RA: В поисках "формулы": часть I-я

Ее строгость, наглядность, простота 

настолько очевидна, что не просто радует глаз, 

но и затуманивает разум

Что может быть прекрасней формулы расчета ИТ рисков

R = T x V x A, или более подробно Risk = Threat * Vulnerability * Asset Value

Очень красиво и наглядно. Не правда ли? Дело осталось за малым: понять, как ее использовать на практике.

В пятницу после работы: Цели и общедоступные источники

Красной нитью Закона Украины о Защите Персональных Данных есть требование, что обработка ПД должна осуществляется в рамках законных целей, но самое главное - цель обработки должна быть согласованна с Субьектом ПД (п 1 ст 6 и пп 1 п 2 ст 8).

С моей точки зрения здесь появляется нюанс: цель с которой Субьект разместил данные в общедоступных источниках и цель, с которой эти данные были собраны и подвергнуты обработке, могут быть разными.

Вопрос: Можете ли вы навести примеры таких ситуаций? Как необходимо оценивать сложившеюся ситуацию? Или проблема надумана?

Причина вопроса: сбор данных происходит без уведомления Субьекта ПД (п 3 ст 12)

Унификация защиты Персональных Данных: Классификация

Рано или поздно Базы персональных данных нужно будет не только регистрировать, но и защищать, а учитывая «вселенский охват», ой как помогли бы типовые рекомендации...

Несколько месяцев, на сайте Державної служби України з питань захисту персональних даних  был размещен Проект «РЕКОМЕНДАЦІЇ щодо забезпечення захисту персональних даних у базах персональнихданих від незаконної обробки, а також від незаконного доступу до них».

В пятницу после работы: В поисках формулы

Выражение

Risk = Threat x Vulnerability x Impact

часто называют классической формулой для расчета риска ИБ.

А как Вы относитесь к написанному?
Как Вы считаете, эта формула правильная или нет? Почему?

Восполняя пробелы: Неопределенность

Казалось бы, если мы говорим о «неопределенности», то, что еще обсуждать, какая уж тут конкретика? Как можно отличать то, что и так не определено?

На самом-то деле неопределенность неопределенности рознь.

В пятницу после работы: Неопределенность

При оценке рисков, часто для придания некой строгости процессу, считается, что неопределенность может быть определена количественно c определенной точностью, используя теорию вероятности, например, метод Монте-Карло (см. тот же FAIR).

А в каких случаях такой подход не работает даже теоретически? Сталкивались ли вы с ситуацией, когда неопределенность бывает разной?

В пятницу после работы: Кибероружие

Сегодня много говорится о кибервойнах, а следовательно и о возникновении соответствующих родов войск, но войска нужно вооружать. 

Стоит ли преследовать разработку malware или необходимо данный вид деятельности легализовать, но предусмотреть его лицензирование и правила распространения?