Собираю информацию о возможных последствиях при отсутсвии/нарушении системы безопасности на предприятии. В основном из-за отсутствия политики безопасности.
Пока есть такая информация:

Ущерб от деятельности вируса: Потеря, полная/частичная данных + денежные затраты на восстановление информации+ денежные затраты на очистку от вируса + время простоя компьютера(ов)/персонала + возможность потери выгодного контракта.
Ущерб из-за выхода оборудования из строя: Потеря, полная /частична данных + денежные затраты на восстановление, иногда значительные + время простоя персонала + время для ввода потерянных данных
Ущерб из-за воровства/изъятия: Полная/частичная потеря + время простоя + время набора + покупка нового оборудования + возможная потеря контрактов и всего бизнеса + возможность шантажа + возможность доступа конкурентов к конфидициальной информации + доступ спец.служб к "черной" деятельности.
Ущерб из-за некорректных действий юзера: Все, что перечисленно ранее.

Если у кого есть свои наработки и не жалко поделиться, присылайте. Ссылки то же приветствуются.

PS. Делаю комм. предложение, нужно как можно больше инфы. Так-же нужна инфа о так называемом ROI, расчете возврата инвенстиций  в сфере применения безопасности.

paranoya

Слухай, токо у мя встал такой же вопрос, но у мя уже случилось - действия вируса - шантаж; :(
как ты тута завел нужную тему. Скажи пожалуйста, есть ли уже у тебя какие-либо наработки по данной тематике ? :up:
Если да, то не мог бы ты поделиться или ссылки - спасибо заранее :gigi:

Тебя что конкретно интересует? Постановка системы безопасности на фирме? Или как решить возникшую проблему? Написание расчетов на закупку софта+железа для обеспечения безопасности? Составление плана, что надо делать при возникновении определенных нарушений?

на www.citforum.ru есть много инфы, как таковых из ссылок, только общеизвестные по security, на этом сайте ты их найдешь

Исправлено: paranoya, 21:39 6-11-2003

paranoya
вы знакомы с продуктом "Кондр (http://www.dsec.ru/soft/kondor.php)"?
КОНДОР - программный комплекс проверки информационной системы компании на соответствие ISO 17799.

В соответствии со стандартом ISO 17799, созданным в 2000 году Международной организацией по стандартизации и
Международной электротехнической комиссией на основе разработок Британского института стандартов, при
создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению
информационной безопасностью. Под этим подразумевается подробный анализ всех организационных вопросов, что
позволяет избежать возможности появления уязвимостей в информационной системе.

источник (http://www.void.ru/?do=printable&id=1153) из которого я о нем узнал

как видим продукт основан на международном стандарте ISO 17799
программный продукт построен в виде теста на русском языке, который по пунктам определяет выполняются ли в организации требования по информационной безопасности
в целом ощущение от программульки положительное.

Спасибо за инфу, гляну.

paranoya
Не санкционированный доступ, ты забыл о подмене информации, порой огромные убытки.

Есть такая фишка "Королевская защита" (http://www.accord.ru/)ставится на комп и каждый раз при запуске машины надо ставить ключ и пароль только потом можно грузится.

почитай про аппаратное шифрование (http://www.cherry.ru/cgi-bin/i/interesno?id=46)

Исправлено: Zx, 23:32 11-11-2003

ArtemD
вы знакомы с продуктом "Кондр"?
Неэффективная штука, несет с собой много подводных камней. Если на вопросы отвечает неспециалист, то результатам ни в коем случае нельзя доверять (да и у специалистов - с большой оглядкой). В соответствии с этой анкетой может возникнуть ложеное чувство защищенности, несущее с собой огромную опасность. Что больше всего меня поразило - так это его цена. Ни один специалист не приобретет его по такой цене (при том, что есть англоязычные варианты), для всех же остальных, кто все-таки его преобретет - это "просто пыль в глаза" :down:.

Zx
А вот это весч хорошая, только дороговата. Очень сложно будет провести ее обоснование, учитывая, что есть продукты гораздо дешевле с аналогичными заявленными характеристиками (например SecretNet в 3 раза дешевле, а сертификат имеет аж до 3го класса, вместо 4го у Аккорда, однако Аккорду он уступает, а о Spectr-Z я и не говорю :down: ).

Greyman
у нас стоит, правда только там где это действительно надо. А ты посчитай убытки если произойдет подмена/кража конфиденциальной инфы. А  сохранность коммерческой тайны  это залог успешного продолжения вашей деятельности. Все это окупается.

про SecretNet
не знаю и ничего по этому не скажу.

Неэффективная штука, несет с собой много подводных камней. Если на вопросы отвечает неспециалист, то результатам ни в коем случае нельзя доверять (да и у специалистов - с большой оглядкой). В соответствии с этой анкетой может возникнуть ложеное чувство защищенности, несущее с собой огромную опасность.
Не согласен. Вопросы там крайне простые и четкие, вся сложность лишь знать состояние информационной системы. Если с этим окей, то все будет точно.

