id: Гость   вход   регистрация
текущее время 05:11 29/11/2020
Владелец: SATtva (создано 08/03/2009 19:15), редакция от 06/04/2009 18:33 (автор: SATtva) Печать
Категории: инфобезопасность, модель угрозы
создать
просмотр
редакции
ссылки

Риск


Вероятность воплощения угрозы в жизнь


Риск — это вероятность того, что конкретная угроза конкретному объекту реализуется в действительности и насколько поражён будет объект. Между понятиями угроз и рисков есть принципиальное различие: угрозы — это неприятности, потенциально способные случиться с объектами, тогда как риски — это вероятность того, что определённые угрозы действительно осуществятся. Допустим, есть угроза обрушения вашего дома, но риск того, что это произойдёт в действительности, намного выше в Сан-Франциско (где землетрясения происходят часто), нежели в Миннеаполисе (где это не так).


Люди зачастую переоценивают и из-за этого слишком остро реагируют на риск маловероятных угроз, поскольку они достаточно редки, и худшее происшествие получает широкий общественный резонанс или привлекает внимание своей необычностью. Аналогично, они недооценивают распространённые риски и принимают к ним недостаточно мер. Самый растиражированный пример — это езда на машине против полётов на самолётах. Другой пример: когда мы общаемся с людьми о вторжении государства в частную жизнь, то они обычно более обеспокоены прослушкой и обысками, хотя большинство людей подвержены значительно большему риску менее драматичных мер, таких как судебные требования к ним или их мэйл-провайдерам на выдачу электронных записей. Поэтому мы столь активно рекомендуем верные практики по управлению данными — если это приватные данные, не передавайте их на хранение другим лицам и не храните их сами, но если вынуждены их хранить, оберегайте их — одновременно описывая и более необычные ситуации, например, что вам делать, если полиция стучится в дверь или изымает ваш ноутбук.


Оценка риска — процесс неизбежно субъективный; не все люди разделяют общие приоритеты и не все смотрят на различные угрозы одинаковым образом. Многие люди считают определённые угрозы неприемлемыми независимо от меры риска, поскольку само наличие данных угроз при любой вероятности их возникновения не стоит того. В иных случаях люди игнорируют высокие риски, поскольку не считают данную угрозу проблемой. Например, в военном контексте уничтожение объекта может быть более предпочтительным, чем его попадание в руки врага. И, напротив, у гражданских более важно, чтобы объект вроде почтового сервиса был доступен, нежели конфиденциален.


В своей книге "Beyond Fear" эксперт по безопасности Брюс Шнайер показывает пять критических вопросов о риске, которыми вам стоит задаться, когда рассматриваете предлагаемое решение для проблемы безопасности:


  • Какие объекты вы пытаетесь защитить?
  • Каковы риски этим объектам?
  • Насколько успешно предложенное решение нивелирует эти риски?
  • Какие новые риски порождает решение?
  • Какие издержки и необходимые компромиссы накладывает решение?

Безопасность — это искусство взвешивания ценности объекта, который вы стараетесь защитить, и стоимости обеспечения защиты от определённых рисков. Практическая безопасность требует от вас реалистично оценить действительный риск угрозы, дабы решить, какие меры безопасности могут быть целесообразны для защиты объекта, а какие меры абсолютно необходимы.


В этом смысле, обеспечение вашей безопасности — это игра в компромиссы. Представьте замок на двери вашего дома. В какой тип замка (или замков) вам следует вкладывать деньги? Нужно ли вообще запирать парадную дверь? Объекты здесь бесценны: неприкосновенность вашего жилища и подконтрольность вам предметов, находящихся внутри. Уровень угрозы крайне велик: если кто-то проникнет внутрь, вы можете оказаться финансово уничтожены, вся ваша наиболее ценная и приватная информация раскрыта. Критическим вопросом тогда становится следующий: насколько велик риск того, что посторонний проникнет внутрь? Если риск мал, вы вряд ли захотите вкладывать значительные средства в замок; если риск велик, вы решите приобрести лучший замок за свои деньги.


Назад | Дальше


 
Комментариев нет [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3