15.05.2009

Compliance как угроза. Анализируем риски

Если рассматривать вопрос соответствия требованиям PCI DSS и ФЗ 152 "О персональных данных" с точки зрения анализа рисков, возникает практически беспрецедентная ситуация - у нас присутствую все необходимые исходные данные для проведения количественного анализа рисков на основе классической методике ARO x SLE = ALE.

Сергей Гордейчик
Источник: http://sgordey.blogspot.com/2009/05/compliance.html

Если рассматривать вопрос соответствия требованиям с точки зрения анализа рисков, т.е. принимать:

угроза - прописанные регулятором последствия нарушения
уязвимость - несоблюдение требований
атака - проверка регулятора
контрмера - соблюдение требований

возникает практически беспрецедентная ситуация - у нас присутствую все необходимые исходные данные для проведения количественного анализа рисков на основе классической методики ARO x SLE = ALE.

http://www.windowsecurity.com/articles/Risk_Assessment_and_Threat_Identification.html

У нас есть:

ARO - вероятность проверки регулятором
SLE - прописанные регулятором последствия нарушения

Этот интересный случай доказывает не только тот факт, что школьные правила все же иногда работают, но и великую пользу compliance как двигателя информационной безопасности.

И так, рассмотрим пару примеров, которые сейчас "на слуху" - ФЗ 152 (ЗПД) и PCI DSS.

PCI DSS

Здесь все довольно просто, потому как в связи с известными событиями в мировой экономике Visa и другие платежные системы решили "не кошмарить бизнес", и, в большинстве случаев позволяют сдвигать action plan. Это дает отсрочку в реализации атаки в несколько лет. Беспрецедентная ситуация, когда вы точно знаете, что данная конкретная атака не произойдет в течение года. Или двух. Представьте себе индульгенцию от вирусных атак или кражи оборудования сроком на год... Великолепная штука.


Итак:

угроза - штраф (N децикило $) или ущерб от запрета операций (пусть для простоты будет тоже N децикило $), SLE
уязвимость - несоблюдение требований (PCI DSS)
атака - реакция регулятора на отступление от action plan (вероятность наступления, ALE - 0 раз в год)

Итого, получаем:

Риск = (N децикило $) x (0) = 0

Т.е. можно ничего не делать!!!

Но! Ключевым условием является наличие action plan. Соответственно надо его сформировать. Самому, или с помощью QSA - по желанию. К сожалению, у меня нет информации о реакции регуляторов на отсутствие action plan по PCI DSS, но думаю, что SLE в этом случае будет на уровень стоимости контрмеры (аудита).

ФЗ 152

Тут все просто.

угроза - несколько вариантов

  1. Административная ответственность - штрафы
  2. Приостановление или прекращение обработки персональных данных в компании - время простоя/деградации связанных бизнес-процессов "до устранения". Думаю, можно смело взять минимум 1/6 года.
  3. Привлечение компании и (или) ее руководителя к уголовной (гражданской, дисциплинарной и иным видам ответственности) - катастрофический риск.
  4. Приостановление действия или аннулирование лицензий на основной вид деятельности компании - в текущей ситуации ближе к катастрофическому.

атака - проверка регулятора

В связи с новизной и интересностью для регулятора и возможность инициации внешними силами (заявление), вероятность реализации в 2010 году можно принять равной 1.
Если кого-то интересует более детальные расчеты по отраслям деятельности и регионам, можно использовать статистику:

http://community.livejournal.com/personal_data/721.html

Итого, получаем:

Риск = (стоимость бизнеса) x (1) = (стоимость бизнеса)

Т.е. проблема есть и ее надо решать.

PS: Дарю идею интеграторам, продвигающим ЗПД: сделать online калькулятор рисков. Вводишь отрасль, годовой оборот, регион и принятые меры по защите и получаешь вероятность реализации угроз (административная, уголовная) и даже риски. Данные все открытые, с поддержкой справится студент.

