До какого предела защищаться?

4 декабря 2012
26

Затраты на обеспечение информационной безопасности не должны превышать потенциальный урон от утечки защищаемых данных, это понятно. Менее понятно как посчитать суммарный урон, включив в него не только очевидные выплаты по результатам ЧП, но и ущерб для репутации, смену подрядчиков по результатам и т.п.

Есть и другие ограничения. Можно назвать удобство пользователей. Если ваш сервис не относится к числу корпоративных, где сотрудников можно обязать пользоваться безопасным, но неудобным механизмом, а предоставляется избалованным клиентам наружу, то придется иметь в виду, что никто не хочет помнить лишний пароль или носить аппаратный ключ. Все хотят потреблять удобно, а безопасность этому мешает. А значит, рост уровня безопасности с какого-то момента может уменьшить оборот сервиса. Это посчитать еще сложнее.

Как вы оцениваете потенциальный ущерб? Как определяете точку, когда пора остановиться, где кончается полезная безопасность и начинается вредная паранойя?

Аргументы безопасника

Эксперты по информационной безопасности предпочитают рассматривать свою индустрию не как схожий со страхованием «бизнес на страхе», а в качестве предотвращающего заслона, позволяющего сэкономить.

  • Кто не кормит свою ИБ, тот в итоге кормит чужих злоумышленников или тратится на устранение поломок после происшествия
  • Если вы поставщик ИТ-услуги сторонним клиентам, то добавив ИБ-экспертизу можно продать ее дороже, как бумага с водяными знаками дороже обычной

Обратная сторона

Приходится встречать и другие расчеты, обосновывающие, что многие риски бизнесу легче просто принять, чем хоть как-то вкладываться в превентивную защиту от них

  • Подтвержденный масштаб потерь от утечек настолько несопоставим с общим оборотом банков, что акционерам проще не замечать таких проблем
  • Эксперты по ИБ намеренно запугивают потенциальных заказчиков огромным масштабом ущерба и преувеличивают риски, это их работа

На самом деле пока что определение точки, когда стоит остановиться, скорее относится к разряду интуитивных решений, чем аналитики. Потому что достоверных данных для анализа недостаточно - никто в России не обязан раскрывать утечки. ИБ-индустрия называет одни масштабы, а рынки, выступающие заказчиками в праве не верить им. Мы предлагаем обменяться опытом оценки: что вы принимаете во внимание, как определяете уровень защиты?

4497
Поделиться
Коментарии: 26

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Михаил Петров
    Рейтинг: 213
    Счетная палата Российской Федерации
    Директор департамента цифровой трансформации
    04.12.2012 21:53

    определение точки, когда стоит остановиться, скорее относится к разряду интуитивных решений, чем аналитики - очень справедливо. Конечно, очень правильно построить с помощью специалистов модель угроз и по ней работать. В то же время, если CIO вовлечен в проблематику бизнеса, он уже понимает степень чувствительности той или иной информации для бизнеса, вероятность атак на те или иные информационные ресурсы и т.п. - вот это наверное что принимается во внимание. А как определяется уровень защиты? Из прошлого опыта: - переписка касающаяся лично акционеров - шифрация - остальная переписка - шифрация в зависимости от степени конфиденциальности, определяемой адресатами в соответствии с положениями о конфиденциальности - доступ к экстранет-ресурсам - по https. Про остальное рассказать не могу, т.к. тогда это уже будет разглашение информации :)

  • Леонид Хлопин
    Рейтинг: 10
    Ульяновский государственный педагогический университет
    Заместитель начальника отдела ИТ
    05.12.2012 02:03

