Чем можно заменить экспертную оценку без наличия статистических данных. И вообще можно ли ее заменить?
Объявление
Свернуть
Пока нет объявлений.
Замена экспертной оценки, без наличия статистики.
Свернуть
X
-
barmalei
Если честно, то х.з...
Столкнувшись сейчас с ситуацией, когда компанией привлекается внешний аудитор ИБ и почитав кой-какие более ранние отчёты по проведённому аудиту понял, что т.н."экспертная оценка" в 9 случаях из 10 базируется всё на той же статистике.Т.е., у "эксперта" существует собственная база статистических данных, которую он пополняет из своих источников и на основании именно этой базы формирует свою "экспертную оценку".В связи с этим возникает вопрос о "приложимости" этой самой статистики к вполне конкретной ситуации...Всё в наших руках...(с)
-
Сообщение от barmalei Посмотреть сообщениеЯ пришел к выводу что экспертная оценка - это прогноз погоды.
Чем ее заменить - пока не нашел. Может malotavr искал какие пути обхода?
Я бы все же больше доверил хорошему эксперту. Лучше - 2-м, независимым друг от друга.Я словно лист на ветру, посмотри как я лечу...
Комментарий
-
Сообщение от barmalei Посмотреть сообщениеТолько в России мне кажется мало кто такую информацию разглашает кому-либо
Комментарий
-
Сообщение от Mc`Sim Посмотреть сообщениеЯ бы все же больше доверил хорошему эксперту. Лучше - 2-м, независимым друг от друга.
Комментарий
-
Сообщение от malotavr Посмотреть сообщениеДа уж, инциденты ИБ - штука интимная. Я бы не стал о них никому лишнему рассказывать
Обязаны ли мы предоставить такую информацию?
Комментарий
-
Сообщение от timset Посмотреть сообщениеА если Региональное Управление ЦБ пришлет письмо о предоставлении информации об инцидентах в области информационной безопасности в нашей организации согласно определенной форме? (В соответствие с письмом Главного управлеия безопасности и защиты информации Банка России от хх.хх.хххх г. № хх-х-х-х/хххх в целях достижения адекватности мер по защите от реальных угроз информационной безопасности, предотвращения и (или) снижения ущерба от инцидентов безопасности организации банковской системы в целом).
Обязаны ли мы предоставить такую информацию?Я не знаю нормативно-правовых актов, позволяющих ГУБЗИ требовать от банка предоставлять полную и достоверную информацию об инцидентах ИБ. Возможно, это мой личный пробел в образовании, Покопаюсь в базе.
Комментарий
-
Сообщение от timset Посмотреть сообщениеА если Региональное Управление ЦБ пришлет письмо...
Информацию об инцидентах вы совершенно законно можете отнести к информации, составляющей коммерческую тайну. Вы обязаны предоставить эту информацию органам государственной власти при получении от них мотивированного требования. Требование должно содержать правовые основания, позволяющие данному органу требовать у вас эту информацию.
Центральный банк является органом государственной власти, но в соответствии с действующими федеральными щзаконами у него нет функций, позволяющих ему "достигать адекватности мер по защите от реальных угроз ... организации банковской системы в целом". Поэтому РУ может вас только вежливо попросить, а вы - добровольно предоставиь подобную информацию.
Понятно, что ваше руководство вряд ли ответит на подобную просьбу категорическим отказом. С другой стороны, возможно, что вы не можете себе позволить светить некоторые инциденты даже Центральному Банку. В этом случае у вас есть два совершенно законных варианта.
1. Вы можете ответить, что не регистрируете инциденты (даже если это не так - НПА не обязывают вас предоставлятьв ЦБ ВСЮ информацию о применяемых мерах защиты)
2. Вы можете предоставить выдержку из базы инцидентов.
Комментарий
-
На здравом смыслеПримеры я приводил.
Случайные события можно оценивать из соображения "хоть раз да произойдет". Атаки извне не оцениваем - просто используем стандартный бэйзлайн, он не вызывает сомнений у руководства. Со злоупотреблениями все и проще, и сложнее.
Возможность злоупотребления со стороны пользователя легко продемонстрировать. Заводите тестового пользователя, показываете, какая последовательность действий приводит к ущербу и демонстрируете, что оставляемые следы не позывволяют выявить или доказать нарушение, даете список сотрудников, имеющих те же возможности, что и тестовый пользователь. Этого руководству вполне достаточно.
С админами сложнее. Я смотрю, на чем бы я мог заработать, если бы был админом, и какие средства защиты мне мешают. Для мешающих средств защиты придумываю методы обхода (как скопировать криптографический ключ, где и как поставить кейлоггер, куда можно подключить собственую железку. Описываю в отчете, показываю начальнику IT-отдела. Обычно он соглашается, что да, вполне реализуемо. Бывает, что не соглашаются. Или наоборот, показывают, что это можно проделать намного прощеВ любом случае, подтверждения админов что они на такое способны, тоже вполне достаточно.
Комментарий
-
malotavr
как я понимаю - это Вы описываете оценку рисков.
А как можно оценить вероятность релизации?
вспомнил анекдот. Блондинку спрашивают - какова вероятность выиграть в лотерею 1 миллион баксов. Она говорит - 50/50. Почему? А, говорит, либо выиграю, либо нет.
Тут, как я вижу, на Ваш пример с тестовым пользователем надо наложить сведения о сотрудниках(их профессиональном опыте), их осведомленность о атакуемом ресурсе и т.д.
Ведь Вы, как человек, проектировавший и внедрявший защиту, заранее в более выигрышном положении.Последний раз редактировалось Mc`Sim; 29.12.2007, 16:47.Я словно лист на ветру, посмотри как я лечу...
Комментарий
-
Сообщение от Mc`Sim Посмотреть сообщениеmalotavr
как я понимаю - это Вы описываете оценку рисков. А как можно оценить вероятность релизации?_
Комментарий
-
Сообщение от malotavr Посмотреть сообщениеДля злоупотреблений я вероятность не оцениваю, ограничиваюсь только ущербом. Руководству достаточно того, что перечисленные сотрудники без проблем способны такой ущерб причинить (ели угодно - принимают вероятность равной 1_
....
- Вы варите самогон. У вас нашли апарат.
-- Тогда судите меня за изнасилование.
- Вы что? Кого-то изнасиловали?
-- Нет. Но аппарат-то есть!
malotavr, наличие возможностей не означает их применения. На мой взгляд, опасен не тот кто может это сделать, а тот кто хочет это сделать. Это я к вероятности=1.
Комментарий
-
Сообщение от box_roller Посмотреть сообщениеПродолжу тему анекдотов:
....
- Вы варите самогон. У вас нашли апарат.
-- Тогда судите меня за изнасилование.
- Вы что? Кого-то изнасиловали?
-- Нет. Но аппарат-то есть!
malotavr, наличие возможностей не означает их применения. На мой взгляд, опасен не тот кто может это сделать, а тот кто хочет это сделать. Это я к вероятности=1.
Комментарий
-
Случайные события можно оценивать из соображения "хоть раз да произойдет".
Но вопрос другой хоть раз да произойдет но за какой период?
Атаки извне не оцениваем - просто используем стандартный бэйзлайн
Описываю в отчете, показываю начальнику IT-отдела.
Комментарий
Комментарий