Как стать автором
Обновить

Время, деньги и чистая математика: как мы оцениваем киберустойчивость компании

Время на прочтение6 мин
Количество просмотров4.4K
Всего голосов 11: ↑10 и ↓1+11
Комментарии16

Комментарии 16

Очень интересная и важная тема. Если не секрет - а какой процент владельцев бизнеса отправляют за недопустимыми событиями к какому-нибудь из одних своих замов, у которых однобокий взгляд?

Это как раз "правильно" в плане типового проекте - после определения НС на уровне Владельца бизнеса - его детализацией занимается владелец бизнес-процесса и дальше идет уже декомпозиция на соответствующие ИТ-системы. Как показывает практика сильно не одной компании - такой подход как раз и работает.

Так я говорю про то, что владелец бизнеса сразу отправляет к замам за НС, даже не удосуживаясь сказать список, по которым они будут детализировать. Пока что-нибудь не случиться - никаких предварительных мер предпринимать не будут.

На самом деле, очень много владельцев, акционеров и собственников бизнеса приходят с запросом о безопасности с гарантированным результатом. Но тут и для заместителя очень важно убедить владельца бизнеса в том, что ему нужно инвестировать свое ценное и дорогое время для определения и выявления недопустимого ущерба (они же недопустимые события).

вынужденный простой обойдется компании гораздо дороже, чем средства, затраченные на ИТ-инфраструктуру

- прощу прощения, за пессимизм, но за свои тридцать лет в ИТ регулярно встречаю ответ на такой вопрос ответ "никогда такого не было и не будет никогда пока мы тут работаем, а если что - вы всё быстро почините и исправите".

Но в целом удаётся договорится и риски снизить насколько это возможно.

При этом косяки (операционные риски) самого ИТ, подрядчиков и даже вендоров лежать в другой плоскости, чем эта статья.

А что мешает работникам вот такой компании которая собрала все эти данные по инфраструктуре самим взломать защищаемую компанию?

Узость этого мира ... это 100% станет известно, и общие репутационные потери просто убьют компанию. Поэтому одно из Недопустимых Событий самого Positive Technologies - подтвержденная утечка пентестерского отчета.

Даже не узость... Просто в какой-то момент это может быть использовано самими positive для шантажа и захвата компаний. В реалиях корпоративных войн иб компании одновременно и самые полезные и самые страшные

Не сработает по причине выше. Но человеческие фантазии безграничны, особенно без опоры на практику и прецеденты на конкретном рынке.

Поддержу Михаила и скажу, что CISO и CIO компании должны предвидеть все все возможные векторы атак, "дружить", знать недопустимые события для компании, постоянно отслеживать попытки компрометации ИТ-инфраструктуры и иметь план действий на случай атаки и придерживаться его.

По терминам. ГОСТ Р 57580.3-2022:

3.28 операционная надежность (в условиях возможной реализации информационных угроз); киберустойчивость: Способность финансовой организации обеспечивать непрерывность функционирования бизнес- и технологических процессов (3.1) с учетом целевых показателей операционной надежности в условиях возможной реализации информационных угроз.

Вроде как киберустойчивость = операционная надежность?

Каким классификатором понятий пользуетесь, из какого NIST и другого стандарта? Словарь терминов, но с некой иерархией и смежными областями, чтобы понять как кто с кем соотносится.

Похожее уже спрашивал (обеспечение непрерывности и т.п.)

Киберустойчивость - способность организации продолжать нормальную деятельность под кибервоздействием. Причина отказа может быть сугубо внутренней и иметь совершенно случайный характер. Например, поломка (отказ) жёсткого диска, процессора, порта, и пр. по собственным причинам, без внешнего воздействия. А вот киберустойчивость - это как раз про внешнее воздействие. Если следовать букве ГОСТа, то эти термины во многом эквивалентны.

Мы используем различные стандартны и фреймворки в нашей терминологии - я думаю их легко с десяток может набраться.

Киберустойчивость \ кибервоздействия - в каких попугаях (единицах) измеряете? Как классифицируете, например, Инсайд (мошенник - сотрудник) - это кибератака?

Мы используем различные стандартны и фреймворки в нашей терминологии - я думаю их легко с десяток может набраться.

Почему бы их тут и не перечислить?

Однако я больше про большой толковый и главное - не противоречивый словарь по терминологии. Хотелось бы иерархический словарь -  таксономию, в идеале онтологию, типа InformationSecurityOntology

Онтология InformationSecurityOntology в редакторе онтологий Protege
Онтология InformationSecurityOntology в редакторе онтологий Protege

Как мне кажется, цели атакующего и недопустимые события - не обязательно совпадающие списки. Первый список шире. С одной стороны подход "от недопустимых событий" упрощает понимание целей работы отдела ИБ для руководства, с другой стороны важно не забывать и про другие цели атакующего - это важно уже для сотрудников отдела ИБ.

Смущает то, что в статье по архитектуре решений ИБ вы отталкиваетесь от целей, определяемых только недопустимыми событиями.

Результативная кибербезопасность - это наш подход. В статье мы также отталкиваемся от тех событий, которые могли бы нанести максимальный ущерб бизнесу или полностью его остановить. Первое, что мы советуем, это определить те события, которые приведут бизнес к наибольшим потерям или полностью его остановят. Предполагаем, что остальное не так важно и бизнес к этому готов. Если же не готов, то это повод задуматься.
Например, вывод из строя ERP-системы совместно с резервным копированием может иметь серьезные последствия для бизнеса, если нет иной возможности восстановления. И это реальный пример из проектов.

Допустим, утечка персональных данных на предприятии не является недопустимым событием, значит ли это что сервер на котором они находятся не будет целью атакующего? Нет.

Если подходить комплексно, то нужно рассматривать весь спектр событий информационной безопасности.

Тем не менее, на суть статьи этот момент не влияет.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий