Комментарии 19
Где можно глянуть достоверную статистику снижения риска потери данных по типам защитных средств, напр., антивирус, шифрование носителя, шифрование БД?
ROI :-) Крайне сомневаюсь в наличии подобной статистики. Слишком много факторов. В частности еще и потому, что применять средства защиты по отдельности — самоубийство
То есть, вляние того или иного средства защиты на риски потери данных — неизвестно? Тогда к чему такие утверждения…
Скажем вероятность расшифровки после криптографов имеется. Примерно известна вероятность пропуска вредоносной программы (эффективность антивируса). Но вот вероятность возникновения инцидента ИБ только от этих двух цифр не рассчитаешь. Тем более, что эти цифры тоже не являются постоянными. Зависит от уровня администратора, выбранной системы защиты, интересности для злоумышленника именно вашей конторы или конкретно имеющихся у вас данных… Как скажем оценить вероятность открытия письма «от налоговой»?
Влияние известно, но точных цифр, достаточных для расчета нет. Пожалуй за исключением антиспама
По сути можно только сказать, что просто установкой какого-либо (любого) средства защиты безопасность данных не обеспечишь никак
Влияние известно, но точных цифр, достаточных для расчета нет. Пожалуй за исключением антиспама
По сути можно только сказать, что просто установкой какого-либо (любого) средства защиты безопасность данных не обеспечишь никак
НЛО прилетело и опубликовало эту надпись здесь
Извините, это чушь, как с математической, так и прикладной точек зрения. Бизнес говорит языком денег — вероятность помноженная на ущерб. Все. Мой вопрос про изменения вероятности с учетом применения тех или иных средств. Хотелось бы услышать мнение профессионала с опытом построения нелинейных вероятностных моделей.
1. Россия относится к странам с высоким риском ведения бизнеса. в наших условиях вероятность краха бизнеса от решений правительства\местных органов\роста курса валюты и тд куда выше, чем от вирусов. Поэтому для всех, кто не обжегся — на ИБ — плевать
2. публичная статистика утечек в России отсутствует. По нашим расследованиям суммы утечек в сотни миллионов — реальность. В условиях отсутствия статистики строить какие либо модели — бессмысленно
3. большая часть проблем — неграмотность персонала. в мои числе технарей и ИБшников. В этих условиях, сколько софта не купи — толку не будет. Читаешь отчеты по тестированию или результаты аудитов — толи ржать, толи плакать.
2. публичная статистика утечек в России отсутствует. По нашим расследованиям суммы утечек в сотни миллионов — реальность. В условиях отсутствия статистики строить какие либо модели — бессмысленно
3. большая часть проблем — неграмотность персонала. в мои числе технарей и ИБшников. В этих условиях, сколько софта не купи — толку не будет. Читаешь отчеты по тестированию или результаты аудитов — толи ржать, толи плакать.
Спасибо за ответ, за последнее предложение особенно. Печально добавлю, что почти каждый вебинар для аудиторов ИС от одной известной организации по теме утечки данных, после вводных страшилок, в лучшем случае сводится к списку мер «хорошо бы это сделать, и это, и еще то», в худшем — «купи вот эту штуку и будет счастье». Создается неприятное впечатление о дорогостоящих дармоедах — жрецах культа инфобезопасности в донаучную эпоху :)
Почему сразу чушь? :)
Все правильно товарищ говорит про Комплексный подход.
Что касается бизнеса, если уж он задумался и создал подразделение ИБ, значит уже где-то обжегся и решил прикрыться в этом направлении.
Если не обжегся, то и тратить денег на само создание подразделения бизнес не будет. Язык денег говорит, что это же как минимум нужен ФОТ ИБ персоналу. Лучше пустить эти деньги на найм еще парочки «продажников», мол пусть приносят прямую легко считаемую прибыль. :)
Все правильно товарищ говорит про Комплексный подход.
Что касается бизнеса, если уж он задумался и создал подразделение ИБ, значит уже где-то обжегся и решил прикрыться в этом направлении.
Если не обжегся, то и тратить денег на само создание подразделения бизнес не будет. Язык денег говорит, что это же как минимум нужен ФОТ ИБ персоналу. Лучше пустить эти деньги на найм еще парочки «продажников», мол пусть приносят прямую легко считаемую прибыль. :)
Выключить и не включать надёжнее.
