25.12.2008

Инцидент, как драйвер безопасности

Все-таки, как ни крути, а из 10-ти драйверов, движущих безопасностью, самым простым (при работе с руководством) является произошедший инцидент. В такой ситуации после получения по шапке можно без каких-либо дополнительных усилий реализовывать проекты по ИБ. Обосновывать и доказывать почти ничего не нужно - все понимают, зачем это надо.

В качестве примера можно взять "надежный и удобный" Альфа-банк. За последние 2 года этот банк неоднократно становился мишенью для злоумышленников (другие тоже становились, но не всегда об этом узнавала пресса):
- взлом Интернет-банка Альфа-банка - в течение нескольких месяцев 2007-ого года
- фишинговая атака на клиентов Альфа-банка - весна и осень 2007-го года
- банкомат "подарил" 20 миллиардов рублейтут) - лето 2006-го года
- сотрудник Альфа-банка взломал процессинг - в течение 2007-го года.

Всего "несколько" инцидентов ИБ и ситуация стала изменяться - например, недавно Альфа-банк прошел аудит на соответствие стандарту PCI DSS.

К сожалению, данный драйвер, в отличие от остальных, практически неуправляем ;-(

11 коммент.:

Olgert комментирует...

Да, Алексей, могу лишь подтвердить кроссплатформенность указанных Вами драйверов... :-) Почему-то всегда декларируемая в принципах безопасности "превентивность" никогда не реализуется на практике. Только когда жареный петух ... ну дальше всем известно.

arkanoid комментирует...

Увы, я с трудом верю, что pci dss compliance позволил бы предотвратить хотя бы один из этих инцидентов.

e1am0 комментирует...

а где поглядеть остальные 9?

Алексей Лукацкий комментирует...

1. Инцидент
2. Compliance
3. Угрозы
4. Риски
5. Бизнес-требования
6. Изменение технологии
7. Аудит
8. Влияние интеграторов
9. Влияние партнеров по бизнесу
10. Executive sponsor

Алексей Лукацкий комментирует...

arcanoid'у: Ну речь не о том, чтобы предотвратить ;-) А о том, чтобы начальство задумалось...

AndrewZ комментирует...

Проблема в том, что в приведенном и многих других перечнях наблюдается смешение уровней обощения. Драйвера всего два - compliance и требования бизнеса, возникающие в разные периоды под разными соусами с различным размахом.

Ригель комментирует...

2AndrewZ

Как раз-таки наоборот: именно воля руководства в нем лишняя. Объяснять надо?

AndrewZ комментирует...

2Ригель

А как же! Может получиться дискуссия.

Ригель комментирует...

2AndrewZ
Извольте. Комплайнс сам по себе ничего не двигает, двигает желание/нежелание руководства терпеть нон-комплайнс (принимать риск), так что из двух Ваших драйверов первого уровня остается один - нужда бизнеса в ИБ определяется нуждой бизнеса в ИБ. Без капли сожаления уходим на второй, который и содержит 9 причин первого.

AndrewZ комментирует...

Соглашусь, что высокоуровневым драйвером по ИБ является risk-tolerance. Но нужда бизнеса в ИБ не связана с внешними требованиями. Внешние требования не исполняются бизнесом в том объеме, в котором бизнес готов принять правовой риск (риск неожиданного применения законодательства). Это как-бы драйвер со знаком минус - бизнес решает что он не намерен делать. И правовой риск здесь единственное мерило.
Внутренние требования бизнеса формируют намерение делать со знаком "плюс". С точки зрения стороннего наблюдателя эти два драйвера не пересекаются, поэтому объединить их можно только на более высоком уровне - уровне рисков. Поэтому и придумана иделология GRC, которая определяет framework для драйверов ИБ.

Ригель комментирует...

Сами внешние требования ничего не делают (я еще не повторяюсь?) - не выделяют деньги, не кроят оргштатку, не добавляют полномочия. Так же как это не делает сам инцидент или сама угроза.
Второй уровень совершенно заслуженный.