Size: a a a

2019 September 13

М

Максим in Codeibcommunity
Если из вашей зарплаты, то дорогие сразу
источник

D

Dmitriy in Codeibcommunity
Ilya Borisov
"Самое главное - оценить, насколько эти контрмеры дорогие" - что значит дорогие? 100 000 рублей - это дорогие? А 100 000 $ - это дорогие или ещё нет?
С учетом стоимости защищаемого актива и величины ущерба
источник

RF

Roman Fedoseev in Codeibcommunity
ИБ это как страховка. Купил - затраты. Не купил - убытки (в случае наступления инцидента)
источник

IB

Ilya Borisov in Codeibcommunity
Dmitriy
С учетом стоимости защищаемого актива и величины ущерба
Стоимость актива - 100 000 рублей, стоимость ущерба - 100 000 рублей, стоимость контрмер - 100 000 рублей. Контрмеры дорогие?
источник

RF

Roman Fedoseev in Codeibcommunity
Вероятность наступления ущерба какая?
источник

IB

Ilya Borisov in Codeibcommunity
Roman Fedoseev
Вероятность наступления ущерба какая?
0,2 - например.
источник

DP

Dmitry P. in Codeibcommunity
Roman Fedoseev
ИБ это как страховка. Купил - затраты. Не купил - убытки (в случае наступления инцидента)
Не так... ИБ чаще это компенсирующие меры, страховка - передача риска третьей стороне.
источник

DP

Dmitry P. in Codeibcommunity
Оценка рисков - фундаментальный аспект в страховании и в ИБ (в теории)
источник

RF

Roman Fedoseev in Codeibcommunity
Речь про то как это бизнесу объяснить. По мне, так компенсирующие меры это сложно для бизнеса. Страховка это понятнее.
источник
2019 September 14

VK

Vladimir Kalmykov in Codeibcommunity
ИБ - это не страховка.  как максимум - подстраховка от утечки. Если пользователи знают о слежке (хоть и наглеют) ) - то хотя бы частично можно восстановить лог событий и разобрать инцидент или утечку. В отсутствии ИБ - расследование инцидента будет высасываться из пальца, как это сейчас происходит у нас на предприятии на местном уровне... А в большинстве случаев, бизнес даже и не знает об утечках информации.
источник

Y

YuN in Codeibcommunity
Слежка и т.д. это фуфел, расчитанный на Марью Ивановну из бухгалтерии. Хотя если утечкой называть использование mail.ru знакомства с рабочего компьютера и знакомства с потенциальным шпионом на этом ресурсе, с последующей вербовкой Марьи Ивановны это да.  Нельзя рассматривать ИБ с позиции , какую навязывают вендоры,: ты купи у нас софтину, etc и все будет безопасно и секурно. А если есть сертификат , что это согласовано там то и там, то ты в обще в шоколаде
источник

RK

Roman K in Codeibcommunity
Коллеги, по поводу обоснования затрат и донесения до руководства, что это нужно. У вас есть автомобили? А подушка безопасности? Какова вероятность, что попадёте в ДТП? Хотелось бы в этом случае сидеть в автомобиле, где есть полный комплект мер безопасности? Так же и с бизнесом...есть критичная информация, потеря которой может «покалечить» и потребуется много времени и денег на «выздоровление» или вовсе «привести к летальному исходу». Причём это далеко не всегда зависит от атак из вне, хватает «водятлов» и внутри. Поэтому всякий раз, когда руководство противится тратить деньги на защиту - спросите, готовы ли они даже с вероятностью 5-10% лицезреть как их бизнес «покалечится» или «издохнет». А для оценки в помощь: 1. Выявляем КИ и делим её на 2 типа («покалечит» и «летальный исход») 2. Берём у фин.дира или даже у самого собственника инфу о хотябы примерной стоимости бизнеса (точную цифру вам вряд ли кто даст). 3. Считаем в % вероятность наступления «неблагоприятных ситуаций» (утечка, атака и т.д.) 4. Считаем сумму этого % от стоимости бизнеса. Если сумма потерь больше суммы затрат на защиту - вменяемый Руководитель примет предложение по ЗИ.
P.S. Это так... «на коленке» сварганил, к этому расчету можно подойти более тщательно, чтобы нокаутировать аргументами и цифрами руководство и финансистов, яро урезающих всевозможные расходы на то, чего не понимают.

