compliance

[stas]

Я недавно писал о законе Гудхарта и вот очередное подтверждение: программы по защите информации уделяют больше внимания защите от регуляторов (compliance), чем защите собственно важной информации.

Comments

[kot-begemot.livejournal.com]

А что, для кого-то это новость? Кого реально интересует безопасность информации? Всё, что волнует фирму - это ограничение потенциальной liability. Таким образом, если они, скажем, SOX-compliant, то пусть у них хоть по три раза на дню всю базу воруют - хрен ты что с ними сделаешь.

[stas]

мне кажется, что а) существует такая штука, как trade secrets, confidential info и т.п. - которую компании не хотят разглашать все всякой liability и б) за разглашение чужих конфиденциальных данных можно тоже попасть, хотя и не так сурово, как за несоблюдение регуляций.
Смех же, разумеется, в том, что регуляции, первоначально, вводились для того, чтобы якобы заставить фирмы снизить свои liability.

[msh.livejournal.com]

В этой статье написана чушь, просто чушь. Compliance требует от корпораций защищать чужие данные, грубо говоря - наши. Медицинские (HIPAA), платежные (PCI). Это совершенно естественно, что корпорации должны тратить больше на защиту чужих данных, чем своих. Чужих данных - больше.

Весь этот бред про proprietary knowledge and company secrets, by contrast, are twice as valuable as the custodial data не имеет просто никакого смысла. Они valuable для разных людей. Также как although data breaches and accidental losses of sensitive information get most of the headlines, intentional theft of corporate data causes 10 times more financial loss связан только с тем, что financial loss несут не те - если из кредитку стащить в Волмарте и использовать на Амазоне - loss будет у Амазона, хоть он и не виноват.

[trurle.livejournal.com]

Скажите, а у Вас есть опыт работы с продуктами на этом рынке?

[msh.livejournal.com]

Я не понимаю что такое "опыт работы с продуктами на рынке". Рыбой торговать чтоли?

Да, конечно, я занимался и занимаюсь compliance и security, помимо прочего.

[trurle.livejournal.com]

Я не понимаю что такое "опыт работы с продуктами на рынке"
Это потому что Вы невнимательно читаете.
Да, конечно, я занимался и занимаюсь compliance и security, помимо прочего.
Ну-ну.

[stas]

Защищать данные можно по-разному. Можно просто защищать данные, а можно делать compliance. Эти задачи могут быть принципиально различны. К примеру, в PCI требуется исполнение определённых шагов и запуск определённого софта - однако, согласитесь, для безопасности данных многие из этих шагов и софта не являются обязательным - того же можно достичь другими методами. Кроме того, далеко не все виды данных покрываются стандартами compliance.

Также как although data breaches and accidental losses of sensitive information get most of the headlines, intentional theft of corporate data causes 10 times more financial loss связан только с тем, что financial loss несут не те - если из кредитку стащить

Это, однако, не имеет отношения к относительным размерам лоса. Т.е. если у Амазона стащить не кредитку, а планы выпуска новой линейки продуктов, то убытки могут быть на несколько порядков большие. Притом что спёртые карточки можно заблокировать, а стащеные торговые секреты уже не вернуть. Так что даже учитывая указанный перенос, утверждение статьи - а именно, что companies are underinvesting in programs for protecting their secrets и “compliance” of all types has become the primary driver of data security programs - представляется вполне разумным.

[msh.livejournal.com]

Тот список, который надо проделать для достижения PCI compliance, конечно, не является ни необходимым, ни достаточным. Но в тоже время он, по большей части, полезен. Я не считаю формальные требование к compliance хорошим способом добиться data security, но в тоже время я не вижу альтернативы. Вы видите? Чтобы это работало для всех и было enforceable.

если у Амазона стащить не кредитку, а планы выпуска новой линейки продуктов, то убытки могут быть на несколько порядков большие

Еще раз. Если у Амазона стащить кредитку, то убытка у него будет ноль. Эту карточку продадут на кардерском рынке, а потом ей, например, заплатят за Livejournal. Банк закатает chargeback за который заплатит опять таки Livejournal. Поэтому сравнения потерь Амазона - бессмысленны.

[stas]

Я не считаю формальные требование к compliance хорошим способом добиться data security, но в тоже время я не вижу альтернативы. Вы видите? Чтобы это работало для всех и было enforceable.


Я, собственно, ровно никаких альтернатив предлагать не собирался. Но если мы об этом заговорим, то надо сперва определить, что именно мы ищем. Судя по слову enforceable, вы предлагаете мне найти альтернативу регуляциям, которая сама была бы регуляцией. Это будет нелегко :)
Рецептов, как добиться data security "для всех" - нет и быть не может, потому что "все" разные, у каждого свои процессы и требования. Можно разработать какой-то общий план типа "мойте руки перед едой, не делайте xss и sql injection", но не более того.

Вообще же стиль мышления очень характерный - "я знаю, что это не работает, но другого-то нет!", в политике работает в 99% случаев. Позвольте, если это не работает - какая разница, что есть другое и чего нет? Это всё равно, что уринотерапией от гриппа лечиться, упирая на то, что антибиотики не действуют. Они не действуют, но уринотерапия-то тоже не действует! Да ещё и воняет. В чём смысл-то? Неважно, что делать, лишь бы что-то делать?

Если у Амазона стащить кредитку, то убытка у него будет ноль.

Это не совсем так, хотя напрямую убытков не будет, вы правы, но будут после того, как станет известно, откуда стащили (если станет). Тут, вполне возможно, есть место для улучшения и возвращения убытков к источнику проблем.

[msh.livejournal.com]

В настоящее время, при сегодняшнем развитии кардерства не существует метода проследить сворованные кредитки к тому месту, где их своровали с достаточной точностью, чтобы с этим можно было пойти в суд. Иногда - можно, тогда об этом пишут в газетах. Обычно - нет.

PCI работает, не идеально, но работает. Например, вот этот случай бы не произошел, если бы они были PCI compliant:
http://www.mail-archive.com/funsec@linuxbox.org/msg02035.html

PCI, кстати, не регуляция, она ничего не требует. Не хотите - ищите банк, который не требует PCI и работаьте с ним. Государство не участвует, чистое либертарианство