четверг, 14 мая 2009 г.

Compliance как угроза. Анализируем риски #2

В ходе обсуждения пришла в голову мысль.


Дарю идею интеграторам, продвигающим ЗПД: сделать online калькулятор рисков. Вводишь отрасль, годовой оборот, регион и принятые меры по защите и получаешь вероятность реализации угроз (административная, уголовная) и даже риски. Данные все открытые, с поддержкой справится студент.

Кстати, еще нет данных по эффективности контр-мер. Иметь бы источник (открытый), кто из интеграторов делал проекты ЗПД для компаний и коррелировать это с последствиями проверок :)))

7 комментариев:

toparenko комментирует...

Проекты еще не закончены т.ч. говорить еще рано. Из того, что попадалось - я кинул http://www.tsarev.biz/?p=255#comments (тема и последний мой комент)

А на счет калькулятора - http://www.ntc-sfera.ru/calculator.php
Вот подобное гораздо больше потребителю нужно. Хотя прикидка "+/- 2 локтя по карте".

Сергей Гордейчик комментирует...

А зачем считать стоимость защиты, если непонятно, стоит ли защищать? Вдруг риск приемлемый :).

Тем паче это подход "технарский", и полагаю, рассчитан на "1Гфикацию" системы. Хотя вполне можно обойтись и практически без технических мер.

toparenko комментирует...

Критичен уже сам факт наличия пречисленных Вами рисков:
2. Приостановление или прекращение обработки персональных данных в компании - время простоя/деградации связанных бизнес-процессов "до устранения". Думаю, можно смело взять минимум 1/6 года.
3. Привлечение компании и (или) ее руководителя к уголовной (гражданской, дисциплинарной и иным видам ответственности) - катастрофический риск.
4. Приостановление действия или аннулирование лицензий на основной вид деятельности компании - в текущей ситуации ближе к катастрофическому.

По тому, что есть сейчас из требований регуляторов, может оказаться, что техническая сторона вопроса больше (или сравнима) стоимости самого бизнеса. Это тоже стОит учитывать т.к. большинство ИСПД создавались, в лучшем случае, под 1Д, а сейчас оказываются К1/К2.

Т.ч. в расчет риска необходимо включать и стоимость минимизации риска.

Те (во всяком случае большинство), кто выходит на интегратора уже имеют начальные понятия о необходимости выполнений требований регуляторов и чем это им грозит. И сейчас перед ними более актуален вопрос во сколько им обойдется "все это удовольствие" и где на этом можно сэкономить.

Другой вопрос о тех, кто еще вообще не задумался о выполнении 152-ФЗ - там действительно большой процент не определивших риски. Но не факт, что после оценки рисков они смогут прейти к реализации защиты - некоторая часть "уйдет в каменный век" (на бумажную обработку), другие просто свернут бизнес, третьи перепрофилируются (выполнить К3 сможет большинство - хотя так, как нарисовал Атлас, большинство и К1 смогут сделать :lol: )

Ригель комментирует...

Сергею:

В Вашем калькуляторе есть проблема - его формула не учитывает:

а) человеческий фактор (И проверяющий, и проверяемый - человеки. Первый может что-то не увидеть, увидеть то, чего нет, не так истолковать увиденное и пр. Второй может что-то утаить, чем-то отвлечь и т.п.);

б) "политичский" фактор (У регулятора может гореть план по скальпам, оператор может участвовать в организации сочинской олимпиады, у них могут быть отношения лицензиат/лицензиар и т.д.).

Любой из этих факторов способен все менять на 180 градусов.

Сергей Гордейчик комментирует...

Ригель,

1. Таки это просто анекдот и пародия на security theater и методам их продажи.
2. Вероятность удачных/не удачных посиделок в ресторане учесть тоже невозможно, разве что по факту.
3. Факты и предлагается использовать в виде реальной статистике по последствиям атак.
4. Что же вы такие все серьезные, анекдот же...

Сергей Гордейчик комментирует...

2 toparenko,
>Критичен уже сам факт наличия пречисленных Вами рисков:

Это не риски, а возможный ущерб (SLE). Без вероятности реализации он ничего не стоит.

>о техническая сторона вопроса больше (или сравнима) стоимости самого бизнеса

Существует множество примеров практической реализации относительно недорогих оргмер. От "правильной" классификации и переноса ответственности на субъекта (получения согласия в "простой письменной форме") до приведенных Ригелем "политических" факторов и принятия риска через них.

>Т.ч. в расчет риска необходимо включать и стоимость минимизации риска.

Это уже следующая фаза - расчет остаточного риска с учетом контрмер. Обычно проводится как на этапе выбора контрмер (для оценки их эффективности), так и после реализации.

Ригель комментирует...

Ну, у меня были сомнения (мы недостаточно знакомы, чтобы с полуслова понимать шутка или нет), поэтому я просто принял игру.