31 Декабря, 2011

В пятницу после работы: В поисках формулы

Владимир Гнинюк


Выражение

Risk = Threat x Vulnerability x Impact

часто называют классической формулой для расчета риска ИБ.

А как Вы относитесь к написанному?
Как Вы считаете, эта формула правильная или нет? Почему?


или введите имя

CAPTCHA
3 Января, 2012
Часто это недопустимое и практически никому не нужное упрощение, когда многовекторную величину пытаются оценить одним параметром. Например, если Ваш физический объект имеет высоту, ширину и глубину, то перемножением этих 3-х параметров Вы получите всего лишь его объем. Но что Вам даст этот объем? То что в дверь этот объект не пройдет (из-за большой ширины), или в метро с ним не пустят (из-за чрезмерной длины), либо, что он сломается (из-за того, что слишком тонкий), Вы из этого объема не узнаете. Т.е. риски объекта после перемножения его параметров (характеристик) были утрачены (стали невидимыми). Так стоило ли (и допустимо ли было) их перемножать? Меня умиляют люди, пытающиеся все посчитать (или оценить), причем путем простейших арифметических действий. Нередко сути процессов (которые пытаются оценить) они не знают. Смысла того, что считают, тоже. Но при этом у них все "по науке" - по методикам, с применением "математических методов", которыми они называют простейшую арифметику. В результате, для непосвященных это выглядит красиво. А для "неозаренных" такими науками практических специалистов - как полная чушь.
0 |
  • Поделиться
  • Ссылка
15 Января, 2012
Если Вы справа видите вектора, то что мешает слева увидеть матрицу? Перейти к многомерности и слева, и справа - не проблема, но разве при этом изменится суть?
0 |
16 Января, 2012
Суть от перемножения меняется. Threat, Vulnerability, Impact это не однородные (не однотипные) вещи (или параметры), как в примере с Высотой, Шириной и Глубиной (те хоть описывают линейные размеры объектов, т.е. являются, однородными, однотипными параметрами). Если хотите, можно рассматривать риск и с помощью 3-х мерных матриц (с размерностями Threat, Vulnerability, Impact). Но это все равно не означает, что для вычисления риска эти параметры следует перемножать. Существуют и более сложные математические операции чем просто перемножение (не буду здесь углубляться в допглавы матанализа). В любом случае, формула для вычисления риска определяется его моделью. Если кто-то представлет себе риск, как произведение Threat, Vulnerability, Impact, то я хотел бы видеть обоснование и описание такой модели, чтобы убедиться в том, что она правильная и согласиться с ней. Если же оценку риска при этом представляют себе лишь как не очень сложный танец с бубном (проще ведь придумать нельзя, не будешь же, например, суммировать эти параметры), то для простоты можно и перемножать. Хотя для меня более информативным был бы элемент многомерной матрицы (без потери исходных параметров).
0 |
  • Поделиться
  • Ссылка
16 Января, 2012
Так Александр, я пока тоже с данной моделью не согласен, по крайней мере не могу понять как ее использовать
0 |
16 Января, 2012
Если не согласны, давайте расчитывать риски с помощью криволинейных интегралов по поверхности. Рисковики от такой математики должны быть в восторге. Мне так просто об этом рассуждать, потому что я не рисковик и не информбезопасник. Но у рисковиков и информбезопасников отношение к этому, наверное, другое.
0 |
  • Поделиться
  • Ссылка