    Я бы немного перефразировал: "На самом деле пока что определение точки, когда стоит остановиться, настолько сложная аналитическая задача, что решения зачастую приходится принимать на уровне интуиции" (тоже самое, но слегка другими словами, как преамбула к моим дальнейшим мыслям). Очень сложная тема, и, наверное, самая творческая на данном этапе развития информационных систем, т.к. в этом случае при анализе приходится учитывать не только электронные информационные системы, но и всю информационную среду компании в целом. ЖУТЬ!!! Как сложно, но зато как интересно решать сложные задачи! Хотя и не благодарное это дело, т.к. в любом случае проектант будет виноват, что не предусмотрел все случаи жизни! И решать эту очень сложную аналитическую задачу, по-хорошему, надо именно комплексно, одним проектом, а не отдельными проектами, когда проектируются отдельно система видеонаблюдения, контроля доступа на территорию, система безопасности информационных систем и пр. Методические рекомендации и опыт организаций типа ГРУ, ФСБ, МВД и т.п., по данной теме, будет очень полезен. Я считаю, что при комплексном подходе, решение экономически будет более точнее соответствовать точке баланса затраты - эффективность. Для себя я определил несколько основных подходов к построению контролируемой информационной среды компании. 1. Ранжирование информации по степени ее конфиденциальности и риска ее несанкционированного перемещения. Ранжирование возможного уровня экономических потерь в соответствии с рангом информации. 2. Регламентация правил работы с информацией в соответствии с рангом. Выделение контуров безопасности «жизненного пространства» информации. 3. Определение групп лиц генерирующих, обрабатывающих, пользующихся информацией, а также лиц обеспечивающих ее транспортировку и хранение, в соответствии с контурами. 4. Локализация в пределах одного контура безопасности генерации, обработки и использования информации относящейся к категории особо конфиденциальной. Минимизация численности персонала работающего с данной информацией и персонала обеспечивающего ее транспортировку и хранение. Все остальное – это выбор конкретных организационно-технических решений и мероприятий. Контур безопасности - обобщенное понятие, сюда относится все – территория, здания, инженерные сооружения, группы сотрудников, электронное и прочее оборудование и т.п. Расчет возможного экономического ущерба видимо нетривиальная задача, и скорее всего подход должен быть индивидуальным для каждой компании.

  • Михаил Петров
    Рейтинг: 213
    Счетная палата Российской Федерации
    Директор департамента цифровой трансформации
    05.12.2012 15:33

    Леонид, "решать эту очень сложную аналитическую задачу, по-хорошему, надо именно комплексно, одним проектом, а не отдельными проектами, когда проектируются отдельно система видеонаблюдения, контроля доступа на территорию, система безопасности информационных систем и пр." - полностью согласен. И тут хотелось бы продолжить тему - все эти вопросы решаются в рамках ИТ или выделяются в параллельную структуру "под безопасниками"? И тот и другой путь имеют свои и плюсы, и минусы. Если все под ИТ - тогда получается что исполнение и контроль в одних руках, и кроме как периодическими аудитами (как они проводятся и как от них "защититься" мы все знаем) качество безопасности не проверить. Если ИТ и безопасность разделены - то клинча, как показывает практика, между этими ветками не избежать не удается, т.к. соблюдение требований безопасности будет накладывать ограничения (технические, временнЫе, ресурсные) на проекты ИТ. Это как диалектика - единство и борьба противоположностей. Как Вы считаете, из Вашего опыта - где "золотая середина"?

    • Леонид Хлопин Михаил
      Рейтинг: 10
      Ульяновский государственный педагогический университет
      Заместитель начальника отдела ИТ
      05.12.2012 17:52

      По моему опыту "золотой середины" к сожалению пока не получается. Много общались с безопасниками, спорили, доказывали друг другу, прежде чем выработали достаточно конструктивное взаимодействие. Использовал втихую элементы коучинга ;-) По другому наверное и ничего не получится, не будет итогового результата. Сложно конечно с ними, но и они должны выполнять свои обязанности качественно. Прежде всего должны быть грамотные специалисты по информационной безопасности электронных информационных систем , с соответствующим вузовским образованием ( но с ними тяжело, не очень пока привлекает умных абитуриентов данная специализация). Со своими безопасниками мы наладили достаточно продуктивный контакт, после того как был принят грамотный, серьезный, ответственный специалист по ИБ, которому это нравилось и в дальнейшей жизни он видел себя именно как специалист по ИБ. Это специалист был как бы двойного подчинения. По вопросам проведения аудитов он подчинялся безопасникам, а по вопросам проектирования организационно-технических мероприятий - директору департамента ИТиРБП. Безопасники также активно участвовали в проектах и согласовывали все в обязательном порядке. Получается, что "золотая середина" это выработка конструктивного взаимодействия между дирекциями по ИТ и ИБ. Под конец они даже прикрывали нас, когда надо было ввести в действие непопулярные регламенты для пользователей, которые больше нужны были для удобства сопровождения и обеспечения стабильности ИТ-инфраструктуры, чем для выполнения требований ИБ. Считаю что взаимодействие дирекции по ИТ и дирекции по ИБ, это действительно самая сложная тема в работе. Даже лишний раз говорить о ней не хочется ;-) P.S. Михаил Викторович, я бы хотел Вам написать письмо по электронной почте, если это возможно.

