Информационные риски - статистика

[Ефрейтор]

Интересует информация о статистике информационных рисков по регионам РФ и в целом за державу.

"Красивые" анализы Инфовоч - не пригодны для работы; нужны подробные цифры.

[john644]

Интересует информация о статистике информационных рисков по регионам РФ и в целом за державу.

"Красивые" анализы Инфовоч - не пригодны для работы; нужны подробные цифры.

24554[/snapback]

то Вы называете информационные риски

атаковали хакеры или вашу сеть поразила эпидемия нового опасного вируса, и вашим ресурсам нанесен серьезный материальный урон, своровали программное обеспечение, директор хранит информацию на столе без сейфа или....

[Оззи]

Мне кажется, что объективных и детальных данных статистики Вы не найдете.

1) Инциденты безопасности - вещь латентная и нечасто оглашается в принципе.

2) В случае оглашения информация чаще всего искажается.

3) Всегда есть лица, заинтересованные в преуменьшении или преувеличении масштабов и последствий инцидента.

 

Инфовотч - яркий пример. Без оглядки на объективность и качество статистики можно сказать, что опосредованно они на этом зарабатывают, поэтому этим и занимаются.

Если подумать об объективности - степень доверия к их материалам невысока в силу предвзятости отношения к проблеме (я не говорю о преднамеренной тенденциозности).

 

Кроме того, сама классификация рисков бывает разная. И терминология тоже часто не пляшет.

Яркий пример в этой области - понятие "политика безопасности", которое внесло массу путаницы.

Точно также риски и угрозы на практике классифицируют кто во что горазд. Сами понятия угроза, риск, уязвимость употребляются очень вольно, а это очень важный момент.

 

Сам когда-то задался вопросами оценки рисков и уткнулся в эти "грабли".

 

Если бы Вы занимались изучением рисков для физических объектов и имущества (пожары, наводнения, прочее), то можно было бы получить инфу из страховых компаний. И то - это их бизнес, вряд ли скажут что-то.

 

А так... Затрудняюсь вам что-либо ответить бодрое.

 

Переходите к работе без вероятностной оценки рисков, параллельно накапливая инфу по инцидентам на своем предприятии. Ведите журналы хелп-деска и учета нештаток. Через год у Вас будет база для прогнозов на пару месяцев, через два- на полгода или год.

 

Эти результаты будут пригодны для работы только внутри предприятия.

 

Есть еще одна жиденькая возможность - подписать двусторонние соглашения о взаимном информировании СБ региона об инцидентах в рамках какой-то партнерской программы. Это не противоречит стандартам безопасности, кроме того почти всегда можнообезличить информацию. Насколько это реально - на месте виднее. Бенчмаркинг во всяком случае жив, а этот вариант не хуже :-)

[Vinni]

Интересует информация о статистике информационных рисков по регионам РФ и в целом за державу.

"Красивые" анализы Инфовоч - не пригодны для работы; нужны подробные цифры.

24554[/snapback]

 

Присоединяюсь

А что есть риск? На основе чего он считается? Страхов или реального положения дел style_emoticons/default/smile10.gif (см. например Б. Шнейера "Театр безопасности" - возможно напутал в переводе названия статьи)? Оценка ущерба - задача мягко говоря непростая style_emoticons/default/smile17.gif

 

Можно посчитать число инцидентов определенного типа (писем с вирусами, сканирований и т.д.) или число фактов невыполнения того или иного нормативного требования безопасности (тот же NIST на сайте csrc.nist.gov имеет методики оценки защищенности гос. организации на основе второго параметра).

 

 

 

[Митрофанов Александр]

А если попробовать зайти со стороны относительного измерения риска. Т.е. содать модель максимального риска (например в инструментарии ИАК "Тренд"), описав признаки такой системы с максимальным риском, или выбрав, как суперпозицию (а иначе не получится, т.к. учесть взаимное влияние факторов будет очень сложно) описаний случаев реализации рисков, произошедших в то или иное время. Затем, рассчитать "расстояние" модели риска в регионе до соданной модели "максимального" риска (тем же "Трендом"). Расставить регионы по рангу "расстояния" до максимума. Либо разбить по группам "Низкий - Средний - Большой". Имея в виду регион, который Вам знаком, включая эффективные затраты на управление риском, средний размер этих затрат умножьте на соотношение рангов с искомым регионом. Получаем размер плановых затрат в нужном регионе (естественно при всех прочих равных).

Рассчет инвестиционной привлекательности регионов я таким образом делал - получается.

 

А статистику можно получить тем же путем из СМИ, только посложнее выйдет. Т.к. каждый отдельный информационный рмск придется считать по всему объему выборок. Нужна большая вычислительная мощность и время.