Суть полемики я бы выразила так: конечные цифры против бесконечности, где бесконечность – это опасности, а конечность - это безопасность. Вот именно поэтому рынок ИБ всегда будет расти более высокими темпами, нежели ИТ.
Первый философ
Во всей индустрии информационной безопасности меня всегда смущало идейное противоречие между тем, чем занимаются люди, связанные с ИБ и тем, как они называют своё занятие.Не существует объективных методов оценки безопасности информационной системы. Все существующие методы могут говорить либо об опасности (так нельзя, это нельзя, тут дыра), либо говорить о соответствии системы каким-то требованиям какого-либо сертифицирующего органа… И вот тут, внимание, следите за руками, соответствие этим требованиям называют критериями безопасности. Мол, прошла сертификацию на SFOD-12, значит безопасна. Главное — иметь бумажку. А авторам этой бумажки — надуться посолиднее, чтобы авторитетом доказать, что безопаснее некуда.Причина — в неконструктивном смысле слова «безопасность». Что такое «безопасная система»? Это система, у которой нет части функционала (например, которая НЕ даёт доступа к информации, или которая НЕ предоставляет какую-то функцию). Таким образом, безопасная система, это система, в которой КРОМЕ описанного в ТЗ нет НИКАКОГО ДРУГОГО функционала.Если перевести на язык математики, то мы берём конечное множество функций (техническое задание), высчитываем его дополнение. Дополнение до чего? Во, вот это и есть главный вопрос, который не описывает современная информационная безопасность. Дополнение до множества, которое нам не известно, которое бесконечное (или если и конечное, то за пределами обозримой для нас границы). Мы описываем в этом бесконечном множестве отдельные типы атак, дурных конфигураций, ошибок проектирования и т.д., но это всё равно, что перечислять отрезки на множестве вещественных чисел…..Вот именно этим и занимается информационная безопасность — перечислением отдельных отрезков бесконечного множества. Сама по себе дисциплина вполне себе понятная, нужная, важная… Но до тех пор, пока у нас не начинает звучать что-то про «безопасность информационной системы». Не бывает её. Сколько бы не перечисляли — всё равно это конечные числа против бесконечности. Говорить про опасности — да. Про безопасность — нет.Но рынок требует безопасности — и на смену простого «ну про безопасность я не скажу, но вот это, это и это делать точно не стоит», приходит нелепый фантик — «уровень безопасности системы».… Мы провели аудит системы и теперь она не lim x → ∞ (2/x) безопасна, а lim x → ∞ (300/x) безопасна. На первый взгляд 300 больше 2, можно говорить, что система более безопасна. А при более внимательном взгляде — как был ноль, так и остался.
Второй философ
Информационную безопасность действительно тяжело измерить. Тяжело и переложить ее на язык математики и алгоритмизации (это примерно то же самое, что попросить PM'а алгоритмизировать в деталях процессы разработки и управления проектами), поскольку, как ни крути, но основным фактором, даже в технических ИС, являются люди. Хотя бы, потому что они их разрабатывают. Но дело тут в том, что все это — и не является целью данной предметной области. Я сам не люблю «белых воротничков», которые с умным видом рассуждают о необходимости соответствия стандартам, называют моделями угроз какие-то убогие сочинения на тему «как я провел все лето в офисе» и пытаются внедрять контрмеры, не понимая какие угрозы в терминах, озвученных выше, они реально закрывают. Хотя все как на подбор — «эксперты по ИБ», таки-да. Поэтому, если кто-то начнет оперировать пределами в качестве оценки защищенности ИС, или говорить об необходимости обеспечения отсутствия опасностей в какой-либо системе, прошу вас: ткните ему пальцем в глаз и передайте, что это от меня, ладно? Потому что задачами информационной безопасности является выявление всех актуальных угроз, обуславливающих их уязвимостей и управление связанными с их эксплуатацией рисками.
Первый философ
Во всей индустрии информационной безопасности меня всегда смущало идейное противоречие между тем, чем занимаются люди, связанные с ИБ и тем, как они называют своё занятие.Не существует объективных методов оценки безопасности информационной системы. Все существующие методы могут говорить либо об опасности (так нельзя, это нельзя, тут дыра), либо говорить о соответствии системы каким-то требованиям какого-либо сертифицирующего органа… И вот тут, внимание, следите за руками, соответствие этим требованиям называют критериями безопасности. Мол, прошла сертификацию на SFOD-12, значит безопасна. Главное — иметь бумажку. А авторам этой бумажки — надуться посолиднее, чтобы авторитетом доказать, что безопаснее некуда.Причина — в неконструктивном смысле слова «безопасность». Что такое «безопасная система»? Это система, у которой нет части функционала (например, которая НЕ даёт доступа к информации, или которая НЕ предоставляет какую-то функцию). Таким образом, безопасная система, это система, в которой КРОМЕ описанного в ТЗ нет НИКАКОГО ДРУГОГО функционала.Если перевести на язык математики, то мы берём конечное множество функций (техническое задание), высчитываем его дополнение. Дополнение до чего? Во, вот это и есть главный вопрос, который не описывает современная информационная безопасность. Дополнение до множества, которое нам не известно, которое бесконечное (или если и конечное, то за пределами обозримой для нас границы). Мы описываем в этом бесконечном множестве отдельные типы атак, дурных конфигураций, ошибок проектирования и т.д., но это всё равно, что перечислять отрезки на множестве вещественных чисел…..Вот именно этим и занимается информационная безопасность — перечислением отдельных отрезков бесконечного множества. Сама по себе дисциплина вполне себе понятная, нужная, важная… Но до тех пор, пока у нас не начинает звучать что-то про «безопасность информационной системы». Не бывает её. Сколько бы не перечисляли — всё равно это конечные числа против бесконечности. Говорить про опасности — да. Про безопасность — нет.Но рынок требует безопасности — и на смену простого «ну про безопасность я не скажу, но вот это, это и это делать точно не стоит», приходит нелепый фантик — «уровень безопасности системы».… Мы провели аудит системы и теперь она не lim x → ∞ (2/x) безопасна, а lim x → ∞ (300/x) безопасна. На первый взгляд 300 больше 2, можно говорить, что система более безопасна. А при более внимательном взгляде — как был ноль, так и остался.
Второй философ
Информационную безопасность действительно тяжело измерить. Тяжело и переложить ее на язык математики и алгоритмизации (это примерно то же самое, что попросить PM'а алгоритмизировать в деталях процессы разработки и управления проектами), поскольку, как ни крути, но основным фактором, даже в технических ИС, являются люди. Хотя бы, потому что они их разрабатывают. Но дело тут в том, что все это — и не является целью данной предметной области. Я сам не люблю «белых воротничков», которые с умным видом рассуждают о необходимости соответствия стандартам, называют моделями угроз какие-то убогие сочинения на тему «как я провел все лето в офисе» и пытаются внедрять контрмеры, не понимая какие угрозы в терминах, озвученных выше, они реально закрывают. Хотя все как на подбор — «эксперты по ИБ», таки-да. Поэтому, если кто-то начнет оперировать пределами в качестве оценки защищенности ИС, или говорить об необходимости обеспечения отсутствия опасностей в какой-либо системе, прошу вас: ткните ему пальцем в глаз и передайте, что это от меня, ладно? Потому что задачами информационной безопасности является выявление всех актуальных угроз, обуславливающих их уязвимостей и управление связанными с их эксплуатацией рисками.
Комментариев нет:
Отправить комментарий