Невозможно серьезно относиться к анализу рисков, если проделывал его больше двух раз на одной области.
Как минимум, уже хотя бы потому, что с каждым следующим циклом все больше оценок опираются не на измерение, а на предположение. Это ведь только в первый раз вероятность ограбления магазина можно взять из криминальной статистики по региону. «Надо укрепить замок на входе через заднее кирильцо», - прозревает безопасник. Укрепили. Остаточный риск каков стал? Вероятность, конечно, уменьшилась, но на сколько – можно достоверно сказать? А там и следующий круг наступил: «У нас район маленький – давайте распространим слух, что в подсобке питон живет». Ну, а теперь каков остаточный риск, что кто-то полезет? Видели Вы где-нибудь статистику с фейковыми питонами? И вот так чем дальше, тем кофейная гуща гуще, улыбка безопасника чаще, а к людям нужно проще и на вопросы смотреть ширше.
Тем не менее, надо взять себя в руки и написать про тот подход, который в исо27тыщ недавно поменялся. Пример специально другой, чтобы по-честному.
Итак, дикость полнейшая, но до сих пор стандарт хотел, чтобы риски автовладельца оценивались от деталей. Сначала инвентаризируем, из чего состоит автомобиль. У кого слабоумие и отвага, тот декомпозировал все до винтика, и его реестр активов напоминал каталог оригинальных запчастей с партнамберами. Остальные шли крупноузловым путем и говорили, что автомобиль состоит из ходовой, освещения, отопления, рулевого управления и т.п. Плюс стандарт требовал включать в список водителя, а некоторые аудиторы - гараж.
Дальше надо было примерить к каждому элементу каждую возможную угрозу и назвать величину наступающего в этом случае ущерба (желательно в деньгах), а также шансы того, что он произойдет. В этом виделась потрясающая наукообразность. Детали-то ведь все разные, и это правильно учитывать, что подшипник передней ступицы вряд-ли снимут гайцы, но он способен треснуть, а тосол склонен вытекать или выкипать, а шильдики могут пионерить. Итого, когда на двести, скажем, элементов пяти, например, классов ценности наложить триста угроз от семи типов источников с четырьмя показателями легкости реализации, и для каждой не лишенной смысла комбинации (ибо такие несуразицы как короткое замыкание в шине надо вычеркивать) назвать ущерб и вероятность – это же ого-го! «Ну, а теперь со всей этой красотой мы попробуем взлететь».
Особая пикантность, что информационную безопасность стандарт предлагал строить от бизнеса, т.е. сверху вниз, а риски обрабатывать, считая их снизу вверх. Кажется, я не видел случаев, чтобы эти вектора счастливо сошлись в одной точке, но на каждую мою критику исо27тыщ приходит кто-нибудь, у кого якобы сошлись.
Не прошло и девяти лет (а если считать BS7799-2, то двенадцати), как народу позволили брать риски в прямом и переносном смысле сверху. Как мы собственно и привыкли. Т.е. рассматривать автомобиль как возможность доехать, внешний вид, комфорт салона и пр. Так что анализы рисков по критерию «на скорость влияет / на скорость не влияет» или по принципу «на поломки я забиваю вообще, т.к. на такси, эвакуатор и сервис у меня всегда есть» аудиторы теперь официально обязаны хавать.
Победа разума? Вряд-ли. Потому что одновременно сделаны необязательными «контроли» из Аннекс А (т.е. 27002, он же 17799, он же 7799-1), и контрмеры можно теперь брать откуда угодно – скажем, из Базеля. Складывая это с либерализацией в оценке рисков, резонно заключить, что ИСО теряет рынок и хочет найти клиентов среди придерживающихся прежде бывших несовместимыми методик.
Как минимум, уже хотя бы потому, что с каждым следующим циклом все больше оценок опираются не на измерение, а на предположение. Это ведь только в первый раз вероятность ограбления магазина можно взять из криминальной статистики по региону. «Надо укрепить замок на входе через заднее кирильцо», - прозревает безопасник. Укрепили. Остаточный риск каков стал? Вероятность, конечно, уменьшилась, но на сколько – можно достоверно сказать? А там и следующий круг наступил: «У нас район маленький – давайте распространим слух, что в подсобке питон живет». Ну, а теперь каков остаточный риск, что кто-то полезет? Видели Вы где-нибудь статистику с фейковыми питонами? И вот так чем дальше, тем кофейная гуща гуще, улыбка безопасника чаще, а к людям нужно проще и на вопросы смотреть ширше.
Тем не менее, надо взять себя в руки и написать про тот подход, который в исо27тыщ недавно поменялся. Пример специально другой, чтобы по-честному.
Итак, дикость полнейшая, но до сих пор стандарт хотел, чтобы риски автовладельца оценивались от деталей. Сначала инвентаризируем, из чего состоит автомобиль. У кого слабоумие и отвага, тот декомпозировал все до винтика, и его реестр активов напоминал каталог оригинальных запчастей с партнамберами. Остальные шли крупноузловым путем и говорили, что автомобиль состоит из ходовой, освещения, отопления, рулевого управления и т.п. Плюс стандарт требовал включать в список водителя, а некоторые аудиторы - гараж.
Дальше надо было примерить к каждому элементу каждую возможную угрозу и назвать величину наступающего в этом случае ущерба (желательно в деньгах), а также шансы того, что он произойдет. В этом виделась потрясающая наукообразность. Детали-то ведь все разные, и это правильно учитывать, что подшипник передней ступицы вряд-ли снимут гайцы, но он способен треснуть, а тосол склонен вытекать или выкипать, а шильдики могут пионерить. Итого, когда на двести, скажем, элементов пяти, например, классов ценности наложить триста угроз от семи типов источников с четырьмя показателями легкости реализации, и для каждой не лишенной смысла комбинации (ибо такие несуразицы как короткое замыкание в шине надо вычеркивать) назвать ущерб и вероятность – это же ого-го! «Ну, а теперь со всей этой красотой мы попробуем взлететь».
Особая пикантность, что информационную безопасность стандарт предлагал строить от бизнеса, т.е. сверху вниз, а риски обрабатывать, считая их снизу вверх. Кажется, я не видел случаев, чтобы эти вектора счастливо сошлись в одной точке, но на каждую мою критику исо27тыщ приходит кто-нибудь, у кого якобы сошлись.
Не прошло и девяти лет (а если считать BS7799-2, то двенадцати), как народу позволили брать риски в прямом и переносном смысле сверху. Как мы собственно и привыкли. Т.е. рассматривать автомобиль как возможность доехать, внешний вид, комфорт салона и пр. Так что анализы рисков по критерию «на скорость влияет / на скорость не влияет» или по принципу «на поломки я забиваю вообще, т.к. на такси, эвакуатор и сервис у меня всегда есть» аудиторы теперь официально обязаны хавать.
Победа разума? Вряд-ли. Потому что одновременно сделаны необязательными «контроли» из Аннекс А (т.е. 27002, он же 17799, он же 7799-1), и контрмеры можно теперь брать откуда угодно – скажем, из Базеля. Складывая это с либерализацией в оценке рисков, резонно заключить, что ИСО теряет рынок и хочет найти клиентов среди придерживающихся прежде бывших несовместимыми методик.
