Я тут периодически толкаю телеги, что ЗИ не равно ИБ, поскольку есть разница между защитой свойств информации и защитой заинтересованных сторон от угроз, связанных с обработкой информации. Потому что силы приложены к разным телам.
Прошлый (позапрошлый?) пример был на обрушение доступности опасной информации (отказ от обработки), портящее ее КДЦ, но улучшающее ИБ организации.
Ныне замахнемся на Аристотеля нашего Стагирита.
Диалог:
- Т.е. соответствие какому-нибудь стандарту, тому же исо27тыщ, например, не гарантирует отсутствия незапатченного сервера или роутера с дефолтным паролем?
- Ну, во-первых, аудиторы могут что-то и проморгать, особенно если инфраструктура большая. А во-вторых, обнаружения подобной уязвимости действительно недостаточно, чтобы не выдать или не продлить сертификат - major'ным (несовместимым с сертификацией) несоответствие будет только если патч- или пассворд-менеджмент вообще не регулируется, не выполняется или не контролируется. Так что, теоретически, да - не гарантирует.
- Тогда никакой разницы, кому свою тайну доверить - что у тех утечет, что у этих - от сертификата польза чисто маркетинговая.
Или такой вариант:
- AWS сертифицирован по исо27тыщ, а инцидент тем не менее произошел - где же эффект от соответствия стандарту? А просто оно снижает вероятность инцидентов и, поэтому, демонстрируемые в отчетах риски, но не более.
В чем логическая ошибка? В подмене предмета. В переносе фокуса с субъекта или обладателя информации (или иного заинтересованного лица) на собственно информацию, оценке события для нее, а не для него, порождающей ЗИшное умозаключение вместо ИБшного.
Между тем, пробой защищенности информации не означает равного снижения защищенности оунера/стейкхолдера.
Если организация сертифицировалась по исо27тыщ, то у нее есть коллегия по ИБ, налажен процесс отработки инцидентов, коммуникации с партнерами и органами, извлечения и внедрения уроков, отслеживания выполнения, наказания нарушителей, восстановления работы и т.п.
Поэтому даже при одинаковом нарушении КДЦ информации, последствия для пострадавшего могут отличаться по размеру или долговременности.
Вот для информации действительно все равно - она не живая (грубый отсыл к посту "Есть ли у информации интересы?").
з.ы. Следующий пост будет коротким, ибо нефиг.
Прошлый (позапрошлый?) пример был на обрушение доступности опасной информации (отказ от обработки), портящее ее КДЦ, но улучшающее ИБ организации.
Ныне замахнемся на Аристотеля нашего Стагирита.
Диалог:
- Т.е. соответствие какому-нибудь стандарту, тому же исо27тыщ, например, не гарантирует отсутствия незапатченного сервера или роутера с дефолтным паролем?
- Ну, во-первых, аудиторы могут что-то и проморгать, особенно если инфраструктура большая. А во-вторых, обнаружения подобной уязвимости действительно недостаточно, чтобы не выдать или не продлить сертификат - major'ным (несовместимым с сертификацией) несоответствие будет только если патч- или пассворд-менеджмент вообще не регулируется, не выполняется или не контролируется. Так что, теоретически, да - не гарантирует.
- Тогда никакой разницы, кому свою тайну доверить - что у тех утечет, что у этих - от сертификата польза чисто маркетинговая.
Или такой вариант:
- AWS сертифицирован по исо27тыщ, а инцидент тем не менее произошел - где же эффект от соответствия стандарту? А просто оно снижает вероятность инцидентов и, поэтому, демонстрируемые в отчетах риски, но не более.
В чем логическая ошибка? В подмене предмета. В переносе фокуса с субъекта или обладателя информации (или иного заинтересованного лица) на собственно информацию, оценке события для нее, а не для него, порождающей ЗИшное умозаключение вместо ИБшного.
Между тем, пробой защищенности информации не означает равного снижения защищенности оунера/стейкхолдера.
Если организация сертифицировалась по исо27тыщ, то у нее есть коллегия по ИБ, налажен процесс отработки инцидентов, коммуникации с партнерами и органами, извлечения и внедрения уроков, отслеживания выполнения, наказания нарушителей, восстановления работы и т.п.
Поэтому даже при одинаковом нарушении КДЦ информации, последствия для пострадавшего могут отличаться по размеру или долговременности.
Вот для информации действительно все равно - она не живая (грубый отсыл к посту "Есть ли у информации интересы?").
з.ы. Следующий пост будет коротким, ибо нефиг.
3 комментария:
Мораль: безопасность ради бизнеса а не наоборот.
В принципе - да. Реально могут быть и другие заказчики (стейкхолдеры), прямые и опосредованные.
Не только. Руководство фирмы - это лишь один из "заказчиков" ИБ (но зато прямой).
Отправить комментарий