Все-таки, как ни крути, а из 10-ти драйверов, движущих безопасностью, самым простым (при работе с руководством) является произошедший инцидент. В такой ситуации после получения по шапке можно без каких-либо дополнительных усилий реализовывать проекты по ИБ. Обосновывать и доказывать почти ничего не нужно - все понимают, зачем это надо.
В качестве примера можно взять "надежный и удобный" Альфа-банк. За последние 2 года этот банк неоднократно становился мишенью для злоумышленников (другие тоже становились, но не всегда об этом узнавала пресса):
- взлом Интернет-банка Альфа-банка - в течение нескольких месяцев 2007-ого года
- фишинговая атака на клиентов Альфа-банка - весна и осень 2007-го года
- банкомат "подарил" 20 миллиардов рублей (и тут) - лето 2006-го года
- сотрудник Альфа-банка взломал процессинг - в течение 2007-го года.
Всего "несколько" инцидентов ИБ и ситуация стала изменяться - например, недавно Альфа-банк прошел аудит на соответствие стандарту PCI DSS.
К сожалению, данный драйвер, в отличие от остальных, практически неуправляем ;-(
Да, Алексей, могу лишь подтвердить кроссплатформенность указанных Вами драйверов... :-) Почему-то всегда декларируемая в принципах безопасности "превентивность" никогда не реализуется на практике. Только когда жареный петух ... ну дальше всем известно.
ОтветитьУдалитьУвы, я с трудом верю, что pci dss compliance позволил бы предотвратить хотя бы один из этих инцидентов.
ОтветитьУдалитьа где поглядеть остальные 9?
ОтветитьУдалить1. Инцидент
ОтветитьУдалить2. Compliance
3. Угрозы
4. Риски
5. Бизнес-требования
6. Изменение технологии
7. Аудит
8. Влияние интеграторов
9. Влияние партнеров по бизнесу
10. Executive sponsor
arcanoid'у: Ну речь не о том, чтобы предотвратить ;-) А о том, чтобы начальство задумалось...
ОтветитьУдалитьПроблема в том, что в приведенном и многих других перечнях наблюдается смешение уровней обощения. Драйвера всего два - compliance и требования бизнеса, возникающие в разные периоды под разными соусами с различным размахом.
ОтветитьУдалить2AndrewZ
ОтветитьУдалитьКак раз-таки наоборот: именно воля руководства в нем лишняя. Объяснять надо?
2Ригель
ОтветитьУдалитьА как же! Может получиться дискуссия.
2AndrewZ
ОтветитьУдалитьИзвольте. Комплайнс сам по себе ничего не двигает, двигает желание/нежелание руководства терпеть нон-комплайнс (принимать риск), так что из двух Ваших драйверов первого уровня остается один - нужда бизнеса в ИБ определяется нуждой бизнеса в ИБ. Без капли сожаления уходим на второй, который и содержит 9 причин первого.
Соглашусь, что высокоуровневым драйвером по ИБ является risk-tolerance. Но нужда бизнеса в ИБ не связана с внешними требованиями. Внешние требования не исполняются бизнесом в том объеме, в котором бизнес готов принять правовой риск (риск неожиданного применения законодательства). Это как-бы драйвер со знаком минус - бизнес решает что он не намерен делать. И правовой риск здесь единственное мерило.
ОтветитьУдалитьВнутренние требования бизнеса формируют намерение делать со знаком "плюс". С точки зрения стороннего наблюдателя эти два драйвера не пересекаются, поэтому объединить их можно только на более высоком уровне - уровне рисков. Поэтому и придумана иделология GRC, которая определяет framework для драйверов ИБ.
Сами внешние требования ничего не делают (я еще не повторяюсь?) - не выделяют деньги, не кроят оргштатку, не добавляют полномочия. Так же как это не делает сам инцидент или сама угроза.
ОтветитьУдалитьВторой уровень совершенно заслуженный.