среда, 21 ноября 2012 г.

Чуть-чуть об ИБ-терминологии

Под впечатлением от вчерашнего просмотра большого количества вебинаров и докладов по ИБ от представителей типаИБшных компаний и типаИБшных подразделений софверных компаний:

То, что хочет сделать с информацией атакующий, называется угрозой
То, благодаря чему он может это сделать, называется уязвимостью
То, как он может это сделать, называется атакой
То, с какой вероятностью у него это удастся и какие последствия может повлечь, называется риском
То, что мешает атакующему сделать то, что он хочет, называется защищенностью
То, что снижает вероятность успеха атакующего и минимизирует последствия, называется безопасностью

Господа докладывающие, ну неужели это так трудно запомнить?( Вас же слушать невозможно, когда SQL-injection за 7 минут оказывается и уязвимостью, и атакой, и угрозой, и (внезапно) риском. Это атака и ничего больше. Также, как неправильная обработка данных является уязвимостью, а не угрозой. Также, как нарушение конфиденциальности информационного потока является угрозой, а не уязвимостью или риском. Я уже молчу о том, что безопасность у вас означает все, что угодно (причем в рамках одного и того же вебинара/доклада): от защищенности до риск-менеджмента, патч-менеджмента и прочих SDL (что, конечно же, имеет отношение к безопасности, но никак не является ей самой).

Потратьте PLS 20 минут своего времени и освойте эту терминологию. Если не по этому посту, то по "общим критериям", хотя бы. А то, помимо затруднения в восприятии ваших слов, еще и складывается ощущение, что вы совершенно не понимаете, о чем вообще докладываете =/