Я Вам возражал на огульное "любые" - Вы его заменили на "вообще все". Один абсолют на другой абсолют же. Отнюдь не любые. И далеко не все. И совсем не всегда.

У меня неделю назад нештатный иммобилайзер приглючило - выбор между отключить и починить/заменить. Потенциальный ущерб - 14 тыс. (за столько можно взять на вторичке эту модель/год/пробег, чтобы в точности восполнить угон), затраты на восстановление работоспособности - 0.2 тыс. Не знаю, как Вам, а мне было все понятно моментом.

Теперь изложите мне эту же ситуацию в терминах импрувмента качественных условий.

Ойё, опять.
В самом начале это уже было: время от времени надо как-то показывать, что отсутствующие ущербы - это заслуга ИБ, а не признак того, что опасности вымышлены, и у ИБ нет работы.

Это если они копипейстятся. А если новые (созданные с нуля или, скажем, мылом извне полученные)? Опять же, скопипейстен может быть и не тот фрагмент, который информацию  ограниченного распространения содержит - мало ли, что именно человеку было лень набивать и он через буфер кинул. Так что "один раз" не получится.

Это ирония.
Но анализ рисков это действительно другая тема, и ее сюда приплетать просто ЖАЛКО.

Нет.

Но Вы почти угадали: к конфигурированию ПО эта тема отношения не имеет.

Это мы про условный доход - пользу, выражаемую в каких-то традиционных единицах.

Тогда и я не спорю.
По идее, иногда срабатывает вычитание: на сколько может пасть спрос на продукт/услугу (и  доходы от реализации) если из нее напрочь убрать ИБ - это и есть вклад в нее ИБ-составляющей. Опять не очень честно и не всегда применимо, но тоже какой-никакой метод.
А не факт.
Эти лишние человекочасы работодателю могут ничего не стоить (например, фиксированные оклады), и если на выпуске/продаже/имидже не сказалось - ущерба не было.

То, что мы обсуждаем, это в чистом виде классическая тема выбора security objectives, которую каждый решает по-своему. В частности, допустимы оба варианта решения дилеммы "шашечки или ехать". Хозяин-барин.
Если у Вас такая неожиданная цель (обычно более характерная для кадровиков), то можно и время. Хоть электроэнергию.

Но на многих controls (например, return of assets, disposal of media, physical perimeter и т.п.) с экономией времени будет тяжко - все равно незаметно свалитесь в типичную прикидку ущерба, только не в удобных деньгах, а в мало о чем говорящих часах. Ну и смысл?

Кроме того, необходимо, чтобы выигрыш времени перевесил затраты на реализацию, а они будут преимущественно в деньгах (хотя бы даже банальная стоимость программных и технических средств).

Еще не все. Возможны вещи, увеличивающие трудозатраты (в т.ч. штат и фонд оплаты труда), скажем, на 2%, а доходы на все 12% - не оперируя деньгами, Вы их никогда не предпримете.

И уж не говоря о том, что потеря имиджа (и клиентов) время-то... высвобождает.

Так что не выход. Хотя если владелец бизнеса мыслит не категориями денег (??!), то почему бы нет. Но обман.

Для отключения защиты достаточно один раз ее включить
Пообъектная раздача прав (грифов) в среднего размера организации, где новые файлы родятся, брачуются, дают потомство и мрут десятками тысяч в день, в хаке не нуждается.

Сейчас я Вас удивлю, но это... одно и то же. Если у организации нет такого объекта продажи, как безопасность, то эффект от нее кроется внутри основного дохода. Хотите - можете называть это прибавленной стоимостью, а хотите - неубавленной. Как удобнее.

За недостатком времени опять воспользуюсь метафорой. Я никогда не видел, чтобы в меню ресторана или какого другого пункта питания числилось блюдо "мытье тарелок, кастрюль и столов", но участвует ли это занятие в его бизнесе? Очевидно. (Специально беру такой пример, чтобы риски не объяснять за наглядностью. Кстати, реактивность и проактивность там тоже моделируются). Можно говорить, что гигиена позволяет получать дополнительные деньги. А можно, что позволяет не терять. Аптую.

Файла, какого файла?

Есть сервер базы данных (допустим, oracle), к нему приделан сервер приложений (допустим, r/3), клиентский софт (видимо, sap gui, раз уж мы такой пример выбрали) ходит к серверу приложений.
В принципе, база данных это конечно тоже файл. Только а) юзер его не открывает, б) в нем всё подряд - от покупки картриджа до продажи Родины.

nahna, Вы его опять перехваливаете. Различать, что отображается в gui неведомого тонкого клиента (тайна или фигня)?

А ведь из поля зрения выпал еще один аспект...

Практически все кстати и некстати упомянутые продукты ориентированы на ту стадию развития ИТ, которую многие давно прошли - защищаемые сведения в наше время уже не лежат в виде файлов на сетевых дисках, а крутятся в разной степени тяжести коллективных прикладах (mysap, documentum, sharepoint, lotus notes, 1с, navision и т.д. и т.п.). Получается как у Винстона нашего Черчилля: "Генералы всегда готовятся к предыдущей войне".

