11.05.2011

Паралогизм ЗИшника

Я тут периодически толкаю телеги, что ЗИ не равно ИБ, поскольку есть разница между защитой свойств информации и защитой заинтересованных сторон от угроз, связанных с обработкой информации. Потому что силы приложены к разным телам.
Прошлый (позапрошлый?) пример был на обрушение доступности опасной информации (отказ от обработки), портящее ее КДЦ, но улучшающее ИБ организации.
Ныне замахнемся на Аристотеля нашего Стагирита.

Диалог:
- Т.е. соответствие какому-нибудь стандарту, тому же исо27тыщ, например, не гарантирует отсутствия незапатченного сервера или роутера с дефолтным паролем?
- Ну, во-первых, аудиторы могут что-то и проморгать, особенно если инфраструктура большая. А во-вторых, обнаружения подобной уязвимости действительно недостаточно, чтобы не выдать или не продлить сертификат - major'ным (несовместимым с сертификацией) несоответствие будет только если патч- или пассворд-менеджмент вообще не регулируется, не выполняется или не контролируется. Так что, теоретически, да - не гарантирует.
- Тогда никакой разницы, кому свою тайну доверить - что у тех утечет, что у этих - от сертификата польза чисто маркетинговая.

Или такой вариант:
- AWS сертифицирован по исо27тыщ, а инцидент тем не менее произошел - где же эффект от соответствия стандарту? А просто оно снижает вероятность инцидентов и, поэтому, демонстрируемые в отчетах риски, но не более.

В чем логическая ошибка? В подмене предмета. В переносе фокуса с субъекта или обладателя информации (или иного заинтересованного лица) на собственно информацию, оценке события для нее, а не для него, порождающей ЗИшное умозаключение вместо ИБшного.

Между тем, пробой защищенности информации не означает равного снижения защищенности оунера/стейкхолдера.
Если организация сертифицировалась по исо27тыщ, то у нее есть коллегия по ИБ, налажен процесс отработки инцидентов, коммуникации с партнерами и органами, извлечения и внедрения уроков, отслеживания выполнения, наказания нарушителей, восстановления работы и т.п.
Поэтому даже при одинаковом нарушении КДЦ информации, последствия для пострадавшего могут отличаться по размеру или долговременности.

Вот для информации действительно все равно - она не живая (грубый отсыл к посту "Есть ли у информации интересы?").

з.ы. Следующий пост будет коротким, ибо нефиг.

3 комментария:

Alexey Volkov комментирует...

Мораль: безопасность ради бизнеса а не наоборот.

Ригель комментирует...

В принципе - да. Реально могут быть и другие заказчики (стейкхолдеры), прямые и опосредованные.

Ригель комментирует...

Не только. Руководство фирмы - это лишь один из "заказчиков" ИБ (но зато прямой).

Отправить комментарий