Собираю информацию о возможных последствиях при отсутсвии/нарушении системы безопасности на предприятии. В основном из-за отсутствия политики безопасности.
Пока есть такая информация:

Ущерб от деятельности вируса: Потеря, полная/частичная данных + денежные затраты на восстановление информации+ денежные затраты на очистку от вируса + время простоя компьютера(ов)/персонала + возможность потери выгодного контракта.
Ущерб из-за выхода оборудования из строя: Потеря, полная /частична данных + денежные затраты на восстановление, иногда значительные + время простоя персонала + время для ввода потерянных данных
Ущерб из-за воровства/изъятия: Полная/частичная потеря + время простоя + время набора + покупка нового оборудования + возможная потеря контрактов и всего бизнеса + возможность шантажа + возможность доступа конкурентов к конфидициальной информации + доступ спец.служб к "черной" деятельности.
Ущерб из-за некорректных действий юзера: Все, что перечисленно ранее.

Если у кого есть свои наработки и не жалко поделиться, присылайте. Ссылки то же приветствуются.

PS. Делаю комм. предложение, нужно как можно больше инфы. Так-же нужна инфа о так называемом ROI, расчете возврата инвенстиций  в сфере применения безопасности.

paranoya

Слухай, токо у мя встал такой же вопрос, но у мя уже случилось - действия вируса - шантаж; :(
как ты тута завел нужную тему. Скажи пожалуйста, есть ли уже у тебя какие-либо наработки по данной тематике ? :up:
Если да, то не мог бы ты поделиться или ссылки - спасибо заранее :gigi:

Тебя что конкретно интересует? Постановка системы безопасности на фирме? Или как решить возникшую проблему? Написание расчетов на закупку софта+железа для обеспечения безопасности? Составление плана, что надо делать при возникновении определенных нарушений?

на www.citforum.ru есть много инфы, как таковых из ссылок, только общеизвестные по security, на этом сайте ты их найдешь

[s]Исправлено: paranoya, 21:39 6-11-2003[/s]

paranoya
вы знакомы с продуктом "Кондр"?
источник из которого я о нем узнал

как видим продукт основан на международном стандарте ISO 17799
программный продукт построен в виде теста на русском языке, который по пунктам определяет выполняются ли в организации требования по информационной безопасности
в целом ощущение от программульки положительное.

Спасибо за инфу, гляну.

paranoya
Не санкционированный доступ, ты забыл о подмене информации, порой огромные убытки.

Есть такая фишка "Королевская защита"ставится на комп и каждый раз при запуске машины надо ставить ключ и пароль только потом можно грузится.

почитай про аппаратное шифрование

[s]Исправлено: Zx, 23:32 11-11-2003[/s]

ArtemD
Неэффективная штука, несет с собой много подводных камней. Если на вопросы отвечает неспециалист, то результатам ни в коем случае нельзя доверять (да и у специалистов - с большой оглядкой). В соответствии с этой анкетой может возникнуть ложеное чувство защищенности, несущее с собой огромную опасность. Что больше всего меня поразило - так это его цена. Ни один специалист не приобретет его по такой цене (при том, что есть англоязычные варианты), для всех же остальных, кто все-таки его преобретет - это "просто пыль в глаза" :down:.

Zx
А вот это весч хорошая, только дороговата. Очень сложно будет провести ее обоснование, учитывая, что есть продукты гораздо дешевле с аналогичными заявленными характеристиками (например SecretNet в 3 раза дешевле, а сертификат имеет аж до 3го класса, вместо 4го у Аккорда, однако Аккорду он уступает, а о Spectr-Z я и не говорю :down: ).

Greyman
у нас стоит, правда только там где это действительно надо. А ты посчитай убытки если произойдет подмена/кража конфиденциальной инфы. А  сохранность коммерческой тайны  это залог успешного продолжения вашей деятельности. Все это окупается.

про

Цитата:

SecretNet

не знаю и ничего по этому не скажу.

Не согласен. Вопросы там крайне простые и четкие, вся сложность лишь знать состояние информационной системы. Если с этим окей, то все будет точно.

Ну, батенька... Англоязычные варианты (COBRA) на сегодня стоят минимум в 3 раза дороже, т.е. от 900$, имеют интерфейс пятилетней давности, кучу багов и ведь продаются !! "Кондор" же предлагается в двух вариантах - за 225$ и 345$. Со своей задачей прекрасно справляется.

