02.02.2011

Акт и потенция

В отечественной ЗИ/ИБ существует тяжелейшая путаница с употреблением слова "угроза".

Связано это с массовой заменой классических терминов на конструкции с "угрозой" в составе: "атака" -–> "реализация угрозы", "потенциальный ущерб" –-> "опасность угрозы", "риск" –-> "актуальность угрозы" и т.п.
Чего не учли горе-регуляторы – так это склонность русской речи к сокращательству, обрекающую на превращение в "угрозу" любые производные/первообразные: и вместо "источника угрозы" будет ходить "угроза", и вместо "уязвимости к угрозе", и далее по списку.

Ох, насколько короче были бы дискуссии, если бы один спорщик не говорил "угроза", имея в виду воздействие, а его оппонент не возражал, прочитав это как ущерб ;)

Никак не могу вспомнить авторство и оттого привести точную цитату, а пассаж был примерно таков: "И если у печки температура составляла градусов 30, то в центре комнаты все 10, под столом -5, а за шкафом ее, похоже, и вовсе не было". Почему-то кажется, что это Булгаков (не потому ли, что он весьма вдохновлялся Гоголем, а у того знаменитый "день без числа"?), но поискал по lib.ru – догадка ошибочна.

Угроза существует всегда, когда есть источник, фактор и канал воздействия. Ни отсутствие уязвимого объекта, ни наличие более актуальной угрозы, ни что иное угрозу не отменяют.
Если вулкан Этна не является потухшим, угроза его извержения для Вас существует, и точка. Она может быть исключительно маловероятной, сулить приемлемый ущерб, у Вас может не быть объекта, уязвимого к ней, или быть приняты меры, исключающие воздействие (опаньки, удаление 2600 км) – это не имеет к ней отношения. Присмотритесь: речь пошла о вероятности, ущербе, уязвимости, мерах - не об угрозе.

Помнится, главный и любимый мой заказчик однажды хотел вписать в договора, что получаемые им услуги включают устранение угроз. Пришлось объяснять: "применительно к вирусам, например, это значит устранение вирусописания – у вас денег-то хватит?". Оказалось, что он согласен на предотвращение воздействия (а еще точнее - на удержание в пределах некоторой малой величины).

К чему это я? Да просто заспорили вчера: "у ФСТЭКа такие угрозы написаны, но у нас может не быть". У вас, товарищи дорогие, может рисков (т.е. актуальности) не быть, и то если соответствующим образом вероятность/опасность оцените, а угроза – она как та температура из шутки неизвестного автора.

15 комментариев:

Алексей Волков комментирует...

Да не заспорили мы, а просто дискутировали, весело и задорно :)

> У вас, товарищи дорогие, может рисков (т.е. актуальности) не быть, и то если соответствующим образом вероятность/опасность оцените, а угроза – она как та температура из шутки неизвестного автора.

Следуя приведенной логике, нужно оценивать ВСЕ БЕЗ ИСКЛЮЧЕНИЯ угрозы, в том числе и угрозу инопланетной атаки на файловый сервер, показывать, что они не актуальны, риска - нет. Так никакой бумаги и жизни не хватит только на то, чтобы составить перечень.

> Чего не учли горе-регуляторы – так это склонность русской речи к сокращательству

Да уж, зато все остальное они, безусловно, учли. Особенно, следуя этой же логике, черезвычайно исчерпывающий перечень угроз в БМУ ;)

Алексей Волков комментирует...

В дополнение. Я считаю, что в МУ должны быть те угрозы, которые (хотя бы минимально) актуальны для защищаемого актива. В противном случае - если указывать все без исключения - то перечень их будет поистине гигантским. Другой вопрос, если в методике УЖЕ заложен перечень угроз, обязательных для проведения оценки их актуальности.

Именно такой перечень есть в стандарте НПФ. НО до тех пор, пока я не приму у себя в организации акт о том, что этот стандарт обязателен для исполнения - он будет носить для меня рекомендательный характер.

С документами ФСТЭК двоякая ситуация. Я склонен рассматривать их как "рекомендательные", ибо нет никакого законодательного акта, что я должен безоговорочно следовать "методическим рекомендациям", а значит, могу угрозы ФСТЭК и не указывать. С другой стороны - бессознательная паранойя все-таки шепчет на ушко, что лучше их указать. Мало ли что.

