В статье LETA-IT про риски есть здравая мысль, что вероятность риска ИБ посчитать нереально. А вот дальше делается интересный вывод/предложение - заменить вероятность риска на силу защитных мер. Дословно это звучит следующим образом - "можно порекомендовать подход, основанный на том, что вероятность реализации угрозы напрямую зависит от того, насколько мощными являются защитные меры, применяемые в организации". Зависимость разумеется есть, но она не прямая. Вероятность осуществления риска зависит в первую очередь от того, хочет ли злоумышленник его осуществлять, т.е. от ценности цели. Если он не хочет, то и вероятность риска равна нулю, какие бы защитные меры не присутствовали/отсутствовали. А если он хочет... Например, есть два компьютера - ПК секретарши и платежный сервер. У первого защитных мер нет совсем, а у второго - меры среднего уровня. Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так.
Зачем все время возвращаться к бессмысленной идее измерения рисков в ИБ, если на данном этапе развития отрасли, это задача неосуществимая в 99,9% случаев?
Подписаться на:
Комментарии к сообщению (Atom)
9 коммент.:
Алексей, а как вы вообще относитесь к теории вероятности в применении к чему либо? Особенно в купе со статистикой ...
Может темой для следующего мифа будет, что-нибудь вроде: "Анализ рисков в ИБ дает 100% прозрачность текущего состояния безопасности"?
Про риски в ИБ миф будет 100%
Ситуация действительно странная...
"Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так."
Это "А ведь это не так." - чисто интуитивное ???
Как с рисками в Природе ?! вид выживает оперируя двумя свойствами количеством особей (скоростью размножения) и скоростью приспосабливания к среде.
Если оба эти свойства не помогают - вид вымирает.
По аналогии - количество особей - связано с количеством дублирующихся систем, что реализовать дорого. Остается свойство приспосабливаемости... которое реально затрагивает только оболочку (СрЗИ) почти не затрагивая функциональные алгоритмы...
В таких условиях можно не считать риски вообще а придерживаться нескольким правилам:
- если систему не взломали - ВАМ ПОВЕЗЛО!
- если систему РЕАЛЬНО НАДО взломать - СИСТЕМА БУДЕТ ВЗЛОМАНА.
- если систему РЕАЛЬНО НАДО защищать - ГОТОВТЕСЬ К ПОСТОЯННОЙ БОРЬБЕ ЗА ПАРИТЕТ С ХАКЕРАМИ!
Только к регулярно продвигаемому тезису "оценка рисков - это панацея", все эти логические выводы не имеют никакого значения ;-) Ты говоришь про логику и я с тобой согласен ;-)
Порой, готовясь к яростному спору,
Когда исход борьбы неясен…
Мы попадаем в неожиданность ужасную,
Ведь оппонент во всем согласен !!!
"Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так."
А если считать, что и ПК секретарши (т.к. он имеет доступ к платежному серверу) и сервер в совокупности есть система? Тогда в первом приближении ее защищенность будет определяться защищенностью ПК секретарши как самого слабого элемента системы. Тогда вероятность атаки ПК будет выше.
"Зачем все время возвращаться к бессмысленной идее измерения рисков в ИБ, если на данном этапе развития отрасли, это задача неосуществимая в 99,9% случаев?"
Затем, чтобы придумать как этот процент снизить. Только вот подходить надо, имхо, со стороны статистики. Это пока хотя бы дает какие-то результаты.
А зачем секретарше доступ к платежному серверу?
Я подумал в Вашем примере доступ есть.
Но не суть важно. Я так понял, что в статье говорится о вероятности реализации угрозы, которая все-таки выше там, где защита слабее. А вот заинтересует ли потенциального злоумышленника какая-либо конкретная система - вопрос другой.
А вообще, не могли бы Вы дать ссылку на статью, чтобы можно было ознакомиться с предметом обсуждения?
http://safe.cnews.ru/reviews/index.shtml?2009/02/10/337463
Отправить комментарий