Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

И снова про оценку вреда субъекту

23 Июл 2013 Автор: Головлев Павел,

(0)

()

Опубликовано в:

Раз уж Андрей Прозоров в очередной раз поднял эту тему, продолжу....

Про исследование ФОМ я уже говорил 29 мая. Презентация там же.

Что можно извлечь из этого исследования?

Например построить "профиль страха" (термин мой, на его научность не претендую):

Его смысл можно понять через презентацию Алексея Лукацкого о психологии в деятельности CISO

Влево отложены реалии, вправо - опасения.

Явно видны три группы угроз:

1) "Не так страшен черт, как его малюют"

2) Адекватная оценка

3) "У страха глаза велики"

Можно получить соответствующие коэффициенты значимости угроз для субъектов:

Можно ввести, например, такую шкалу, соответствующую вербальным описаниям опасности угрозы из Методички ФСТЭК:

0<=Хi<2 - низкая опасность (незначительные негативные последствия)

2<=Хi< 4 - средняя опасность (негативные последствия)

4<=Хi<6 - высокая опасность (значительные негативные последствия)

Каждую угрозу оценить по этой шкале, умножить оценку на коэффициент значимости и получить итоговую оценку возможного вреда:

Например:

Угроза	Опасность	Значимость	Вред
Незаконное использование паспортных данных для оформления кредита, ипотеки и т.д.	0	0.34	0
Публикация персональных данных в СМИ без разрешения владельца	2	0.28	0.5613
Мошенничество с кредитными картами	2	0.13	0.2518
Публикация персональных данных в интернете без разрешения владельца	3	0.12	0.3715
Мошенничество с электронными деньгами, СМС-оплатой	1	0.07	0.0743
Взлом социальных сетей и распространение персональной информации (номер телефона, адрес и т.д.)	0	0.03	0
Телефонные звонки с предложениями различных товаров и услуг	0	0.02	0
Использование персональных данных для осуществления рассылки рекламных сообщений (спам) на мобильный телефон или электронную почту	0	0.01	0
ИТОГО:		1	1.2589