Извлечение юзером информации оттуда почти не контролируется ни средствами самих систем, ни навесным ПО, ориентированным сплошь на защиту "файловых" информатизаций. Да, какие-то барьеры можно выставлять на возможных каналах ее последующей утечки, но про секретность/несекретность они опять-таки знать не будут.

На статьи у меня самоуверенности не хватает. Но вообще при таком заголовке, как Ваш, оба этих класса (подсматривающие/подслушивающие и детекторы атипичного поведения) могли там быть помянуты. Будем считать, что точка еще не поставлена, и ждать от Вас продолжения.

Я не подскажу (сфера малость другая), но кто-нибудь наверняка. В принципе, анъюжуал активити это сейчас даже в сетевых мониторах последняя мода.

Если неправильное действие "визуально" мало отличается от правильного - никак. Это чуть другой жанр и подход. Не лучше/хуже, а другой. И поэтому способен срабатывать на какие-то другие вещи: всегда в 18:00 отключался и домой сруливал, а тут дождался, пока все уйдут, и сидит с монитора на диктофон начитывает. Во всяком случае, стоит проверить.

Давайте я Вам за А.А. отвечу.
"Однажды все скопирует на флешку " - это и есть нетипичная активность, отклонение от усредненной модели поведения данного юзера, выстроенной системой за период наблюдения. Или, скажем, обычно печатал несколько десятков страниц, а тут вдруг тысяча. Или трафик с таким-то сервером приложений всегда был копеечный, а тут роется и роется. Или дискетами всегда пользовался в конце месяца, а тут вдруг в середине. Что-то не так, не как обычно. Если настроено оповещение, то человек еще в здании.

зы. Естественно, что ловятся только ощутимые отклонения от его обычного почерка (а салями не ловится), и что ложные срабатывания тоже возможны. Но сам принцип работоспособен.
Более того, похожие вещи применяются и в совсем других областях. Например, если объем и вектор исходящих денежных потоков слегка поменялся на несколько недель и потом вернулся к обычному - поищи фродящего финансиста, который в это время в отпуск ходил, а со своим и.о. не в сговоре (или наоборот это и.о. без начальника фродил - тут смотря как денежный трафик менялся).
Прелесть в том, что это не требует глубокого контроля бизнес-процессов: отмечена необычность - идешь разбираться.

Александр Астахов,
Ты просто изначально забыл сделать оговорку, что это никогда и не работает на тотальной основе - только целенаправленно: либо идут от конкретного субъекта (человека, вызывающего сомнения в благонадежности), либо от конкретного отбъекта (оберегаемого сведения), а иначе действительно надо быть И.В.Джугашвили, чтобы такое себе позволить.

Неправда: задача - усложнить использование. Но это мы сейчас в философию уйдем.
Вовсе не исключаю, что для каких-то объектов защиты вышепоименованное ПО подходит - тут уж смотря, что кому угрожает (вообще с этого вопроса и надо начинать, а внедрение каких-то средств уже исходя из ответа). Однако следовало бы правильно обозначать его сферу применения: не защита информации, а защита данных, начиная с определенного объема. Иначе часть покупателей будет введена в заблуждение.
И ведь все равно даже большая схема может быть ценна малюсеньким зерном (удачная находка или наоборот уязвимое звено, которые можно использовать), а оно уносится.

Наверно один из нас неправильно понял возможности продукта, но это не приципиально: достаточно понимания, что те или иные пути все равно существуют.

Вдобавок, в реальной жизни самые страшные тайны настолько компактны ("фирму готовят к продаже", "такими темпами новый продукт раньше лета выйдет", "сделка с испанцами сорвалась", "квалифицированных специалистов практически нет", "в следующем квартале будет объявлен тендер" и т.п.), что выносятся в голове, в каковую никакой прослушки СБ не посадишь. В сущности, информация - это и есть знание, а не файл. В чем и проблема.

Очевидная проблема в том, что все эти средства более защищают от нечаянной передачи конфиденциальной информации на сторону. Злоумышленника они не останавливают, а только вытесняют на какой-то другой путь, им неподконтрольный.
Например, в случае последнего из рассмотренных продуктов: "Ctrl+C" или "Ctrl+PrtSCr" --> MS Word --> "Ctrl+V" --> принтер --> карман. Или "type z:\confidential\file.doc > c:\myfile.doc"  --> принтер --> факс. И еще масса подобных способов, если лень с экрана на бумажку выписывать или по телефону диктовать. Защита ведь привязана к контейнеру информации (файлу, диску и т.п), а буде информация из него вынута - она оказывается вне поля действия защиты.

(На всякий случай напоминаю, что инсайдер не осуществляет НСД - его доступ к защищаемой информации положен ему по работе. Не положена передача посторонним.)