10 декабря, понедельник 16:26
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Оценка рисков ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Оценка рисков ИБ

    Коллеги, не нашла по поиску ничего толкового про оценку рисков ИБ.
    Никогда не проводила подобную оценку, поэтому буду рада любым комментариям. Расскажите, по какой методике вы проводите оценку рисков у себя в Банке?
    Оформляете ли вы Методику отдельным документом или просто делаете отчеты? Как часто предоставляете руководству Отчет по оценке рисков?
    Проводите ли ли вы количественную или качественную оценку рисков ИБ?

  • #2
    Сообщение от kula Посмотреть сообщение
    ничего толкового про оценку рисков ИБ.
    Может Вам сначало начать с модели угроз? А потом плавно перейти к рискам?
    [OFF]Красим белим, иногда защищаем[/OFF]

    Комментарий


    • #3
      Сообщение от akitukitua Посмотреть сообщение
      Может Вам сначало начать с модели угроз? А потом плавно перейти к рискам?
      Да, естественно! Модель угроз есть, теперь надо плавно перейти к рискам)

      Комментарий


      • #4
        Сообщение от kula Посмотреть сообщение
        Да, естественно! Модель угроз есть
        Не хочу быть снобом но риск это угроза помноженная на вероятность
        [OFF]Красим белим, иногда защищаем[/OFF]

        Комментарий


        • #5
          Сообщение от akitukitua Посмотреть сообщение
          Не хочу быть снобом но риск это угроза помноженная на вероятность
          Спасибо, кэп!
          Но дело вот в чем. Есть у меня, допустим угроза, возможность которой может быть реализована с помощью уязвимости. Мне же по итогам оценки рисков необходимо вычислить эту вероятность. Я посмотрела уже несколько методик, но выбор пока не пал ни на одну(

          Комментарий


          • #6
            Сообщение от akitukitua Посмотреть сообщение
            Не хочу быть снобом но риск это угроза помноженная на вероятность
            А финансово это все обосновать? Для создания резервов.

            Комментарий


            • #7
              Сообщение от kula Посмотреть сообщение
              Есть у меня, допустим угроза, возможность которой может быть реализована с помощью уязвимости. Мне же по итогам оценки рисков необходимо вычислить эту вероятность.
              Опять не хочу быть снобом, но ЛЮБАЯ угроза это набор уязвимостей. Вы идёте очень тернистым путём, решая задачу методом от обратного, в классической ИБ, вероятность уязвимости не вычисляют вероятностью угрозы.
              Пример Взрыв атомной станции- угроза риск- потерять всё (огромный другими словами) вероятность наступления- минимальный (рядом нет АЭС, по статистике таких взрывов, повлекших ужасающие последствия пренебрежимо малы, и тд)
              [OFF]Красим белим, иногда защищаем[/OFF]

              Комментарий


              • #8
                Сообщение от Ярослав В. Посмотреть сообщение
                А финансово это все обосновать?
                В качестве шкалы оценки выбираете финансы. Угроза- недобросовестный заёмщик риск-потеря средств вероятность - 10% стоимость наступления события - 100 рублей ...... ну и дальше курс ОПОИБа
                Последний раз редактировалось akitukitua; 27.11.2014, 17:12.
                [OFF]Красим белим, иногда защищаем[/OFF]

                Комментарий


                • #9
                  Сообщение от Ярослав В. Посмотреть сообщение
                  А финансово это все обосновать? Для создания резервов.
                  вопрос еще в том как Вы собираетесь оценивать "в граммах" то что в граммах не оценивается.... к примеру есть защищаемые свойства актива - КДЦ... если актив материальный.. то "стоимость" в рублях Целостности актива Вы может и определите, рублевый эквивалент Доступности актива - уже вопрос.. .хотя можно посчитать... иногда...., а вот что делать с финансовым обоснованием нарушения Конфиденциальности актива? сколько будет "весить" конфиденциальность платежной информации - в рублях = сумме транзакции или платежного документа? и получится что платеж на сумму 1000000 руб - защищаем, а десять платежек на сумму 1000 руб каждая - нет?
                  Мы продолжаем делать то, что мы уже много наделали

                  Комментарий


                  • #10
                    Оценка рисков - это практически всегда чье-то частное, субъективное мнение о каком-то конкретном объекте защиты. У вас в банке есть некий актив, на который воздействуют различные факторы, которые в свою очередь могут порождать определенные угрозы. И вам, как эксперту, необходимо дать оценку тому насколько это воздействие может привести к реализации угрозы и какой ущерб может понести банк от реализации этой угрозы.

