понедельник, 30 января 2012 г.

Новая политика конфиденциальности Google

С 1 марта Google вводит в действие новую политику конфиденциальности, информация и рассылка о которой уже прошла по Интернет.

Google может собирать достаточный комплект ПДн:
-    ФИО
-    e-mail
-    название оператора и номер мобильного телефона
-    фотографию
-    реквизиты кредитной карты!
Сведения об устройстве:
-    модель
-    тип и  версия ОС
-    уникальный идентификатор
Геоданные собираются при помощи:
-    GPS
-    Wi-Fi
-    вышек сотовой связи
Всё используется для:
-    контентной рекламы
-    развития
Каким третьим лицам передаются ПДн (априори используется трансграничная передача ПДн):
-    дочерним компаниям
-    доверенным лицам
-    партнерам
-    государственным и правоохранительным органам
Методы защиты информации:
-    SSL-шифрование
-    двухфакторная аутентификация (одноразовые пароли)
-    безопасный просмотр в Chrome
-    собственные организационные меры

Итак, общий вывод в том, что использование облачных сервисов Google не гарантирует:
-    конфиденциальность данных, т.к. не смотря на SSL-шифрование неизвестно, что делается в ИС Google, а также в каком виде хранятся ПДн
-    целостность данных, т.к. при обработке (хранении) ПДн не исключаются никакие «сюрпризы»
-    доступность данных, т.к. канал связи до Google может быть недоступен, например,  по вине ISP

Как в таком случае можно повлиять на безопасность ПДн? Только заключениям между сторонами SLA, что маловероятно, или не пользоваться сервисами Google. Впрочем, контакты российского представительства успешно гугляться.
ООО «Гугл» (Россия)
Москва, ул. Балчуг, 7
+7 (495) 644-14-00
Кстати глагол “to google” определен в Oxford English Dictionary и означает «Search for information about (someone or something) on the Internet, typically using the search engine Google»).

воскресенье, 15 января 2012 г.

Метрики процесса защиты ПДн

Решил написать юмористический пост про метрики, которыми можно измерять «эффективность» процесса защиты ПДн по-русски.

ТОП-10 метрик ИБ для процесса защиты ПДн :-)
  1. Количество и % от их общего количества защищенных ПДн.
  2. Количество и % от их общего количества защищенных сертифицированными средствами ПДн.
  3. Количество и % от их общего количества ПДн, которые утекли из организации за отчетный период.
  4. Ущерб, который нанесли утечки ПДн за отчетный период.
  5. Стоимость утечки одной ПДн (рассчитывается как отношение Пункта 4 и Пункта 3).
  6. Количество предотвращенных утечек ПДн за отчетный период.
  7. Количество ПДн, утечки которых предотвращены.
  8. Стоимость предотвращения утечки одной ПДн (рассчитывается как произведение стоимости часа зарплаты офицера безопасности на время, потраченное на выявление утечки и деленное на количество ПДн).
  9. КПД офицера безопасности по теме ПДн (рассчитывается как отношение времени, затраченного на выявление утечки ПДн и общего времени работы по теме ПДн умноженное на 100%).
  10. Эффективность защитных мер (рассчитывается как отношение Пункт 5 и Пункт 8).
Проверяем всё на примере. Допустим, есть организация, в которой обрабатывается 1 000 000 ПДн.
  1. Всего защищено 500 000 ПДн, т.е. 50%.
  2. Защищено сертифицированными средствами 100 000 ПДн, т.е. 10%.
  3. За год утекло 1 000 ПДн, т.е. 0,1%.
  4. Был судебный иск, по которому выплачено 100 000 руб.
  5. Цена утечки 1 ПДн равна 100 руб.
  6. За год предотвращена 1 попытка утечки ПДн.
  7. За год предотвращено утечек в количестве 500 ПДн
  8. Стоимость предотвращения утечки одной ПДн равна 2 руб. 50 коп. (допустим зарплата офицера ИБ равна 100 000 руб., значит час его рабочего времени стоит 625 руб., а потратил он на расследование 2 часа).
  9.  КПД офицера безопасности по теме ПДн равен 0,8% (офицер безопасности ежедневно тратит 1 час по тематике ПДн, а в 2011 году было 248 рабочих дней).
  10. Эффективность защитных мер равна 40 попугаев (или удавов).
Представим, что в 2010 году, т.е. до внедрения защитных мер, был такой же судебный иск на сумму 100 000 руб. А значит уже можно рисовать график «эффективности» процесса защиты ПДн. :-)