Security Governance
View SlideShare presentation or Upload your own.
Вторая тема была посвящена вопросам стандартизации. Или точнее ее несовершества в России. Я думал, что я пессимист, но оказалось, что есть и более пессимистичные люди ;-) В итоге сошлись на том, что в ближайшее время единства при разработке стандартов ИБ в России не будет. Это признал бизнес и даже регуляторы ;-( Ситуация будет только хуже, т.к. на рынок активно выходит Минкомсвязь, у которого свое видение развития стандартизации ИБ (то же новое Постановление по персданным). Достаточно интересным было выступление представители Ростехрегулирования, который поделился тем, что Воронежский институт ФСТЭК в этом году выпустил 13 стандартов по ИБ (адаптация ISO/IEC) - в следующем еще будет 9. Т.е. на месте ситуация не стоит, но и за бизнес никто ничего решать не будет. Спасение утопающих...
Принцип Парето в стандартизации ИБ
View SlideShare presentation or Upload your own.
И третьей своей презентацией я завершал сессию по рискам. Изначально планировалось, что я начну сессию, но получилось так, что я завершал. В итоге получилось неплохо - после рассказа интеграторов о том, что анализ и управление рисками - это хорошо, я выступил с рассмотрением текущих методов измерения вероятности рисков и тяжести последствий от них.
Управление рисками ИБ: отдельные практические аспекты
View SlideShare presentation or Upload your own.
Первый день на этом закончился...
13 коммент.:
Алексей Викторович немогли бы Вы выложить презентацию "Принцип Парето в стандартизации ИБ" выложить в PowerPoint (а то 7 слайд непонятен).
Заранее благодарен
Алексей Викторович немогли бы Вы выложить презентацию "Принцип Парето в стандартизации ИБ" выложить в PowerPoint (а то 7 слайд непонятен).
Заранее благодарен
Эх... Что ж ты так обломал последний круглый стол? )))
Я вот теперь думаю - идти туда ещё раз или всё напрасно?
Что значит "еще раз"?
Я не обломал - я рассказал, как есть ;-) А то все риски, да риски... А никто не удосуживается хотя бы на себе это все попробовать ;-)
Как с ПДн. Я жаль не был на секции по госрегулированию. А то бы спросил, кто из выступающих является сам зарегистрированным оператором персданных ;-)
евгений: я обновил презентацию
с персданными всё в порядке, т.е. полный швах. там хватало отжигов. но было интересно пообщаться с тов.Мельниковым из россвязькомнадзора. Поболтали про 14 главу ТК и прочие запросы персданных извне. вообщем каша у меня в голове не рассосалась, но сохранилось стойкое ощущение что ну его нафиг этот гемор ))
Идею с приведением "множества" стандартов к "общему" знаменателю мне кажется нужно рассматривать на другом уровне. Не на уровне государственного регулирования, а на уровне управления в конкретной организации. Идея понятна, выделить базовые требования, которые применимы ко всем,а затем применять уже расширенные. В эту схему, даже если договорятся регуляторы нашей Родины, пока не вписываются регуляторы международные, тот же PCI Consil. И проходить сертификацию придется и по требованиям российского стандарта и по требованиям PCI DSS, а кому то и SOX придется удовлетворять все равно.
Правильно написано, спасение утопающих дело рук, самих утопающих, пусть сам бизнес разрабатывает внутри себя свой стандарт, который удовлетворяет тем требованиям регуляторов, которые к нему предъявляются в силу специфики бизнеса. И ему пусть удовлетворяет. Хотя сертифицироваться все равно придется по нескольким.
Разбиение стандартов на модули должно проводиться регуляторами. В противном случае придется выполнять кучу несвязанных документов, а этого бы хотелось избежать
Что же касается западных требований, то PCI DSS скорее исключение. Но и тут регуляторы могли бы подменить стандарт своими требованиями или принять его как национальный стандарт для конкретной области - карточная система.
Некоторые замечания по презентации по анализу рисков. К сожалению не смог присутствовать на круглом столе.
По АСУ ТП (для энергетики) - информация накапливается. Думаю в течение 2-х лет уже можно будет делать адекватные прогнозы и оценки ущерба.
+ Вообще, по-моему, не очень удачный пример - потому что производство как-раз посчитать не очень сложно - перерасход топлива, техногенная катастрофа, остановка производства - всё более или менее подвергается оценке.
OSSTMM RAV - всё же не анализ рисков, а специфические метрики используемые при обследовании систем.
ISO27005 вроде как прежде всего основан на BS7799:3, а не на 13335.
Слайд 17 - отличный :) На опыте убедились, что методику оценки надо согласовывать на всех уровнях причём чем вовлечённее все эти уровни - тем потом проще.
2 года - это мало для систем, жизненный цикл которых может измеряться 20-ю или даже 40-а годами.
Что же касается расчета по АСУ ТП, то если с потерями еще можно что-то делать, то с вероятностью тупик...
Алексей Викторович, что вы думаете о теме диссертации: анализ рисков систем контроля и управления доступом в АСУ ТП на основе биометрических характеристик пользователя? стоит ли связываться или все действительно так плохо со статистикой?
По АСУ ТП статистики почти нет. Да и АСУ ТП с биометрической аутентификацией я что-то не припомню. Тема, на мой взгляд, бесперспективная на ближайшие несколько лет.
Отправить комментарий