Инцидент, как драйвер безопасности

Все-таки, как ни крути, а из 10-ти драйверов, движущих безопасностью, самым простым (при работе с руководством) является произошедший инцидент. В такой ситуации после получения по шапке можно без каких-либо дополнительных усилий реализовывать проекты по ИБ. Обосновывать и доказывать почти ничего не нужно — все понимают, зачем это надо.

В качестве примера можно взять «надежный и удобный» Альфа-банк. За последние 2 года этот банк неоднократно становился мишенью для злоумышленников (другие тоже становились, но не всегда об этом узнавала пресса):
взлом Интернет-банка Альфа-банка — в течение нескольких месяцев 2007-ого года
фишинговая атака на клиентов Альфа-банка — весна и осень 2007-го года
банкомат «подарил» 20 миллиардов рублейтут) — лето 2006-го года
сотрудник Альфа-банка взломал процессинг — в течение 2007-го года.

Всего «несколько» инцидентов ИБ и ситуация стала изменяться — например, недавно Альфа-банк прошел аудит на соответствие стандарту PCI DSS.

К сожалению, данный драйвер, в отличие от остальных, практически неуправляем ;-(

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Olgert

    Да, Алексей, могу лишь подтвердить кроссплатформенность указанных Вами драйверов… 🙂 Почему-то всегда декларируемая в принципах безопасности «превентивность» никогда не реализуется на практике. Только когда жареный петух … ну дальше всем известно.

    Ответить
  2. arkanoid

    Увы, я с трудом верю, что pci dss compliance позволил бы предотвратить хотя бы один из этих инцидентов.

    Ответить
  3. Анонимный

    а где поглядеть остальные 9?

    Ответить
  4. Алексей Лукацкий

    1. Инцидент
    2. Compliance
    3. Угрозы
    4. Риски
    5. Бизнес-требования
    6. Изменение технологии
    7. Аудит
    8. Влияние интеграторов
    9. Влияние партнеров по бизнесу
    10. Executive sponsor

    Ответить
  5. Алексей Лукацкий

    arcanoid’у: Ну речь не о том, чтобы предотвратить 😉 А о том, чтобы начальство задумалось…

    Ответить
  6. Анонимный

    Проблема в том, что в приведенном и многих других перечнях наблюдается смешение уровней обощения. Драйвера всего два — compliance и требования бизнеса, возникающие в разные периоды под разными соусами с различным размахом.

    Ответить
  7. Анонимный

    2AndrewZ

    Как раз-таки наоборот: именно воля руководства в нем лишняя. Объяснять надо?

    Ответить
  8. Анонимный

    2Ригель

    А как же! Может получиться дискуссия.

    Ответить
  9. Анонимный

    2AndrewZ
    Извольте. Комплайнс сам по себе ничего не двигает, двигает желание/нежелание руководства терпеть нон-комплайнс (принимать риск), так что из двух Ваших драйверов первого уровня остается один — нужда бизнеса в ИБ определяется нуждой бизнеса в ИБ. Без капли сожаления уходим на второй, который и содержит 9 причин первого.

    Ответить
  10. Анонимный

    Соглашусь, что высокоуровневым драйвером по ИБ является risk-tolerance. Но нужда бизнеса в ИБ не связана с внешними требованиями. Внешние требования не исполняются бизнесом в том объеме, в котором бизнес готов принять правовой риск (риск неожиданного применения законодательства). Это как-бы драйвер со знаком минус — бизнес решает что он не намерен делать. И правовой риск здесь единственное мерило.
    Внутренние требования бизнеса формируют намерение делать со знаком «плюс». С точки зрения стороннего наблюдателя эти два драйвера не пересекаются, поэтому объединить их можно только на более высоком уровне — уровне рисков. Поэтому и придумана иделология GRC, которая определяет framework для драйверов ИБ.

    Ответить
  11. Анонимный

    Сами внешние требования ничего не делают (я еще не повторяюсь?) — не выделяют деньги, не кроят оргштатку, не добавляют полномочия. Так же как это не делает сам инцидент или сама угроза.
    Второй уровень совершенно заслуженный.

    Ответить