Вы много смешали в одну кучу. Например, смешиваете вопрос зачем "мне" посадки с действующим законодательством. Аргументы "во-первых" и "в-третьих" разбиваются о первый же конкретный единичный случай: вот из-за ошибки ИИ умер конкретный человек, его родственники обратились в прокуратуру - вы сможете доказать, что важен только средний процент ошибок? А уж как всё "должно" быть - вопрос на уровне кухонного обсуждения; ведь если оно так должно быть, но почему-то ещё не так, значит, что-то мешает?
Все мнения о самостоятельности ИИ забавны, если задаваться вопросом: кого персонально посадят, если "ИИ" примет ошибочное решение, которое приведёт к существенным негативным последствиям.
Статья по ссылке настолько дилетантская, что по закону Шапиро никто не будет тратить время на её опровержение. Антивирус вам не нужен только в том случае, если разработчик разбирается в информационной безопасности и при этом готов сам нести ответственность за результат. Бэкапы - хорошо, но не панацея. Встроенный антивирус тоже хорошо, но вовсе не решает все проблемы. Лучше уберите про антивирусы вообще.
Насколько я понимаю, основная идея при включении уязвимости в угрозу в том, что уязвимости включаются предельно обобщённо, большей частью - как пример, а вообще говоря конкретные уязвимости нас не очень интересуют. Какая при выборе противодействия практическая разница, через какую именно уязвимость будет реализовываться угроза? Никакой же.
Когда нас интересуют конкретные уязвимости, мы читаем гайды по противодействию именно уязвимостям, типа OWASP, но там совершенно не про риски.
Практическим выхлопом из работы с терминологией всегда является применение выбранного термина. Что-то в Вашей идее интуитивно любопытное есть, но никак не могу сформулировать, что именно. В общем, очень жду от Вас прикладную статью и сравнение Вашего метода/термина со стандартным.
Честно говоря, я запутался в том, что Вы хотели довести. Из приведённых цитат я вижу, что риск - это, в первую очередь, вероятность [реализации угрозы (частный случай - реализация уязвимости)]. То есть вероятностная величина. По логике, я бы её измерял в % реализации за период. Дополнительно многие определения добавляют к риску ущерб. То есть величина должна измеряться в (процент*рубль)/год. Но, поскольку измерять таким методом - дело гиблое, то риск переводится в термины "приемлемо-неприемлемо" и чаще всего считается в баллах с учётом компенсирующих мер.
Отступление для пошутить. В ряде организаций риск измеряется по двухбалльной шкале: "риск высокий - риск очень высокий".
Так вот. Прочитал я статью и вижу: "Тутмы ведем community реестр рисков по такой 3х-звенной схеме, за основу берем MITRE ATT&CK, БДУ ФСТЭК...". Вы ведёте реестр ВЕРОЯТНОСТЕЙ, а в основе Банк данных УГРОЗ? Сложно =(
Собственно, я к чему это всё. Не является ли переусложнением считать риски как произведение угроза-уязвимость-актив? Разве это не ведёт к комбинаторному взрыву и избыточному числу рисков, которые нужно анализировать? Разве не будет проще считать, что угроза уже включает узявимость? Можно пример расчётов с использованием вашей базы? Можно отдельной статьёй.
Злоумышленники требуют бесконтактную оплату через телефон. Они требуют привязать в приложении их карточки «безопасного счёта» и туда перевести, а после перевода карточки удалить. История операций в приложении не сохраняется.
Прошу прощения - о каком приложении речь? И причём здесь бесконтактная оплата - речь об NFС или имелась в виду безналичная оплата?
Меня всегда смущал вопрос не того, что биометрию после утечки не сменить, а вопрос того, что не отказаться от решения, принятого якобы по моей биометрии.
Например: некий банк вешает на меня кредит и говорит, что он выдан с моим биометрическим согласием; пусть даже я биометрию сдавал. Как я могу доказать, что я не верблюд? Есть какой-то подход?
Как реализована безопасность при использовании СКЗИ при работе с УКЭП на рабочих местах пользователей со стороны банка? Теоретически, договор на кредит и УКЭП — это информация, защищаемая законом (банковская тайна, коммерческая тайна). А раз так, должна применяться 152-ФАПСИ, которая про выделенные АРМы, формуляры СКЗИ, вот это всё. Но если у вас 2000 пользователей с УКЭП на 62 филиала, то, видимо, это не выделенные АРМы и не ручная установка СКЗИ с доверенных дистрибутивов. Собственно, как совместили массовость применения крипты со 152-ФАПСИ/ПКЗ-2005, или как вы увернулись от необходимости применять 152-ФАПСИ?
