Взгляд на угрозы со стороны бизнеса.

Аватар пользователя ryndin
Автор: Рындин Владимир,
(12)
()
Опубликовано в:

Не так давно ФСТЭК опубликовала 21 приказ, который вызвал ожидаемое удовлетворение у экспертов. Это и понятно, так как этому способствует несколько факторов, таких, как:

  • В документе прослеживается ориентированность не на способы "прижать оператора" или "отписаться", а на реальную потребность и необходимость защиты данных. 
  • Документ "впитал" в себя некоторые из лучших практик международного законодательства, чему способствовал следующий пункт.
  • В обсуждегнии и составлении документа принимало участие экспертное сообщество "из простых смертных", что помогло ФСТЭК написать не просто приказ, который надо исполнять, а документ, исполнение которого может дать реальный результат.

Но это лирика и я не буду писать похвалы ФСТЭК. И так много уже сказано по этому поводу. Раз уж пошла тенденция ориентироваться на бизнес, то у меня есть некоторые мысли по этому поводу. Сейчас все ожидают утверждения новых документов во исполение ФЗ-152 и ПП 1119. А именно я говорю о Методике моделирования угроз от ФСТЭК.

Но что, если и ее ориентировать на бизнес. Ведь именно бизнес "кормит" наши структуры, которые его регулируют. Замкнутый круг, в котором кто-то должен шагнуть первым. ФСТЭК уже подняла ногу, так почему же ей не продолжить шаг? Итак:

Как обозначено в теме поста, речь пойдет об угрозах. Можно свести к угрозам безопасности ПДн, но я считаю, что лучше описать без конкретики. 

Когда у всех на слуху была ситуация с Red October, во многих СМИ обсуждалась тема кибервойн. Со своей стороны я абсолютно согласен даже не с тем утверждением, что кибервойна возможна, а с тем, что она уже идет. И вполне успешно. Яркий пример тому - Эдвард Сноуден, показавший "подноготную" АНБ США, хоть и не всю, по его словам

В чем моя мысль и почему я вспомнил о Red October? Тогда поднималась тема о датчиках в глобальной сети, собирающей информацию и отправляющей ее в центры сбора угроз и подозрительной сетевой активности (формулировка фразы свободная и может отличаться от оригинала). 

А теперь ориентриуем даннный вектор на бизнес, но с дополнениями. Вся суть идеи в том, чтобы дать возможность бизнесу получать данные об угрозах, котрые состоялись и котрые могут состояться. А также об ущербе, который может быть нанесен. 

Конкретнее, суть в создании единой базы, которая может содержать такие данные, как:

  • Собственно, сами угроза.
  • Ущерб, который она может нанести. 
  • Сколько раз она может быть реализована без применения каких-либо защитных мер.
  • Как ее можно "закрыть". Как раз здесь помогает 21 приказ.

Рассмотрим подробней ущерб, который может нанести реализация той или иной угрозы. Здесь можно оценивать по списку критериев. Примером может служить оценка уровня исходной защищенности из Базовой модели угроз 2008 г. Компания указывает какая база, какие данные в ней хранятся, срок конфиденциальности, оцененную стоимость и прочее. Способ оценки описать в новой методике. Оценив, компания по своему желанию отдает эти данные (естественно, без конкретики и анонимно) в общую базу. Эти данные анализируются и в последующем другая компания просто при указании параметров своих данных получает:

" При указанных параметрах оценочная стоимость составляет Х рублей. Рекомендуемые меры защиты:

  • -
  • -
  • -
  • -

"

Что из этого можно получить? А получить можно данные, которые помогут бизнесу понять, сколько будет стоить для него бездействие.  Если не говорить о ПДн, а взять, допустим, КТ, то здесь бизнес вправе решать, нужно ему защищаться или нет. А имея инструмент, которым можно оценить, принять решение становится проще.

В итоге у бизнеса появлется набор тех инструментов, которые позволяют четко оценить и возможные угрозы, и затраты на их устранение. А из этого можно считать экономическую целесообразность. А это как раз те деньги, которые считает бизнес. Не актуальность угроз, не коэффициенты , а деньги! 

 

 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя mixti77

Очень интересно, и даже было бы ценно как истчник формирования статистики которая так нужна при моделировании угроз. Но у меня один конкретный вопрос - поле "ущерб, который она может нанести" что подразумевает технически термины типа "отказ в обслуживании, получение повышенных привелегий в системе и т.п." или экономические? Если второе, то ИМХО это просто невозможно, поскольку условия функционирования всех систем разные, а брать среднюю температуру по больнице в данном случае абсолютно бессмысленно. Написать же универсальную формулу, которая бы расчитывала ущерб для любой компании при указании ей параметров тоже не получится (иначе бы такая формула давно бы уже использовалсь всеми). Поэтому только статистика и технические последствие реализации угроз, а ущерб пусть каждая компания сама расчитывает как ей удобнее.

up
34 users have voted.
Аватар пользователя ryndin

Только увидел коментарий, извиняюсь за долгий ответ. Я имел в виду как раз эколномический ущерб, но в свете технического. Как раз это и надо! И как раз "средний по больнице". Т.е. если у нас будет база, в котрой, допустим, у 100 компаний есть похожие параметры по какой-либо угрозе и ущербу, который нанесен или может быть нанесен, то тогда мы свободно говорим об усреднении. Я сомневаюсь, что для однотипных компаний ущерб может иметь большую дельту. Бизнес имеет свои законы, по которым и развивается. И, естественно, база должна строиться с учетом этих законов.

