Информационная опасность - SearchInform
Информационная опасность
28.09.2011
Во всей индустрии информационной безопасности меня всегда смущало идейное противоречие между тем, чем занимаются люди, связанные с ИБ и тем, как они называют своё занятие. Не существует объективных методов оценки безопасности информационной системы. Все существующие методы могут говорить либо об опасности (так нельзя, это нельзя, тут дыра), либо говорить о соответствии системы каким-то требованиям какого-либо сертифицирующего органа… И вот тут, внимание, следите за руками, соответствие этим требованиям называют критериями безопасности. Мол, прошла сертификацию на SFOD-12, значит безопасна. Главное — иметь бумажку. А авторам этой бумажки — надуться посолиднее, чтобы авторитетом доказать, что безопаснее некуда. Причина — в неконструктивном смысле слова «безопасность». Что такое «безопасная система»? Это система, у которой нет части функционала (например, которая НЕ даёт доступа к информации, или которая НЕ предоставляет какую-то функцию). Таким образом, безопасная система, это система, в которой КРОМЕ описанного в ТЗ нет НИКАКОГО ДРУГОГО функционала. Если перевести на язык математики, то мы берём конечное множество функций (техническое задание), высчитываем его дополнение. Дополнение до чего? Во, вот это и есть главный вопрос, который не описывает современная информационная безопасность. Дополнение до множества, которое нам не известно, которое бесконечное (или если и конечное, то за пределами обозримой для нас границы). Мы описываем в этом бесконечном множестве отдельные типы атак, дурных конфигураций, ошибок проектирования и т.д., но это всё равно, что перечислять отрезки на множестве вещественных чисел. Чтобы стало совсем ясно: Допустим, мы всё сводим к числовой прямой. Отрезок от 1 до 2 — это наш функционал. Остальное — непонятный нам функционал, область «опасности» Итак, приходит эксперт по безопасности, который говорит: если у нас 0, это 0-уязвимость. Если у нас e, то это экспоненциальная уязвимость. Если у нас π, то это тригонометрически-сферический отказ в обслуживании. Если у нас отрезок от 10 до 99, то это множество специфичных двухзначных атак. Если у нас отрезок от 100 до 999, то это трёхзначные атаки. Если у нас атаки меньше 2, но больше 1, то это верхнеграничные атаки. Принцип понятен? Эксперт может публиковать неограниченное количество списков любой степени детализации, с любым множеством диапазонов — но он никогда ими не покроет всё множество вещественных чисел. Вот именно этим и занимается информационная безопасность — перечислением отдельных отрезков бесконечного множества. Сама по себе дисциплина вполне себе понятная, нужная, важная… Но до тех пор, пока у нас не начинает звучать что-то про «безопасность информационной системы». Не бывает её. Сколько бы не перечисляли — всё равно это конечные числа против бесконечности. Говорить про опасности — да. Про безопасность — нет. Но рынок требует безопасности — и на смену простого «ну про безопасность я не скажу, но вот это, это и это делать точно не стоит», приходит нелепый фантик — «уровень безопасности системы».… Мы провели аудит системы и теперь она не lim x → ∞ (2/x) безопасна, а lim x → ∞ (300/x) безопасна. На первый взгляд 300 больше 2, можно говорить, что система более безопасна. А при более внимательном взгляде — как был ноль, так и остался. UPD: Как любезно подсказывают комментирующие, существует некое «состояние защищённости», техническое значение которого я бы очень хотел услышать…
Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.