Итак, закончился первый день InfoSecurity Russia 2008. Выкладываю свои презентации. Первая посвящена теме Security Governance. Не могу сказать, что она удалась. И зал был не тот (технический для такой темы явно не подходил), и аудитория еще не проснулась, да и я погорячился, когда эту тему выставил на InfoSecurity. Все-таки пока эту тему рано поднимать. Ее аудитория — это CIO Summit’ы в разных вариантах.
Вторая тема была посвящена вопросам стандартизации. Или точнее ее несовершества в России. Я думал, что я пессимист, но оказалось, что есть и более пессимистичные люди 😉 В итоге сошлись на том, что в ближайшее время единства при разработке стандартов ИБ в России не будет. Это признал бизнес и даже регуляторы ;-( Ситуация будет только хуже, т.к. на рынок активно выходит Минкомсвязь, у которого свое видение развития стандартизации ИБ (то же новое Постановление по персданным). Достаточно интересным было выступление представители Ростехрегулирования, который поделился тем, что Воронежский институт ФСТЭК в этом году выпустил 13 стандартов по ИБ (адаптация ISO/IEC) — в следующем еще будет 9. Т.е. на месте ситуация не стоит, но и за бизнес никто ничего решать не будет. Спасение утопающих…
И третьей своей презентацией я завершал сессию по рискам. Изначально планировалось, что я начну сессию, но получилось так, что я завершал. В итоге получилось неплохо — после рассказа интеграторов о том, что анализ и управление рисками — это хорошо, я выступил с рассмотрением текущих методов измерения вероятности рисков и тяжести последствий от них.
Первый день на этом закончился…
Алексей Викторович немогли бы Вы выложить презентацию «Принцип Парето в стандартизации ИБ» выложить в PowerPoint (а то 7 слайд непонятен).
Заранее благодарен
Алексей Викторович немогли бы Вы выложить презентацию «Принцип Парето в стандартизации ИБ» выложить в PowerPoint (а то 7 слайд непонятен).
Заранее благодарен
Эх… Что ж ты так обломал последний круглый стол? )))
Я вот теперь думаю — идти туда ещё раз или всё напрасно?
Что значит «еще раз»?
Я не обломал — я рассказал, как есть 😉 А то все риски, да риски… А никто не удосуживается хотя бы на себе это все попробовать 😉
Как с ПДн. Я жаль не был на секции по госрегулированию. А то бы спросил, кто из выступающих является сам зарегистрированным оператором персданных 😉
евгений: я обновил презентацию
с персданными всё в порядке, т.е. полный швах. там хватало отжигов. но было интересно пообщаться с тов.Мельниковым из россвязькомнадзора. Поболтали про 14 главу ТК и прочие запросы персданных извне. вообщем каша у меня в голове не рассосалась, но сохранилось стойкое ощущение что ну его нафиг этот гемор ))
Идею с приведением «множества» стандартов к «общему» знаменателю мне кажется нужно рассматривать на другом уровне. Не на уровне государственного регулирования, а на уровне управления в конкретной организации. Идея понятна, выделить базовые требования, которые применимы ко всем,а затем применять уже расширенные. В эту схему, даже если договорятся регуляторы нашей Родины, пока не вписываются регуляторы международные, тот же PCI Consil. И проходить сертификацию придется и по требованиям российского стандарта и по требованиям PCI DSS, а кому то и SOX придется удовлетворять все равно.
Правильно написано, спасение утопающих дело рук, самих утопающих, пусть сам бизнес разрабатывает внутри себя свой стандарт, который удовлетворяет тем требованиям регуляторов, которые к нему предъявляются в силу специфики бизнеса. И ему пусть удовлетворяет. Хотя сертифицироваться все равно придется по нескольким.
Разбиение стандартов на модули должно проводиться регуляторами. В противном случае придется выполнять кучу несвязанных документов, а этого бы хотелось избежать
Что же касается западных требований, то PCI DSS скорее исключение. Но и тут регуляторы могли бы подменить стандарт своими требованиями или принять его как национальный стандарт для конкретной области — карточная система.
Некоторые замечания по презентации по анализу рисков. К сожалению не смог присутствовать на круглом столе.
По АСУ ТП (для энергетики) — информация накапливается. Думаю в течение 2-х лет уже можно будет делать адекватные прогнозы и оценки ущерба.
+ Вообще, по-моему, не очень удачный пример — потому что производство как-раз посчитать не очень сложно — перерасход топлива, техногенная катастрофа, остановка производства — всё более или менее подвергается оценке.
OSSTMM RAV — всё же не анализ рисков, а специфические метрики используемые при обследовании систем.
ISO27005 вроде как прежде всего основан на BS7799:3, а не на 13335.
Слайд 17 — отличный 🙂 На опыте убедились, что методику оценки надо согласовывать на всех уровнях причём чем вовлечённее все эти уровни — тем потом проще.
2 года — это мало для систем, жизненный цикл которых может измеряться 20-ю или даже 40-а годами.
Что же касается расчета по АСУ ТП, то если с потерями еще можно что-то делать, то с вероятностью тупик…
Алексей Викторович, что вы думаете о теме диссертации: анализ рисков систем контроля и управления доступом в АСУ ТП на основе биометрических характеристик пользователя? стоит ли связываться или все действительно так плохо со статистикой?
По АСУ ТП статистики почти нет. Да и АСУ ТП с биометрической аутентификацией я что-то не припомню. Тема, на мой взгляд, бесперспективная на ближайшие несколько лет.