Так что и здесь придется решить - кто ты: специалист или параноик ;)

Ригель комментирует...

Именно так: сначала надо составить перечень всех угроз, которые могут оказаться актуальны для какого-либо из активов, а потом уже оценивать, сравнивать, принимать или вырабатывать меры.

В случае ФСТЭКа и ПДн перечень задан в БМУ. Практически для всех объектов защиты он будет оказываться избыточным, но это не беда - оценил и вычеркнул.

А вот у НПФ беда - перечень неполный, это хуже.

Алексей Волков комментирует...

> В случае ФСТЭКа и ПДн перечень задан в БМУ. Практически для всех объектов защиты он будет оказываться избыточным, но это не беда - оценил и вычеркнул.

Я кажется понял, где камень преткновения. В формулировках и уровне детализации. У ФСТЭКа уровень детализации выше. У НПФ - ниже. Если перечень НПФ расширить до ФСТЭК, оставив на том же уровне детализации, то там обязательно появится угроза инопланетной атаки.

В любом случае - выбор уровня детализации - дело эксперта. Ему же и "отдуваться".

Ригель комментирует...

Что-то НПФ, конечно, потерял на укрупнении, но я вчера перечислял, что он потерял просто так.

Алексей Волков комментирует...

Не-не-не :) Опять мисандерстуд :) У ФСТЭК угрозы взяты большими мазками, у НПФа - помельче, так что он потерял на измельчении :) Верхний уровень детализации = большие детали, чем ниже - тем мельче :)

Ригель комментирует...

Увы, нет.

В БМУ НПФ перечень составлен по нарушаемому свойству и объекту воздействия. Сравниваем список объектов с ФСТЭКовским:
- УБПДн в СВТ - есть;
- УБПДн в ОТСС - мало, но есть;
- УБПДн в сетях - есть;
- угрозы прикладному ПО - нет;
- угрозы системному ПО - нет.

Алексей Волков комментирует...

Да. У ФСТЭКа - 8 угроз. Они сформулированы достаточно масштабно, потому перекрывают почти все. У НПФ - 23, сформулированы детально, потому и не перекрывают ФСТЭКовских масштабов. Ы?

Ригель комментирует...

Ы.

Алексей Волков комментирует...

Ну вот, и поговорили :)

Анна комментирует...

Интересная у Вас дискусия :) попробую поделиться своими соображениями.

Я обычно в МУ сначала перечисляю все виды угроз. Основываюсь на ФСТЭК-овской классификации.

Потом составляю перечень возможных угроз. Ну например, если голосовой обработки нет, то и угрозы утечки речевой информации быть не может.

Потом отбрасываю все угрозы со значением "маловероятно" - отсутствуют предпосылки.

Ну и потом для каждой из оставшихся возможных угроз определяю актуальность.

Ригель комментирует...

Я тоже, как видите, сторонник начинать со всех и идти последовательно, чтобы не было вопросов, как та или иная исчезла.

Однако описанное Вами отбрасывание маловероятных некорректно, отбрасывать можно только неактуальные.

Считаем:
При низкой исходной защищенности (Y1=10) и малой вероятности (Y2=0) возможность реализации будет средняя (Y=0.5) - вкупе со средней или высокой опасностью угроза должна получиться актуальной.
При высокой или средней исходной защищенности и малой вероятности возможность реализации будет низкая, но вкупе с высокой опасностью угроза должна получиться актуальной.

Так что против методики ФСТЭКа Вы грешите.

Анна комментирует...

Да, согласна.
Я все эти вычисления делаю в одной таблице. Чаще всего маловероятная угроза становится неактуальной т.к. опасность обычно тоже низкая. И уровень исходной защищенности чаще всего средний. Но это, конечно, не правило. Бывают и другие варианты. Вообще таким образом можно избавляться от угроз ПЭМИН.

Ригель комментирует...

Имело бы смысл с обратной стороны пойти: сначала оценивать опасность, и если высокая, то сразу актуальна - на вероятность/возможность этой угрозы бумагу и время уже не тратим.
Вот это было бы упрощением без нарушения.

Анна комментирует...

Ну да, все логично. попробую в следующем проекте :)

Отправить комментарий