Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог
Раз уж Андрей Прозоров в очередной раз поднял эту тему, продолжу....
Про исследование ФОМ я уже говорил 29 мая. Презентация там же.
Что можно извлечь из этого исследования?
Например построить "профиль страха" (термин мой, на его научность не претендую):
Его смысл можно понять через презентацию Алексея Лукацкого о психологии в деятельности CISO
Влево отложены реалии, вправо - опасения.
Явно видны три группы угроз:
1) "Не так страшен черт, как его малюют"
2) Адекватная оценка
3) "У страха глаза велики"
Можно получить соответствующие коэффициенты значимости угроз для субъектов:
Можно ввести, например, такую шкалу, соответствующую вербальным описаниям опасности угрозы из Методички ФСТЭК:
0<=Хi<2 - низкая опасность (незначительные негативные последствия)
2<=Хi< 4 - средняя опасность (негативные последствия)
4<=Хi<6 - высокая опасность (значительные негативные последствия)
Каждую угрозу оценить по этой шкале, умножить оценку на коэффициент значимости и получить итоговую оценку возможного вреда:
Например:
Угроза | Опасность | Значимость | Вред |
Незаконное использование паспортных данных для оформления кредита, ипотеки и т.д. | 0 | 0.34 | 0 |
Публикация персональных данных в СМИ без разрешения владельца | 2 | 0.28 | 0.5613 |
Мошенничество с кредитными картами | 2 | 0.13 | 0.2518 |
Публикация персональных данных в интернете без разрешения владельца | 3 | 0.12 | 0.3715 |
Мошенничество с электронными деньгами, СМС-оплатой | 1 | 0.07 | 0.0743 |
Взлом социальных сетей и распространение персональной информации (номер телефона, адрес и т.д.) | 0 | 0.03 | 0 |
Телефонные звонки с предложениями различных товаров и услуг | 0 | 0.02 | 0 |
Использование персональных данных для осуществления рассылки рекламных сообщений (спам) на мобильный телефон или электронную почту | 0 | 0.01 | 0 |
ИТОГО: | 1 | 1.2589 |
Совокупный вред находится на шкале опасности в зоне низкого вреда.