Отныне я дипломированный специалист по защите информации, и это, определенно, доставляет мне огромное удовольствие и тешит мое самолюбие. Но пост немного не об этом.
Защитился я на твердую "хорошо", однако я не согласен с данной оценкой. И не потому, что я долго готовился, переживал, заново перешивал диплом из-за одной фразы, которая мне не понравилась и которую мы с моим руководителем как-то пропустили, нет.
Начну с начала, но постараюсь не особо углубляться в подробности.
Теме моя была достаточно актуальной, а именно "Метод оценки критичности мер защиты персональных данных", и именно поэтому я ее взял. В общем говоря, суть в компиляции методики определения актуальных угроз ПДн ФСТЭК и ROI (Return Of Investments, возврат инвестиций).Здесь есть что совершенствовать, есть что предлагать, есть о чем говорить. И я даже бы не говорил сейчас о том, что меня что-то не устраивает. Просто сама суть и принцип вопросов меня удивили. Как и принята, презентация должна занимать 7-10 минут, 10-15 слайдов. В эти рамки я уложился, конечно пару раз запнулся, ну это и логично, дипломную работу защищал, как ни как. Всего вопросов было порядка 10, хотя обычно задают 2-3, по крайней мере у нас. Ну и это не суть. На все вопросы я ответил корректно и все они были приняты. И только три вопроса вызвали некое обсуждение либо сметение. Привожу их, а судить о моей правоте в написании этого поста не мне. Итак:
-А почему вы определяете вероятность реализации угрозы по шкале от 0 до 10? Вероятность же математически от 0 до 1 определяется?
- Да, согласен с Вами. Я исходил из того, что данный показатель вероятности определяется аналогичным способом в методике ФСТЭК?
-В методике ФСТЭК вероятность реализации угрозы определяется не так.
-Так
-Нет.
Дальше спорить я не стал, ибо лучше было бы не усугублять ситуацию. Однако, ФСТЭК:
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2, а именно:0 – для маловероятной угрозы;2 – для низкой вероятности угрозы;5 – для средней вероятности угрозы;10 – для высокой вероятности угрозы.
Надо сказать. что суть была именно в слове ВЕРОЯТНОСТЬ и втом, что во ФСТЭК она определяется не пошкале от 0 до 10. Ладно, далее.
Форумула, по которой я считаю компенсированные потери выглядит так:
Компенсированные потери = (Усум-Зр)/Тм*Сгод, где:
Усум – суммарный ущерб от реализации всех угроз, устраняемых мерой;
Зр – затраты на реализацию меры;
Тм – срок службы меры;
Сгод – вероятностное количество событий реализации угроз в год.
Здесь я вообще был в шоке, если не сказать нецензурно. Точнее:
-А если у Вас затраты на реализацию меры будут больше, чем суммарный ущерб от реализации угроз. У Вас же тогда компенсированные потери будут отрицательными.
-Ну да, это логично. Это значит, что применение данной меры для устранения данной угрозы нецелесообразно.
-А Вы это никак не отражаете.
-Это очевидно.
-Ну. как сказать.
Я все понимаю, но я же не для 7-летних детей доклад делаю, а для людей, имеющих ученую степень. И если (-1000 руб) для человека с ученой степенью не очевидно, что это потери, то я не знаю, как надо было еще доносить.
И финиш, наверное.
-А в чем достоинство Вашего метода в отличие от методики ФСТЭК?
-В том, что в методике ФСТЭК в результате получается показатель угрозы "актуальна/не актуальна", а в разработанном мной методе на выходе пользователь получает отражение реальных денег, которые он не потеряет, устранив данные угрозы данной мерой.
-Нууууу....
Как я понимаю, понятия "потребности бизнеса" здесь ничего не дали, а жаль...
А задавал эти вопросы и.о. председателя комиссии, т.к. председатель почему-то не приехал.
В заключении хочу сказать. что "отлично" получила работа, состоящая из статьи, которая будет публиковаться в зарубежном издании и не тем человеком, который ее представлял. Он даже к авторству ее не имеет ни единого отношения. Комиссия этого не определила... Вот такая вот комиссия. Ободряет лишь то, что ни зав.кафедрой, ни товарища Шведа В.Г. из ФСТЭК (который и должен был быть председателем комиссии) не было. Тогда бы ситуация сложилась бы иначе.
С другой стороны, этот университет дал мне те знания и тот инетерс к информационной безопасности, который сохраняется и разрастается и по сей день. И даже ситуация с некорректной, на мой взгляд, оценкой. этого не изменит. Ровняюсь я уже не на преподавателей, а на людей более компетентный, не на теоретиков, а на практиков.
ЗЫ. Недавно Андрей Прозоров поднимал вопрос о том, что в ГУ ВШЭ доклады делают про шифраторы, а не про актуальные для бизнеса проблемы и инструменты. Интересно, чем их сохраняемые для них же зеленые бумажки не устроили? =)
Комментариев нет:
Отправить комментарий