На что часто жалуются банковские службы ИБ (да и не только они)? На нехватку ресурсов на обеспечение ИБ. А почему их не хватает? Не дают. А почему не дают? Потому что безопасники не могут показать деньги. Я про это аккурат в понедельник писал. Отдельные Ибоши (это в FB термин такой случайно родился 😉 твердили, что я теоретик и не понимаю реалий, что оценить ущерб в деньгах невозможно и что этого никто не делает, и т.д. И вот появляется новая форма отчетности 0409258 об инцидентах с платежными картами, где в явной форме надо ежемесячно указывать количество и сумму несанкционированных операций по картам; причем по разным срезам. По 203-й форме ЦБ также планирует, о чем говорилось в Магнитогорске, ввести графу по похищенным или намеченных к хищению денежных средств.
Что нам дают эти нововведения? То, чего так ждут службы ИБ, до конца и не подозревая об этом. Показ денег! Вот он ущерб от деятельности мошенников, хакеров и иных протиправных личностей! Причем по разным срезам и помесячно. И тут же информация по инцидентам, которая так нужна для оценки вероятности нанесения ущерба. Опять же вероятность для каждого инцидента своя с распределением по времени года. И ведь все эти данные не притянутые за уши, и не взятые с потолка, и никто их не копипастил из статистических отчетов консультантов. Реальные цифры по конкретному банку. Одним выстрелом сразу двух зайцев.
Вот и получается, что с одной стороны ЦБ навязывает новые формы отчетности, сильно бюрократизируя ИБ, а с другой это позволяет сделать то, что так нужно банковским безопасникам. Нужно, конечно, не только им, но в других отраслях нет такого регулятора 😉 Дуализм, однако. И не знаешь, хорошо это или плохо… Каждый выбирает для себя.
Алексей, с операторами ПС все проще — они требуют отчеты только в случае инцидента, пустые (в отличии от ЦБ) им не нужны.
CONTACT требует ежемесячно.
Он не может не требовать
Известно, что на практике всегда очень сложно оценить стоимость любого информационного актива, который могут украсть (К), изменить (Ц) или заблокировать к нему доступ (Д).
Кроме одного единственного очевидного случая, когда речь идет напрямую о таком активе как о деньгах — тут все очевидно и ущерб считается напрямую. В реальном мире, где обычно применяется анализ рисков (страховщики, например), таких проблем нет — там не виртуальные активы, а сугубо вещественные, которые очень легко оценить.
Плюс в ИБ огромные проблемы с расчетом вероятности инцидента — привычная в теории анализа рисков железная статистика профильных инцидентов, на которой все и построено на практике (у тех же страховщиков), в ИБ у нас тоже не работает.
Собственно, поэтому на практике в силу сугубо объективных причин теория анализа рисков очень сильно буксует в ИБ и может применяться очень и очень ограничено.
По теме — если б ещё закон о безопасности ТЭК расширили в части 11 статьи.
ЗЫ. про пробуксовку теории рисков в применении к ИБ мне понравилось
2 ilya
Управление рисками есть много где. Например, в управлении проектами есть понятие проектных рисков, там еще веселее ситуация: проект — разовое мероприятие и никакой статистики нет. Однако, рисками управляют как-то при этом.
И последствия оцениваются и контрмеры разрабатываются.
Конечно управляют и правильно. Только не как в фундаментальной теории, где риск = ущерб умножить на вероятность реализации угрозы.
А кто сказал, что это фундаментальная теория? 🙂