情報セキュリティ業界全体では、情報セキュリティに関わる人々が行うことと職業と呼ぶものとの間のイデオロギー的矛盾に常に戸惑っていました。
情報システムのセキュリティを評価する客観的な方法はありません。 既存の方法はすべて、危険(不可能、不可能、穴)について話すか、システムが認証機関の要件を満たしていると言うことができます。 。 同様に、SFOD-12の認証に合格したため、安全です。 主なことは、紙を持っていることです。 そして、この論文の著者たちは、どこより安全な場所がないことを権威で証明するために、よりしっかりと口を閉ざしました。
その理由は、「セキュリティ」という言葉の非構成的な意味です。 「安全なシステム」とは何ですか? これは、機能の一部を持たないシステムです(たとえば、情報へのアクセスを提供しない、または機能を提供しない)。 したがって、安全なシステムとは、TKで説明されている場合を除き、他の機能がないシステムのことです。
数学の言語に翻訳する場合、有限の関数セット(参照用語)を取り、その補数を計算します。 何に加えて? で、これは現代の情報セキュリティを説明していない主な問題です。 私たちが知らない、無限のセット(または、有限の場合、私たちに見える境界を越えて)を補完します。 この無限のセットでは、個々のタイプの攻撃、不適切な構成、設計エラーなどについて説明しますが、これは実数のセットにセグメントをリストするのと同じです。
それを非常に明確にするために:すべてを数行に減らすと仮定します。 1から2までのセグメントが機能です。 残りは私たちには理解できない機能であり、「危険」の領域です
そこで、次のようなセキュリティの専門家が登場します。
0の場合、これは0脆弱性です。
eがある場合、これは指数関数的な脆弱性です。
πがある場合、これは三角球面のサービス拒否です。
10〜99のセグメントがある場合、これは多くの特定の2桁の攻撃です。
100〜999のセグメントがある場合、これらは3桁の攻撃です。
2未満で1を超える攻撃がある場合、これらは上限攻撃です。
原則は明確ですか? 専門家は、範囲のセットを使用して、詳細度のリストを無制限に公開できますが、実数のセット全体をカバーすることはありません。
これはまさに情報セキュリティが行うことであり、無限のセットの個々のセグメントをリストします。
規律自体は非常に理解可能で、必要であり、重要です...しかしそれまでは、「情報システムのセキュリティ」について何かを聞き始めるまで。 それは起こりません。 リストされている数に関係なく、すべて同じですが、これらは有限数と無限大です。 危険について話す-はい。 セキュリティについて-いいえ。
しかし、市場にはセキュリティが必要です。そして、単純に「セキュリティについては説明しませんが、これ、これ、これは間違いなく実行する価値はありません」というばかげたラッパーが来ます-「システムセキュリティのレベル」....システムの監査を実施しましたx→∞ (2 / x)は安全で、lim x→∞ (300 / x)は安全です。
一見したところ、300は2 以上です。システムの安全性が高いと言えます。 そして、よく見ると-それはゼロだったので、残りました。
UPD:コメンターが親切に示唆しているように、特定の「セキュリティの状態」があります。