![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
К вопросу о безопасности
Dec. 29th, 2010 10:31 amМного раз приходилось сталкиваться в быту и на службе с обсуждением вопросов безопасности. Всякий раз когда мне случается оказаться участником такого разговора я спешу задать главный вопрос который считаю в данной теме образующим.
А о каких угрозах идёт речь?
Делаю это всякий раз потому что... Моё твёрдое убеждение по вопросу безопасности состоит в том что.
Безопасность "вообще" - нонсенс. Любые меры безопасности существуют ТОЛЬКО в отношении конкретных угроз.
Если угрозы не определны, то любые разговоры о безопасности безсмысленны. Более того всякий кто смеет утверждать что скажем вот то или иное соединение якобы "безопасно" (connection is secure) не указывая явно на комплекс угроз в отношении которых это утверждение сделано - либо врёт, либо не понимает о чём говорит.
А слышать такие утверждения к сожалению приходится часто. И это как ни странно происходит не только в профессиональной среде IT (информатика), но и в новостях о политике и экономике.
Что значит утверждение "приняты меры безопасности" без явного указания того против каких именно угроз и какие именно меры были приняты?
Лично для меня такое утверждение означает - "Деньги потроачены. Спасибо, присылайте ещё! Посреди чиста поля возведён кусок забора с турникетом к которому приставлен охранник на хорошей зарплате." Вероятность эффекитвного срабатывания таких мер безопасности как правило равна вероятности нападения на Москву древними Римлянами построившимися традиционно "свиньёй".
Зачем такие меры безопасности "вообще" применяются?
Для того чтобы обезопасить собственный авторитет. Это единственная в данном случае угроза против которой и применяются меры.
Если ответственный сотрудник берётся принимать меры безопасности на самом деле не понимая угроз которым ему предстоит противостоять или (что чаще) вообще не задаётся вопросом о составе таковых - первая очевидная для него угроза это угроза оказаться уличённым в некомпетентности. Вот эта угроза ему видится первой и весьма очевидной. Против неё он и начаинает работать.
Как работает эта угроза?
Она как правило работает в виде вопроса - "Какие меры безопасности приняты?"
На этот вопрос требуется дать ответ. Сам факт предоставления ответа на вопрос в данном случае и есть "решение вопроса о безопасности". Не сами меры и тем более не угрозы против которых планируется принимать меры, а сам факт принятия каких-то мер в данном случае является решением. Просто потому что этого достаточно чтобы обеспечить противодействие единственной понятной угрозе - упрёке в некомпетентности в вопросах безопасности.
Так в чём же решение?
А решение состоит в том чтобы задавать правильный вопрос. Не надо спрашивать "какие меры безопасности приняты". То есть надо конечно, НО только после того как получен внятный ответ на первый и самый важный вопрос данной темы:
Какие выявлены потенциальные угрозы?
Если на этот вопрос удаётся получить внятный и подробный ответ - можно переходить к вопросу о мерах. А если нет, то дальше не стоит даже тратить времени на обсуждение. Не определившись с составом угроз или не поняв механизма их действия нет смысла говорить о мерах безопасности.
А о каких угрозах идёт речь?
Делаю это всякий раз потому что... Моё твёрдое убеждение по вопросу безопасности состоит в том что.
Безопасность "вообще" - нонсенс. Любые меры безопасности существуют ТОЛЬКО в отношении конкретных угроз.
Если угрозы не определны, то любые разговоры о безопасности безсмысленны. Более того всякий кто смеет утверждать что скажем вот то или иное соединение якобы "безопасно" (connection is secure) не указывая явно на комплекс угроз в отношении которых это утверждение сделано - либо врёт, либо не понимает о чём говорит.
А слышать такие утверждения к сожалению приходится часто. И это как ни странно происходит не только в профессиональной среде IT (информатика), но и в новостях о политике и экономике.
Что значит утверждение "приняты меры безопасности" без явного указания того против каких именно угроз и какие именно меры были приняты?
Лично для меня такое утверждение означает - "Деньги потроачены. Спасибо, присылайте ещё! Посреди чиста поля возведён кусок забора с турникетом к которому приставлен охранник на хорошей зарплате." Вероятность эффекитвного срабатывания таких мер безопасности как правило равна вероятности нападения на Москву древними Римлянами построившимися традиционно "свиньёй".
Зачем такие меры безопасности "вообще" применяются?
Для того чтобы обезопасить собственный авторитет. Это единственная в данном случае угроза против которой и применяются меры.
Если ответственный сотрудник берётся принимать меры безопасности на самом деле не понимая угроз которым ему предстоит противостоять или (что чаще) вообще не задаётся вопросом о составе таковых - первая очевидная для него угроза это угроза оказаться уличённым в некомпетентности. Вот эта угроза ему видится первой и весьма очевидной. Против неё он и начаинает работать.
Как работает эта угроза?
Она как правило работает в виде вопроса - "Какие меры безопасности приняты?"
На этот вопрос требуется дать ответ. Сам факт предоставления ответа на вопрос в данном случае и есть "решение вопроса о безопасности". Не сами меры и тем более не угрозы против которых планируется принимать меры, а сам факт принятия каких-то мер в данном случае является решением. Просто потому что этого достаточно чтобы обеспечить противодействие единственной понятной угрозе - упрёке в некомпетентности в вопросах безопасности.
Так в чём же решение?
А решение состоит в том чтобы задавать правильный вопрос. Не надо спрашивать "какие меры безопасности приняты". То есть надо конечно, НО только после того как получен внятный ответ на первый и самый важный вопрос данной темы:
Какие выявлены потенциальные угрозы?
Если на этот вопрос удаётся получить внятный и подробный ответ - можно переходить к вопросу о мерах. А если нет, то дальше не стоит даже тратить времени на обсуждение. Не определившись с составом угроз или не поняв механизма их действия нет смысла говорить о мерах безопасности.