 

up
31 user has voted.
Аватар пользователя mixti77

А вы уверены, что сможете подобрать достаточное количество параметров, чтобы компания обоснованно смогла считать себя однотипной с какой-то группой? Слижком малое их количество обесценит саму модель описания (получится как со слоном и слепыми). А достаточно большое для обеспечения точности моделирования приведет к сложности пользования такой системой. К тому же вы забываете о том, что помимо стоимости актива, есть ещё понятие его ценности. Это как измерять по формальным признакам? Нематериальные аспекты ценности типа репутации как учитывать? Очень непростая этто задача - адекватная оценка ущерба. Кому-то достаточно простой методики на глаз, а кому-то нужна экспертная сложная оценка. Как вы планируете удовлетворить в одной системе при поставленных перед ней задачах такие разные интересы? Применяя одну методику, вы тутже оттолкнете от системы всех потенциальных её пользователей, кому она не подойдет. Поэтому я и считаю, что полезной для всех и поэтому востребованой будет БД со статистиской и чисто техническим описанием. А ущерб пусть каждый, как хочет, и как собственные возможности позволяют, считает.

Хотя в плане оценки ИМХО будет иметь смысл формирование шаблонов с набором параметров для некоторых типов организаций, например образовательных, малого бизнеса (тех, кому действительно сложно посчитать ущерб самим, и кому сложная и точная оценка будет не нужна).

up
19 users have voted.
Аватар пользователя ryndin

Вот о последнем абзаце я и говорю. Крупный бизнес оценивать достаточно сложно. А малый и средний (которого у нас преобладающее количество) проще. Суть в том, что точность оценки будет возрастать прямопропорционально количеству организаций/угроз в базе.

up
28 users have voted.
Аватар пользователя mixti77

С накоплением данных точность оценки будет возрастать только в рамках применяемой методики "на глазок"... )))

Поэтому ущерб я бы как объективную информацию в такой базе не позиционировал и вынес бы в отдельную её часть для тех, кому такой методики оценки будет достаточно.

up
30 users have voted.
Аватар пользователя ryndin

Ну тут я не соглашусь. Это как с вероятностью встретить на улице динозавра: 50/50, либо встретить, либо нет. Но когда мы получим опрос от 1000 человек и никто не встретил, то и вероятность встречи с динозавром у нас упадет до 0.

Смысл создания такой базы, по сути, и есть оценка ущерба. Если мы ее вынесем, то что тогда показывать? Какую угрозу чем закрыть? Просто, ИМХО, нужна методика конкретная, на основании каких данных что считать и как считать, вот и все.

up
35 users have voted.
Аватар пользователя mixti77

Владимир, так в том-то и дело, что универсальной методики объективно и адекватно оценивающей тем более по небольшому количеству параметров нет и быть не может. Вот я к чему. Это как в биржевой торговле - все хотят найти методику технического анализа биржевых сводок, которая бы позволила беспроигрышно торговать по ней до конца жизни по любому активу. Поиски "золотого Грааля" также вечны как и недостижимы. Реально можно сделать только частные методики для специфичных нетребовательных в плане точности оценки групп организаций.

up
34 users have voted.
Аватар пользователя mixti77

...на подобном публичном ресурсе я имею ввиду

up
55 users have voted.
Аватар пользователя ryndin

От части "да", от части "нет". Есть же "методика оценки актуальных угроз" (это возвращаясь к нашим баранам). Да, там много экспертной оценки, но ничего не мешает эту экспертную оценку перенести на алгоритм. Правда мы немного отошли от темы. Так вот:

Есть у нас 1000 организаций малого бизнеса. Ведь мы можем для каждой из них считать стоимость самого бизнеса? Можем! И Стоимость активов отдельно можем считать. И ценность КТ тоже. Так что мешает переносить это на угрозы? Можно ведь спокойно посчитать одну компанию, так что мешает усреднить? Как тот же самый Ponemon Institute делает свои отчеты? Не на примере же одной компании. Огромный срез из разных слоев. Или как считалась стоимость одной записи ПДн в разных странах? Так и здесь тот же принцип

up
15 users have voted.
Аватар пользователя mixti77

По поводу "ничего не мешает эту экспретную оценку перенести на алгоритм" - экспертная оценка, а главное выбор самой методики для конкретных условий это как раз тот игридиент в алгоритме, который нельзя или крайне сложно формализовать, придется описывать и обосновывать все условия такого выбора. Я лично убежден, что четко аргументировать условия выбора методик для потенциальных пользователей не получится (каждый эксперт по факту выбирает или по крайней мере интерпретирует параметры метода таким образом как ему ближе и как оправдывает его опыт). 

Безусловно можно запрограммировать какую-то логику и реализовать её, вопрос в том кому будут тогда нужны результаты такой работы? Аналитика ради аналитики замечательно демонстрирует видимость работы, но практическая ценность её под большим вопросом. Чем больше мы в рамках аналитики обобщаем, тем больше риск потери практической ценности результатов такого обобщения. Поэтому я и считаю, что о подобных оценках ущерба можно говорить только для каких-то конкретных условий, но результаты статистики по самим фактам могут быть интересны всем. Тогда логично статистику вынести в общий раздел, а условные оценки ущерба для тех групп организаций, кому хватит прикидочной оценки.

up
26 users have voted.
Аватар пользователя mixti77

А вообще мне кажется наша беседа переходит в филисофское русло, спорить можно долго, но с учетом того, что это спор о системе, которая пока не существует, и разработку её концепции нам (мне по крайней мере) никто не поручал, то все это носит безпредметный характер. Поэтому, мне кажется, наши споры преждевременны.

Но безусловно общение было интересное ))

up
23 users have voted.
Аватар пользователя ryndin

В любом случае, ИМХО, такая систематезированная база во многом бы упростила жизнь в наш информационно небезопасный век=) Хотя бы для реальной оценки. 

Да, беседа, безусловно, интересная. В споре рождается истина! Благодарю!

 

up
26 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.