Во всей индустрии информационной безопасности меня всегда смущало идейное противоречие между тем, чем занимаются люди, связанные с ИБ и тем, как они называют своё занятие.

Не существует объективных методов оценки безопасности информационной системы. Все существующие методы могут говорить либо об опасности (так нельзя, это нельзя, тут дыра), либо говорить о соответствии системы каким-то требованиям какого-либо сертифицирующего органа… И вот тут, внимание, следите за руками, соответствие этим требованиям называют критериями безопасности. Мол, прошла сертификацию на SFOD-12, значит безопасна. Главное — иметь бумажку. А авторам этой бумажки — надуться посолиднее, чтобы авторитетом доказать, что безопаснее некуда.

Причина — в неконструктивном смысле слова «безопасность». Что такое «безопасная система»? Это система, у которой нет части функционала (например, которая НЕ даёт доступа к информации, или которая НЕ предоставляет какую-то функцию). Таким образом, безопасная система, это система, в которой КРОМЕ описанного в ТЗ нет НИКАКОГО ДРУГОГО функционала.

Если перевести на язык математики, то мы берём конечное множество функций (техническое задание), высчитываем его дополнение. Дополнение до чего? Во, вот это и есть главный вопрос, который не описывает современная информационная безопасность. Дополнение до множества, которое нам не известно, которое бесконечное (или если и конечное, то за пределами обозримой для нас границы). Мы описываем в этом бесконечном множестве отдельные типы атак, дурных конфигураций, ошибок проектирования и т.д., но это всё равно, что перечислять отрезки на множестве вещественных чисел.

Чтобы стало совсем ясно: Допустим, мы всё сводим к числовой прямой. Отрезок от 1 до 2 — это наш функционал. Остальное — непонятный нам функционал, область «опасности»

Итак, приходит эксперт по безопасности, который говорит:

если у нас 0, это 0-уязвимость.

Если у нас e, то это экспоненциальная уязвимость.

Если у нас π, то это тригонометрически-сферический отказ в обслуживании.

Если у нас отрезок от 10 до 99, то это множество специфичных двухзначных атак.

Если у нас отрезок от 100 до 999, то это трёхзначные атаки.

Если у нас атаки меньше 2, но больше 1, то это верхнеграничные атаки.

Принцип понятен? Эксперт может публиковать неограниченное количество списков любой степени детализации, с любым множеством диапазонов — но он никогда ими не покроет всё множество вещественных чисел.

Вот именно этим и занимается информационная безопасность — перечислением отдельных отрезков бесконечного множества.

Сама по себе дисциплина вполне себе понятная, нужная, важная… Но до тех пор, пока у нас не начинает звучать что-то про «безопасность информационной системы». Не бывает её. Сколько бы не перечисляли — всё равно это конечные числа против бесконечности. Говорить про опасности — да. Про безопасность — нет.

Но рынок требует безопасности — и на смену простого «ну про безопасность я не скажу, но вот это, это и это делать точно не стоит», приходит нелепый фантик — «уровень безопасности системы».… Мы провели аудит системы и теперь она не lim x → ∞ (2/x) безопасна, а lim x → ∞ (300/x) безопасна.

На первый взгляд 300 больше 2, можно говорить, что система более безопасна. А при более внимательном взгляде — как был ноль, так и остался.

UPD: Как любезно подсказывают комментирующие, существует некое «состояние защищённости», техническое значение которого я бы очень хотел услышать…