Существует риск

Примерно в половине случаев идиоты-начальники, спуская безопасника с лестницы, безраздельно и неосторожно неправы. А в половине этой половины они его просто не так поняли. Но он, правда, и сам недостаточно постарался выразиться.
Нам, однако, интересна не первая половина, и не вторая, которая первая половина первой, и даже не третья половина, которая вторая половина первой, а вторая первая половина.

Среди тех случаев, когда спуск с лестницы глубоко и бесспорно заслужен, к явным лидерам относится использование потерпевшим аргумента "потому что существует риск". Ибо обосновывать что-либо сообщением, что вероятность некоторого события с ненулевым ущербом отлична от нуля, способен либо идиот, либо мошенник.

Представьте, звонит врач из прогимназии и говорит: "У Вашего ребенка температура, нужно подавать Суперантитемпературин". Ведь возникают же вопросы:
а) насколько она отлична от нормальной - на плюс 4 или на минус 0.1?
б) насколько она изменится после приема Суперантитемпературина?
Потому что, например, если температура повышена на 0.3, то переживем, пусть Суперантитемпературин еще попылится. А если повышена на 5, и он снимет 0.5, так тоже на фиг его, только время терять. Во.

Поэтому когда безопасник приходит с фразой "Необходимо внедрить средство защиты от утечек, т.к. есть опасность утечки", у него есть несколько минут, чтобы обозначить три цифры. Одну он знает – это стоимость, две другие можно назвать даже в каких-нибудь попугаях, но... Начальство ждет, тянет время, а потом: "Курить-то не бросил? Ну, все равно давай до лестницы прогуляемся".

"Не повезло с начальником", - думает безопасник, потирая ушибленное место. Да нет, ребят, просто когда вы говорите, что существует риск, и больше ничего не говорите, риск действительно существует.

Вундервульф

В "Криминальном чтиве" есть такой персонаж – мистер Вульф, которого Марселас посылает выручать Винса и Джулса в ситуации с Бонни. Джулс не верит своим ушам – дали самого Вульфа! Тот разруливает их проблему, и двое бывших крутых в строгих костюмах, уподобленные теперь пляжным бездельникам, выражают ему свое неподдельное восхищение.
А ведь он, казалось бы, не сделал ничего невозможного, чего ребята принципиально не могли бы: выяснил то, что у нас называют RTO, стрельнул у Джимми тряпки и моющие средства, да расплатился машиной за утилизацию содержимого багажника. Ну, наверно, им самим аргумент для Джимми пришлось бы найти какой-то другой (посул, дружба, угроза), но схема все-таки совершенно посильная. И да, в довершение еще отказался их обратно подбросить в таком позорном прикиде.
За что же его благодарят? Он принимал решения, когда нужно было именно принимать решения. В этом его дорогостоящий талант.

Идеально, если в Вашей организации на роли руководителя группы реагирования на инциденты окажется мистер Вульф. Но идеальные случаи в этом блоге не рассматриваются – я не настолько отъявленный консультант, поэтому Вульфа у вас не будет или будет, но очень маленький. Чаще всего не из-за отсутствия подходящего человека (в среднего размера фирме подходящих - десяток, пусть и без харизмы Харви Кейтеля), а из-за неделегирования ему полномочий босса - руководство не может выпустить из рук власть, оно привыкло к сложившейся системе принятия решений, не зря так долго ее выстраивало.

В случае инцидента (в значении, используемом ИБ/НБ, а не ИТ) штатная система принятия решений обычно не работает. Нижнее звено не может принять решение, оно не в его компетенции: нет таких полномочий, нет менеджерского опыта подняться над ситуацией и увидеть более бизнесовый ход, нет согласия с другими подразделениями - оно так и будет до упора пытаться починить что поломалось. И сигналить вверх по иерархии. А время уходит: еще полчаса и клиент нас засудит потом.
Зачастую даже и выбора нет – решение возможно только одно, но оно в этой фирме только с санкции директора, а он сейчас в Альпах и, видимо, труба не ловит, или в парилку с собой не взял, или необычно крепко спит. Потом удалось наконец через жену передать, но только в общих чертах, что сама уловила, поэтому теперь уже он будет пробиваться вниз за подробностями, нужными для принятия решения.