                    Перед оценкой рисков нужно правильно идентифицировать активы: определить какие, каждый из активов, использует ресурсы, процессы, кто из сотрудников участвует в использовании этого актива. Немаловажным фактором является критичность актива для бизнеса, если актив не критичен, то заострять внимание на оценке его рисков бессмысленно.

                    Если делать все правильно, то работа будет долгая и кропотливая и в одиночку вы ее не осилите, обязательно надо привлекать, как минимум владельцев активов. Вопрос в другом, нужно ли это банку? Если раскрыть все риски, то надо тратить деньги на их минимизацию, либо увеличивать капитал, создавая резервы под эти риски.

                    По поводу методики - чем вас не устраивает СТО БР-овская? Или ГОСТовая? Там все достаточно подробно расписано. Еще есть неплохая книга, где все очень подробно разжевано -Александр Астахов "Искусство управления информационными рисками".

                    Как-то так.

                    Комментарий


                    • #11
                      Сообщение от Sascha Посмотреть сообщение
                      Перед оценкой рисков нужно правильно идентифицировать активы
                      Если мы говорим об ИБ то корректней говорить об информационных потоках. Актив это всё таки из разряда комплаенс
                      [OFF]Красим белим, иногда защищаем[/OFF]

                      Комментарий


                      • #12
                        Сообщение от kula Посмотреть сообщение
                        Спасибо, кэп!
                        Но дело вот в чем. Есть у меня, допустим угроза, возможность которой может быть реализована с помощью уязвимости. Мне же по итогам оценки рисков необходимо вычислить эту вероятность. Я посмотрела уже несколько методик, но выбор пока не пал ни на одну(
                        И правильно, потому что работающие методики оценки рисков ИБ существуют только в фантазии их авторов
                        Оценка рисков - это априорная оценка, а вероятность реализации угрозы - величина, зависящая от фактического состава уязвимостей. Поэтому оценка рисков через вероятность реализации угрозы, это попытка скрестить ежа с ужом.

                        Отталкивайтесь от технической раеализуемости угрозы.
                        Знаем способ реализации угрозы - принимаем решение о целесообразности защиты от нее, исходя из оценки возможных негативных последствий.
                        Не знаем способа реализации - игнорируем угрозу.

                        Комментарий


                        • #13
                          Сообщение от George-on-Don Посмотреть сообщение
                          вопрос еще в том как Вы собираетесь оценивать "в граммах" то что в граммах не оценивается.... к примеру есть защищаемые свойства актива - КДЦ... если актив материальный.. то "стоимость" в рублях Целостности актива Вы может и определите, рублевый эквивалент Доступности актива - уже вопрос.. .хотя можно посчитать... иногда...., а вот что делать с финансовым обоснованием нарушения Конфиденциальности актива? сколько будет "весить" конфиденциальность платежной информации - в рублях = сумме транзакции или платежного документа? и получится что платеж на сумму 1000000 руб - защищаем, а десять платежек на сумму 1000 руб каждая - нет?
                          А что вы теряете от того, что будет нарушена конфиденциальность платежного документа? Сдается мне, что ничего, даже если содержание платежного документоа станет общеизвестным, предъявить вам нарушение банковской тайны невозможно. Соответственно, "стоимость" конфиденциальности платежного документа близка к нулю.

                          Комментарий


                          • #14
                            Сообщение от akitukitua Посмотреть сообщение
                            Если мы говорим об ИБ то корректней говорить об информационных потоках. Актив это всё таки из разряда комплаенс
                            Чой-то?

                            У вас есть вексель, по которому какой-то хмырь обязуется выплатить вам 10% от продажи партии героина. Нарушение его целостности или доступности - прямая потеря денег, так как вы не сможете предъявить его к оплате. Нарушение конфиденциальности - прямая потеря денег в виде штрафов и прочей санкции за неправильную лешгализацию преступных доходов. Вексель лежит запертый в сейфе, информационные потоки отсутствуют, а актив и в финансовом смысле, и в смысле ИБ, однако, есть.

