среда, 13 мая 2009 г.

Compliance как угроза. Анализируем риски

Если рассматривать вопрос соответствия требованиям с точки зрения анализа рисков, т.е. принимать:

угроза - прописанные регулятором последствия нарушения
уязвимость - несоблюдение требований
атака - проверка регулятора
контрмера - соблюдение требований

возникает практически беспрецедентная ситуация - у нас присутствую все необходимые исходные данные для проведения количественного анализа рисков на основе классической методики ARO x SLE = ALE.

http://www.windowsecurity.com/articles/Risk_Assessment_and_Threat_Identification.html

У нас есть:

ARO - вероятность проверки регулятором
SLE - прописанные регулятором последствия нарушения

Этот интересный случай доказывает не только тот факт, что школьные правила все же иногда работают, но и великую пользу compliance как двигателя информационной безопасности.

И так, рассмотрим пару примеров, которые сейчас "на слуху" - ФЗ 152 (ЗПД) и PCI DSS.

PCI DSS

Здесь все довольно просто, потому как в связи с известными событиями в мировой экономике Visa и другие платежные системы решили "не кошмарить бизнес", и, в большинстве случаев позволяют сдвигать action plan. Это дает отсрочку в реализации атаки в несколько лет. Беспрецедентная ситуация, когда вы точно знаете, что данная конкретная атака не произойдет в течение года. Или двух. Представьте себе индульгенцию от вирусных атак или кражи оборудования сроком на год... Великолепная штука.


Итак:

угроза - штраф (N децикило $) или ущерб от запрета операций (пусть для простоты будет тоже N децикило $), SLE
уязвимость - несоблюдение требований (PCI DSS)
атака - реакция регулятора на отступление от action plan (вероятность наступления, ALE - 0 раз в год)

Итого, получаем:

Риск = (N децикило $) x (0) = 0

Т.е. можно ничего не делать!!!

Но! Ключевым условием является наличие action plan. Соответственно надо его сформировать. Самому, или с помощью QSA - по желанию. К сожалению, у меня нет информации о реакции регуляторов на отсутствие action plan по PCI DSS, но думаю, что SLE в этом случае будет на уровень стоимости контрмеры (аудита).

ФЗ 152

Тут все просто.

угроза - несколько вариантов

1. Административная ответственность - штрафы
2. Приостановление или прекращение обработки персональных данных в компании - время простоя/деградации связанных бизнес-процессов "до устранения". Думаю, можно смело взять минимум 1/6 года.
3. Привлечение компании и (или) ее руководителя к уголовной (гражданской, дисциплинарной и иным видам ответственности) - катастрофический риск.
4. Приостановление действия или аннулирование лицензий на основной вид деятельности компании - в текущей ситуации ближе к катастрофическому.


атака - проверка регулятора

В связи с новизной и интересностью для регулятора и возможность инициации внешними силами (заявление), вероятность реализации в 2010 году можно принять равной 1.
Если кого-то интересует более детальные расчеты по отраслям деятельности и регионам, можно использовать статистику:

http://community.livejournal.com/personal_data/721.html

Итого, получаем:

Риск = (стоимость бизнеса) x (1) = (стоимость бизнеса)

Т.е. проблема есть и ее надо решать.

PS. Не надо делать далеко идущие выводов. Просто анекдот.

6 комментариев:

nghtf комментирует...

А по-моему, ничего анекдотичного. Все именно так и живут, только "Остап был бы удивлен, узнав, что играет такие мудреные партии" (это про аро и прочие expectancy :))

А вот, нельзя ли привести пример, когда платежные системы таки "окошмарили" бизнес? Эти инциденты публикуются советом PCI или кем-либо еще? (просто интересно)

Ригель комментирует...

> Итого, риск = стоимость бизнеса

Тогда единственный способ его уменьшения - это уменьшение стоимости бизнеса. Ерунда же ведь, верно? Где-то ошибка.

nghtf комментирует...

Ошибки нет :) Просто зря, наверное, Сергей подменил "Annual Loss Expectancy" (ALE) словом "риск" :)

Риск это риск, а оценка потерь это оценка потерь. Уменьшайте вероятность (суть риск) релизации угрозы (e.g., stay compliant, не пускайте проверку в дом итд..) и риск соотв. так же уменьшится :) Но при этом ALE может оставаться тем же :)

Анонимный комментирует...

Я так понимаю, что это не формула, а уже подстановка значений по сценарию - ничего не делали и с регулятором не договорились. За что и были примерно наказаны.

Ригель комментирует...

> Просто Сергей подменил ALE словом "риск"

И правильно сделал.
Неправильно было брать в качестве SLE не среднее значение, а крайнее, и вместо ARO не количество предписаний, а сам факт получения.
По-моему.

Sergey Gordeychik комментирует...

Это действительно не формула, а подстановка.
Исходные данные по вероятности атаки, возможному ущербу я привел.

И хотя, наиболее вероятный ущерб, это
"протокол об административном правонарушении", по старой привычке рассчитал "worst-case scenario".

Среднее значение вообще использовать в данном случае не вижу смыла, получится что-то несуразное, имхо.

Дарю идею интеграторам, продвигающим ЗПД: сделать online калькулятор рисков. Вводишь отрасль, годовой оборот, регион и принятые меры по защите и получаешь вероятность реализации угроз (административная, уголовная) и даже риски. Данные все открытые, с поддержкой справится студент.

Кстати, еще нет данных по эффективности контр-мер. Иметь бы источник (открытый), кто из интеграторов делал проекты ЗПД для компаний и коррелировать это с последствиями проверок :)))