Авторы книжки пошли дальше — они оценивать мотивацию не только нарушителей, но и множества остальных участников рынка ИБ. Они справделиво считают, что прогнозирование действий тех или иных участников игры под названием «информационная безопасность» будет более эффективным, если знать о том, как участники будут реагировать на внутренние мотиваторы и внешние раздражители.
Самая первая и достаточно очевидная таблица — с мотиваторами злоумышленников. Тут все предсказуемо и понятно. Перечни хоть и отличаются от автора к автору (например, на слайде 37 немного другой список), но суть не меняется — известность, деньги, шпионаж…
Вторая табличка гораздо интереснее. Она показывает мотивацию защитников. И вот тут, кстати, становится понятно, почему коммерческому сектору так трудно договориться с ФСБ и ФСТЭК. Не потому, что одни хорошие, а другие плохие. Просто мотивация разная. Одним важна национальная безопасность (о чем они, кстати, постоянно говорят и во всех нормативных актах пишут, но мало кто это слышит и читает), другим важны совершенно иные причины. И компромисс найти сложно. Отсюда и все проблемы.
Следующая таблица только подтверждает этот факт. В ней показаны факторы успеха, которыми измеряют свою деятельность те или иные «стороны защиты». Мы видим, что для корпоративных служб ИБ на первом месте — сохранить работоспособность объекта защиты. Для госорганов эта метрика даже не вторична; она в конце списка. Зато устранение угрозы для них первично, в отличие от коммерческого сектора. Это, кстати, хорошо иллюстрируется требованиями к средствам защиты в системах сертификации. В них нигде не говорится, что сертифицируемая система должна работать 😉
Препятствия (демотиваторы) для нарушителей выглядт так:
а для защитников так. Тут тоже проявляется то, что давно можно наблюдать на рынке. Корпоративным службам ИБ наплевать на штрафы и претензии со стороны регуляторов. Поэтому этот кнут в нынешнем виде не работает — суммы слишком малы. Для вендоров и консультантов претензии со стороны регуляторов несут больший риск (лицензию аннулируют, сертификат отзовут, перестанут «дружить»).
Вот такая интересная картина. Не то, чтобы авторы открыли совсем что-то новое. Но сбор, анализ и систематизация такой информации — это всегда полезно. Полезно именно для понимания того, почему наш (да и не только наш) рынок развивается по тому сценарию, который мы сейчас наблюдаем.
Значит у них тоже так? А что тогда возмущаться требованиями по сертификации и аттестации 🙂
Мотивация такая же. А реализация требований другая. Сертификация иная и только для госов, аттестация тоже другая. И т.д.
Сертификация есть, требования есть, наказания есть, проблемы для бизнеса с ИБ тоже есть. Разницы с нами нет! )))))
Сертификация только серии и только для госов, а не экземпляра и для всех. Требования актуальные и регулярно обновляемые. Наказаний почти нет (в нашем смысле слова).
Почему мы в этом контексте не подымаем вопрос о чисто российской специфике? У нас мотивация надзора — заставить купить тебя либо бесполезное, либо вредное, но сертифицированное оборудование у аффилированных с этим же надзором структур. Чисто коррупционные мотивы преобладают над всем остальным.
Это не всегда правильная трактовка. Есть конечно примеры коррупционной составляющей, но они везде есть. Это менталитет такой в первую очередь.
Алексей,
На амазоне книжка стоит 195$. Вы по какому каналу их получаете? Или покупаете в розницу?
У меня корпоративный доступ ко всем публикуемым или планируемым к публикации книгам, издаваемым в США.
Типа Redbooks 24?