Что больше всего меня поразило - так это его цена. Ни один специалист не приобретет его по такой цене (при том, что есть англоязычные варианты), для всех же остальных, кто все-таки его преобретет - это "просто пыль в глаза"
Ну, батенька... Англоязычные варианты (COBRA) на сегодня стоят минимум в 3 раза дороже, т.е. от 900$, имеют интерфейс пятилетней давности, кучу багов и ведь продаются !! "Кондор" же предлагается в двух вариантах - за 225$ и 345$. Со своей задачей прекрасно справляется.

Вообще, самым точным ответом на поставленный вопрос будет приобретение системы анализа рисков. Другое дело, что такие системы стоят бешеные деньги (цифры с 3 и более нулями $), и чаще всего поставляются вместе с профессиональным аудитом системы. Можно упомянуть такие программы, как американский CRAMM и английский RiskWatch. В России же в ближайшее время (практически вот-вот :) ) выйдет программный комплекс ГРИФ, от той же Digital Security ( www.dsec.ru/soft/grif.php ), который
...Учитывая недостатки существующих систем, мы разработали гибкое и, не смотря на скрытый от пользователя сложнейший алгоритм, учитывающий более ста параметров, максимально простое в использовании программное решение, основная задача которого - дать возможность ИТ менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) убедить ТОП-менеджмент компании в необходимости инвестиций в сферу информационной безопасности компании


Так что, обратите внимание :)

DiQ
Вопросы там крайне простые и четкие, вся сложность лишь знать состояние информационной системы. Если с этим окей, то все будет точно.
"Неправда ваша, дяденька Биденко" (с). Как я уже отментил, для НЕспециалиста в ИБ данный документ бесполезен (даже вреден). Поясняю, т. с. "на пальцах": 'Есть ли на фирме утверхженная политика ИБ?' - 'есть', сказал мужик и довольный поставил галочку. А а том, что эта политика должна чему-то соответствовать кто думать будет? Если ее разрабатывал неспециалист, то правильным ответом д. б. - 'НЕТ'. Для специалиста, учавствовавшего в разработке политики, соответствующей требованиям по ИБ данный опросник не нужен. Куда потратить деньги можно найти и без этого, а для успокоения руководства можно найти гораздо более дешевые обоснования, было бы желание.
* Моя мысль понятна?


Добавлено:

Zx
Spectr-Z и SecretNet - довольно широко распространенные продукты среди госорганов, по причине наличия всех необходимых сертификатов и сравнительно низкой стоимостью по сравнению с продуктами того же уровня. К сожелению, для госорганов, в отличие от чисто коммерческих образований, накладываются дополнительные требования, как по сертификации и лицензированию, так и по обязательному обоснованию выбора технических (программных) средств. Конечно вариант смухлевать все же остается, но головная боль - коммерсантам такое и не снится...:(

Zx

Добавил подмену информации. Спасибо

paranoya

Можешь поделиться своими наработками по данной тематике ?

paranoya
Мне бы было тоже очень интересно, т.к. писать диплом через 1 год. С практикой то нормально, а вот с теорией плоховато...

Как напишу, так и запостю сюда, для обсуждения. Если есть конкретные вопросы и у меня есть на них ответы, то отвечу. Если нету ответов, то можно найти сообщая. :)

Добавлено:

Bugs
У тебя-же практика есть, вот ее родимую запиши, систематизируй, проанализируй, сопоставь то, что есть и то, что должно быть. :wink:

paranoya
У тебя-же практика есть, вот ее родимую запиши, систематизируй, проанализируй, сопоставь то, что есть и то, что должно быть
Так еще  нужны и нормативные акты, стандарты. А я такие вещи только для Бужландии видел. Ты не знаешь где в Инете можно найти именно для России?

распространенные продукты среди госорганов
точно ;О) у нас стоит на 2000 винде SecretNet2000 v.4.0 + электронный замок Соболь (PCI-ка с апартным шифрованием и защитой при включении ввиде TouchMemory+пароль)

Исправлено: Guest 80 247 100, 9:19 15-11-2003

Российский ГОСТ по безопасности сам ищу. Покупать чего-то не очень хочется.
По законам и нормативным актам тебе поможет эта статья: [ur]http://www.citforum.ru/security/articles/svoi_sekrety/[/url]

Добавлено:

Если уж сильно надо, то рекомендую поискать такое сочетание: security management, как в рунете, так и по миру.

Сижу сейчас в дружественной сети и на глаза попалась книжка Скотт Бармен "Разработка правил информационной безопасности" изд. Вильямс Москва-Санкт-Петербург-Киев 2002
так что если интересно, можете поискать... если не найдете, могу попробовать оцифровать.

-------------
ArtemD

Такая книжка уже есть. :)

paranoya
Российский ГОСТ по безопасности сам ищу.
Какой именно? Их несколько существует. А так как они с грифом ДСП, то и в Инете их практически не найти (на всякий случай, чтоб особо не подставлятся). Пару из них я все-таки в Инете видел, если очень нужно, могу попробовать поискать ссылочки, вроде должны были где-то остаться...