10.04.2008

О заблуждениях в безопасности, ставших классикой

Опубликовал тут статью "О заблуждениях в безопасности, ставших классикой" про три священных коровы ИБ, которые давно уже "протухли":
- ISO 27001
- численная оценка рисков
- триада "конфиденциальность, целостность и доступность".

Читать...

12 коммент.:

e1am0 комментирует...

"устравшее" в разделе про триаду опечатка. ну и не совсем согласен я с твоими объяснениями. Триада относится к информации (объекту), мы обеспечиваем ее конфиденциальность, целостность и доступность. а подотчётность, подлинность, адекватность и контроль использования -- это действия субъекта. Я не говорю, что всё это надо выкинуть. Я прото ещё не встречал настолько твердолобых безопасников, которые бы бродили в этих трёх соснах )))

arkanoid комментирует...

e1am0, +1, это совершенно осознанная редукция.

Алексей Лукацкий комментирует...

У информации нет понятия "доступность". Это свойство информационной системы, в которой обрабатывается информация.

Что же касается твердолобости, то почитай комменты к статье ;-) Там есть те, кто хотят все в триаду засунуть ;-) Может они конечно это делают, чтобы со мной подискутировать или просто в противовес мне...

e1am0 комментирует...

Нет уж Алексей, позвольте с вами не согласиться. Информация может быть либо доступна, либо недоступна.
Точнее даже не так. Доступность - свойство объекта. А что понимать под объектом в конкретном случае - информацию, информационную систему или же например человека-носителя информации, вопрос десятый. объект пассивен, субъект активен. А каменты.. на банкире что ле? я после прошлого раза как-то не хочу там ничего читать. грызня не по делу

Алексей Лукацкий комментирует...

Информация - это некая сущность, которая может быть представлена в разных форматах - устная, бумажная и электронная. Я написал заметку - это информация, которая в данном случае представлена в оцифрованном виде (не считая ее представления в моем мозгу). Ты в данный конкретный момент времени читаешь заметку. Информация доступна? Наверное да. Но... Доступна система, которая тебе представляет для тебя эту информацию. А теперь представь, что у тебя пропал Интернет или упал Blogspot или ты закрыл браузер. Информация стала недоступной? Нет. Она осталась там, где и была. Стала недоступной система, которая тебе представляла эту информацию.

Busurman комментирует...

* Стала недоступной система, которая тебе представляла эту информацию.

В определении автоматизированной системы вроде-бы раньше прятали человеков. г-н Лукацкий, человек тож стал сам себе недоступен в этой системе ?
Имхо, Вы увлеклись излишне нравоучениями и разучились оперировать на уровне определений, категорий и прочего, что не покупается за деньги.
имхо
:)

e1am0 комментирует...

Чёта ты совсем перемудрил. Информация стала для меня недоступной. Что конкретно послужило причиной отсутствия доступа -- неважно. Исчезла ли информация совсем или пьяный экскаваторщик кабель перерубил. Поэтому и дублируют системы, каналы связи, хранилища -- чтобы загнать вероятность недоступности за 4 девятки.

Алексей Лукацкий комментирует...

Поэтому и дублируют системы, каналы связи, хранилища -- чтобы загнать вероятность недоступности за 4 девятки.

Т.е. свойство доступности есть у информации, а девятки почему-то обеспечиваются для систем. Нет ли в этом противоречия?

Алексей Лукацкий комментирует...

Вы увлеклись излишне нравоучениями

А я вообще увлекающийся человек и мне нравится то, что я делаю ;-)

e1am0 комментирует...

да, 9 у систем. потому что они могут быть работоспособны или нет, делая информацию доступной или недоступной. Зачем всё слишком усложнять, цепляясь к каждому элементу, участвующему в процессе? ыедь основу деятельности составляет работа человека (субъекта) с информацией (объектом), а посредством чего он это делает... вон у человека многие органы восприятия информации задублированы ))) тоже их выдёргивать на уровень объекта?

kvolkov_lins-m комментирует...

Алексей, я вот как раз представитель того самого циничного племени интеграторов, которые "втюхивают" 27001 заказчикам :)
Хотелось бы в первую очередь пояснить почему 27001 получил/получает у нас такое распространение. Причин тому несколько, но основных две:
- для заказчиков при размещении на ipo наличие сертификата по 27001 влечет увеличение стоимости акций приблизительно на 1..2%
- других СЕРТИФИКАЦИЙ кроме ФСБшной и ФСТЭКовской в нашей стране фактически нет или они слабо распространены.
Поэтому на основе моего опыта можно сказать, что скорее бизнес-подразделениям заказчика заинтересованы в получении бумажек, которые "котируются" за рубежом. А там сейчас действительно мода на 27001.
Конечно много других достойных зарубежных стандартов, но востребованность их сейчас ниже, чем у 27001 и продвигать их - это то же самое что плевать против
ветра :)
Во-вторых еще несколько слов о других стандартах и о их понятности для руководителей и интеграторов.
СТО БР - базируется на внутренних документах ЦБ и ISO 17799 (17799 - таже основа 27001 - Приложение А ISO 27001 - это в чистом виде 17799). В отличие от 27001 по СТО БР пока нет ни методик, ни комплекта типовых политик/положений/регламентов - всё в зачаточной стадии. Мы "варимся" в этой кухне и надо признать, что основная проблема банков - они не знают с чего начать и что является достаточным условием, а что необходимым.

Уф, много букв получается. Но в общем моя идея такова - да, 27001 не совершенен, но более востребован на рынке нежели другие международные стандарты, время которых может быть ещё просто не пришло.

В третьих - про количественную оценку рисков (математическое вычисление вероятностей и расчет финансового ущерба). Согласен - полная ерунда, особенно в контексте организаций финансовой сферы. Люди, отвечающие за активы просто впадают в ступор при количественной оценке ИТ рисков, по двум причинам - это нереально сделать практически (т.к. необходимо привлечение бизнес подразделений, а они с ИТ-шниками просто на разных языках говорят), и это никому РЕАЛЬНО не нужно, т.к. и так все знают из-за чего головная боль и финансовый ущерб здесь редко когда играет роль.
Мы, например, давно перешли на качественную оценку ресков

P.S. а по поводу триады - насколько я помню, ты еще с конца 90-х годов говоришь о расширении этого перечня. Ну тут я полностью согласен.

Алексей Лукацкий комментирует...

Костя!

Если мы говорим про американский IPO, то там ISO вообще не котируется. Если мы говорим про LSE, то там может быть. Но много ли тех, кто сертифицировался или сейчас в процессе идет на IPO?

И мы опять приходим к тому, что нужна БУМАЖКА и нужна не для дела, а для того, чтобы КОТИРОВАТЬСЯ за рубежом (по бумажке, а не по сути).

Ну а в остальном мы сошлись ;-)