Чем можно заменить экспертную оценку без наличия статистических данных. И вообще можно ли ее заменить?
-
-
barmalei
Если честно, то х.з...
Столкнувшись сейчас с ситуацией, когда компанией привлекается внешний аудитор ИБ и почитав кой-какие более ранние отчёты по проведённому аудиту понял, что т.н."экспертная оценка" в 9 случаях из 10 базируется всё на той же статистике.Т.е., у "эксперта" существует собственная база статистических данных, которую он пополняет из своих источников и на основании именно этой базы формирует свою "экспертную оценку".В связи с этим возникает вопрос о "приложимости" этой самой статистики к вполне конкретной ситуации...Всё в наших руках...(с) -
Я пришел к выводу что экспертная оценка - это прогноз погоды.
Чем ее заменить - пока не нашел. Может malotavr искал какие пути обхода?Комментарий
-
Ну почему же. статистика штука конечно хорошая, но только когда она есть. А с этим у нас туго. Создать бы что-то типа бюро кредитных историй - только про инциденты в ИБ. Так ведь никто не возьмется.Сообщение от barmalei Посмотреть сообщение
Я бы все же больше доверил хорошему эксперту. Лучше - 2-м, независимым друг от друга.Я словно лист на ветру, посмотри как я лечу...Комментарий
-
Уже есть подобная организация.Создать бы что-то типа бюро кредитных историй - только про инциденты в ИБ.
Только в России мне кажется мало кто такую информацию разглашает кому-либоКомментарий
-
Да уж, инциденты ИБ - штука интимная. Я бы не стал о них никому лишнему рассказыватьСообщение от barmalei Посмотреть сообщение
Комментарий
-
По-правде говоря, экспертная оценка - это действительно, из области шаманства. Ведь одни и те же найденные "проколы" могут привести совершенно к разным последствиям.Сообщение от Mc`Sim Посмотреть сообщениеКомментарий
-
А если Региональное Управление ЦБ пришлет письмо о предоставлении информации об инцидентах в области информационной безопасности в нашей организации согласно определенной форме? (В соответствие с письмом Главного управлеия безопасности и защиты информации Банка России от хх.хх.хххх г. № хх-х-х-х/хххх в целях достижения адекватности мер по защите от реальных угроз информационной безопасности, предотвращения и (или) снижения ущерба от инцидентов безопасности организации банковской системы в целом).Сообщение от malotavr Посмотреть сообщениеДа уж, инциденты ИБ - штука интимная. Я бы не стал о них никому лишнему рассказывать
Обязаны ли мы предоставить такую информацию?Комментарий
-
Хороший вопросСообщение от timset Посмотреть сообщение Я не знаю нормативно-правовых актов, позволяющих ГУБЗИ требовать от банка предоставлять полную и достоверную информацию об инцидентах ИБ. Возможно, это мой личный пробел в образовании, Покопаюсь в базе.
Комментарий
-
Да, формально - не обязаны.Сообщение от timset Посмотреть сообщение
Информацию об инцидентах вы совершенно законно можете отнести к информации, составляющей коммерческую тайну. Вы обязаны предоставить эту информацию органам государственной власти при получении от них мотивированного требования. Требование должно содержать правовые основания, позволяющие данному органу требовать у вас эту информацию.
Центральный банк является органом государственной власти, но в соответствии с действующими федеральными щзаконами у него нет функций, позволяющих ему "достигать адекватности мер по защите от реальных угроз ... организации банковской системы в целом". Поэтому РУ может вас только вежливо попросить, а вы - добровольно предоставиь подобную информацию.
Понятно, что ваше руководство вряд ли ответит на подобную просьбу категорическим отказом. С другой стороны, возможно, что вы не можете себе позволить светить некоторые инциденты даже Центральному Банку. В этом случае у вас есть два совершенно законных варианта.
1. Вы можете ответить, что не регистрируете инциденты (даже если это не так - НПА не обязывают вас предоставлятьв ЦБ ВСЮ информацию о применяемых мерах защиты)
2. Вы можете предоставить выдержку из базы инцидентов.Комментарий
-
2malotavr - подскажите на чем обычно основывается ваша экспертная оценка?