                            Комментарий


                            • #15
                              Сообщение от malotavr Посмотреть сообщение
                              Поэтому оценка рисков через вероятность реализации угрозы, это попытка скрестить ежа с ужом.
                              Экий Вы батенька разрушитель догм


                              Сообщение от malotavr Посмотреть сообщение
                              Не знаем способа реализации - игнорируем угрозу.
                              То есть, сажай на место оценщика эээээ некомпетентного человека и все угрозы перестают существовать? Оригинально
                              [OFF]Красим белим, иногда защищаем[/OFF]

                              Комментарий


                              • #16
                                Сообщение от malotavr Посмотреть сообщение
                                У вас есть вексель
                                ВОООТ это уже комплаенс.
                                [OFF]Красим белим, иногда защищаем[/OFF]

                                Комментарий


                                • #17
                                  Сообщение от malotavr Посмотреть сообщение
                                  Соответственно, "стоимость" конфиденциальности платежного документа близка к нулю.
                                  А если данный документ оплачивал некую строго конфиденциальную сделку и само его появление (разглашение его наличия) приведёт к серьёзным потерям одной из сторон сделки или третьей стороны? Про содержание вообще можно много угроз придумать, так что ""стоимость" конфиденциальности платежного документа близка к нулю" это только в одном строго конкретном развитии событий
                                  [OFF]Красим белим, иногда защищаем[/OFF]

                                  Комментарий


                                  • #18
                                    Сообщение от malotavr Посмотреть сообщение
                                    Не знаем способа реализации - игнорируем угрозу.
                                    Я бы поспорил - незнание способа взлома\защиты еще не является фактом того, что уязвимости нет, т.к. это зависит от квалификации эксперта(-тов) + уязвимости "0-day" никто не отменял.

                                    Комментарий


                                    • #19
                                      Сообщение от akitukitua Посмотреть сообщение
                                      Если мы говорим об ИБ то корректней говорить об информационных потоках. Актив это всё таки из разряда комплаенс
                                      Не соглашусь, если это те информационные потоки о которых я думаю, то они все таки относятся к активам. Актив - это по сути собственность предприятия, которая имеет некую ценность, из которой в итоге можно вычислить ущерб от реализации угрозы.
                                      А информационные потоки "пригодятся" при построении модели угроз.

                                      Комментарий


                                      • #20
                                        Сообщение от akitukitua Посмотреть сообщение
                                        Экий Вы батенька разрушитель догм
                                        Многолетняя практика оценки угроз и уязимостей

                                        Сообщение от akitukitua Посмотреть сообщение
                                        То есть, сажай на место оценщика эээээ некомпетентного человека и все угрозы перестают существовать? Оригинально
                                        Разница между "угроза" и "оценка угрозы" есть, однако Угрозы не исчезнут, оценки будут... далекими от реальности. Как и во всех случаях, когда за дело берется некомпетентный человек.
                                        Но оценивать что-то, не имея исходных данных, это даже не оригинально

                                        Комментарий


                                        • #21
                                          Сообщение от Sascha Посмотреть сообщение
                                          Я бы поспорил - незнание способа взлома\защиты еще не является фактом того, что уязвимости нет, т.к. это зависит от квалификации эксперта(-тов) + уязвимости "0-day" никто не отменял.
                                          Опять же, давайте не путать уязвимость и реаллизуемость угрозы. Использование алгоритма шифрования DES не было уязвимостью ровно до тех пор, пока для этого алгоритма не был разработан способ восстановления шифртекста.

                                          Мысль моя была проста: мы, в принципе, можем делать какие-то умозаключения о рисках, связанных с угрозой телепортациии сероверов за пределы серверных помещений. Но в этом нет никакого смысла до тех пор, пока не будет доказана принципиальная возможность телепортации чего-либо куда-либо. А вот когда мы получим данные, что это теоретически возможно вот при таких условиях и вот при таких возможностях нарушителя, мы начнем оценивать негативные последствия такой угрозы, смотреть, нет ли такого сочетания возможностей и условий (т.е. уязвимости), а при наличии таковой - оценивать стоимость защитных мер.

                                          Комментарий


                                          • #22
                                            Сообщение от akitukitua Посмотреть сообщение
                                            ВОООТ это уже комплаенс.
                                            Предлагаю не путать друг друга жаргонизмами, не договорившись об их значении.

                                            Full Definition of COMPLIANCE

                                            1
                                            a : the act or process of complying to a desire, demand, proposal, or regimen or to coercion
                                            b : conformity in fulfilling official requirements
                                            2
                                            : a disposition to yield to others
                                            3
                                            : the ability of an object to yield elastically when a force is applied : flexibility
                                            Вряд ли вы имели в виду третье значение (способность бумажного векселя сжиматься в комок под воздействием грубой силы), а остальные два кнему и подавно не применимы
                                            А вот определение актива как "нечто, что имеет ценность для обладателя" к нему вполне подходит.