Вы много смешали в одну кучу. Например, смешиваете вопрос зачем "мне" посадки с действующим законодательством. Аргументы "во-первых" и "в-третьих" разбиваются о первый же конкретный единичный случай: вот из-за ошибки ИИ умер конкретный человек, его родственники обратились в прокуратуру - вы сможете доказать, что важен только средний процент ошибок? А уж как всё "должно" быть - вопрос на уровне кухонного обсуждения; ведь если оно так должно быть, но почему-то ещё не так, значит, что-то мешает?
Все мнения о самостоятельности ИИ забавны, если задаваться вопросом: кого персонально посадят, если "ИИ" примет ошибочное решение, которое приведёт к существенным негативным последствиям.
Кто-нибудь знает, удалить с Госуслуг старый номер телефона в соответствии с 152-ФЗ, без получения нового российского номера, уже можно?
Это раскраска результата радиоэлектронной микроскопии. Разрешение выше, чем оптическое. Там же прямо из подписи ссылка идёт.
Статья по ссылке настолько дилетантская, что по закону Шапиро никто не будет тратить время на её опровержение. Антивирус вам не нужен только в том случае, если разработчик разбирается в информационной безопасности и при этом готов сам нести ответственность за результат. Бэкапы - хорошо, но не панацея. Встроенный антивирус тоже хорошо, но вовсе не решает все проблемы. Лучше уберите про антивирусы вообще.
Насколько я понимаю, основная идея при включении уязвимости в угрозу в том, что уязвимости включаются предельно обобщённо, большей частью - как пример, а вообще говоря конкретные уязвимости нас не очень интересуют. Какая при выборе противодействия практическая разница, через какую именно уязвимость будет реализовываться угроза? Никакой же.
Когда нас интересуют конкретные уязвимости, мы читаем гайды по противодействию именно уязвимостям, типа OWASP, но там совершенно не про риски.
Практическим выхлопом из работы с терминологией всегда является применение выбранного термина. Что-то в Вашей идее интуитивно любопытное есть, но никак не могу сформулировать, что именно. В общем, очень жду от Вас прикладную статью и сравнение Вашего метода/термина со стандартным.
Честно говоря, я запутался в том, что Вы хотели довести. Из приведённых цитат я вижу, что риск - это, в первую очередь, вероятность [реализации угрозы (частный случай - реализация уязвимости)]. То есть вероятностная величина. По логике, я бы её измерял в % реализации за период. Дополнительно многие определения добавляют к риску ущерб. То есть величина должна измеряться в (процент*рубль)/год. Но, поскольку измерять таким методом - дело гиблое, то риск переводится в термины "приемлемо-неприемлемо" и чаще всего считается в баллах с учётом компенсирующих мер.
Отступление для пошутить. В ряде организаций риск измеряется по двухбалльной шкале: "риск высокий - риск очень высокий".
Так вот. Прочитал я статью и вижу: "Тут мы ведем community реестр рисков по такой 3х-звенной схеме, за основу берем MITRE ATT&CK, БДУ ФСТЭК...". Вы ведёте реестр ВЕРОЯТНОСТЕЙ, а в основе Банк данных УГРОЗ? Сложно =(
Собственно, я к чему это всё. Не является ли переусложнением считать риски как произведение угроза-уязвимость-актив? Разве это не ведёт к комбинаторному взрыву и избыточному числу рисков, которые нужно анализировать? Разве не будет проще считать, что угроза уже включает узявимость? Можно пример расчётов с использованием вашей базы? Можно отдельной статьёй.
Прошу прощения - о каком приложении речь? И причём здесь бесконтактная оплата - речь об NFС или имелась в виду безналичная оплата?
Если можно, добавляйте прикладные разделы, например, как всю эту живность можно использовать или разогнать =)
Меня всегда смущал вопрос не того, что биометрию после утечки не сменить, а вопрос того, что не отказаться от решения, принятого якобы по моей биометрии.
Например: некий банк вешает на меня кредит и говорит, что он выдан с моим биометрическим согласием; пусть даже я биометрию сдавал. Как я могу доказать, что я не верблюд? Есть какой-то подход?