Перейти к содержанию

Информационные риски - статистика


  

2 пользователя проголосовало

  1. 1. Информационные риски - статистика

    • 1. Необходима статистика по широкому (максимальному) кругу вопросов.
      1
    • 2. Необходима ссылка на официальные источники.
      1


Рекомендуемые сообщения

Интересует информация о статистике информационных рисков по регионам РФ и в целом за державу.

"Красивые" анализы Инфовоч - не пригодны для работы; нужны подробные цифры.

Ссылка на комментарий
Поделиться на другие сайты

Интересует информация о статистике информационных рисков по регионам РФ и в целом за державу.

"Красивые" анализы Инфовоч - не пригодны для работы; нужны подробные цифры.

24554[/snapback]

то Вы называете информационные риски

атаковали хакеры или вашу сеть поразила эпидемия нового опасного вируса, и вашим ресурсам нанесен серьезный материальный урон, своровали программное обеспечение, директор хранит информацию на столе без сейфа или....

Ссылка на комментарий
Поделиться на другие сайты

Мне кажется, что объективных и детальных данных статистики Вы не найдете.

1) Инциденты безопасности - вещь латентная и нечасто оглашается в принципе.

2) В случае оглашения информация чаще всего искажается.

3) Всегда есть лица, заинтересованные в преуменьшении или преувеличении масштабов и последствий инцидента.

 

Инфовотч - яркий пример. Без оглядки на объективность и качество статистики можно сказать, что опосредованно они на этом зарабатывают, поэтому этим и занимаются.

Если подумать об объективности - степень доверия к их материалам невысока в силу предвзятости отношения к проблеме (я не говорю о преднамеренной тенденциозности).

 

Кроме того, сама классификация рисков бывает разная. И терминология тоже часто не пляшет.

Яркий пример в этой области - понятие "политика безопасности", которое внесло массу путаницы.

Точно также риски и угрозы на практике классифицируют кто во что горазд. Сами понятия угроза, риск, уязвимость употребляются очень вольно, а это очень важный момент.

 

Сам когда-то задался вопросами оценки рисков и уткнулся в эти "грабли".

 

Если бы Вы занимались изучением рисков для физических объектов и имущества (пожары, наводнения, прочее), то можно было бы получить инфу из страховых компаний. И то - это их бизнес, вряд ли скажут что-то.

 

А так... Затрудняюсь вам что-либо ответить бодрое.

 

Переходите к работе без вероятностной оценки рисков, параллельно накапливая инфу по инцидентам на своем предприятии. Ведите журналы хелп-деска и учета нештаток. Через год у Вас будет база для прогнозов на пару месяцев, через два- на полгода или год.

 

Эти результаты будут пригодны для работы только внутри предприятия.

 

Есть еще одна жиденькая возможность - подписать двусторонние соглашения о взаимном информировании СБ региона об инцидентах в рамках какой-то партнерской программы. Это не противоречит стандартам безопасности, кроме того почти всегда можнообезличить информацию. Насколько это реально - на месте виднее. Бенчмаркинг во всяком случае жив, а этот вариант не хуже :-)

Ссылка на комментарий
Поделиться на другие сайты

Интересует информация о статистике информационных рисков по регионам РФ и в целом за державу.

"Красивые" анализы Инфовоч - не пригодны для работы; нужны подробные цифры.

24554[/snapback]

 

Присоединяюсь

А что есть риск? На основе чего он считается? Страхов или реального положения дел style_emoticons/default/smile10.gif (см. например Б. Шнейера "Театр безопасности" - возможно напутал в переводе названия статьи)? Оценка ущерба - задача мягко говоря непростая style_emoticons/default/smile17.gif

 

Можно посчитать число инцидентов определенного типа (писем с вирусами, сканирований и т.д.) или число фактов невыполнения того или иного нормативного требования безопасности (тот же NIST на сайте csrc.nist.gov имеет методики оценки защищенности гос. организации на основе второго параметра).

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

А если попробовать зайти со стороны относительного измерения риска. Т.е. содать модель максимального риска (например в инструментарии ИАК "Тренд"), описав признаки такой системы с максимальным риском, или выбрав, как суперпозицию (а иначе не получится, т.к. учесть взаимное влияние факторов будет очень сложно) описаний случаев реализации рисков, произошедших в то или иное время. Затем, рассчитать "расстояние" модели риска в регионе до соданной модели "максимального" риска (тем же "Трендом"). Расставить регионы по рангу "расстояния" до максимума. Либо разбить по группам "Низкий - Средний - Большой". Имея в виду регион, который Вам знаком, включая эффективные затраты на управление риском, средний размер этих затрат умножьте на соотношение рангов с искомым регионом. Получаем размер плановых затрат в нужном регионе (естественно при всех прочих равных).

Рассчет инвестиционной привлекательности регионов я таким образом делал - получается.

 

А статистику можно получить тем же путем из СМИ, только посложнее выйдет. Т.к. каждый отдельный информационный рмск придется считать по всему объему выборок. Нужна большая вычислительная мощность и время.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...