И в случае отсутствия статистики, внутренней и общемировой, как получается ваша экспертная оценка?Комментарий
-
На здравом смысле Примеры я приводил.
Случайные события можно оценивать из соображения "хоть раз да произойдет". Атаки извне не оцениваем - просто используем стандартный бэйзлайн, он не вызывает сомнений у руководства. Со злоупотреблениями все и проще, и сложнее.
Возможность злоупотребления со стороны пользователя легко продемонстрировать. Заводите тестового пользователя, показываете, какая последовательность действий приводит к ущербу и демонстрируете, что оставляемые следы не позывволяют выявить или доказать нарушение, даете список сотрудников, имеющих те же возможности, что и тестовый пользователь. Этого руководству вполне достаточно.
С админами сложнее. Я смотрю, на чем бы я мог заработать, если бы был админом, и какие средства защиты мне мешают. Для мешающих средств защиты придумываю методы обхода (как скопировать криптографический ключ, где и как поставить кейлоггер, куда можно подключить собственую железку. Описываю в отчете, показываю начальнику IT-отдела. Обычно он соглашается, что да, вполне реализуемо. Бывает, что не соглашаются. Или наоборот, показывают, что это можно проделать намного проще В любом случае, подтверждения админов что они на такое способны, тоже вполне достаточно.
Комментарий
-
malotavr
как я понимаю - это Вы описываете оценку рисков.
А как можно оценить вероятность релизации?
вспомнил анекдот. Блондинку спрашивают - какова вероятность выиграть в лотерею 1 миллион баксов. Она говорит - 50/50. Почему? А, говорит, либо выиграю, либо нет.
Тут, как я вижу, на Ваш пример с тестовым пользователем надо наложить сведения о сотрудниках(их профессиональном опыте), их осведомленность о атакуемом ресурсе и т.д.
Ведь Вы, как человек, проектировавший и внедрявший защиту, заранее в более выигрышном положении.Последний раз редактировалось Mc`Sim; 29.12.2007, 16:47.Я словно лист на ветру, посмотри как я лечу...Комментарий
-
Для злоупотреблений я вероятность не оцениваю, ограничиваюсь только ущербом. Руководству достаточно того, что перечисленные сотрудники без проблем способны такой ущерб причинить (ели угодно - принимают вероятность равной 1Сообщение от Mc`Sim Посмотреть сообщение_
Комментарий
-
Продолжу тему анекдотов:Сообщение от malotavr Посмотреть сообщениеДля злоупотреблений я вероятность не оцениваю, ограничиваюсь только ущербом. Руководству достаточно того, что перечисленные сотрудники без проблем способны такой ущерб причинить (ели угодно - принимают вероятность равной 1_
....
- Вы варите самогон. У вас нашли апарат.
-- Тогда судите меня за изнасилование.
- Вы что? Кого-то изнасиловали?
-- Нет. Но аппарат-то есть!
malotavr, наличие возможностей не означает их применения. На мой взгляд, опасен не тот кто может это сделать, а тот кто хочет это сделать. Это я к вероятности=1.Комментарий
-
Вопрос мотивации. Если у человека есть возможность бесконтрольно перевести пару мегабаксов в офшор - захочет. Или могут заставить.Сообщение от box_roller Посмотреть сообщениеКомментарий
-
Я тоже над этим много думал - тоже пришел к выводу Закона Мерфи:Случайные события можно оценивать из соображения "хоть раз да произойдет".
Но вопрос другой хоть раз да произойдет но за какой период?
Честно говоря еще глубоко не знакомился с бейзлайном. Там перечислены статистические данные о внешних атаках?Атаки извне не оцениваем - просто используем стандартный бэйзлайн
Заметьте это тоже риск - рассказывать о возможных уязвимостях системы.Описываю в отчете, показываю начальнику IT-отдела.Комментарий
Комментарий