В статье LETA-IT про риски есть здравая мысль, что вероятность риска ИБ посчитать нереально. А вот дальше делается интересный вывод/предложение — заменить вероятность риска на силу защитных мер. Дословно это звучит следующим образом — «можно порекомендовать подход, основанный на том, что вероятность реализации угрозы напрямую зависит от того, насколько мощными являются защитные меры, применяемые в организации«. Зависимость разумеется есть, но она не прямая. Вероятность осуществления риска зависит в первую очередь от того, хочет ли злоумышленник его осуществлять, т.е. от ценности цели. Если он не хочет, то и вероятность риска равна нулю, какие бы защитные меры не присутствовали/отсутствовали. А если он хочет… Например, есть два компьютера — ПК секретарши и платежный сервер. У первого защитных мер нет совсем, а у второго — меры среднего уровня. Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так.
Зачем все время возвращаться к бессмысленной идее измерения рисков в ИБ, если на данном этапе развития отрасли, это задача неосуществимая в 99,9% случаев?
Алексей, а как вы вообще относитесь к теории вероятности в применении к чему либо? Особенно в купе со статистикой …
Может темой для следующего мифа будет, что-нибудь вроде: «Анализ рисков в ИБ дает 100% прозрачность текущего состояния безопасности»?
Про риски в ИБ миф будет 100%
Ситуация действительно странная…
«Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так.»
Это «А ведь это не так.» — чисто интуитивное ???
Как с рисками в Природе ?! вид выживает оперируя двумя свойствами количеством особей (скоростью размножения) и скоростью приспосабливания к среде.
Если оба эти свойства не помогают — вид вымирает.
По аналогии — количество особей — связано с количеством дублирующихся систем, что реализовать дорого. Остается свойство приспосабливаемости… которое реально затрагивает только оболочку (СрЗИ) почти не затрагивая функциональные алгоритмы…
В таких условиях можно не считать риски вообще а придерживаться нескольким правилам:
— если систему не взломали — ВАМ ПОВЕЗЛО!
— если систему РЕАЛЬНО НАДО взломать — СИСТЕМА БУДЕТ ВЗЛОМАНА.
— если систему РЕАЛЬНО НАДО защищать — ГОТОВТЕСЬ К ПОСТОЯННОЙ БОРЬБЕ ЗА ПАРИТЕТ С ХАКЕРАМИ!
Только к регулярно продвигаемому тезису «оценка рисков — это панацея», все эти логические выводы не имеют никакого значения 😉 Ты говоришь про логику и я с тобой согласен 😉
Порой, готовясь к яростному спору,
Когда исход борьбы неясен…
Мы попадаем в неожиданность ужасную,
Ведь оппонент во всем согласен !!!
«Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так.»
А если считать, что и ПК секретарши (т.к. он имеет доступ к платежному серверу) и сервер в совокупности есть система? Тогда в первом приближении ее защищенность будет определяться защищенностью ПК секретарши как самого слабого элемента системы. Тогда вероятность атаки ПК будет выше.
«Зачем все время возвращаться к бессмысленной идее измерения рисков в ИБ, если на данном этапе развития отрасли, это задача неосуществимая в 99,9% случаев?»
Затем, чтобы придумать как этот процент снизить. Только вот подходить надо, имхо, со стороны статистики. Это пока хотя бы дает какие-то результаты.
А зачем секретарше доступ к платежному серверу?
Я подумал в Вашем примере доступ есть.
Но не суть важно. Я так понял, что в статье говорится о вероятности реализации угрозы, которая все-таки выше там, где защита слабее. А вот заинтересует ли потенциального злоумышленника какая-либо конкретная система — вопрос другой.
А вообще, не могли бы Вы дать ссылку на статью, чтобы можно было ознакомиться с предметом обсуждения?
http://safe.cnews.ru/reviews/index.shtml?2009/02/10/337463