Методика оценки рисков в области ИБ и выработки рекомендаций

[SergeyUser 5]

Сегодня натолкнулся на форум anti-malware.ru, чему рад, потому как соображения ниже на сайтах антивирусных компаний писать бы не стал. Надеюсь, уровень неаффилированности участников достаточен, чтобы обсуждать проблемы более-менее объективно Все ниже - исключительное IMHO. Так что далее по тексту надо понимать что это мое личное мнение, я ничего не навязываю его и просто излагаю, для дальнейшего открытого обсуждения.

Кратко проблемы, как они мне видятся:

a. Не берется в расчет общий (системный) эффект использования и не использования комбинаций продуктов и методов защиты (например, степень необходимости антивирусной защиты в клиентском IS-пакете зависит от используемой системы электронной почты);

b. Риски оцениваются без учета вероятности их возникновения (например, количество сущестующих вирусов под платформу Mac OS и динамика их роста позволяет существенно снизить требования к антивирусной защите, сохранив общий уровень безопасности на том же уровне (в качестве отправной точки берем, естественно, Windows));

c. Сам пользователь и его уровень образования является существенным фактором риска, рекомендации соответственно различны и надо выделять оптимальную среду для профи и для новичков, это могут быть разные среды.

Если брать случай частного (не корпоративного) пользователя, для сравнения среду и факторы риска, ей присущие, нужно рассматривать в комбинации примерно такого вида - OS + Browser + Антивирус + Почтовый клиент. Причем заслуживают внимания, прежде всего, комбинации без использования антивирусов вообще, так как для профессиональных пользователей они часто могут давать оптимальные параметры рабочей среды (надежность, производительность, безопасность, цена). Такой подход мне видится существенно более комплексным и практически полезным.

Хочу сказать, что мой выбор рабочей среды по предлагаемой методике, для пользователей категории Профи - Mac OS X 10.5 (Leopard) + Safari + <Без установленного real-time антивируса> + Gmail (Web-based). + Еженедельное сканирование файловой системы через загрузку с CD с использованием KAV (KIS тут, соответственно, не нужен). Свои доводы в пользу среды опускаю, привожу описание как пример, основной вопрос именно в методике.

Дополнительно хочу сказать о том, что, конечно, такой подход не может быть поддержан антивирусными компаниями. Действительно, ведь они не создают операционную систему, почему они должны ее сравнивать? АВ-компании делают свой продукт, и естественно сравнивают его. Но с позиции пользователя существуют риски, и многие из них решаются другими, отличными от покупки антивирусного продукта, методами. Так что с позиции независимых экспертов по информационной безопасности, я думаю, комплексный подход должен быть именно таким, как я описал выше.

Довольно часто в рассуждениях происходит подмена понятий. Например, сравнивают надежность операционной системы как таковую. Вот взломали Mac OS X быстрее Vista на специальном соревновании. Парадокс в том, что это скорее фактор, увеличивающий надежность среды (информация ушла в Apple), но наверняка любой АВ-производитель скажет, что, мол, смотрите, все ломается, бойтесь. Соответственно, технически (архитектурно) та же Mac OS X схожа по безопасности с Windows Vista, о чем часто и говорится. Но помимо архитектуры нужно брать в расчет, например, факт распространенности зловредов и другие, не зависящие от качества написания самой операционной системы свойства, определяющие безопасность среды в целом.