Статья "Compliance как угроза", опубликована в ИКС ИКС № 9 2010.
Соответствие требованиям регуляторов – одна из основных прикладных задач обеспечения безопасности компаний и организаций различных отраслей и масштабов. Несмотря на тенденцию усиления регуляторных рисков, процесс compliance management может быть разумно встроен в систему управления ИТ и ИБ, реализованную на основе общепризнанных методик и рекомендаций.
Сергей, добрый день! Прошу ответить Вас на вопросы, заданные мной в комментариях к статье на секлабе.
ОтветитьУдалитьС уважением.
Перед, перед всем. Коллеги, к сожалению - информационная (и даже компьютерная) безопасность не точная наука.
ОтветитьУдалить>Сергей, цель статьи какая?
Поделится мыслями, обсуждать. Некоторых - спровоцировать.
> ты намешал всего понемногу и в итоге до конца ни одну тему не раскрыл до конца
Есть немного - ограничение формата. Более того, я особо не представляю в каком издании можно опубликовать любую из затронутых тем развернуто (кроме как у "себя в книге/диссертации")
>видимо это всё-таки всплеск мозга по более широкому исследованию.
Угу. MaxPatrol 10 в части threat management/BIA
>методы Вы предлагаете использовать для оценки вероятности проведения ( ARO )
Проверки регуляторов - штука публичная. Как плановые проверки (http://sgordey.blogspot.com/2009/06/152.html, http://lukatsky.blogspot.com/2010/01/2010.html), так и последствия проверок "по вызову" (http://www.mskit.ru/news/n78804/). В PCI DSS есть также статистика ущерба (http://sgordey.blogspot.com/2010/08/v...2010.html). Данные подробные, хочешь строй по отраслям, хочешь по регионам, хочешь - по годовому обороту.
В этом то и прелесть compliance - он способствует публичности и накоплению статистики.
>Относительно SLE
См. выше
>Также интересует Ваш ответ на следующий вопрос - как в предложенную Вами модель вписывается (или потенциально может быть вписано)
См. "перед, перед всем". Учитывается просто - как "принятие" риска в любой модели анализа риска. Пошли в Visa, показали Action Plan, договорились на три года... Компенсационный "контроль" налицо.
Стоит также учитывать и позитивные эффекты от Compliance. Например у меня есть пример когда коллекторское агентство "отъело" большой кусок регионального рынка просто получив "сертификат о персональных данных" (не вникая особо, что это). Банки моментально переключились на него, ибо так проще.
>В данном контексте - почему административная и гражданско-правовая ответственность руководителя/самой организации оценивается Вами как катастрофический риск
Мммм.. виноват. Не совсем правильно перевел свои мысли на русский язык и пальцы не догнали мозг. Согласен, слово "катастрофический" в данном контексте зря. Хотел обозначить подстановку из начального обсуждения где виден worst-case scenario, но куда-то делось (см. https://www.blogger.com/comment.g?blogID=2646441152970001642&postID=6525244399903810279). Виноват.