Если своего Вульфа Вы не создали, то выход – это заранее составленные аварийные планы с условием активации (при пожаре, при невозможности отключить питание, при отсутствии связи с центром в течение получаса и т.п.) и подписью лица, полномочного на соответствующее решение.
И даже если Вульф у Вас есть, Вам все равно не помешают аварийные планы.
Начинающиеся со слов "если через 10 минут не приехал мистер Вульф".

Контрольный в голову

Куплено три зажигалки:
образец 1 – Zippo;
образец 2 – Cricket (если читателю лучше знаком BiC – пусть будет BiC);
образец 3 – китайская "стекляшка" noname.
Вопрос: что из этого качественная зажигалка?
Опрос не провожу.
Правильный ответ: мы не знаем. В задаче недостаточно данных для ответа.

И вовсе не потому, что нет сведений об исправности – допустим, что все три новенькие и рабочие. А просто качество зажигалки не определяется свойствами зажигалки. Поэтому будет ошибкой сказать, что качественна та, в которой дороже материалы, или та, которая дольше прослужит. Трехгодовалый ребенок с обалденным ответом "Красная!" ничуть не дальше от истины, между прочим.

Качество – это степень соответствия требованиям. Не свойства зажигалки, а разница между ними и неизвестными нам требованиями не указанного в задаче лица.

Пусть это производитель. И пусть производитель Zippo хотел создать свежий инновационный продукт, который вернет молодежную аудиторию, Cricket требовалось сохранить свои 2500 вспышек при одновременном понижении себестоимости на 2 цента, а китайское изделие должно работать у среднего курильщика месяц и вдвое отстоять по цене от брендов вроде Cricket, иначе не купят. Чей продукт справился с задачей? Наверно, последние два справились. А чей лучше справился? Так нельзя ответить, ибо задачи разные.
А если требования смотреть потребительские? У одного они студенческие: как можно больше прикуриваний на рубль. Другой – трубочник, ему только газ и большая высота пламени. У третьего тремор, зажигалка должна гаснуть при падении. Четвертому подай максимальную прочность корпуса при открывании пива, пятому ремонтопригодность в условиях техасской степи, шестому нужна зажигалка под костюм, среди названных моделей их нет.
А если для продавца оценивать? У него, скорее всего, качественная определяется через спрос, маржу, процент возврата и что-нибудь неожиданное типа штабелируемости и крепости коробок.

Стоят три сервера, какой безопасен? Правильный ответ: смотря для кого, смотря какие угрозы тому страшны. Имея в руках отчет об оценке рисков, можно что-то еще сказать, а так – нет. "Гоги, ты помидоры любишь?".

Снова о главном

Сколько существует этот блог, столько в нем повторяется тема ИБ!=ЗИ. Буду считать, что периодически облекаю ее в новые краски.

Позапритча.
Хотя старое название стоматолога – дантист ("зубник"), задача стоматологии не в том, чтобы помогать зубам. Она в том, чтобы помогать пациентам. В проблемах, связанных с зубами. Во-первых, это ведь не всегда сохранение/восстановление свойств собственно зубов – лечить могут десну или прикус. Но главное: зубу могут сделать и хуже – его могут подпилить, лишить нерва, вообще удалить. Для того чтобы пациенту стало лучше – отпустила боль, не пошла киста, остеомиелит, восстановился прикус опять же. Стоматология – это медицина в интересах пациента, а не зубов. У зубов их тупо нет.

Притча.
Безопасное транспортное средство (дальше подразумеваю автомобиль, его пример мне ближе) – это не защищенное транспортное средство, а защищающее – безопасное для кого-то или чего-то. Это и шкурные интересы собственника, страдающие при угоне, поломках, повреждениях; и собственников того имущества, в которых это имущество въехало; и жизнь-здоровье водителя/пассажиров этого ТС; и водителя/пассажиров встречных ТС; и пешеходов; и мера ответственности водителя, зависящая от ущерба, причиненного жизни, здоровью, имуществу; и чистота легких горожан еще сюда ж.
Только в одном случае (в первом) чем целее автомобиль, тем целее интересы соответствующего субъекта, в остальных его защищенность для безопасности субъектов не важна. А порой и наоборот: он должен как можно больше пострадать сам, чтобы как можно меньше навредить.

