31.01.2014

"Англия сдалась!"

Невозможно серьезно относиться к анализу рисков, если проделывал его больше двух раз на одной области.

Как минимум, уже хотя бы потому, что с каждым следующим циклом все больше оценок опираются не на измерение, а на предположение. Это ведь только в первый раз вероятность ограбления магазина можно взять из криминальной статистики по региону. «Надо укрепить замок на входе через заднее кирильцо», - прозревает безопасник. Укрепили. Остаточный риск каков стал? Вероятность, конечно, уменьшилась, но на сколько – можно достоверно сказать? А там и следующий круг наступил: «У нас район маленький – давайте распространим слух, что в подсобке питон живет». Ну, а теперь каков остаточный риск, что кто-то полезет? Видели Вы где-нибудь статистику с фейковыми питонами? И вот так чем дальше, тем кофейная гуща гуще, улыбка безопасника чаще, а к людям нужно проще и на вопросы смотреть ширше.

Тем не менее, надо взять себя в руки и написать про тот подход, который в исо27тыщ недавно поменялся. Пример специально другой, чтобы по-честному.

Итак, дикость полнейшая, но до сих пор стандарт хотел, чтобы риски автовладельца оценивались от деталей. Сначала инвентаризируем, из чего состоит автомобиль. У кого слабоумие и отвага, тот декомпозировал все до винтика, и его реестр активов напоминал каталог оригинальных запчастей с партнамберами. Остальные шли крупноузловым путем и говорили, что автомобиль состоит из ходовой, освещения, отопления, рулевого управления и т.п. Плюс стандарт требовал включать в список водителя, а некоторые аудиторы - гараж.

Дальше надо было примерить к каждому элементу каждую возможную угрозу и назвать величину наступающего в этом случае ущерба (желательно в деньгах), а также шансы того, что он произойдет. В этом виделась потрясающая наукообразность. Детали-то ведь все разные, и это правильно учитывать, что подшипник передней ступицы вряд-ли снимут гайцы, но он способен треснуть, а тосол склонен вытекать или выкипать, а шильдики могут пионерить. Итого, когда на двести, скажем, элементов пяти, например, классов ценности наложить триста угроз от семи типов источников с четырьмя показателями легкости реализации, и для каждой не лишенной смысла комбинации (ибо такие несуразицы как короткое замыкание в шине надо вычеркивать) назвать ущерб и вероятность – это же ого-го! «Ну, а теперь со всей этой красотой мы попробуем взлететь».

Особая пикантность, что информационную безопасность стандарт предлагал строить от бизнеса, т.е. сверху вниз, а риски обрабатывать, считая их снизу вверх. Кажется, я не видел случаев, чтобы эти вектора счастливо сошлись в одной точке, но на каждую мою критику исо27тыщ приходит кто-нибудь, у кого якобы сошлись.

Не прошло и девяти лет (а если считать BS7799-2, то двенадцати), как народу позволили брать риски в прямом и переносном смысле сверху. Как мы собственно и привыкли. Т.е. рассматривать автомобиль как возможность доехать, внешний вид, комфорт салона и пр. Так что анализы рисков по критерию «на скорость влияет / на скорость не влияет» или по принципу «на поломки я забиваю вообще, т.к. на такси, эвакуатор и сервис у меня всегда есть» аудиторы теперь официально обязаны хавать.

Победа разума? Вряд-ли. Потому что одновременно сделаны необязательными «контроли» из Аннекс А (т.е. 27002, он же 17799, он же 7799-1), и контрмеры можно теперь брать откуда угодно – скажем, из Базеля. Складывая это с либерализацией в оценке рисков, резонно заключить, что ИСО теряет рынок и хочет найти клиентов среди придерживающихся прежде бывших несовместимыми методик.

7 комментариев:

Алексей Лукацкий комментирует...

А какие клиенты у ISO?

Ригель комментирует...

За ней целый рынок: продажа текстов стандартов, продажа комментариев к стандартам, продажа курсов, продажа консалтинга, продажа сертификаций, продажа подтверждений сертификаций... Есть и "просто" раздел мира на сферы влияния между различными системами.

Vladimir Gninyuk комментирует...

"... до сих пор стандарт хотел, чтобы риски автовладельца оценивались от деталей."

Ой. А в каком месте хотел? Ссылочку можно?

Ригель комментирует...

Было 4.2.1.d) Identify assets --> threats to assets --> vulnerabilities that might be exploited by the threats --> ...
А стало это все это no longer prerequisite for the risk identification

Vladimir Gninyuk комментирует...

Ну так все правильно:

"Identify assets", при этом "3.1 asset -anything that has value to the organization"

Конечно, на практике, отдав СУИБ на откуп "спецам от ИТ/ЗИ" получили, что самым ценным для ОРГАНИЗАЦИИ стали ... "сервера", "БД заказчиков", "маршрутизаторы" и т. п.

Ригель комментирует...

Это в т.ч. потому, что для них угрозы/уязвимости типизированы

tomato комментирует...

Судя по превьюшке: "Annex A (NORMATIVE) Reference control objectives and Controls", контроли все еще обязательны (выдохнул с облегчением).
А ограничений по выбору контрмер никогда и не было; тех аудиторов, что к 27002 слишком нежные чувства питают (читай - проповедуют) на место надо было ставить (не забывая при этом прикидываться дурачком, ну как обычно) а не речам их верить.

Отправить комментарий