      • Михаил Петров Леонид
        Рейтинг: 213
        Счетная палата Российской Федерации
        Директор департамента цифровой трансформации
        05.12.2012 18:44

        Можно без отчества :) Как-то обычно работаю в таких компаниях где отчествами не пользуются - поэтому привычка, сорри если мое обращение к Вам без отчества задело. Отправил Вам письмо с контактом на Ваш адрес который в карточке. По теме - я обычно работал когда безопасность "паралельна" ИТ. И действительно, от людей очень многое зависит. На одной из прошлых работ получилось так, что ИТ-безопасник видел своей главной целью "держать и не пущать", поэтому ему проблемы проектов, как проект заставить работать были совершенно безразличны, приходилось с ним очень долго налаживать взаимодействие - и не только коучингом :). Сейчас - наоборот, безопасники нам очень помогают в плане проектирования защиты систем, не забывая при этом свои задачи тоже. Насчет "прикрывали" - да, для общества "образ врага" в подразделении безопасности выглядит логичнее, чем в ИТ, и безопасники даже иногда нам говорят "а, валите все на нас, говорите что мы это требуем" :)

        • Леонид Хлопин Михаил
          Рейтинг: 10
          Ульяновский государственный педагогический университет
          Заместитель начальника отдела ИТ
          05.12.2012 20:50

          Да-да, конечно, написал автоматически официально по имени отчеству, даже не обратил внимания что меня по имени назвали! Так что все нормально, никаких претензий :-)

          • Михаил Петров Леонид
            Рейтинг: 213
            Счетная палата Российской Федерации
            Директор департамента цифровой трансформации
            06.12.2012 19:41

            :) письмо мое получили?

  • Игорь Мялковский
    Рейтинг: 10
    Компания ЭТМ
    Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами, член правления клуба ИТ директоров Санкт-Петербурга
    18.01.2013 11:17

    По моему убеждению, для того, чтобы определить ту саму точку безубыточности проекта по обеспечению безопасности конфиденциальной информации и персональных данных - между обоснованной безопасностью и параноидальной, - нужно прежде всего научиться эту самую безопасность считать и применять мониторинговые решения для оперативного аудита состояния автоматизированной системы защиты информации. Для этой благой цели существуют способы системного анализа состояния АСЗИ, прежде всего реализуемые на базе системного опять таки подхода к безопасности взамен расхожего комплексного, т.е. бытового, применяемого с ничтожной попыткой учесть все подряд без надежды на какую либо системность происходящего.

  • Михаил Петров
    Рейтинг: 213
    Счетная палата Российской Федерации
    Директор департамента цифровой трансформации
    18.01.2013 12:19

    Игорь, добрый день! Поясните, пожалуйста, подробнее - что Вы имеете в виду под "мониторинговыми решениями для оперативного аудита состояния автоматизированной системы защиты информации"?

  • Игорь Мялковский
    Рейтинг: 10
    Компания ЭТМ
    Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами, член правления клуба ИТ директоров Санкт-Петербурга
    18.01.2013 12:26

    Вообще говоря, данная тема может быть даже диссертабельной. Направлениями разработки могут быть способы объединения наиболее важных разнородных составляющих автоматизированной системы в интересах достижения целей этой системы. Эффективно использовать нечеткие множества для оценок влияния опережающих низших показателей на целевые. Таким образом достигается решение задачи рассчета текущего состояния защищенности объекта. Аналогично можно рассчитать влияние внешних факторов на безопасность объекта, впрочем даже изменений законодательства, хотя звучит фантастично. Пока не пробовал, хотя заманчиво. Рассчитав целевые показатели, можно организовать их мониторинг и моделировать будущее состояние объекта, пусть с некоторой неопределнностью. Так можно получать ту самую точку безубыточности- параноидальности, хотя назовите ее как угодно. Подробности чуть позже, когда все доработаем.