Вообще, самым точным ответом на поставленный вопрос будет приобретение системы анализа рисков. Другое дело, что такие системы стоят бешеные деньги (цифры с 3 и более нулями $), и чаще всего поставляются вместе с профессиональным аудитом системы. Можно упомянуть такие программы, как американский CRAMM и английский RiskWatch. В России же в ближайшее время (практически вот-вот :) ) выйдет программный комплекс ГРИФ, от той же Digital Security ( www.dsec.ru/soft/grif.php ), который

Так что, обратите внимание :)

DiQ
"Неправда ваша, дяденька Биденко" (с). Как я уже отментил, для НЕспециалиста в ИБ данный документ бесполезен (даже вреден). Поясняю, т. с. "на пальцах": 'Есть ли на фирме утверхженная политика ИБ?' - 'есть', сказал мужик и довольный поставил галочку. А а том, что эта политика должна чему-то соответствовать кто думать будет? Если ее разрабатывал неспециалист, то правильным ответом д. б. - 'НЕТ'. Для специалиста, учавствовавшего в разработке политики, соответствующей требованиям по ИБ данный опросник не нужен. Куда потратить деньги можно найти и без этого, а для успокоения руководства можно найти гораздо более дешевые обоснования, было бы желание.
* Моя мысль понятна?


Добавлено:

Zx
Spectr-Z и SecretNet - довольно широко распространенные продукты среди госорганов, по причине наличия всех необходимых сертификатов и сравнительно низкой стоимостью по сравнению с продуктами того же уровня. К сожелению, для госорганов, в отличие от чисто коммерческих образований, накладываются дополнительные требования, как по сертификации и лицензированию, так и по обязательному обоснованию выбора технических (программных) средств. Конечно вариант смухлевать все же остается, но головная боль - коммерсантам такое и не снится...:(

Zx

Добавил подмену информации. Спасибо

paranoya

Можешь поделиться своими наработками по данной тематике ?

paranoya
Мне бы было тоже очень интересно, т.к. писать диплом через 1 год. С практикой то нормально, а вот с теорией плоховато...

Как напишу, так и запостю сюда, для обсуждения. Если есть конкретные вопросы и у меня есть на них ответы, то отвечу. Если нету ответов, то можно найти сообщая. :)

Добавлено:

Bugs
У тебя-же практика есть, вот ее родимую запиши, систематизируй, проанализируй, сопоставь то, что есть и то, что должно быть. :wink:

paranoya
Так еще  нужны и нормативные акты, стандарты. А я такие вещи только для Бужландии видел. Ты не знаешь где в Инете можно найти именно для России?

точно ;О) у нас стоит на 2000 винде SecretNet2000 v.4.0 + электронный замок Соболь (PCI-ка с апартным шифрованием и защитой при включении ввиде TouchMemory+пароль)

[s]Исправлено: Guest 80 247 100, 9:19 15-11-2003[/s]

Российский ГОСТ по безопасности сам ищу. Покупать чего-то не очень хочется.
По законам и нормативным актам тебе поможет эта статья: [ur]http://www.citforum.ru/security/articles/svoi_sekrety/[/url]

Добавлено:

Если уж сильно надо, то рекомендую поискать такое сочетание: security management, как в рунете, так и по миру.

Сижу сейчас в дружественной сети и на глаза попалась книжка Скотт Бармен "Разработка правил информационной безопасности" изд. Вильямс Москва-Санкт-Петербург-Киев 2002
так что если интересно, можете поискать... если не найдете, могу попробовать оцифровать.

-------------
ArtemD

Такая книжка уже есть. :)

paranoya
Какой именно? Их несколько существует. А так как они с грифом ДСП, то и в Инете их практически не найти (на всякий случай, чтоб особо не подставлятся). Пару из них я все-таки в Инете видел, если очень нужно, могу попробовать поискать ссылочки, вроде должны были где-то остаться...

Greyman
Поищи пожалуйста :gigi:

paranoya
Понятно, щас попробую

Bugs
Ок. Зделаем. Но если интерисуют нормативные документы по этому вопросу, то советую также ознакомится с РД Гостехкомисии и другими их материалами. Официального сайта у них до сих пор нет, но пара страниц, поддерживаемых независимыми фирмами имеется:
http://www.infotecs.ru/gtc/default.htm
http://www.gtk.lissi.ru/doc.phtml?DocTypeGroupID=2
Также советую ознакомится с выпущенным ими СТР-К, он, как и ГОСТы, тоже ДСПшный, однако его проект лежит в инете в открытом доступе (отличается только в мелочах, в основном - приложения):
http://daily.sec.ru/dailypblshow.cfm...%F0%2D%EA#5415.

