tgoop.com/computersecuritybasics/61
Last Update:
Ключевые моменты лекции 5 /
Кооперационные методы и конфликты интересов
Принципы безопасности применяются не только к реализации механизмов безопасности, но и к реализации процессов безопасной разработки. При этом совершенно не важен тип цикла разработки: как правило, тип ЖЦ разработки определяется другими нефункциональными требованиями и требованиями области разработки (например, автомобильная область требует V-цикла).
В целом, принципы безопасности можно применять для разрешения противоречий и простых конфликтов интересов при организации разработки ПО. Однако в практике обеспечения безопасности, особенно сейчас, когда риски не везде до конца ясны и нормативная база (в особенности для некритической инфраструктуры не определена) встречаются сложные конфликты интересов, разрешение которых лежит в области бизнеса или назначения.
В особенности это относится к анализу интересов, мотивов и побуждений стейкхолдеров. Оценка рисков, связанных с атаками, у разных участников отличается, при этом безопасность для бизнеса определенных игроков может быть как отрицательным стимулом (увеличение времени выхода на рынок для продукта из-за необходимости реализовать требования безопасности), так и положительным (безопасный продукт — это еще и конкурентное преимущество с точки зрения маркетинга). В идеале выбор мер и средств обеспечения безопасности должен быть решением весьма сложной задачи оптимизации ресурсов компании, отвечать интересам бизнеса в условиях внешних и внутренних ограничений.
Основной проблемой разработки стратегии защиты от киберугроз на этапе анализа бизнеса или назначения является то обстоятельство, что чаще всего безопасность воспринимается бизнесом как предмет беспокойства и статья затрат.
Именно поэтому обеспечение необходимых аспектов кибербезопасности и защиты от угроз часто становится коллективной «игрой в труса».
Так, производители продуктов для автоматизации технологического процесса до сих пор пытаются переложить ответственность за обеспечение безопасности своих продуктов на клиентов, утверждая, что их продукт должен быть использован в изолированной (от интернета, от офисной сети и т.д.) среде. При этом они упорно игнорируют объективную реальность, в которой большинство предприятий в погоне за увеличением эффективности своей работы оказываются не в состоянии эти требования выполнить.
С другой стороны, мы нередко слышим от представителей предприятий различных отраслей, что они не могут (или не хотят) применить те или иные меры (установить патч ОС, например) и средства безопасности (установить антивирус) к своим системам промышленной автоматизации (например, рабочему месту оператора) без подтверждения со стороны производителя продукта. Таким образом представители предприятий стремятся хотя бы частично переложить ответственность за принятие решений по обеспечению безопасности на производителей используемых ими продуктов.
Поиск баланса бизнес-стимулов в случае безопасности приводит к стратегии «балансирования на грани». Чтобы удержать равновесие, каждая из сторон — производители определенных видов оборудования, программного обеспечения, системные интеграторы, поставщики услуг, посредники, владельцы предприятий — ищут оптимальный набор мер безопасности и пытаются не выйти за рамки бюджета.
BY Computer security basics
Share with your friend now:
tgoop.com/computersecuritybasics/61