    • Михаил Петров Игорь
      Рейтинг: 213
      Счетная палата Российской Федерации
      Директор департамента цифровой трансформации
      18.01.2013 13:19

      Игорь, спасибо, примерно понял о чем речь - образование позволяет :) Интересная модель может получиться, действительно на уровне диссертации.

  • Игорь Мялковский
    Рейтинг: 10
    Компания ЭТМ
    Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами, член правления клуба ИТ директоров Санкт-Петербурга
    27.02.2013 11:31

    Все сложное всегда можно свести к простому. Это жизнь доказала. Можно на уровне интуиции решать когда затраты стоит прекратить. Можно аналитически все тщательно рассчитать. мой опыт показывает, что это можно сделать. Однако, оказалось, что гораздо важнее определиться не в том, сколько надо потратить на безопасность, а какие именно существенные угрозы в наибольшей степени влияют на достижение целей автоматизированной системы защиты.

    • Михаил Петров Игорь
      Рейтинг: 213
      Счетная палата Российской Федерации
      Директор департамента цифровой трансформации
      27.02.2013 12:55

      Это примерно из принципа Парето "20% усилий дают 80% результата"?

      • Игорь Мялковский Михаил
        Рейтинг: 10
        Компания ЭТМ
        Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами, член правления клуба ИТ директоров Санкт-Петербурга
        27.02.2013 13:00

        Именно! Оно самое правило Парето и взято здесь за основу.

        • Михаил Петров Игорь
          Рейтинг: 213
          Счетная палата Российской Федерации
          Директор департамента цифровой трансформации
          27.02.2013 13:05

          Да, об этом правиле зачастую, как Вы пишете ниже - "в фанатизме", очень часто забывают.

  • Игорь Мялковский
    Рейтинг: 10
    Компания ЭТМ
    Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами, член правления клуба ИТ директоров Санкт-Петербурга
    27.02.2013 11:34

    И здесь еще одна важная деталь. Я категорически против комплексного подхода к созданию любых автоматизированных систем. По определению комплексный подход - это бытовой подход, перебор всего, что может прийти в голову подряд. Привычное, умное, но не соответствующее целям слово. А для создания систем классически нужен системный подход. И при создании автоматизированных систем, которой, несомненно, является автоматизированная система информационной безопасности, нужны простые и эффективные показатели оценки деятельности людей. Без последнего ничего работать в стратегии и оценках эффективности таких систем не будет.

  • Игорь Мялковский
    Рейтинг: 10
    Компания ЭТМ
    Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами, член правления клуба ИТ директоров Санкт-Петербурга
    27.02.2013 11:37

    А углубляться с оценками людей тоже не стоит. Для начала можно ограничиваться просто показателями деятельности людей наподобие показателей надежности техники: время простоя, время до усталости (как ср время наработки на отказ) и т.п. Тут психологические методики оценки деятельности персонала вряд ли пригодятся, хотя, конечно, можно в фанатизме научном и их применить по полной. Главное в самом начале из методики оценки эффективности автоматизированных систем безопасности информации (любых по сути автоматизирвоанных систем) нельзя людей за борт оценок выбрасывать. Об этом статью поподробнее написал в ИТ менеджер, мартовский номер.

    • Михаил Петров Игорь
      Рейтинг: 213
      Счетная палата Российской Федерации
      Директор департамента цифровой трансформации
      27.02.2013 12:56

      скиньте ссылочку, интересно

  • Игорь Мялковский
    Рейтинг: 10
    Компания ЭТМ
    Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами, член правления клуба ИТ директоров Санкт-Петербурга
    27.02.2013 12:59

    В марте ИТ менеджер будет опубликовано. Саму методику с примером расчетов чуть позднее, когда все доделаю и проверю в реальном проекте заказчика (примерно в июне-июле - когда бюджет утвердит для меня)

    • Михаил Петров Игорь
      Рейтинг: 213
      Счетная палата Российской Федерации
      Директор департамента цифровой трансформации
      27.02.2013 13:04

      Замечательно, жду с нетерпением.

    • Михаил Петров Игорь
      Рейтинг: 213
      Счетная палата Российской Федерации
      Директор департамента цифровой трансформации
      26.06.2013 09:53

      Игорь, добрый день! Мы тут вспомнили Вас :) "ИТ-менеджер" читал, спасибо, интересный материал. Не подскажете - остальные Ваши материалы (про которые Вы говорили июнь-июль) уже опубликованы где-то? Нет ли ссылочки?

  • Игорь Мялковский
    Рейтинг: 10
    Компания ЭТМ
    Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами, член правления клуба ИТ директоров Санкт-Петербурга
    26.06.2013 11:21

    Добрый день. Спасибо, что вспомнили и за внимание к моим статьям. Я публикуюсь практически в каждом номере в 2013. В конце июня выйдет статья о методике применения приказа ФСТЭК21 и ПП РФ 1119. В контексте блога полагаю, люди пытаются применить теорию вероятностей для оценки защищенности объектов, по образу и подобию теории надежности: применяя параллельное и последовательное соединения элементов системы безопасности (получается длинная дробь множителей вероятностей элементов или подсистем - антивирусной, межсетевого экранирования, шифрования и т.д. например, по ФСТЭК 58 п. 2.1 - там они перечислены, в их других методиках тоже есть все подсистемы системы безопасности). На практике полученная цифра ничего не означает! Разве что привязаться как-то примерно можно к таким расчетам. Оценка хоть какая -то, должна быть. Я попробовал заменить все это алгеброй нечетких множеств. По-моему, это логично: мы все живем среди нечеткостей, принимаем решения в условиях неопределенности, самый яркий образ в нашем восприятии всегда нечеткий и т.д. А сам аппарат сводится к простому выбору максимумом и минимумов, что гораздо нагляднее привычных вероятностей. Причем хорошо привязываются к конкретным техническим средствам и увязывается с системным подходом. Это когда учитываются история системы, люди в ней, внешние воздействия и перспектива в реальном плане непрерывного повышения защищенности данного объекта по ИСО9004. Без последнего все предыдущее бессмысленно. Только не хватает времени все это апробировать и окончательно убедить себя в правоте метода. Принцип, думаю, понятен. Однако теория практична тогда, когда любой независимый специалист такого же уровня или выше сможет ее легко повторить и самостоятельно применить. Любое доказательство при этом условии можно будет считать приемлемым. Отвлекают реальные проекты безопасности на объектах, за которые уже реальные деньги приходится получать. Теперь стало не так, как раньше в академической науке работать. Еще раз спасибо.

    • Михаил Петров Игорь
      Рейтинг: 213
      Счетная палата Российской Федерации
      Директор департамента цифровой трансформации
      26.06.2013 17:13

      Держите - если не трудно - в курсе Ваших изысканий, интересно!

  • Игорь Мялковский
    Рейтинг: 10
    Компания ЭТМ
    Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами, член правления клуба ИТ директоров Санкт-Петербурга
    26.06.2013 11:28

    кстати, все мои статьи можно найти на сайте CIO СПб (в разделе, где статьи) или просто набрать в Google по ФИО.Однако к детским фотографиям и написанию религиозных книг отношения не имею. Это однофамильцы. Имя и отчество тоже совпадают. Но их я не знаю. ИТ менеджер мои статьи печатает с 2010г. А теперь еще и заинтересовался журнал "Директор по безопасности". Они решили, что мои статьи будут им полезны. А мне нужно оценить их аудиторию, как цель рекламы своих проектов. В питерском клубе множество таких же директоров публикуются в ИТ менеджер, а на клубном сайте дублируют.

    • Михаил Петров Игорь
      Рейтинг: 213
      Счетная палата Российской Федерации
      Директор департамента цифровой трансформации
      26.06.2013 17:14

      Спасибо!

  • Игорь Мялковский
    Рейтинг: 10
    Компания ЭТМ
    Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами, член правления клуба ИТ директоров Санкт-Петербурга
    26.06.2013 11:31

    С директорами по безопасности я дружу по работе над проектами по безопасности информации, но по сути все время общаюсь с ИТ службами, т.к. именно они лучше всех понимают потребности и возможные ограничения безопасности, чтобы не доводить безопасность до паранойи.

Предметная область
Отрасль
Управление