Есть где посмотреть список рисков связанных с хранением информации?

Question

[Gudsaf]

Имеется к примеру, два типа решений которые позволяют обмениваться информацией.
Для данных решений мне кажется что существуют следующие риски при хранении информации:

• модификация информации
  
• блокировка информации
  
• удаление информации и т.п.
  

Я думаю что риски которые я определил могут быть неверными, в силу моих незнаний. Соответственно мне хотелось бы наиболее полно иметь представление о рисках связанных с хранением информации: увидеть какие-то примеры как их определяют. Чтобы посмотрев на них понять, как их вообще определять, какой логикой руководствоваться и таким образом учитывать не только лишь то, что пришло в голову, а больше.

Где я могу подсмотреть примеры того, как определяют риски связанные с хранением информации?

Comments

[sim3x]

О чем вообще речь?

[xmoonlight]

Gudsaf,

блокировка информации
удаление информации

блокировка - это круто!) тут - поясните...
удаление - это тоже модификация...

[Gudsaf]

sim3x, xmoonlight, круто что вы присоединились! я профан и риски которые написал тоже, я думаю весьма сомнительные..

О чем вообще речь?

я хочу найти примеры того, как люди определяют риски ИБ связанные с хранением информации. Я думаю что это мне поможет понять, как их вообще описывать. В то же время возможно существуют какие-то общие справочники по рискам с примерами, где можно "сделай раз сделай два" и в итоге получить список рисков связанных с хранением информации.

блокировка - это круто!) тут - поясните...

предполагалось следующее: есть ресурс хранящий информацию, есть риск того, что в какой-то промежуток времени не будет возможности получить информацию размещенную на данном ресурсе.

удаление - это тоже модификация...

вполне возможно что это так

[sim3x]

Gudsaf,

https://squareup.com/guides/pci-compliance

https://www.google.com.ua/search?q=list+of+require...

В то же время возможно существуют какие-то общие справочники по рискам с примерами, где можно "сделай раз сделай два" и в итоге получить список рисков связанных с хранением информации.

таких справочников нет
Кроме того они бесполезны и устаревают еще до публикации

Есть справочники уязвимостей, в которых есть характеристики
https://en.wikipedia.org/wiki/Vulnerability_(compu...
https://resources.sei.cmu.edu/asset_files/Technica...
https://cve.mitre.org/

Answer 1

[xmoonlight]

Здесь есть всё, что Вам нужно.

Comments

[Gudsaf]

пошел читать, спасибо)

[sim3x]

Там нет ничего того что нужно безопаснику для создания списка рисков для проверки системы

[xmoonlight]

sim3x, там есть всё, но "не на блюдце".

[sim3x]

xmoonlight, тогда проще послать искать pci dss или owasp - там меньше воды будет

[xmoonlight]

sim3x, Частично - согласен. Но тогда многое - будет непонятно.

[Gudsaf]

xmoonlight, sim3x, да, тут не на блюдце, но зато теперь понятно что риски надо выстраивать исходя из модели угроз: т.е. определяемся с системой, затем для нее выписываем угрозы которые считаем актуальными/необходимимы для рассмотрения. Исходя из угроз, определяем сами риски - вероятности реализации угрозы.

Одно только теперь не понятно: по какой методике считать сами риски (как найти вероятность реализации угрозы), не из головы же её брать.

[sim3x]

Gudsaf,

У вас был предмет Теория вероятностей?
Вспомните что такое закон больших чисел

А потом подумайте, как можно определить вероятность 0-day?

[xmoonlight]

sim3x, Отличный совет!

Answer 2

[Alister O]

Напишите суть, что не получается у вас ?

Comments

[Gudsaf]

Пока все получается, но не понятно верно я действую или нет. Конечная цель стоит в сравнении двух решений относительно рисков: в каком решении риски меньше, то и лучше.

Проблемы было две: я не знал где посмотреть риски для определенных мною решений (этой проблемы как раз касался данный вопрос) и я не знал по какой методике оценить риски (эта проблема была озвучена в другом вопросе на тостере).

На текущий момент я более менее узнал где взять угрозы и как из них получить риски, вроде понял как оценивать эти риски. Таким образом я примерно понял как сравнить два решения относительно рисков и действую по следующему плану:

1. сделал структурно-функциональные схемы сравниваемых решений
   
2. взял УБИ (из справочника БДУ), откинул угрозы не подходящие к решениям (например угрозы виртуализации, большим данным)
   
3. сейчас оставшиеся УБИ накладываю на компоненты систем
   
4. после получу матрицы система-компонент-угроза
   
5. после буду считать риски для реализации каждой угрозы
   

Если хотите помочь, то подскажите, нормальный я план действий выбрал или нет? Может есть что-то лучше?

[Alister O]

риск = вероятность выполнения угрозы * сила воздействия
риски можно группировать по трем группам
Стратегический (Организационная)
Операционная (бизнес процессы)
Тактические (информационные системы и информация),

пройдитесь по активу взяв чек лист, опишите вероятность выполнимости угрозы и воздействие, таким образом вы можете выявить уровень риска High, Middle, Low.

Answer 3

[Алекс]

Хочу сперва отметить что оценка ИБ Рисков должна входить в "Программу Информационной Безопасности" вашей компании. Поскольку в разделе "Политика ИБ" закладываются основные правила и ценности и роли которые далее вы будете оперировать в "Оценке Рисков". Если этого нет, то необходимо оценивать риски из расчета некого Оптимистического или пессимистического сценария.

Примерная методика подсчета Риска в информационной системме:

1. Посчитать стоимость\значимость всех Ценностей (Assets) в вашей информационной системме. Чтобы определить важность ценностей по порядку.

2. Определить всевозможные угрозы и сценарии атак. Инсайдеры, Вирусы, Конкуренты, Поломка оборудования и т.д.

3. Посчитать численно Риск для каждой Ценности в случае каждой Угрозы. в числах по формулум ALE, MTD, ARO, SLE
ALE = SLE * ARO
(посмотрите мои раниие посты для примера)
MTD - сколько времени ваш бизнес протянет при исчезновании Ценности XX ??
ALE - какой урон в денежном выражении , в среднем в году , вам будет наносить угроза XX?
(есть ряд угроз которые случаются закономерно раз в год, раз в два года и т.д.)

4. Таким образом оценить самые значимые Угрозы.

5. Оценить что можно сделать для минимизации последствий действия угроз на саммые значимые Ценности. Это означает Какую защиту необходимо дополнительно купить\установить\обучить\проверить\наладить.
Возможно в каком то из решений будет встроенная защиты он некоторых угрох. На этом этапе вы получите расходы в деньгах чтобы покрыть недостающую защиту.
А возможно вы выясните что у вас есть некоторые расходы которые не зависят от типа Решения. например все равно надо обучить персонал не передавать пароль по почте:)

Далее проделываете такой анализ для Первого решения и Второго решения и сравниваете денежные показатели.