                                            Комментарий


                                            • #23
                                              Сообщение от akitukitua Посмотреть сообщение
                                              А если данный документ оплачивал некую строго конфиденциальную сделку и само его появление (разглашение его наличия) приведёт к серьёзным потерям одной из сторон сделки или третьей стороны? Про содержание вообще можно много угроз придумать, так что ""стоимость" конфиденциальности платежного документа близка к нулю" это только в одном строго конкретном развитии событий
                                              Конфидениальность платежного поручения может иметь сколь угодно колоссальное значение для сторон сделки или третьих лиц. Но в нашем, насквозь циничном мире информацонной безопасности "проблемы негров шерифа не волнуют". Банку их проблемы попенисуальны при условии, что они не смогут доказать факт разглашения этих сведений именно сотрудником банка. Поэтому для банковской оценки рисков риск нарушения конфиденциальности одиночного платежного поручения хоть и отличен от нуля, но невооруженным глазом не различим.

                                              Комментарий


                                              • #24
                                                Сообщение от malotavr Посмотреть сообщение
                                                А что вы теряете от того, что будет нарушена конфиденциальность платежного документа? Сдается мне, что ничего, даже если содержание платежного документоа станет общеизвестным, предъявить вам нарушение банковской тайны невозможно. Соответственно, "стоимость" конфиденциальности платежного документа близка к нулю.
                                                а как на счет Статьи 857 ГК РФ - "Банковская тайна. 1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте." обеспечение которой ( т.е. Конфиденциальности банковского актива) и есть главная задача ИБ любого банка ... а Целостность и Доступность актива уже потом..
                                                если в большой бочке, доверху наполненной водой, найдется хотя бы одна дырка... то вся вода из бочки вытечет, какая бы маленькая дырочка не была)
                                                Последний раз редактировалось George-on-Don; 28.11.2014, 07:37.
                                                Мы продолжаем делать то, что мы уже много наделали

                                                Комментарий


                                                • #25
                                                  Сообщение от malotavr Посмотреть сообщение
                                                  Конфидениальность платежного поручения может иметь сколь угодно колоссальное значение для сторон сделки или третьих лиц. Но в нашем, насквозь циничном мире информацонной безопасности "проблемы негров шерифа не волнуют". Банку их проблемы попенисуальны при условии, что они не смогут доказать факт разглашения этих сведений именно сотрудником банка. Поэтому для банковской оценки рисков риск нарушения конфиденциальности одиночного платежного поручения хоть и отличен от нуля, но невооруженным глазом не различим.
                                                  риск нарушения конфиденциальности ДАЖЕ одиночного платежного документа для банка ОЧЕНЬ велик.. угрозой потери репутации банка а значит и доверия клиентов... а если Клиент перестал доверять Банку- то в Банк деньги не понесут... какой бы замечательной не была бы защита и обеспечение двух других свойств Доступности и Целостности)
                                                  Мы продолжаем делать то, что мы уже много наделали

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Sascha Посмотреть сообщение
                                                    Не соглашусь, если это те информационные потоки о которых я думаю, то они все таки относятся к активам
                                                    Естественно, инфо потоки ВХОДЯТ в активы, но ими не ограничивается, поэтому защита активов более широкое понятие.
                                                    [OFF]Красим белим, иногда защищаем[/OFF]

                                                    Комментарий


                                                    • #27
                                                      Сообщение от malotavr Посмотреть сообщение
                                                      Многолетняя практика оценки угроз и уязимостей
                                                      Анологичная практика привела к другим результатам, но тут спор не уместен, для всех карандаши разные.
                                                      [OFF]Красим белим, иногда защищаем[/OFF]

                                                      Комментарий


                                                      • #28
                                                        Сообщение от malotavr Посмотреть сообщение
                                                        Но оценивать что-то, не имея исходных данных, это даже не оригинально
                                                        Согласен, но в данном конкретном случае у коллеги есть модель угроз, таким образом некая исходная информация имеется, вопрос только в методологии оценки.
                                                        [OFF]Красим белим, иногда защищаем[/OFF]

                                                        Комментарий


                                                        • #29
                                                          Сообщение от malotavr Посмотреть сообщение
                                                          Банку их проблемы попенисуальны при условии, что они не смогут доказать факт разглашения этих сведений именно сотрудником банка.
                                                          ЭЭЭЭ не, банк будет первым кому начнут кидать предьявы и не факт что риск для банка будет меньшим, чем для двух других сторон. И потом репутационные риски для банка, на мой вгляд наиболее критичны, так что..........
                                                          [OFF]Красим белим, иногда защищаем[/OFF]

                                                          Комментарий


                                                          • #30
                                                            Сообщение от malotavr Посмотреть сообщение
                                                            Предлагаю не путать друг друга жаргонизмами, не договорившись об их значении.
                                                            Ок для меня
                                                            ИБ- это информационные дела
                                                            комплаенс- риск-менеджмент, во всех проявлениях.
                                                            [OFF]Красим белим, иногда защищаем[/OFF]

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X