Показ дописів із міткою оценка рисков. Показати всі дописи
Показ дописів із міткою оценка рисков. Показати всі дописи
середу, 23 травня 2012 р.
RA: Риски при управлении Рисками
Сей краткий пост, адресован, тем кто, так или иначе интересуется вопросами управления рисками и для кого fair – это в первую очередь Factor analysis of information risk.
пʼятницю, 30 грудня 2011 р.
В пятницу после работы: В поисках формулы
Выражение
Risk = Threat x Vulnerability x Impact
часто называют классической формулой для расчета риска ИБ.
А как Вы относитесь к написанному?
Как Вы считаете, эта формула правильная или нет? Почему?
четвер, 29 грудня 2011 р.
Восполняя пробелы: Неопределенность
Казалось бы, если мы говорим о «неопределенности», то, что еще обсуждать, какая уж тут конкретика? Как можно отличать то, что и так не определено?
На самом-то деле неопределенность неопределенности рознь.
На самом-то деле неопределенность неопределенности рознь.
пʼятницю, 23 грудня 2011 р.
В пятницу после работы: Неопределенность
При оценке рисков, часто для придания некой строгости процессу, считается, что неопределенность может быть определена количественно c определенной точностью, используя теорию вероятности, например, метод Монте-Карло (см. тот же FAIR).
А в каких случаях такой подход не работает даже теоретически? Сталкивались ли вы с ситуацией, когда неопределенность бывает разной?
четвер, 3 листопада 2011 р.
RA: Считаем Риски правильно
Соответствие требованиям законодательства, один из самых важных моментов в работе любого Бизнеса.
Законодатель выдвигает требования и определяет ответственность за их нарушение, а Бизнес обрабатывая риски, связанные с этим, принимает для себя взвешенное решение: выполнять требования закона или нести ответственность за его нарушение.
Абсолютно стандартная процедура, применяемая во всем мире и во всех сферах деятельности, а значит применяемая и в Украине в отношениях законодательства затрагивающего вопросы Информационной Безопасности.
Сегодня эксперты в области ИБ при анализе рисков в первую очередь обращают внимание на нарушения законов защищающих права на обьекты интеллектуальной собственности (например, программное обеспечение) и персональные данные граждан.
Поддерживаю такие акценты, но сожалею, что коллеги (до не давнего времени и я) часто делают одну и ту же ошибку: неправильно указывая размер возможного штрафа. Причиной такой ошибки, есть не правильное использование величины Неоподатковуваного мінімуму доходів громадян для расчета ущерба в контексте административного и уголовного законодательства Украины в части квалификации преступлений и правонарушений.
Для правильного расчета ущерба, а следовательно и наказания необходимо принимать во внимание пункт 5 Підрозділу 1 Розділу XX Податкового кодексу України, который гласит:
«Якщо норми інших законів містять посилання на
неоподатковуваний мінімум доходів громадян, то для цілей їх
застосування використовується сума в розмірі 17 гривень, крім норм
адміністративного та кримінального законодавства в частині
кваліфікації злочинів або правопорушень, для яких сума
неоподатковуваного мінімуму встановлюється на рівні податкової
соціальної пільги, визначеної підпунктом 169.1.1 пункту 169.1
статті 169 розділу IV цього Кодексу для відповідного року.»
Таким образом для расчета размера ущерба в 2011 году необходимо использовать 470.50 грн, а для расчетов штрафов 17.00 грн.
Хочу выразить особую благодарность Dmytro Melnychenko за указание на принципиальные ошибки допущенные при подготовке первой версии данного поста.
вівторок, 12 квітня 2011 р.
RA: В поисках "цифры"
Будучи скептиком в вопросе возможности количественной оценки рисков информационной безопасности, не смог пройти мимо факта, лишний раз иллюстрирующего природу моего "неверия".
Вспомним один из последних громких инцидентов: успешную атаку на RSA. Воспользуемся кратким описанием "анатомии" атаки и небольшим исследованием ее последствий.
Возможно ли было заранее "просчитать" этот риск и получить цифру "694 млн. долларов"?
