Управление ЦБ пришлет письмо о предоставлении информации об инцидентах в области информационной безопасности в нашей организации согласно определенной форме? (В соответствие с письмом Главного управлеия безопасности и защиты информации Банка России от хх.хх.хххх г. № хх-х-х-х/хххх в целях достижения адекватности мер по защите от реальных угроз информационной безопасности, предотвращения и (или) снижения ущерба от инцидентов безопасности организации банковской системы в целом).
                Обязаны ли мы предоставить такую информацию?

                Комментарий


                • #9
                  Сообщение от timset Посмотреть сообщение
                  А если Региональное Управление ЦБ пришлет письмо о предоставлении информации об инцидентах в области информационной безопасности в нашей организации согласно определенной форме? (В соответствие с письмом Главного управлеия безопасности и защиты информации Банка России от хх.хх.хххх г. № хх-х-х-х/хххх в целях достижения адекватности мер по защите от реальных угроз информационной безопасности, предотвращения и (или) снижения ущерба от инцидентов безопасности организации банковской системы в целом).
                  Обязаны ли мы предоставить такую информацию?
                  Хороший вопрос Я не знаю нормативно-правовых актов, позволяющих ГУБЗИ требовать от банка предоставлять полную и достоверную информацию об инцидентах ИБ. Возможно, это мой личный пробел в образовании, Покопаюсь в базе.

                  Комментарий


                  • #10
                    Сообщение от timset Посмотреть сообщение
                    А если Региональное Управление ЦБ пришлет письмо...
                    Да, формально - не обязаны.

                    Информацию об инцидентах вы совершенно законно можете отнести к информации, составляющей коммерческую тайну. Вы обязаны предоставить эту информацию органам государственной власти при получении от них мотивированного требования. Требование должно содержать правовые основания, позволяющие данному органу требовать у вас эту информацию.

                    Центральный банк является органом государственной власти, но в соответствии с действующими федеральными щзаконами у него нет функций, позволяющих ему "достигать адекватности мер по защите от реальных угроз ... организации банковской системы в целом". Поэтому РУ может вас только вежливо попросить, а вы - добровольно предоставиь подобную информацию.

                    Понятно, что ваше руководство вряд ли ответит на подобную просьбу категорическим отказом. С другой стороны, возможно, что вы не можете себе позволить светить некоторые инциденты даже Центральному Банку. В этом случае у вас есть два совершенно законных варианта.

                    1. Вы можете ответить, что не регистрируете инциденты (даже если это не так - НПА не обязывают вас предоставлятьв ЦБ ВСЮ информацию о применяемых мерах защиты)
                    2. Вы можете предоставить выдержку из базы инцидентов.

                    Комментарий


                    • #11
                      2malotavr - подскажите на чем обычно основывается ваша экспертная оценка?
                      И в случае отсутствия статистики, внутренней и общемировой, как получается ваша экспертная оценка?

                      Комментарий


                      • #12
                        На здравом смысле Примеры я приводил.

                        Случайные события можно оценивать из соображения "хоть раз да произойдет". Атаки извне не оцениваем - просто используем стандартный бэйзлайн, он не вызывает сомнений у руководства. Со злоупотреблениями все и проще, и сложнее.

                        Возможность злоупотребления со стороны пользователя легко продемонстрировать. Заводите тестового пользователя, показываете, какая последовательность действий приводит к ущербу и демонстрируете, что оставляемые следы не позывволяют выявить или доказать нарушение, даете список сотрудников, имеющих те же возможности, что и тестовый пользователь. Этого руководству вполне достаточно.

                        С админами сложнее. Я смотрю, на чем бы я мог заработать, если бы был админом, и какие средства защиты мне мешают. Для мешающих средств защиты придумываю методы обхода (как скопировать криптографический ключ, где и как поставить кейлоггер, куда можно подключить собственую железку. Описываю в отчете, показываю начальнику IT-отдела. Обычно он соглашается, что да, вполне реализуемо. Бывает, что не соглашаются. Или наоборот, показывают, что это можно проделать намного проще В любом случае, подтверждения админов что они на такое способны, тоже вполне достаточно.

                        Комментарий


                        • #13
                          malotavr
                          как я понимаю - это Вы описываете оценку рисков.
                          А как можно оценить вероятность релизации?

                          вспомнил анекдот. Блондинку спрашивают - какова вероятность выиграть в лотерею 1 миллион баксов. Она говорит - 50/50. Почему? А, говорит, либо выиграю, либо нет.

                          Тут, как я вижу, на Ваш пример с тестовым пользователем надо наложить сведения о сотрудниках(их профессиональном опыте), их осведомленность о атакуемом ресурсе и т.д.
                          Ведь Вы, как человек, проектировавший и внедрявший защиту, заранее в более выигрышном положении.
                          Последний раз редактировалось Mc`Sim; 29.12.2007, 16:47.
                          Я словно лист на ветру, посмотри как я лечу...

                          Комментарий


                          • #14
                            Сообщение от Mc`Sim Посмотреть сообщение
                            malotavr
                            как я понимаю - это Вы описываете оценку рисков. А как можно оценить вероятность релизации?
                            Для злоупотреблений я вероятность не оцениваю, ограничиваюсь только ущербом. Руководству достаточно того, что перечисленные сотрудники без проблем способны такой ущерб причинить (ели угодно - принимают вероятность равной 1 _

                            Комментарий


                            • #15
                              Сообщение от malotavr Посмотреть сообщение
                              Для злоупотреблений я вероятность не оцениваю, ограничиваюсь только ущербом. Руководству достаточно того, что перечисленные сотрудники без проблем способны такой ущерб причинить (ели угодно - принимают вероятность равной 1 _
                              Продолжу тему анекдотов:
                              ....
                              - Вы варите самогон. У вас нашли апарат.
                              -- Тогда судите меня за изнасилование.
                              - Вы что? Кого-то изнасиловали?
                              -- Нет. Но аппарат-то есть!

                              malotavr, наличие возможностей не означает их применения. На мой взгляд, опасен не тот кто может это сделать, а тот кто хочет это сделать. Это я к вероятности=1.

                              Комментарий


                              • #16
                                Сообщение от box_roller Посмотреть сообщение
                                Продолжу тему анекдотов:
                                ....
                                - Вы варите самогон. У вас нашли апарат.
                                -- Тогда судите меня за изнасилование.
                                - Вы что? Кого-то изнасиловали?
                                -- Нет. Но аппарат-то есть!

                                malotavr, наличие возможностей не означает их применения. На мой взгляд, опасен не тот кто может это сделать, а тот кто хочет это сделать. Это я к вероятности=1.
                                Вопрос мотивации. Если у человека есть возможность бесконтрольно перевести пару мегабаксов в офшор - захочет. Или могут заставить.

                                Комментарий


                                • #17
                                  Случайные события можно оценивать из соображения "хоть раз да произойдет".
                                  Я тоже над этим много думал - тоже пришел к выводу Закона Мерфи:
                                  Но вопрос другой хоть раз да произойдет но за какой период?
                                  Атаки извне не оцениваем - просто используем стандартный бэйзлайн
                                  Честно говоря еще глубоко не знакомился с бейзлайном. Там перечислены статистические данные о внешних атаках?
                                  Описываю в отчете, показываю начальнику IT-отдела.
                                  Заметьте это тоже риск - рассказывать о возможных уязвимостях системы.

                                  Комментарий

                                  Пользователи, просматривающие эту тему

                                  Свернуть

                                  Присутствует 1. Участников: 0, гостей: 1.

                                  Обработка...
                                  X