По моему сейчас сложилась практика сделать все по требованиям регуляторов только «чтобы не заругали», желательно по минимуму.
В остальном накручивать защиту по максимуму в случае грамотной ИТ ИБ службы, гуляя не от требований регуляторов, а от best practices в отрасли вообще.
Это конечно если компания в принципе озабочена защитой информации.
В остальном накручивать защиту по максимуму в случае грамотной ИТ ИБ службы, гуляя не от требований регуляторов, а от best practices в отрасли вообще.
Это конечно если компания в принципе озабочена защитой информации.
Не совсем так. Сложилась практика делать все согласно сложившимся в конкретном сообществе/отрасли умолчаниям. Скажем написано в документах регуляторов использовать антивирусную систему защиты, прошедшую процедуру оценки соответствия — все ставят сертифицированный антивирус, хотя ни одним (почти) словом равенство антивируса и антивирусной защиты и сертификации и оценки соответствия не задается. Но все приняли как правило и все.
При этом апологеты иных методов защиты даже не удосуживаются почитать стандарты/приказы и увидеть, что предлагаемые ими методы защиты в общем-то зачастую не противоречат требованиям того же ФСТЭК
А вот насчет лучших практик… Не видел я практик, адекватных текущим угрозам. Что у нас, что у них. Хотя не исключаю, что есть неизвестные мне стандарты. Если есть интерес — могу например нист разобрать.
Еще хуже с реализацией процедур. Читал недавно презентацию в Казани. У какого процента участвующих было понятие, как организовать процедуру обработки инцидента ИБ?
При этом апологеты иных методов защиты даже не удосуживаются почитать стандарты/приказы и увидеть, что предлагаемые ими методы защиты в общем-то зачастую не противоречат требованиям того же ФСТЭК
А вот насчет лучших практик… Не видел я практик, адекватных текущим угрозам. Что у нас, что у них. Хотя не исключаю, что есть неизвестные мне стандарты. Если есть интерес — могу например нист разобрать.
Еще хуже с реализацией процедур. Читал недавно презентацию в Казани. У какого процента участвующих было понятие, как организовать процедуру обработки инцидента ИБ?
Если у меня но 17 приказу Класс защищенности ИС 3 и IDS вроде и не нужен. То я все равно будут их применять, поэтому что это хорошо. :)
У ФСТЕК-а нормальные РД, если бы еще не стояла приставка — «сертифицируемый». И по жопе за нарушение больно дают с конфискацией «несертифицируемых» средств защиты.
А это «сертифицируемое» зачастую кривое, глючное и неудобное, хоть и увешано, как генерал орденами медалями от фстек и фсб.
Поэтому «сертифицированное» применять по минимуму согласно РД, «что-бы не заругали». А остальную защиту наворачивать по максимуму из удобных и подходящих -Мне- компонентов.
А уж теме, что такое оценка соответствия, сертификация или нет, в глазах проверяющего уже не один год.
anvolkov.blogspot.ru/2012/05/blog-post_21.html#.VSu6so77KP8
Проверяющему нужна пыль в глаза, чтоб медальки фстека на продукте блестели, он не продвинутый хакер с зеронайта, а обычный служивый с чек листом.
Нет медальки? Держи предписание )
У ФСТЕК-а нормальные РД, если бы еще не стояла приставка — «сертифицируемый». И по жопе за нарушение больно дают с конфискацией «несертифицируемых» средств защиты.
А это «сертифицируемое» зачастую кривое, глючное и неудобное, хоть и увешано, как генерал орденами медалями от фстек и фсб.
Поэтому «сертифицированное» применять по минимуму согласно РД, «что-бы не заругали». А остальную защиту наворачивать по максимуму из удобных и подходящих -Мне- компонентов.
А уж теме, что такое оценка соответствия, сертификация или нет, в глазах проверяющего уже не один год.
anvolkov.blogspot.ru/2012/05/blog-post_21.html#.VSu6so77KP8
Проверяющему нужна пыль в глаза, чтоб медальки фстека на продукте блестели, он не продвинутый хакер с зеронайта, а обычный служивый с чек листом.