Тча.
Если стоматолог сосредоточится на зубах, ему скоро станет некого лечить. А производителю автомобилей, максимально сохраняющих самое себя, скоро станет некому их продавать. От того, что этот бред, будто информационная безопасность должна защищать информацию или какие-то ее свойства, написан на первых страницах современных учебников, он не перестает быть бредом. Это временно: просто пострадавших от идиотов-ИБшников пока меньше, чем от идиотов-врачей.

Затча.
Перестаньте читать (и писать) эти чертовы книжки, займитесь оценкой рисков в реальности. На третий или пятый раз Вы заметите, что рассматриваете ущербы не самим цифрам, программам или устройствам, а кому-то. На тридцать пятый Вы задумаетесь, а на сто тридцать пятый сформулируете то же, что здесь написано. Но, вероятно, в других словах и выражениях.

Послезатча.
Из вредности и чтобы два раза не вставать. Самый худший случай – это сфокусированный ИБшник. "Я – герой: каждый день хожу на работу и навариваю там на бампер всё новые и новые стальные листы!". Вот лучше бы он ничего не делал. Для безопасности лучше. Безопасности людей. Но он-то автомобиль защищает. Который уйдет с траектории, и пешеходов похоронят, а водителя посадят, а детей в интернат. А могли жить. А автомобилю хоть бы фиг.

Triple predictable threat

В английском слов больше, ибо соответствующий супостат что-то новое и называл по-новому, а не искал подходящее слово меж имеющихся. Поэтому у них key, spring и wrench, а у нас ключ, ключ и ключ, чтоб никто не догадался.

Американцы дальше пошли - определяют новое в известных терминах и преобразуют определение в аббревиатуру. Кабы англичане в свое время не подсуетились, инструмент для закручивания болтов звался бы сейчас T.F.M.B.S. (tool for a manual bolt screwing), уж будьте уверены. Порой, кстати, эта тяга к аббревиатурам побуждает их махинировать - добавляют в определение лишние слова, чтобы аббревиатура была весомее, или даже портят его, подгоняя под лже-бэкроним (типа S.M.A.R.T., K.I.S.S. и т.д.), ну да ладно.

Угрозы, связанные с проверками соответствия гостребованиям по обработке персданных, необычны.

Во-первых, проверяющие трудятся не покладая рук, пока не найдут у проверяемого три нарушения, а найдя, теряют всякий интерес. По видимому, количество нарушений не является важным отчетным показателем, а заветная формула какая-то такая: «за период проведено N проверок, по результатам которых выдано M предписаний», и чем больше N - тем лучше, а насколько М больше N - не принципиально, лишь бы не меньше. Ну, тогда действительно - зачем зря перетруждаться.
Поэтому и одного нарушения хватило бы, но ненадежно: вдруг проверяемый как-то вывернется, или проверяющие ошиблись, два - уже лучше, три - верняк. Да и проверяемый на третьем сникает - лапки кверху, спорить расхотелось. Вдобавок, это такое число, что можно и о множественных отрапортовать, если повезет, что, конечно, всегда смотрится. Разумеется, три - это в среднем: в каком-то случае могут и пять набабахать, если оно уж прям вот так само сразу подвернулось, а то и не солоно хлебавши уйти.
Этим можно пользоваться. Например, так: помогаете проверяющим найти несколько легко устранимых нарушений - они пишут их в протокол, Вы его подписываете и до конца срока проверки госинспекторов больше не видите. По истечении они присылают акт проверки и просят подписать его тоже, а Вы демонстрируете, что нарушения устранены. И вот тут им некуда деваться: проверку не продлишь, приходится вместо выдачи предписаний указывать в акте, что все устранено в ходе проверки.

