[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Paweł Goleń pawel.golen at gmail.com
Sat May 15 05:05:00 EDT 2010


On 2010-05-15 10:29, Pawel Krawczyk wrote:

> Ale my nie chcemy przecież wyceniać ryzyka dla konkretnych przypadków,
> tylko stworzyć kryteria oceny mechanizmów bezpieczeństwa. Wystarczy
> wycenić każdy mechanizm w sile poszczególnych mechanizmów -
> niski/średni/wysoki itd.

Moim zdaniem wycena "siły poszczególnych mechanizmów" nie może być
całkowicie oderwana od zagrożeń, bo ten sam mechanizm dla różnych
zagrożeń będzie miał różną siłę. Chyba, że poszczególne mechanizmy
będziemy oceniać dla każdego zagadnienia oddzielnie. Ale i z tym
przypadkiem mam wątpliwość praktyczną.

Teoretycznie jeśli mechanizm będzie służył ograniczeniu dwóch zagrożeń
t1 i t2 a dwa rozwiązania r1 i r2 będą miały siłę (skala: 0, 1, 2, 3 od
brak do wysoki):

Dla r1:
t1 - 1
t2 - 3

Dla r2:
t1 - 2
t2 - 0

Czy na tej podstawie można powiedzieć, że r1 jest lepsze niż r2? Co
jeśli t1 zachodzi z dużo większym prawdopodobieństwem niż t2? Może się
okazać, że wdrażając w bankowości rozwiązanie r1 podjęto błędną decyzję
i "rozwiązano nie ten problem".

Chodzi mi też o to, że o ile w przypadku tematów typu phishing czy
malware jakieś wyobrażenie o skali problemu możemy mieć nawet na
podstawie raportów firm antywirusowych, to już w temacie fraudów
klientów wobec banków, czy (pracowników) banków wobec klientów - nie.
Wiemy, że występują, ale nie znamy skali problemu.

-- 
Paweł Goleń
mailto:pawel.golen at gmail.com


More information about the Owasp-poland mailing list