问题或多 第一,如何评估具体威胁实施所造成的损害?或少是明确的(它可能与停机和利润损失有关),那么在大多数情况下,违反机密性和完整性的后果无法在单个威胁的层面上计算。解决这个问题的一个合理方法可能是制定立法义务,披露已完成的信息安全事件的详细信息以及关于其发生的原因和后果的正式结论。
一个很好的例子就是俄罗斯
邦中央银行在年度编制“未经授权的资金转移审查”框架内开展的工作。本次审查是根据向中央银行提交的 0403203 号报告表“关于违反资金 印度电报数据 转移时确保信息保护的要求相关事件的识别信息”编写的。
同时,重要的是要了 问题或多 解,集中收集银行业损失统计数据比燃料和能源行业等更简单,因为银行业直接与资金打交道,很容易计算直接损失。其他行业需要开发标准化工具来评估信息安全漏洞的后果(现在根本不存在),如果没有这些工具,大多数与资金盗窃无直接关系的领域的统计数据将毫无意义。
其次,我们如何 问题或多 从 IT 基础设施中的特定漏洞/缺陷转向特定威胁的可能性?这里通常也会提到统计数据,但因 欧盟电话号码 此,我们没有关于信息安全事件发生原因的公开统计数据。有一些行业研究,但总体来说比较陌生,而且太过笼统。
总体而言,导致上述问题以及信息安全
事件统计数据收集的主要困难是 大卫·霍金斯 高级经理-支持运营 缺乏一个集中的机构来处理这些统计数据。如果在银行业中这一职能由俄罗斯联邦中 问题或多 央银行承担,那么在其他行业中就没有这样的能力中心,而且也不指望有。这导致各个具体行业(零售、电信、制造业等)对什么是事件、如何形式化其发生的原因、以及以何种形式描述其发生的后果缺乏了解。