В заголовке получилось почти как физики и лирики:) Собственно, на написание поста побудил выход нового подхода к безопасности АСУ ТП от известного эксперта в области ИБ АСУ ТП (предложенный как альтернатива подходу от NIST).
С точки зрения инженера подход замечательный, он во многом человеконезависим (многоуровневая система контроля и обратной связи), предложены возможности для минимизации стоимости. Т.е., вот что еще надо?.. Вот всего этого многих из нас и учили в вузах - мы должны понять цель создания устройства\платы, понять какие компоненты у нас есть\будут, понять ограничения по бюджету и спроектировать устройство. Все, ну вот все правильно сделано, подход замечательный.. с т.з. инженера.
С точки зрения менеджера (экономиста\юриста, в общем - гуманитария) критикуемый экспертом риск-ориентированный подход от NIST является единственно возможным. Только риск-ориентированный подход позволяет выживать организациям в условиях неопределенности в многих сферах, например, на рынках сбыта, капитала и трудовых ресурсов. Очевидно, что нельзя применять те же меры безопасности к АЭС и пивзаводу. Большое количество из очевидно необходимых мер (например, база активов и конфигураций ИТ) ведется не самым лучшим образом, просто потому, что такой уровень точности устраивает менеджеров (инженеры вспомнят из курса физики, что уровень точности величина приблизительная, и практически всегда можно его повысить, например, с помощью более сильного микроскопа). Опасения эксперта о отсутствии реальной пользы от применения риск-ориентированного подхода понятны, и бизнес обычно закрывает такой риск наймом компетентных и надежных специалистов, которые понимают и глубину проблемы (обладают инженерными знаниями в необходимой степени) и ее "ширину" (финансовые, юридические и управленческие аспекты).
Наверное, под давлением внешних сил - хакеров, регуляторов, финансовых кризисов они все же рано или поздно расширят свои горизонты (инженеры) \ углубят свои знания о вверенных им обьектах (менеджеры), и проблема будет не столь остра. А до того времени выгоду из ситуации будут извлекать наиболее ловкие ораторы, как внутри организаций так и вовне их;)
Комментариев нет:
Отправить комментарий