Security Lab

Первым делом - угрозы

Первым делом - угрозы
Идея сертификации в сфере ИБ такова. Сначала определяем круг угроз. Затем составляем перечень требований к сертифицируемому товару (услуге), таких, чтобы каждое из них снижало бы вероятность какой-то угрозы. Этот перечень оформляется в виде официального документа. Затем назначаем орган, который будет определять и подтверждать соответствие товара (услуги) упомянутому документу. Сертифицированные (т.е. соответствующие требованиям) товары считаются более стойкими к перечню угроз, их применение поощряется; применение же несертифицированной продукции ограничивается или запрещается.

Есть две распространённые ошибки при введении обязательной государственной сертификации. Обе они совершены в России и ряде других стран.

Первая ошибка в том, что перечень требований к товару не адекватен имеющимся угрозам. То есть, удовлетворение установленным требованиям не снижает актуальный риск или снижает его на ничтожную величину или снижает совсем другой, неактуальный риск. Бывает даже так, что список требований составляется доперечня рисков и не имеет к рискам никакого отношения. Бывает и по-другому: перечень требований оказывается неполным; отсутствие в нём каких-то пунктов сводит на нет действие остальных.

Например, отсутствие в процедуре сертификации ПО особой быстрой процедуры сертификации обновлений (патчей) к этому ПО приводит к тому, что сертифицированное ПО нельзя обновлять, иначе программы потеряют сертификацию. Получается фактический запрет установки патчей. Он приводит к результату, который противоположен желаемому. Сертифицированные программы становятся более уязвимы, чем несертифицированные.

Другая распространённая ошибка состоит в том, что составление процедуры сертификации и значительной части требований поручается тому же органу, который будет эту сертификацию проводить. Результат предсказуем: сертифицирующий орган придумывает такие требования, чтобы максимизировать собственную выгоду. Например, начинает требовать проведения экспертизы в подконтрольной лаборатории, которая затем делится своей сверхприбылью. Или устанавливает заведомо неисполнимое требование, за неисполнение которого можно получить взятку. Есть несколько десятков коррупционных механизмов, когда чиновники, устанавливающие-и-проверяющие в одном лице, конвертируют такое своё положение в деньги, в политическое влияние, карьеру или тщеславие.

Поэтому нельзя сосредотачивать в одних руках (в одном органе) две функции: установление обязательных требований и их проверку (сертификацию). Эти функции следует разнести по разным структурам. Проверенный веками метод – так называемое разделение властей. При этом методе все без исключения требования устанавливаются в законах, их устанавливает законодательная ветвь власти. А проверяются эти требования исполнительной властью. Законодательная не имеет права проверять, а исполнительная не имеет права устанавливать.

Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

InfoWatch

Блог компании infowatch infowatch.livejournal.com