пятница, 9 сентября 2011 г.

А должна ли стоимость защиты не превышать стоимость активов?


Довольно часто можно услышать, что защита должна быть адекватной. "Другими словами, если данные никому не нужны - то не надо их защищать. Если данные стоят 10 рублей - то нет смысла тратить 11 рублей на систему их защиты". Так ли это в современном мире?

Ущербность подхода заметна, если задать ровно один вопрос: зачем домашнему пользователю антивирус?  Современные вирусы: с одной стороны разрушают инфицированные системы довольно редко и во-вторых, в общем случае, не блокируют компьютер пользователя. Иногда вирус не только не похищает информацию, но и закачивает новую.  В этом случае ценность ресурсов в underground даже вырастет. ;)

Тем не менее, зачем-то мы рекомендуем использовать антивирус и вроде как нет деятелей, предлагающих отменить установку антивирусов на домашние ПК.

P.S. Для пользователей: Антивирус ОБЯЗАТЕЛЕН. Это не обсуждается!

10 комментариев:

  1. Наверное все-таки привязка должна идти не к стоимости актива, а к ее ценности и влиянию на процессы, т.е. к величине ущерба от реализации угрозы в отношении актива. Так информация может ничего не стоить сама по себе, но ее недоступность в течении определенного времени может быть весьма ощутима для владельца этой информации - тогда то и возникает необходимость защитных мер. Тогда и антивирус нам нужен с одной стороны, чтобы снизить риск потери или недоступности нашей информации, а с другой, чтобы избежать прерывания процесса пользования компьютером и вынужденного простоя в связи с необходимостью борьбы с вирусами.

    ОтветитьУдалить
  2. На примере среднего домашнего пользователя. Нет там информации вообще. Вчера столкнулся с таким компьютером. Игры, сайты и все. Фотки лежат на внешнем хранилище и смотрятся на плазме. Фильмы покупаются на DVD или берутся с торрентов. Из обнаруженной там информации – только заготовки и обрывки школьных рефератов. В случае разрушения системы – она там просто переустанавливается, а дети на это время оккупируют телевизор.
    Но самое интересное, что в случае включения этого компьютера в botnet я не смог вспомнить ни одного экономического критерия позволяющего выделить деньги на антивирус…

    ОтветитьУдалить
  3. > зачем домашнему пользователю антивирус?

    Вы видите ущербность подхода в том, что оцениваете исключительно конфиденциальность данных, но не принимаете во внимание других активов, таких, как целостность и доступность сервиса (домашнего ПК) и удобство его использования, которые, в свою очередь, являются наиболее ценными для домашнего пользователя. Рассматривая проблему комплексно, не будет никакой ущербности.

    ОтветитьУдалить
  4. 2 Алексей: Вот обычно мы понимаем друг друга...
    Я ни слова не сказал о конфиденциальности. Антивирус как раз и является в первую очередь элементом обеспечения целостности и доступности. ;)
    Если рассмотреть мой компьютера и, вероятнее всего Ваш, то все слова о целостности и т.д. играют роль. У меня есть информация, в том числе уникальная, сгенерированная мной.
    Если мы смотрим на обычный комп на котором резвятся дети, то кроме сотни гигов игр скаченных с торента и выкаченных рефератов мы модем обнаружить, разве что еще немного порно.
    Реальную ценность, по словам моих знакомых, в домашнем ПК представляют фотки и homevideo. В последнее время их все чаще сливаю на сетевые хранилища…

    ОтветитьУдалить
  5. Погодите, Руслан. Ваши слова: "Другими словами, если данные никому не нужны - то не надо их защищать." Это автоматически говорит о конфиденциальности данных. С этого начался пост. Поэтому я и взбрыкнул :)

    ОтветитьУдалить
  6. Сейчас буду "отмазываться"... ;)
    Это была цитата видимо не правильно оформленная. Под никому я в первую очередь понимал собственника системы. Именно этим и определяется отношение к компьютеру и его наполнению.

    ОтветитьУдалить
  7. 2 Алексей: UPD: Судя по всему мы наблюдаем вещи, которые я могу описать только как следствие усиления информационной связности общества. Заражение того же домашнего компьютера несет больше неприятностей обществу через рассылку spam и DDOS, чем собственнику системы, даже если он (собственник) теряет всю информацию. А с приходом облаков и дешевых хранилищ становится вообще проще держать материалы в сети и иметь доступ к ним с планшета, телефона и компьютера на работе и дома. И вопрос доступности системы теперь выражается только в виде оценки: а сколько требуется времени на установку ОС на сдохший комп? Тот же Chrome теперь хранит на Google не только bookmark, но и набор установленных гаджетов и сохраненные пароли к сайтам.

    ОтветитьУдалить
  8. > Под никому я в первую очередь понимал собственника системы.

    А, ну так тут все просто. Если мы возьмем определение слова "актив" (asset) из ИСО, то мы увидим: "все, что имеет ценность". Соответственно если данные не имеют - ну и шут с ними. Но есть ведь и по-ценнее вещи. И поэтому термин "информационная безопасность" ИМХО слишком узок в современных условиях.

    ОтветитьУдалить
  9. То что термин информационная безопасность надо менять на что-то типа "операционная безопасность" или "системная безопасность" видно давно.

    Я имею ввиду, что на этапе управления рисками, собственник системы может на все махнуть рукой, как делается в большинстве случаев малого и среднего бизнеса, и в этом случае эта система будет представлять собой угрозу обществу.

    ОтветитьУдалить
  10. > на этапе управления рисками

    А тут уж все зависит от квалификации риск-менеджера. Кстати, сходная тема: http://sborisov.blogspot.com/2011/09/blog-post.html

    ОтветитьУдалить