О заблуждениях в безопасности, ставших классикой
Недавно на одной из конференций в докладе генерального директора одного российского интегратора прозвучала мысль, которая явно взята из опыта отечественных страховых компаний, которые оценивают электронную информацию, как материальный актив.
Комментарии, как говорится, излишни.К чему мы пришли? Мы не можем сегодня оценивать риски информационной безопасности в принципе.
Поэтому неслучайно некоторые специалисты на Западе стали говорить о том, что раз мы не можем оценивать риски, то стоит от них отказаться, чтобы не вводить в заблуждение заказчиков.
Однако пока эта крамольная мысль не вошла в сознание отечественных специалистов и они по-прежнему продолжают «продвигать» услуги оценки рисков в массы и взимать за это немалые деньги.Мое личное мнение в отношении оценки рисков для обоснования инвестиций можно выразить одним словом - «профанация».
Это не значит, что я категорически против.
Просто у этой оценки есть своя область применения и свои ограничения.
Например, использовать качественную оценку для приоритезации своих работ по ИБ вполне логично.
Но ждать слишком много от нее не стоит.
И уж не стоит надеяться, что на основе этой экспертной оценки бизнес начнет выделять финансовые средства на приобретение тех или иных программных и программно-аппаратных средств.Триада безопасностиВ среде специалистов бытует распространенное мнение о том, что вся информационная безопасность базируется на трех китах - конфиденциальности, целостности и доступности, т.н.
«триаде безопасности».
Однако это устравшее восприятие, которое зачастую мешает активному продвижению новых технологий и подходов в области безопасности.
Допустим сотрудник какой-либо компании пошел в Интернет и скачал к себе на компьютер нелицензионное ПО.
Угроза эта для компании? Да.
Может она нанести ущерб? Да.
Должны ли мы предотвращать такие действия? Да.
Подпадает ли она под какой-либо элемент классической триады? Нет.
Другой пример.
Компания предоставляет услуги через Интернет (например, Интернет-магазин или Интернет-банк).
Должны ли мы аутентифицировать пользователя, подключающегося к Интернет-площадке? Обязательно.