Сторонники количественных оценок, для расчета Риска рекомендуют различные формулы и подходы, которые опираются на "классику":
Риск = Вероятность * Воздействие
В этот раз, сознательно, не буду даже пытаться определить Вероятность инцидента, более того, готов принять ее за «единицу» (мы то знаем, что это случится :-)), здесь мне интересно проанализировать возможность определения величины Воздействия.
То, что инциденты ИБ будут влиять на стоимость акций - очевидно. Даже очевиден характер такого влияния - акции будут падать в цене, да, но это рассуждения в сторону качественной оценки, а нас Бизнес ведь интересует оценка количественная.
На самом-то деле, проблем для такой оценки никаких нет, для этого нужно знать ответ на три простых вопроса:
1. Когда (дата) произойдет инцидент?
2. Какая будет стоимость акций компании на указанную дату?
3. Как отреагирует "биржа" на сообщение о инциденте? (т. е. на сколько "упадут" акции в цене: на 1%, или на 10%, а может на 5%).
Неужели кто-то не смог определить, что данное безобразие инцидент будет оценен падением на 1.25% в тот момент когда капитализация компании достигнет 55.55 млрд?
пʼятницю, 28 січня 2011 р.
Ответственность за "пиратство"
Свели воедино информацию об ответственность за нарушения в области права на интеллектуальную собственность (см. требования раздела 15.1.2 ISO/IEC 27 002, а, следовательно, и СОУ Н НБУ 65.1 СУІБ 2.0:2010).
При нашей действительности при оценке рисков без этого не обойтись.
Заранее благодарен, за найденные неточности и пожелания.
понеділок, 13 грудня 2010 р.
Методика оценки рисков ИБ от НБУ
На выходных просмотрел проект «Методики оценки рисков информационной безопасности» изданный Национальным Банком Украины.
Хорошо, что у нас не принято указывать автора документа, не то можно было бы смело «ставить крест» на карьере методиста столь замечательного опуса.
При разработке Методики авторы руководствовались стандартом ISO/IEC 27005:2008 "Information technology - Security techniques - Information security risk management". Стандарт представляет собой высокоуровневый документ, который хорош как некое концептуальное ядро, требующее методологического сопровождения, чего, откровенно говоря, не получилось:
крайне плохой (а часто некорректный) перевод текста стандарта, абсолютно неудачное сокращение текста (из более 50 страничного стандарта была создана 17 страничная методичка со шрифтом мене убористым, чем в оригинале) привел к результату, когда есть много сомнений возможности практического использования документа, особенно в организациях, где оценка рисков информационной безопасности будет проводиться впервые.
Первичное прочтение вызвало много эмоций, в массе своей - отрицательных. Но все таки хочется быть конструктивным, так как все таки НБУ предпринимает реальные шаги по изменению украинского infosec-ландшафта.
Что не понравилось и что бы хотелось бы исправить:
1. Убила первая фраза Методики, оказывается, что внедрение в банках Украины стандартов ИБ продиктован требованиями Базельского комитета. Даже если это правда, ни ужели на сегодняшний день нет других причин внедрять стандарты ИБ? Нужна более сильная мотивация.
2. Ввиду того, что обсуждается Методика (а не, например, стандарт) и идет ссылка на нормативные требования Basel II, следовало бы, более подробно остановится на рисках, которые могут возникать в результате нарушений ИБ. Потому как операционные риски, в данном случае могут вызывать - юридические и репутационные риски. А согласно §732 (Базеля): В процессе оценки достаточности капитала должны учитываться все существенные риски, с которыми сталкивается банк.
3. Обязательно должен присутствовать раздел терминологии, который, в свою очередь должен согласовываться с ранее принятыми НБУ стандартами (СОУ Н НБУ 65.1 СУІБ).
4. Проиллюстрировать процессы оценки и обработки рисков графически, сопроводив более подробным описанием.
5. Отдельным пунктом вынести требования по организации необходимого обмена информацией связанной с Рисками ИБ (см ISO/IEC 27005:2008 - §11 Information security risk communication)
6. Количественные оценки требуют формул. Решение, авторов Методики, о замене формулы ее словесным описанием мне кажется крайне неудачным.
