22 сентября, суббота 18:21
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Какие риски стоит рассмотривать?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Какие риски стоит рассмотривать?

    Господа, как-то тихо у нас в ветке стало...
    Никаких горячих дисуссий, взаимных плевков, прям даже скучно. :-)
    Поэтому я решил задать "провокационный вопрос".
    Итак, риски в ИБ.
    Многие из вас используют это понятие для ... разных целей. Кто - для написания бумаг, кто - для пугания начальства.
    Но ведь непонятно где ограничить список рисков.

    Вот я прочел в каком -то стандарте, что к рискам относится прокладка сетевого шнурка по острой поверхности, типа он повредиться может. Но ведь так можно дойти то того, что риском считать пролет мухи - она МОЖЕТ задеть крылом стакан водки, случайно оставленный администратором на боевом сервере, та прольется, чего-нть закоротит, сервер накроется, данные пропадут...
    Или, скажем, визит инопланетян, чем не риск?

    Короче, вы меня понимаете? Итак вопрос - при выборе рисков ГДЕ остановиться чтоб это не выглядило бы паранойей?
    Как вы для себя решаете что риск, а что нет?
    И как вы обоснуете свою точку зрения, например, перед аудиторами?

  • #2
    ))Согласно рекомендаций СТО БР ИББС - в банке должен быть документ описывающий то как Банк принимает решение о "значимости" выявленных рисков ( и риска вмешательства инопланетян в т.ч.), и так же документ о "принятии менеждементом остаточных рисков" см.9.1 СТО БР ИББС -1.0-2006
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      Сообщение от George-on-Don Посмотреть сообщение
      ))Согласно рекомендаций СТО БР ИББС - в банке должен быть документ описывающий то как Банк принимает решение о "значимости" выявленных рисков ( и риска вмешательства инопланетян в т.ч.), и так же документ о "принятии менеждементом остаточных рисков" см.9.1 СТО БР ИББС -1.0-2006
      Я вас умоляю! И во многих банках Вы видели такой документ?
      Конечно, если он есть, то все здорово, но если его нет?
      Как Вы лично для себя определяете перечень рисков ИБ?
      Муха и инопланетяне туда входят?

      Комментарий


      • #4
        каждый для себя сам определяет уровень маразма
        я, например, рассматриваю только значимые для бизнеса риски,
        т.е. смотрю сверху вниз, при этом конечно видно много мелочи внизу, но Козьма Прутков правильно говорил...

        Комментарий


        • #5
          Сообщение от Berrimor Посмотреть сообщение
          Я вас умоляю! И во многих банках Вы видели такой документ?
          Конечно, если он есть, то все здорово, но если его нет?
          Как Вы лично для себя определяете перечень рисков ИБ?
          Муха и инопланетяне туда входят?
          Ну конечно напрямую- "муха" и "зеленые человечки" не обозначены- но можно считать что эти риски учтены- например -событие с мухой (и другие подобные) - запретом на распитие спиртных напитков во время работы и на прием пищи на рабочих местах))).
          А инопланетяне "учтены" в положении о пропускном режиме)))- ибо ежели у субъекта( гуманоид, или андроид) не будет пропуска, и /или если они допустим будут без одежды или в "пляжном" костюме - то ЙОк)))- войти в банк низя . А если есть пропуск и смокинг- то добро пожаловать))))
          Мы продолжаем делать то, что мы уже много наделали

          Комментарий


          • #6
            Сообщение от George-on-Don Посмотреть сообщение
            Ну конечно напрямую- "муха" и "зеленые человечки" не обозначены- но можно считать что эти риски учтены- например -событие с мухой (и другие подобные) - запретом на распитие спиртных напитков во время работы и на прием пищи на рабочих местах))).
            А инопланетяне "учтены" в положении о пропускном режиме)))- ибо ежели у субъекта( гуманоид, или андроид) не будет пропуска, и /или если они допустим будут без одежды или в "пляжном" костюме - то ЙОк)))- войти в банк низя . А если есть пропуск и смокинг- то добро пожаловать))))
            Идея описана правильно. как реализовано у нас: есть табличка с описанием влияния риска на бизнес (ущерб). Он разный - от материального в конкретных рубликах, до имиджевого в %. Так вот риски, приводящие к самому низкому уровню ущерба мы просто не рассматриваем, риски следующего уровня описываем, но автоматом принимаем и живем с ними. А стеми кто выше работаем вплотную. Так избавляемся от мух на учебном сервере и помним про мух на боевом.