Во-вторых, процесс поиска нарушений управляемый. Я не в плохом смысле, а о том, что Вы посредничаете, проксируете, и можно что-то специально показать (о чем я только что написал), а можно и что-то исправить на лету. Дело в том, что когда Вы что-то обязаны проверяющим предоставить, то не обязаны сделать это мгновенно. «И список помещений, в которых обрабатываются персданные или хранятся носители таковых», - говорит проверяющий, болтая под столом ногой, обутой в немодный, но добротный ботинок. «Был такой, найдем!» - отвечает представитель оператора, заулыбавшись вдруг без особой к тому причины. На следующий день - а вот. Еще тепленький, но по дате этого не скажешь.

В-третьих, они предупреждают о визите. Что опять же позволяет что-то резко успеть или хотя бы привлечь на сопровождение проверки хорошего спеца или фирму. В других проверяемых областях есть такие, почему бы и тут не быть.

Наконец, проверяющих органов три, госинспекторы традиционно ходят тоже по три, обедают час, домой любят попадать в семь, и вообще можете сами продолжать, что мы о них знаем.

Вот и скажите, похоже ли это на какую либо другую угрозу. Представьте, что цунами приходит в заранее оговоренное время, пожирает три объекта, которые ему укажут, и сваливает. Или что DDoS с 18:00 до 09:00 прерывается, чтобы Вы перегруппировку сил произвели.

Поэтому можно ее выделять в отдельный класс, который американцы назвали бы TPT, т.е. triple predictable threat, а у нас пусть опять будет ключ, чтобы опять никто не догадался.
Что за ключ, к чему ключ - фиг его знает.

Годные литераторы из НИИ "СОКБ"

За чаем взялся почитать проект ГОСТ Р ИСО/МЭК 27003, ссылка на который мелькнула в твиттере Алексея Лукацкого.

Цели внедрения СМИБ можно определить, ответив на следующие вопросы:

• как может СМИБ улучшить управление рисками информационной безопасности?
• как может СМИБ улучшить управление информационной безопасностью?
• как может СМИБ создать конкурентные преимущества для организации?

Чтобы ответить на эти вопросы, необходимо рассмотреть приоритеты и требования организации на основе следующих факторов:

• ...
• законы, делающие обаятельным принятие мер информационной безопасности

Знаю пару законов, касающихся информационной безопасности, и оба делают принятие мер именно таким.

О русском фатализме

Устроено это так: приемлются все риски, кроме максимального, а он признается необрабатываемым.
Т.е. каковы бы ни были последствия и вероятность реализации некоторой угрозы, о ней не стоит беспокоиться, если существует угроза с бо́льшими последствиями и/или вероятностью.

Такое оценивание риска в сравнении с другим риском, а не в сравнении с отсутствием риска - это серьезная бага, а не забавный колорит. Но архетипичная, безусловно.

На примерах.
Да какой смысл складывать зеркала, раз все равно могут угнать!
Если угона не случится, целое зеркало имеет преимущества перед оторванным
Зачем же учить алгебру, если человек не вечен!
Последствия знания/незнания ближе.
А нужно ли запирать квартиру, ведь правительство все равно ограбит!
Правительство не намусорит.
Стоит ли вставлять дисклаймер, который не способен остановить злоумышленника!
Остановленные неумышленники - это тоже предотвращенные ущербы.
Нужно ли выявлять экстремистскую деятельность в Интернете, покуда у экстремистов есть другие каналы координации!
Что-то лучше, чем ничего.
Ну, на кой рассматривать угрозы прикладным программам и системному ПО, если угрозы безопасности ПДн более жизненны!
Неактуальность угроз ППО/СПО устанавливается из их рассмотрения, а не из рассмотрения угроз БПДн.

И еще.
Оценивая риски, отличные от пушного зверька, по отношению к пушному зверьку, Вы их неминуемо занизите, это известный эффект.

Красота

У нас как возьмутся переносить на родную почву лучшие иноземные практики, так сразу все. Не было ни гроша, и вдруг алтын. Сейчас вон прайвеси в Гражданский Кодекс вписывают - статья 1522, неприкосновенность информации о частной жизни. Ну, круто, чё. Конституция и УК давно упоминают.

Информация о частной жизни шире персональных данных, включает в себя персональные данные среди еще до фига чего. А персональные данные включают любую относящуюся к субъекту информацию, значит и о его частной жизни. Вот так.