Greyman
Не поспоришь :) Но этот, человеческий, фактор пока непреодолим. Для того и нужны специалисты, работа у них такая. А по поводу, что опросник не нужен - с этим я пожалуй соглашусь. Только тут не опросник тупой, а скорее инструмент проверки ИС на соответствие стандарту ISO17799. Не много другой акцент поставлен.


Кстати, сегодня вышла демо-версия комплекса анализа и контроля рисков "Гриф"! Можно своими руками пощупать. И всего 1,4 Мб. Интересная вещица. Грубо говоря, сначала строится подробная модель ИС системы, потом вводятся различные затраты, отвечаются вопросы по Политике Бузопасности... А потом вуаля - и отчет. Со всеми рисками, соотношением возможного ущерба  и рисков... Короче, то что надо.

читать тут http://www.dsec.ru/soft/grif.php
брать тут http://www.dsec.ru/claims/gdemo.php

Greyman ГОСТ самый последний, в последней редакции. Если найдешь бу признателен.
:)

paranoya
"Да ты не умничай, ты пальцем покажи" (с) Анек. про чукчу
Я хотел узнать, какой именно гост тебя интересует (номер или название). Я же писал, что их несколько. Я все хотел список имеющихся по этому вопросу гостов запостить, да вот весь день какие-то траблы с инетом были - до форума не достучатся, поэтому выложу завтра, да и ссылки на имеющиеся инетовские варианты - тоже (щас на эликтричку линяю...).

paranoya
Все госты действующие. Список возможно не полный. Но основополагающие госты здесь есть. Самые необходимые при проектировании - два последних, и они - ДСП. Обещенные сслылки чуть попозже закину, надо разгрести тут с утра...

В общем, угощайтесь, чем бог послал:

ГОСТ Р 51241-98
http://linux.nist.fss.ru/hr/doc/gost/51241-98.htm

ГОСТ Р 51188-98
http://linux.nist.fss.ru/hr/doc/gost/51188-98.htm
http://www.s3r.ru/4gostr51188-98.htm
http://kiev-security.org.ua/box/18/1.shtml

ГОСТ 51583-2000
http://www.s3r.ru/4gost51583-2000.htm

ГОСТ Р ИСО 9003-96
http://www.s3r.ru/4gost9003-96.htm

ГОСТ 28147-89
http://www.s3r.ru/4gost28147-89+.htm

ГОСТ Р 34.10-94 (замененн на ГОСТ Р 34.10-2001)
http://www.s3r.ru/4gost34_10-94.htm
http://kiev-security.org.ua/box/18/32.shtml

ГОСТ Р 34.11-94
http://www.s3r.ru/4gostr34.11-94.htm

ГОСТ Р 50739-95
http://www.s3r.ru/4gostr50739-95.htm

ГОСТ Р 50922-96
http://www.s3r.ru/4gostr50922-96.htm

ГОСТ Р 51275-99
http://www.s3r.ru/4gostr51275-99.htm

ГОСТ Р 51624-2000
http://www.s3r.ru/4gostr51624-2000.htm

ГОСТ Р ИСО/МЭК 15408-1-2001
http://www.s3r.ru/3iso154081.htm

ГОСТ Р ИСО 9003-96
http://kiev-security.org.ua/box/18/34.shtml

Greyman
Ну спасибо тебе большое !!!!!!! :oszone: :up:

Bugs
Кушайте наздоровье...:biggrin:.

Guest
Давай цифирь ее,  потом со мной поделишься :)

Кстати, MS выпустили свой софт для оценки риска, связанного с безопасностью - MSAT (Microsoft Security Assessment Tool). Огромный плюс по стравнению с КОНДОР'ом и буржуйскими аналогами - бесплатность. Интернацианальная версия поддерживаетрусский язык. Скачать можно здесь:
https://www.securityguidance.com/
Заполняется форма и после ее отправки начинается закачка (из содержимого формы зависит только от выбранного языка, остальное только для статистики, т. е. даже не надо по ЭП подтверждать что-либо).