Всем хороших выходных!)))
источник

Js

Jogi shimanskii in Codeibcommunity
👍
источник

AG

Anasta Gai in Codeibcommunity
Roman K
Коллеги, по поводу обоснования затрат и донесения до руководства, что это нужно. У вас есть автомобили? А подушка безопасности? Какова вероятность, что попадёте в ДТП? Хотелось бы в этом случае сидеть в автомобиле, где есть полный комплект мер безопасности? Так же и с бизнесом...есть критичная информация, потеря которой может «покалечить» и потребуется много времени и денег на «выздоровление» или вовсе «привести к летальному исходу». Причём это далеко не всегда зависит от атак из вне, хватает «водятлов» и внутри. Поэтому всякий раз, когда руководство противится тратить деньги на защиту - спросите, готовы ли они даже с вероятностью 5-10% лицезреть как их бизнес «покалечится» или «издохнет». А для оценки в помощь: 1. Выявляем КИ и делим её на 2 типа («покалечит» и «летальный исход») 2. Берём у фин.дира или даже у самого собственника инфу о хотябы примерной стоимости бизнеса (точную цифру вам вряд ли кто даст). 3. Считаем в % вероятность наступления «неблагоприятных ситуаций» (утечка, атака и т.д.) 4. Считаем сумму этого % от стоимости бизнеса. Если сумма потерь больше суммы затрат на защиту - вменяемый Руководитель примет предложение по ЗИ.
P.S. Это так... «на коленке» сварганил, к этому расчету можно подойти более тщательно, чтобы нокаутировать аргументами и цифрами руководство и финансистов, яро урезающих всевозможные расходы на то, чего не понимают.

Всем хороших выходных!)))
Но суть та же, что и в постах до этого -- переводим вероятность реализации угрозы в денежный эквивалент и показываем бизнесу, а дальше бизнес думает, готов ли он принять эти риски и какую реакцию реализовать дешевле: попытку предотвратить или быстро устранить последствия.
источник

RK

Roman K in Codeibcommunity
Почти)
источник

VK

Vladimir Kalmykov in Codeibcommunity
Anasta Gai
Но суть та же, что и в постах до этого -- переводим вероятность реализации угрозы в денежный эквивалент и показываем бизнесу, а дальше бизнес думает, готов ли он принять эти риски и какую реакцию реализовать дешевле: попытку предотвратить или быстро устранить последствия.
"быстро устранить последствия" - я бы перефразировал в - "попытку вообще понять, что произошло и как, и пытаться что-то предпринять при отсутствии каких либо исходных данных".
источник

VK

Vladimir Kalmykov in Codeibcommunity
По аналогии с тем же автомобилем, в котором нет видеорегистратора.
источник

AS

Alex Sel in Codeibcommunity
Бизнесу в России все эти ИБ риски абсолютно по барабану. У них другие риски на повестке. Вопрос только в аппаратном весе ЗГД по безопасности и ваших с ним отношениях.

Банки и платежные сервисы - исключение.
источник

I

Igor in Codeibcommunity
Alex Sel
Бизнесу в России все эти ИБ риски абсолютно по барабану. У них другие риски на повестке. Вопрос только в аппаратном весе ЗГД по безопасности и ваших с ним отношениях.

Банки и платежные сервисы - исключение.
не соглашусь.
ОАО, ПАО: откройте hh - все ищут.
Минобразование утверждает новый перечень профессий по ИБ - на этой неделе только список опубликован был.
На уровнее ООО: также поиск специалистов, которые могут конфигурировать маршрутизаторы по соединениям различных подразделенией.
ПАК СКЗИ - эту аббревиатуру знают все больше и больше руководителей, которые взаимодействуют с государственными органами власти.

Ваше утверждение относится к бизнесу, с доходной частью от 3 до 5 млн в год. Соглашусь. Одна точка. Бизнес по модели купи-продай. И даже в таком "контуре", уже многое выносится в облачные системы, удаленные ПК и так далее. И возращаемся к hh - вбейте слово mikrotik
источник

O

Oleg_R in Codeibcommunity
Roman K
Коллеги, по поводу обоснования затрат и донесения до руководства, что это нужно. У вас есть автомобили? А подушка безопасности? Какова вероятность, что попадёте в ДТП? Хотелось бы в этом случае сидеть в автомобиле, где есть полный комплект мер безопасности? Так же и с бизнесом...есть критичная информация, потеря которой может «покалечить» и потребуется много времени и денег на «выздоровление» или вовсе «привести к летальному исходу». Причём это далеко не всегда зависит от атак из вне, хватает «водятлов» и внутри. Поэтому всякий раз, когда руководство противится тратить деньги на защиту - спросите, готовы ли они даже с вероятностью 5-10% лицезреть как их бизнес «покалечится» или «издохнет». А для оценки в помощь: 1. Выявляем КИ и делим её на 2 типа («покалечит» и «летальный исход») 2. Берём у фин.дира или даже у самого собственника инфу о хотябы примерной стоимости бизнеса (точную цифру вам вряд ли кто даст). 3. Считаем в % вероятность наступления «неблагоприятных ситуаций» (утечка, атака и т.д.) 4. Считаем сумму этого % от стоимости бизнеса. Если сумма потерь больше суммы затрат на защиту - вменяемый Руководитель примет предложение по ЗИ.
P.S. Это так... «на коленке» сварганил, к этому расчету можно подойти более тщательно, чтобы нокаутировать аргументами и цифрами руководство и финансистов, яро урезающих всевозможные расходы на то, чего не понимают.

Всем хороших выходных!)))
👍
источник