Аксиомы ИБ

“Чем меньше слов, тем лучше молитва”

Ма́ртин Лю́тер Кинг

Тень, отбрасываемая Алексеем Лукацким на сферу ИБ, настолько велика, что начиная рассуждать на ту или иную тему по ИБ, невольно допускаешь, что у него уже про это где-то написано и рискуешь нарваться на: “вот тут я про это более подробно рассказывал...”.

Итак, что у Лукацкого по теме? В 2013 был пост “6 аксиом безопасника...”

Вот собственно аксиомы:

1. Инциденты будут происходить

2. Системы будут взламываться

3. Приложения должны быть работоспособными и защищенными одновременно

4. Люди будут стараться обойти все запреты

5. Вам нужно быть экспертом в том, чего вы раньше не видели

6. Законодательство меняется постоянно

Попробуем дополнить.

• Аксиома 1: "Абсолютной безопасности не существует"

• Аксиома 2: "Безопасность системы равна безопасности самого слабого звена"

• Аксиома 3: "Стоимость защиты информации не должна быть выше стоимости защищаемой информации"

• Аксиома 4: "Информация покупается и продается"

• Аксиома 5: "Ценность информации изменяется во времени"

• Аксиома 6: "Невозможно объективно, без учета полезности информации для потребителя, владельца, собственника оценить количество информации"

• Аксиома 7: "При копировании, не изменяющим информационные параметры носителя, количество информации не меняется, а цена снижается"

• Аксиома 8: "Принятый риск должен быть приемлем для бизнеса"

• Аксиома 9: "Дёшево, удобно, безопасно: выбирайте любые два"

• Аксиома 10: "Нападение на несколько шагов опережает защиту"

• Аксиома 11: "Лучшая защита – это нападение"

• Аксиома 12: "Человек совершает любые действия к своей выгоде"

• Аксиома 13: "Безопасность нельзя внедрить раз и навсегда"

• Аксиома 14: "За безопасность надо платить, в противном случае - расплачиваться"

(У.Черчиль)

 
• Аксиома 15: "Во время кризисов влияние безопасности возрастает"

• Аксиома 16: "Невозможно полностью устранить риск утечки информации с помощью технических и организационных мер защиты"

• Аксиома 17: "Все вопросы безопасности информации описываются доступами субъектов к объектам"

• Аксиома 18: "Нет средств защиты от всех угроз, но всегда находится угроза, которая преодолевает все средства защиты"

• Аксиома 19: "Противнику известна используемая система"

• Аксиома 20: "Любая ссылка с высокой кликабельностью, вне зависимости от запроса, скорее всего ведёт на порнографию"

• Аксиома 21: Абсолютная неуязвимость недостижима

• Аксиома 22: Если система обеспечивает работоспособность другой системы, то её класс критичности не может быть ниже, чем класс зависимой системы

• Аксиома 23: Убытки, понесённые в результате простоя системы, не могут быть ниже, чем убытки, нанесённые прерыванием бизнес-процесса, который эта система обеспечивает