Кстати, еще нет данных по эффективности контр-мер. Иметь бы источник (открытый), кто из интеграторов делал проекты ЗПД для компаний и коррелировать это с последствиями проверок :)))

или введите имя

CAPTCHA
Страницы: 1  2  
Коновал
15-05-2009 15:21:18
Сергей, хороший заход, только вероятность там не единица, это слишком лихо написано. Вы взяли максимум, а надо было взвешенную сумму I1xP1+I2xP2+I3xP3+I4xP4 , где In - ущерб (Impact) от соответствующей угрозы, Pn - вероятность (Probability) осуществления этой угрозы (выбора регулятором соответствующей меры воздействия). Что-то мне подсказывает, что РСКН не пойдёт СРАЗУ крушить вплоть до "полной невозможности" КАЖДОГО встречного-поперечного за невыполнение 152ФЗ. Так что там явно не единица.
0 |
Клмп
15-05-2009 20:52:19
А можно хоть один пример "несчастного случая" по ПиСиАй?
0 |
Коновал
18-05-2009 10:18:53
Heartland Payment Systems Inc. said it was experiencing losses this quarter as a direct result of a massive data breach it disclosed in January when investigators discovered a malicious program sniffing credit card data passing through its systems. The company said it took a $2.5 million loss for the quarter as a result of spending more than $12.6 million in legal bills, fines from MasterCard and Visa and administrative costs. http://searchfinancialsecurity.techtarget.com/news/article/0,289142,sid185_gci1355922,00.html Поводом для "несчастного случая" была утечка данных по пластиковым картам.
0 |
18-05-2009 10:34:01
Если ты будет "удовлетворять" PCI и "случится" страшное, то ты все равно будешь под прессингом Visa и Mastercard. Т.е. приведенный пример - это последствия "massive data breach" а не "PCI-DSS Non-Compliant".
0 |
Коновал
18-05-2009 10:54:49
Если Heartland "удовлетворял" PCI, то а) за что его исключили из списка "удовлетворяющих"; б) за что он заплатил штрафы Визе и Мастеру? Если я "удовлетворял" 152ФЗ, а потом допустил утечку данных о клиентах в интернет, штрафанёт меня РСКН или нет, и если да, то за что? За некомплаенс или ещё что-то? И что будет этому причиной? Утечка, заява потерпевшего или некомплаенс? И есть ли для меня в данном случае какая-то разница?
0 |
18-05-2009 11:17:37
>за что он заплатил штрафы Визе и Мастеру? Штраф за "massive data breach". Если бы еще не удовлетворял - накинули бы 0,5 M$ (насколько помню). >за что его исключили из списка "удовлетворяющих"; За "massive data breach". Это же логично. Представляете, если бы после такого ему оставили статус "Compliant"? Как бы это отразилось на отношении к стандарту? >Если я "удовлетворял" 152ФЗ, а потом допустил утечку данных о клиентах в интернет, То, в соответствии с ФЗ 152 вам бы пришлось отработать такую процедуру... Например ст 21.3 - "обязан уведомить субъекта", только на звонках и конвертах можно разориться. >И что будет этому причиной? Заявление субъекта, или проверка, пришедшая по факту утечки. >И есть ли для меня в данном случае какая-то разница? Есть. Угрозы "Non-Compliant ФЗ 152" и "Утечка персональных данных", это две совершенно разные угрозы.
0 |
03863
15-05-2009 15:55:00
о чем статься-то? муть какая-то ----удлинитель ----------------
0 |
Барнаул
15-05-2009 16:43:47
О вероятностях огрести при условии невыполнения регуляций. ФЗ для нас или PCI для буржуев. Только ерунда это все. Чтобы использовать статистическое преимущество, необходимо раз этак... много столкнуться с проверками и тогда калькуляции выше будут иметь смысл. Если же речь о тебе лично, то нужно делать все по-уму.
0 |
Dennalynclon
15-05-2009 19:30:11
Очень понравилось, даже не ожидала.
0 |
15-05-2009 19:35:17
не со всем согласен, но весьма респектно... коротко и очень в тему.
0 |
Guest
15-05-2009 19:40:03
Вся статья - замечательная иллюстрация явления "security theater" С точки зрения практики - абсолютный ноль по Кельвину. Но пока для добывания бабла ни чего лучше псевдонаучной галиматьи не придумано (ежели не брать криминальных вариантов, конечно)
0 |
43005
16-05-2009 05:38:23
С точки зрения практики - абсолютный ноль по Кельвину. Но пока для добывания бабла ни чего лучше псевдонаучной галиматьи не придумано (ежели не брать криминальных вариантов, конечно) +1024!
0 |
Страницы: 1  2