7. Может оказаться полезным введением и пояснением терминов Single Loss Expectancy (SLE), Annual Rate of Occurrence (ARO), Annual Loss Expectancy (ALE), Risk On Security Investment (ROSI), и т.п. Потому как, при выборе банком иностранной методики оценки информационных рисков, желательно не допускать разночтений в терминах при аудите.
8. Почему не анализируются риски связанные с нарушениями в части "автентичності" та "спостержності"?
9. Проиллюстрировать примерами качественную и количественную оценку рисков.
10. Еще раз критически посмотреть на неиспользованный материал ИСОшного Стандарта.
11. …
Методика оценки рисков ИБ является одним из сложнейших этапов построения СУИБ и за одну-две итерации разработать качественную методику никому не удавалось, тем более в условиях «поля непаханого», каким сегодня выглядит нива ИБ в Украине.
Так, что : «В добрый час».
На выходных просмотрел проект «Методики оценки рисков информационной безопасности» изданный Национальным Банком Украины.
Хорошо, что у нас не принято указывать автора документа, не то можно было бы смело «ставить крест» на карьере методиста столь замечательного опуса.
При разработке Методики авторы руководствовались стандартом ISO/IEC 27005:2008 "Information technology - Security techniques - Information security risk management". Стандарт представляет собой высокоуровневый документ, который хорош как некое концептуальное ядро, требующее методологического сопровождения, чего, откровенно говоря, не получилось:
крайне плохой (а часто некорректный) перевод текста стандарта, абсолютно неудачное сокращение текста (из более 50 страничного стандарта была создана 17 страничная методичка со шрифтом мене убористым, чем в оригинале) привел к результату, когда есть много сомнений возможности практического использования документа, особенно в организациях, где оценка рисков информационной безопасности будет проводиться впервые.
Первичное прочтение вызвало много эмоций, в массе своей - отрицательных. Но все таки хочется быть конструктивным, так как все таки НБУ предпринимает реальные шаги по изменению украинского infosec-ландшафта.
Что не понравилось и что бы хотелось бы исправить:
1. Убила первая фраза Методики, оказывается, что внедрение в банках Украины стандартов ИБ продиктован требованиями Базельского комитета. Даже если это правда, ни ужели на сегодняшний день нет других причин внедрять стандарты ИБ? Нужна более сильная мотивация.
2. Ввиду того, что обсуждается Методика (а не, например, стандарт) и идет ссылка на нормативные требования Basel II, следовало бы, более подробно остановится на рисках, которые могут возникать в результате нарушений ИБ. Потому как операционные риски, в данном случае могут вызывать - юридические и репутационные риски. А согласно §732 (Базеля): В процессе оценки достаточности капитала должны учитываться все существенные риски, с которыми сталкивается банк.
3. Обязательно должен присутствовать раздел терминологии, который, в свою очередь должен согласовываться с ранее принятыми НБУ стандартами (СОУ Н НБУ 65.1 СУІБ).
4. Проиллюстрировать процессы оценки и обработки рисков графически, сопроводив более подробным описанием.
5. Отдельным пунктом вынести требования по организации необходимого обмена информацией связанной с Рисками ИБ (см ISO/IEC 27005:2008 - §11 Information security risk communication)
6. Количественные оценки требуют формул. Решение, авторов Методики, о замене формулы ее словесным описанием мне кажется крайне неудачным.
7. Может оказаться полезным введением и пояснением терминов Single Loss Expectancy (SLE), Annual Rate of Occurrence (ARO), Annual Loss Expectancy (ALE), Risk On Security Investment (ROSI), и т.п. Потому как, при выборе банком иностранной методики оценки информационных рисков, желательно не допускать разночтений в терминах при аудите.
8. Почему не анализируются риски связанные с нарушениями в части "автентичності" та "спостержності"?
9. Проиллюстрировать примерами качественную и количественную оценку рисков.
10. Еще раз критически посмотреть на неиспользованный материал ИСОшного Стандарта.
11. …
Методика оценки рисков ИБ является одним из сложнейших этапов построения СУИБ и за одну-две итерации разработать качественную методику никому не удавалось, тем более в условиях «поля непаханого», каким сегодня выглядит нива ИБ в Украине.
Так, что : «В добрый час».
Підписатися на:
Дописи (Atom)