Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
9.10.12
Презентация с UISGCON по моделированию сетевых угроз
В прошлую пятницу выступал по приглашению на киевской UISGCON. Впечатлениями поделюсь позже, а пока выкладываю свою презентацию, посвященную моделированию угроз сетевой инфраструктуры.
Интересная презентация. Правда, некоторые слайды без комментариев понять трудновато. С точки зрения методологии не всё безупречно. Большинство ошибок обусловлено ГОСТами - в них, практически, всё неправильно (с точки зрения логики). Но есть и авторские небесспорные трактовки. Например, админы не есть "часть сети" (сл.28), а есть "часть АС"! Человек в состав сети не входит по определению, но является частью автоматизированной системы. Слайд 92 - это не о рисках, а об угрозах. Риск - атрибут собственных действий, угроза - атрибут действий Другого. Уничтожив источник угрозы, можно избежать конкретной угрозы, но риск как был, так и останется (может быть чуточку снизится, но не исчезнет). "Принять риск" не означает "прекратить борьбу". Это означает "вступить в борьбу, несмотря на существующую возможность понести потери (ущерб)". "Передача риска" - это, прежде всего, делегирование права принятия решения. Защищаются от угроз (атак), риски снижают или их избегают. Но в целом - замечательно. Есть над чем задуматься.
Интересная презентация. Правда, некоторые слайды без комментариев понять трудновато.
ОтветитьУдалитьС точки зрения методологии не всё безупречно. Большинство ошибок обусловлено ГОСТами - в них, практически, всё неправильно (с точки зрения логики). Но есть и авторские небесспорные трактовки. Например, админы не есть "часть сети" (сл.28), а есть "часть АС"! Человек в состав сети не входит по определению, но является частью автоматизированной системы. Слайд 92 - это не о рисках, а об угрозах. Риск - атрибут собственных действий, угроза - атрибут действий Другого. Уничтожив источник угрозы, можно избежать конкретной угрозы, но риск как был, так и останется (может быть чуточку снизится, но не исчезнет). "Принять риск" не означает "прекратить борьбу". Это означает "вступить в борьбу, несмотря на существующую возможность понести потери (ущерб)". "Передача риска" - это, прежде всего, делегирование права принятия решения. Защищаются от угроз (атак), риски снижают или их избегают. Но в целом - замечательно. Есть над чем задуматься.
В слайдах 45-47 методики анализа рисков повторяются.
ОтветитьУдалить