26 Марта, 2014

Когда формула "ущерб Х вероятность" не верна

Хромов Михаил
Если что-то написано везде, оно от этого еще не становится правдой – только нормой.

Информационная безопасность заражена т.н. риск-ориентированным подходом, при котором выбор защитных мер базируется на оценке тяжести последствий и вероятности их наступления, а обе они берутся из опыта. Обычно это можно и нужно делать.

Но существуют ситуации, когда бороться надо с любой ненулевой вероятности угрозой, исходя из потенциально возможных последствий в самом худшем случае (т.е. полностью гипотетического worst case), а не реальной их статистики в прошлом или у коллег.

Простой и явный тому пример – промышленные системы. Представьте, что Вас ничему не учили, и ответьте непредвзято: Вы готовы мириться с получением хакерами контроля над АЭС, НПЗ и прочим Сапсаном на том только основании, что прежде им хватило здравомыслия ничего там не покрутить? А вот грамотный безопасник стал бы мириться, раз по статистике  недоступность обычно в минутах, а ущербы в копейках.

Подозрительно революционно? Все уже украдено до нас: найдите в УК покушения и подумайте, что они там делают.

З.ы. В следующем посте расскажу, почему при обнаружении любой аналитики по ИБ в виде диаграмм можно сразу хвататься за пистолет. Но это я так сам себя обязываю, чтобы не профилонить, а не подписываться призываю.
или введите имя

CAPTCHA
nls
26 Марта, 2014
Закон по ИБ АСУ ТП КВО как раз для этих целей и вводится. Для таких объектов, как и для гостайны "грамотные безопасники" уже поняли, что риск-доллар-ориентированный подход не канает.. года 4 назад поняли
0 |
  • Поделиться
  • Ссылка