Нет медальки? Держи предписание )
Я не против использования каких-либо средств защиты. Я против того, что вместо того, чтобы подумать — люди не думая идут проторенной дорогой, а по пути еще и возмущаются, что их заставляют. Меня скажем всегда бесит, когда люди навешивают ярлыки, даже не прочитав требования. Недавний пример — на Хабре с новостью о Сбербанке
У ФСТЕКа нормальные документы (не все, большое счастье, что скажем документ по обновлениям не приняли), но мало их. Скажем 17 и 31 приказы хороши — но как списки мер. А как считать угрозы или выбирать продукты (и не надо мне показывать профиля. за файрволы не скажу, но антивирусы и особенно НДВ это грустно) — совершенно не ясно
И кстати по 21му сертифицированные средства не требуются — об этом будет следующая статья. Это тоже пример того, как произошла подмена формулировок и все это тихо приняли.
Волкова (как и других я читаю регулярно) — наши законы/приказы к сожалению не складываются в один пазл. Примеры формулировок по оценке соответствия тому свидетельство
«настоящих буйных мало» — посему так и живем :-)
У ФСТЕКа нормальные документы (не все, большое счастье, что скажем документ по обновлениям не приняли), но мало их. Скажем 17 и 31 приказы хороши — но как списки мер. А как считать угрозы или выбирать продукты (и не надо мне показывать профиля. за файрволы не скажу, но антивирусы и особенно НДВ это грустно) — совершенно не ясно
И кстати по 21му сертифицированные средства не требуются — об этом будет следующая статья. Это тоже пример того, как произошла подмена формулировок и все это тихо приняли.
Волкова (как и других я читаю регулярно) — наши законы/приказы к сожалению не складываются в один пазл. Примеры формулировок по оценке соответствия тому свидетельство
«настоящих буйных мало» — посему так и живем :-)
Если вы любите копаться в РД, то мне бы интересно было ваше мнение про отношение СПО (linux, bsd) и наших регуляторов с точки зрения закона.
С одной стороны большое кол-во отечественных программных средств защиты информации построено на этом самом СПО, методом Дениса Попова.
С другой стороны попробуй поставить эту защиту в «чистом» виде. Сразу будет считаться что у противника есть доступ к исходным кода, тип нарушителя Н5-6, со всеми вытекающими.
С одной стороны большое кол-во отечественных программных средств защиты информации построено на этом самом СПО, методом Дениса Попова.
С другой стороны попробуй поставить эту защиту в «чистом» виде. Сразу будет считаться что у противника есть доступ к исходным кода, тип нарушителя Н5-6, со всеми вытекающими.
Не то чтобы люблю. Просто знание первоисточника всегда дает бонусы в аргументации
Если говорить о СПО, то я не встречал у значимых компаний существенного количества СПО. Единственное по сути и широко распространенное исключение — сквид. Иногда встречается почтовый прокси. Все остальное — единичные случаи.
Тихо подозреваю, что все СПО — это провайдеры и СМБ. В силу размеры слабо интересующие проверяющих (за редким исключением) и вендоров — просто руки до них не дотягиваются
Запрета в чистом виде нет, но нет и проработанного расчета рисков (что крайне странно в связи с древностью курса на импортозамещение). С учетом уровня зарплат в большинстве мелких компаний и распространенности мифа о неуязвимости линукс (кстати опять нашли, да еще и вирус) — выбор СПО всегда настораживает. Я сам линуксоид, но к сожалению часто Линукс ставят с позиции, что он по умолчанию неуязвим
Если говорить о СПО, то я не встречал у значимых компаний существенного количества СПО. Единственное по сути и широко распространенное исключение — сквид. Иногда встречается почтовый прокси. Все остальное — единичные случаи.
Тихо подозреваю, что все СПО — это провайдеры и СМБ. В силу размеры слабо интересующие проверяющих (за редким исключением) и вендоров — просто руки до них не дотягиваются
Запрета в чистом виде нет, но нет и проработанного расчета рисков (что крайне странно в связи с древностью курса на импортозамещение). С учетом уровня зарплат в большинстве мелких компаний и распространенности мифа о неуязвимости линукс (кстати опять нашли, да еще и вирус) — выбор СПО всегда настораживает. Я сам линуксоид, но к сожалению часто Линукс ставят с позиции, что он по умолчанию неуязвим
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как поймать то, чего нет. Часть четвертая: персональные данные без зонтика