Опубликована вторая статья

Опубликована статья «Риски и уязвимость»

Наконец-то, я опубликовал вторую статью. Думаю, для опытных специалистов будет особенно интересна четвертая ее часть, в которой вводится понятие профиля уязвимости.

Одной из важнейших задач специалистов по безопасности является оценка защищенности. Но, прежде чем оценивать защищенность, мы должны понимать, что это такое. Обсуждению этого понятия, понятия сложного, не всегда хорошо понимаемого даже специалистами, и посвящена эта статья.

Итак, статья содержит:

• понятие риска и факторы, влияющие на риск;
• показатели серьезности уязвимости DREAD и CVSS;
• связь оценок уязвимости с факторами риска;
• понятие профиля уязвимости.

Работа над этой статьей заняла намного больше времени, чем я ожидал. И связана эта задержка с изначально неправильным планированием содержания статьи.

Когда я обдумывал содержание книги, мне казалось, что по поводу угроз и рисков можно будет сказать очень немного. Чуть-чуть этого, чуть-чуть того… Казалось, будет компактная статейка…

В результате я изрисовал примерно полпачки бумаги картами памяти. Было написано около 80 страниц текста.

Естественно, мне пришлось существенно скорректировать изначально планируемое содержание. Так мне пришлось отказаться от обсуждения:

• природы и особенностей неопределенности при оценке риска в информационной безопасности;
• существование мета неопределенности при оценке риска;
• методов теории вероятности и статистики для получения численных оценок и точности этих оценок;
• «экспертных» методов оценки рисков и связи их с «точными» методами;
• «экспертных» методов принятия решений, в частности, очень популярного метода «Анализа иерархий».

Всему этому, видимо, будет посвящена отдельная статья (или даже пара-тройка статей, посмотрим).

Также я отказался от обсуждения в этой статье понятия «угроза». Возможно, в дальнейшем я добавлю его в первую статью. Пока же, думаю, подобное обсуждение только загромоздило бы обсуждение и несколько замаскировало бы основной его смысл.

Таким образом мне удалось сократить статью более, чем в два раза. Тем не менее, статья все равно получилась достаточно объемная. Сейчас она содержит около 30 страниц текста.

По-хорошему, ее надо было бы делить на три части. Также надо было бы еще поработать над стилем.

Но я решил, что пусть это будет далекая от идеала статья, но она будет уже сейчас. Надеюсь, она все же получилась читаемой.

Перейти к статье.