Как стать автором
Поиск
Написать публикацию
Обновить

Информационная опасность

Время на прочтение2 мин
Количество просмотров4.8K

Во всей индустрии информационной безопасности меня всегда смущало идейное противоречие между тем, чем занимаются люди, связанные с ИБ и тем, как они называют своё занятие.

Не существует объективных методов оценки безопасности информационной системы. Все существующие методы могут говорить либо об опасности (так нельзя, это нельзя, тут дыра), либо говорить о соответствии системы каким-то требованиям какого-либо сертифицирующего органа… И вот тут, внимание, следите за руками, соответствие этим требованиям называют критериями безопасности. Мол, прошла сертификацию на SFOD-12, значит безопасна. Главное — иметь бумажку. А авторам этой бумажки — надуться посолиднее, чтобы авторитетом доказать, что безопаснее некуда.

Причина — в неконструктивном смысле слова «безопасность». Что такое «безопасная система»? Это система, у которой нет части функционала (например, которая НЕ даёт доступа к информации, или которая НЕ предоставляет какую-то функцию). Таким образом, безопасная система, это система, в которой КРОМЕ описанного в ТЗ нет НИКАКОГО ДРУГОГО функционала.

Если перевести на язык математики, то мы берём конечное множество функций (техническое задание), высчитываем его дополнение. Дополнение до чего? Во, вот это и есть главный вопрос, который не описывает современная информационная безопасность. Дополнение до множества, которое нам не известно, которое бесконечное (или если и конечное, то за пределами обозримой для нас границы). Мы описываем в этом бесконечном множестве отдельные типы атак, дурных конфигураций, ошибок проектирования и т.д., но это всё равно, что перечислять отрезки на множестве вещественных чисел.


Чтобы стало совсем ясно: Допустим, мы всё сводим к числовой прямой. Отрезок от 1 до 2 — это наш функционал. Остальное — непонятный нам функционал, область «опасности»

Итак, приходит эксперт по безопасности, который говорит:

если у нас 0, это 0-уязвимость.
Если у нас e, то это экспоненциальная уязвимость.
Если у нас π, то это тригонометрически-сферический отказ в обслуживании.
Если у нас отрезок от 10 до 99, то это множество специфичных двухзначных атак.
Если у нас отрезок от 100 до 999, то это трёхзначные атаки.
Если у нас атаки меньше 2, но больше 1, то это верхнеграничные атаки.

Принцип понятен? Эксперт может публиковать неограниченное количество списков любой степени детализации, с любым множеством диапазонов — но он никогда ими не покроет всё множество вещественных чисел.

Вот именно этим и занимается информационная безопасность — перечислением отдельных отрезков бесконечного множества.

Сама по себе дисциплина вполне себе понятная, нужная, важная… Но до тех пор, пока у нас не начинает звучать что-то про «безопасность информационной системы». Не бывает её. Сколько бы не перечисляли — всё равно это конечные числа против бесконечности. Говорить про опасности — да. Про безопасность — нет.

Но рынок требует безопасности — и на смену простого «ну про безопасность я не скажу, но вот это, это и это делать точно не стоит», приходит нелепый фантик — «уровень безопасности системы».… Мы провели аудит системы и теперь она не lim x → ∞ (2/x) безопасна, а lim x → ∞ (300/x) безопасна.

На первый взгляд 300 больше 2, можно говорить, что система более безопасна. А при более внимательном взгляде — как был ноль, так и остался.

UPD: Как любезно подсказывают комментирующие, существует некое «состояние защищённости», техническое значение которого я бы очень хотел услышать…
Теги:
Хабы:
Всего голосов 107: ↑81 и ↓26+55
Комментарии110

Публикации

Ближайшие события