понедельник, 22 ноября 2010 г.

Compliance как угроза

Статья "Compliance как угроза", опубликована в ИКС  ИКС № 9 2010.

Соответствие требованиям регуляторов – одна из основных прикладных задач обеспечения безопасности компаний и организаций различных отраслей и масштабов. Несмотря на тенденцию усиления регуляторных рисков, процесс compliance management может быть разумно встроен в систему управления ИТ и ИБ, реализованную на основе общепризнанных методик и рекомендаций.

http://www.securitylab.ru/analytics/399689.php

2 комментария:

Анонимный комментирует...

Сергей, добрый день! Прошу ответить Вас на вопросы, заданные мной в комментариях к статье на секлабе.
С уважением.

Сергей Гордейчик комментирует...

Перед, перед всем. Коллеги, к сожалению - информационная (и даже компьютерная) безопасность не точная наука.

>Сергей, цель статьи какая?

Поделится мыслями, обсуждать. Некоторых - спровоцировать.

> ты намешал всего понемногу и в итоге до конца ни одну тему не раскрыл до конца

Есть немного - ограничение формата. Более того, я особо не представляю в каком издании можно опубликовать любую из затронутых тем развернуто (кроме как у "себя в книге/диссертации")

>видимо это всё-таки всплеск мозга по более широкому исследованию.

Угу. MaxPatrol 10 в части threat management/BIA

>методы Вы предлагаете использовать для оценки вероятности проведения ( ARO )

Проверки регуляторов - штука публичная. Как плановые проверки (http://sgordey.blogspot.com/2009/06/152.html, http://lukatsky.blogspot.com/2010/01/2010.html), так и последствия проверок "по вызову" (http://www.mskit.ru/news/n78804/). В PCI DSS есть также статистика ущерба (http://sgordey.blogspot.com/2010/08/v...2010.html). Данные подробные, хочешь строй по отраслям, хочешь по регионам, хочешь - по годовому обороту.
В этом то и прелесть compliance - он способствует публичности и накоплению статистики.

>Относительно SLE

См. выше

>Также интересует Ваш ответ на следующий вопрос - как в предложенную Вами модель вписывается (или потенциально может быть вписано)

См. "перед, перед всем". Учитывается просто - как "принятие" риска в любой модели анализа риска. Пошли в Visa, показали Action Plan, договорились на три года... Компенсационный "контроль" налицо.
Стоит также учитывать и позитивные эффекты от Compliance. Например у меня есть пример когда коллекторское агентство "отъело" большой кусок регионального рынка просто получив "сертификат о персональных данных" (не вникая особо, что это). Банки моментально переключились на него, ибо так проще.

>В данном контексте - почему административная и гражданско-правовая ответственность руководителя/самой организации оценивается Вами как катастрофический риск

Мммм.. виноват. Не совсем правильно перевел свои мысли на русский язык и пальцы не догнали мозг. Согласен, слово "катастрофический" в данном контексте зря. Хотел обозначить подстановку из начального обсуждения где виден worst-case scenario, но куда-то делось (см. https://www.blogger.com/comment.g?blogID=2646441152970001642&postID=6525244399903810279). Виноват.