ИБшник – он ведь как привык: потенциальный ущерб Х вероятность = риск. Если вероятность чего-то нулевая, соответствующий риск можно не калькулировать, сразу вычеркиваем.
Во ФСТЭКовских документах по ПДн (а конкретно – в Методике определения актуальности угроз) не так.
Во-первых, на месте вероятности находится возможность, которая является суммой вероятности и незащищенности, поэтому даже маловероятную угрозу нельзя выкидывать раньше времени – она еще может превратиться в актуальную при дальнейшем расчете.
Во-вторых, на месте знака умножения стоит... не знаю, как это назвать. В-общем, совы – не то, чем они кажутся. В результате высокая опасность даже в сочетании с нулевой возможностью (т.е. нулевой вероятностью и сверх-защищенностью) дает актуальность, а не ноль, подспудно ожидаемый из предшествующего жизненного опыта.
Поэтому если хочется сэкономить бумагу и мозг заказчика, но не погрешить против ФСТЭК, то идти надо в обратную сторону.
Сначала оцениваем опасность угроз и все, получившие высокую оценку, сразу переносим в актуальные и больше с ними не возимся.
Потом оцениваем исходную защищенность (которую уместнее было бы называть незащищенностью, раз 0 - это хорошо, а 10 - плохо) и в случае низкой cносим в список актуальных все среднеопасные угрозы тоже.
Для оставшихся - оценка вероятности.
Во ФСТЭКовских документах по ПДн (а конкретно – в Методике определения актуальности угроз) не так.
Во-первых, на месте вероятности находится возможность, которая является суммой вероятности и незащищенности, поэтому даже маловероятную угрозу нельзя выкидывать раньше времени – она еще может превратиться в актуальную при дальнейшем расчете.
Во-вторых, на месте знака умножения стоит... не знаю, как это назвать. В-общем, совы – не то, чем они кажутся. В результате высокая опасность даже в сочетании с нулевой возможностью (т.е. нулевой вероятностью и сверх-защищенностью) дает актуальность, а не ноль, подспудно ожидаемый из предшествующего жизненного опыта.
Поэтому если хочется сэкономить бумагу и мозг заказчика, но не погрешить против ФСТЭК, то идти надо в обратную сторону.
Сначала оцениваем опасность угроз и все, получившие высокую оценку, сразу переносим в актуальные и больше с ними не возимся.
Потом оцениваем исходную защищенность (которую уместнее было бы называть незащищенностью, раз 0 - это хорошо, а 10 - плохо) и в случае низкой cносим в список актуальных все среднеопасные угрозы тоже.
Для оставшихся - оценка вероятности.
8 комментариев:
Торжество идиотизма?
Хы :) Применительно к тому, что стоит вместо знака умножения - знак "тождество идиотизма"
Я физический смысл фстэковской формулы не трогаю сейчас, а просто принимаю как правила игры. Но вообще он да, интересный такой ;)
В этой игре нет правил. Сколько не играй - все равно в дураках останешься. И не охота мне с ними играть совсем...
Есть еще больший пример идиотизма. Некоторые "продвинутые" лицензиаты ФСТЭК для ИСПДн класса К1 для всех угроз ставят уровень опасности "высокий". Якобы это следует из документов ФСТЭК (определение высокой опасности угрозы) и приказа трех (определение класса ИСПДн). Конечно, эти два определения практически совпадают. Но ведь иногда стоит вложить хоть каплю здравого смысла в свою работу.
Т.е. по такой методике абсолютно ВСЕ угрозы для ИСПДн класса К1 будут актуальными. Ну и, следовательно, затраты на создание СЗПДн возрастают пропорционально, что тоже выгодно этим самым лицензиатам.
Я видел лицензиата, который вероятность всех угроз ставит среднюю
И защищенность/незащищенность оцениваем по тому какие операции пользователь может выполнять в БД, а не по наличию системы разграничения прав доступа с корректно настроеной конфигурацией. Так можно покаждому показателю "защищенности пробежаться" :). Об этом я писал в своем блоге.
Сергею: это случай неудачно подобранного термина, просто назвал бы это автор "интегральным коэффициентом геморройности объекта защиты (ИКГОЗ)" - и никаких претензий.
Отправить комментарий