            Комментарий


            • #7
              Сообщение от Андрей Ерин Посмотреть сообщение
              Идея описана правильно. как реализовано у нас: есть табличка с описанием влияния риска на бизнес (ущерб). Он разный - от материального в конкретных рубликах, до имиджевого в %. Так вот риски, приводящие к самому низкому уровню ущерба мы просто не рассматриваем, риски следующего уровня описываем, но автоматом принимаем и живем с ними. А стеми кто выше работаем вплотную. Так избавляемся от мух на учебном сервере и помним про мух на боевом.
              Ну хорошо, но вот как провести грань - каких мух надо учитывать. а каких нет?
              Я ведь не спроста это спрашиваю. Ведь если очерчивание круга правильных мух от неправильных целиком и полностью прерогатива конкретного чела, то со сменой этого специалиста возникнет неувязка - "хорошие" мухи станут плохими.

              Мне представляется, что в идеале, список таких рисков должен задаваться неким стандартом (например, ЦБ-шниым) причем должно быть четкое деление - какие риски ОБЯЗАТЕЛЬНО учитывать, а какие - по желанию конторы.

              Комментарий


              • #8
                Сообщение от Berrimor Посмотреть сообщение
                Ну хорошо, но вот как провести грань - каких мух надо учитывать. а каких нет?
                Я ведь не спроста это спрашиваю. Ведь если очерчивание круга правильных мух от неправильных целиком и полностью прерогатива конкретного чела, то со сменой этого специалиста возникнет неувязка - "хорошие" мухи станут плохими.

                Мне представляется, что в идеале, список таких рисков должен задаваться неким стандартом (например, ЦБ-шниым) причем должно быть четкое деление - какие риски ОБЯЗАТЕЛЬНО учитывать, а какие - по желанию конторы.
                У меня знакомый ИБэшник в электросетевой компании, у них там риски с ущербом менее 1 000 000 руб просто не рассматриваются, эти риски взапросто списываются на текущие расходы - их нет для организации этого уровня. Это грань в каждом бизнесе своя.

                Еще - не будет риска, не будет развития - это непреложный закон бизнеса. Бизнес содается исключительно для получения выгоды для владельцев. Критерий для каждого банка свой. Если хватает ума, опыта и смелости вести бизнс на грани срыва в занос, то ты победитель. Если зарвался, то потерял все, есть те кто осторожно плетутся в хвосте.

                Декларируемая же задача ЦБ - финансовая стабильность в обществе, не декларируемая - финансовая стабильность своих сотрудников. Каким образом цели регулятора пересекаются с целями коммерческих организаций? Только в том чтобы бизнес не грохнулся, а тут у каждого банка своя сумма. Сберу вот потеря 20 филиалов мало чем грозит, а карманный банк загнется при потере единственного крупного клиента.

                В том и задача, что бы, в каждом персональном случае, найти правильную границу для определения критичности бизнеса. И делать это должен не отдельный чел, который может уволится, а владелец бизнеса, который кровно заинтересован и в развитии и в устойчивости. Если владельцев несколько, то решение принимается коллегиально.

                У ЦБ и так забот хватает смотреть - смягчаются ли вообще операционные риски (в них и наши с вами риски входят) или контора полностью забила на этот вид деятельности.

                Комментарий


                • #9
                  Сообщение от Freak Посмотреть сообщение
                  каждый для себя сам определяет уровень маразма
                  я, например, рассматриваю только значимые для бизнеса риски,
                  т.е. смотрю сверху вниз, при этом конечно видно много мелочи внизу, но Козьма Прутков правильно говорил...


                  Я бы дополнил это принятыми руководством критериями, по которым мы определяем значимость риска для бизнеса.

                  Комментарий


                  • #10
                    Ещё вопрос, добавляем в перечень рисков внезапную смерть высокоответственных лиц? Если право подписи было только у умершего - что делать для обеспечения бесперебойности бизнеса?

                    Комментарий


                    • #11
                      VSB
                      добавляем в перечень рисков внезапную смерть высокоответственных лиц? Если право подписи было только у умершего - что делать для обеспечения бесперебойности бизнеса?
                      Риск таковой есть, согласен, но сие, скорее, всё же к юристам и СБ, а не к ИБ и IT...
                      Всё в наших руках...(с)

                      Комментарий


                      • #12
                        ну тогда и раздел 27001.А "Требования к законодательству" - к юристам, "Физическую безопасность" к СБ, "Безопасность персонала" к ОК.
                        Куда ж девается "События, которые могут привести к прерываниям бизнес-процессов, должны быть идентифицированы..." (А.14.1.2)?