Практическое применение теории нечетких множеств вообще нечасто встречается, но чтоб в такой области – это просто повод для национальной гордости, немногие могут себе позволить. Неспроста претендуем на звание мирового инновационного центра.

Народ, правда, немножко жалко – мозги сломают. Но такая красота того стоит, я считаю. Красота, она ведь всегда требует.

Чикагцы от персданных

Хоть ИБшники и не производят впечатления нормальных людей, но тоже делятся на два типа. Некоторые не нацело, но это дела не меняет.

Интроверты и экстраверты, либералы и консерваторы, славянофилы и западники, а также умные и красивые остроконечники и тупоконечники по любви и по расчету великодушно подтверждают, что стоит где-нибудь завестись людям, как они найдут повод поделиться на два типа.

Традиционные ИБшники vs латентные ЗИшники, а также организаторы vs технари еще
будут в другие разы, а в этот кейнсианцы vs чикагская школа.

Это такая параллель с политэкономией. Там есть точка зрения, что экономику надо регулировать, а есть - отпустить, и она самоотрегулируется. Что однозначно лучше, человечество до сих пор не поняло: на счету обоих вариантов успехов и провалов примерно поровну.

Когда правительство N в сфере Y выбирает путь прямого регулирования, никто не говорит, что оно охренело. И будь выбор сделан в пользу свободного рынка, тоже не скажут. Потому что оба имеют право на существование, свои плюсы и минусы.

Когда требования по защите персданных устанавливаются государственно-монополистическим регулированием, а не умозаключаются операторами из желания выплачивать ущербы и штрафы – это не повод утверждать, что все пропало. Это вариант нормы.
Основания для него у государства точно такие же как в случаях с лекарствами, зерном или алкогольной продукцией, а право... ну, тут уж просто не стоит заблуждаться: государство преследует интересы государства, субъектские опосредованно

Поэтому марширующие несогласные мне непонятны. Сомнения понятны были бы, а горячее и категоричное неприятие - нет. Два года назад я ассоциировал их с правозащитниками, теперь вот дошли руки до объяснения.

Враг хорошего

В той арабеске я писал, что политика ИБ обязательно обманет ожидания, и почему. Однако, малоэффективная лучше никакой, так что иметь надо.

В отечественных правилах пользования метрополитенами есть забавное требование: в ожидании поезда распределяйся по платформе равномерно. Равномерно - это одинаковое количество пассажирского вещества в каждой точке платформы. Видимо, пассажиры для автора – масса: были бы единицами, написал бы "периодично". Или глуп.

Политику ИБ более всего портит равномерность.

Политика (если это именно политика, а не какой-то другой документ) должна содержать отношение руководства к тому и иному объекту защиты, той и иной группе угроз, той и иной стратегии обработки рисков... Предпочтения, относительные веса́ – вот что составляет ее главную ценность. Политика – это документ, в содержании которого присутствие руководства максимально. Нижерасположенные документы оно уже может "подмахивать" или кому-то делегировать их утверждение, а в политике должно присутствовать.
Политика должна говорить, например, что тайна бизнес-партнеров для организации дороже, чем ПДн клиентов. Что трафик не так жалко, как репутацию. Что перенос предпочтительнее снижения. Что А запрещено жестко, а Б не приветствуется. Что Иванов командует, а Петров только снаряды подносит.
"Говорить" – не совсем верное слово: это должно из нее следовать. Если что-то забыли, а чему-то уделили внимание аж два раза - это тоже подсказка, вес, ранжир.

К сожалению, безопасник делает политику ИБ техничной, гладенькой.
Даже если руководство действительно дало в нее какой-то живой акцент, то он восполняет пробелы, выравнивает.
И убивает.

Убитость политики пропорциональна профессионализму: хотите совершенно без страсти, плоскую, пригодную для вечного висения в рамочке – обратитесь к крутым консультантам.

Последний вывод. Если хорошая политика – это кривая политика, то не стоит тырить чужие или выменивать на коньяк. Это ведь очевидно теперь?

Продолжение запланировано.