Compliance как угроза. Анализируем риски

Compliance как угроза. Анализируем риски
Если рассматривать вопрос соответствия требованиям с точки зрения анализа рисков, т.е. принимать: угроза - прописанные регулятором последствия нарушения уязвимость - несоблюдение требований атака - проверка регулятора контрмера - соблюдение требований возникает практически беспрецедентная ситуация - у нас присутствую все необходимые исходные данные для проведения количественного анализа рисков на основе классической методики ARO x SLE = ALE. http://www.windowsecurity.com/articles/Risk_Assessment_and_Threat_Identification.html У нас есть: ARO - вероятность проверки регулятором SLE - прописанные регулятором последствия нарушения Этот интересный случай доказывает не только тот факт, что школьные правила все же иногда работают, но и великую пользу compliance как двигателя информационной безопасности. И так, рассмотрим пару примеров, которые сейчас "на слуху" - ФЗ 152 (ЗПД) и PCI DSS. PCI DSS Здесь все довольно просто, потому как в связи с известными событиями в мировой экономике Visa и другие платежные системы решили "не кошмарить бизнес", и, в большинстве случаев позволяют сдвигать action plan. Это дает отсрочку в реализации атаки в несколько лет. Беспрецедентная ситуация, когда вы точно знаете, что данная конкретная атака не произойдет в течение года. Или двух. Представьте себе индульгенцию от вирусных атак или кражи оборудования сроком на год... Великолепная штука. Итак: угроза - штраф (N децикило $) или ущерб от запрета операций (пусть для простоты будет тоже N децикило $), SLE уязвимость - несоблюдение требований (PCI DSS) атака - реакция регулятора на отступление от action plan (вероятность наступления, ALE - 0 раз в год) Итого, получаем: Риск = (N децикило $) x (0) = 0 Т.е. можно ничего не делать!!! Но! Ключевым условием является наличие action plan. Соответственно надо его сформировать. Самому, или с помощью QSA - по желанию. К сожалению, у меня нет информации о реакции регуляторов на отсутствие action plan по PCI DSS, но думаю, что SLE в этом случае будет на уровень стоимости контрмеры (аудита). ФЗ 152 Тут все просто. угроза - несколько вариантов 1. Административная ответственность - штрафы 2. Приостановление или прекращение обработки персональных данных в компании - время простоя/деградации связанных бизнес-процессов "до устранения". Думаю, можно смело взять минимум 1/6 года. 3. Привлечение компании и (или) ее руководителя к уголовной (гражданской, дисциплинарной и иным видам ответственности) - катастрофический риск. 4. Приостановление действия или аннулирование лицензий на основной вид деятельности компании - в текущей ситуации ближе к катастрофическому. атака - проверка регулятора В связи с новизной и интересностью для регулятора и возможность инициации внешними силами (заявление), вероятность реализации в 2010 году можно принять равной 1. Если кого-то интересует более детальные расчеты по отраслям деятельности и регионам, можно использовать статистику: http://community.livejournal.com/personal_data/721.html Итого, получаем: Риск = (стоимость бизнеса) x (1) = (стоимость бизнеса) Т.е. проблема есть и ее надо решать. PS. Не надо делать далеко идущие выводов. Просто анекдот.
CISO/CSO ПД compliance management
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!