                        Комментарий


                        • #13
                          Сообщение от VSB Посмотреть сообщение
                          ну тогда и раздел 27001.А "Требования к законодательству" - к юристам, "Физическую безопасность" к СБ, "Безопасность персонала" к ОК.
                          Куда ж девается "События, которые могут привести к прерываниям бизнес-процессов, должны быть идентифицированы..." (А.14.1.2)?
                          К сотруднику, выполняющему роль менеджера по непрерывности бизнеса

                          Комментарий


                          • #14
                            Сообщение от VSB Посмотреть сообщение
                            ну тогда и раздел 27001.А "Требования к законодательству" - к юристам, "Физическую безопасность" к СБ, "Безопасность персонала" к ОК.
                            Куда ж девается "События, которые могут привести к прерываниям бизнес-процессов, должны быть идентифицированы..." (А.14.1.2)?
                            Все правильно Вы говорите (d первой части поста). Пусть лучше физической безопасностью занимаются СБ, а проблемами соответсвия законодательству юристы. Не стоит все одеяла тянуть на себя.
                            Ведь ни в одном стандарте не сказано, что все требования и все процессы должны выполняться отделом ИБ.
                            Лучше руководтсвоваться принципом "Если кто-то может сделать это лучше тебя - делегируй".
                            А отдел ИБ может оказывать посильную помощь и методологическую поддержку тем же юристам, СБ-шникам или HR.
                            В этом случае также будет выполняться "События, которые ..., должны быть идентифицированы..." пусть и не в рамках одного подразделения, зато качественней.

                            Комментарий


                            • #15
                              Какие риски стоит рассмотривать?
                              Риски стоит рассматривать в зависимости от задачи и scope самого процесса.

                              Ещё вопрос, добавляем в перечень рисков внезапную смерть высокоответственных лиц?
                              подобные риски имеют место быть в процессе обеспечения непрерывности бизнеса

                              Комментарий


                              • #16
                                Сообщение от box_roller Посмотреть сообщение


                                Я бы дополнил это принятыми руководством критериями, по которым мы определяем значимость риска для бизнеса.
                                несомненно, если у руководства появляется желание на эту тему думать. а так приходиться предлагать готовые решения. начальство не любит, когда встает перед выбором.

                                Комментарий


                                • #17
                                  Freak так приходиться предлагать готовые решения. начальство не любит, когда встает перед выбором

                                  Наоборот. Просто они любят делать выбор САМИ. Ваша задача предложить такие альтернативы, чтобы начальство само выбрало нужный вариант. Вот думать особо над неключевой для них темой они не любят.

                                  Комментарий


                                  • #18
                                    Сообщение от Berrimor
                                    при выборе рисков ГДЕ остановиться чтоб это не выглядило бы паранойей?
                                    Как вы для себя решаете что риск, а что нет?
                                    Это смотря с какой целью проводится анализ. Я как-то писал в соседней теме, что словосочетание "анализ рисков ИБ" без дополнения "на предмет выбора ..." - это как "расчет изделия" без уточнения, на что: на изгиб с кручением, гомогенную конденсацию или болотную проходимость.

                                    Комментарий


                                    • #19
                                      Сообщение от Ригель Посмотреть сообщение
                                      Это смотря с какой целью проводится анализ.
                                      Ну, мы же тут вроде говорим о российских банках.

                                      Комментарий


                                      • #20
                                        Сообщение от Ригель Посмотреть сообщение
                                        Это смотря с какой целью проводится анализ. Я как-то писал в соседней теме, что словосочетание "анализ рисков ИБ" без дополнения "на предмет выбора ..." - это как "расчет изделия" без уточнения, на что: на изгиб с кручением, гомогенную конденсацию или болотную проходимость.
                                        А какие у анализа рисков еще цели бывают, кроме выбора контрмер?

                                        Комментарий


                                        • #21
                                          А какие у анализа рисков еще цели бывают, кроме выбора контрмер?
                                          Разным бывает тот набор, из которого выбор.
                                          Кроме случаев сферического коня, анализ имеет прикладной смысл, он нужен для принятия какого-то решения - какого? Например, целесообразность увеличения штата. Например, потребность в настойчиво предлагаемом IDS. Например, Trendmicro Officescan vs Norton Antivirus. И т.п. Очевидно, что необязательно включать в анализ те факторы, которые на выбор решения никак не влияют.

                                          Комментарий


                                          • #22
                                            malotavr А какие у анализа рисков еще цели бывают, кроме выбора контрмер?

                                            Принятие рисков или уход от них ;-)

                                            Комментарий


                                            • #23
                                              тогда уж ещё передача (transfer) рисков

                                              Комментарий

                                              Пользователи, просматривающие эту тему

                                              Свернуть

                                              Присутствует 1. Участников: 0, гостей: 1.

                                              Обработка...
                                              X