19.10.2008

О терминологии в области ИБ

Давно известно, что мы не можем эффективно управлять тем, что мы не можем измерить. Это то, почему так важно оценивать эффективность ИБ. Но мы не можем измерить то, что мы не определили. Именно поэтому так важна терминология в области ИБ. Надо признать, что общего языка у специалистов так и нет. Что такое ИБ? Чем ИБ отличается от защиты информации? Чем информационная безопасность отличается от безопасности информации? Вопросов больше чем ответов. Ситуацию мог бы изменить терминологичекий национальный стандарт.

Такие стандарты есть. Это рекомендации по стандартизации Р 50.1.056-2005 "Основные термины и определения" и ГОСТ Р 50922-2006 "Основные термины и определения". Еще есть РД ФСТЭК по терминам и определениям. Казалось бы чего еще надо? Да, они не совсем полны и к ним есть определенные нарекания, но... Почему каждый руководящий документ или стандарт в области ИБ, который появляется в России, содержит свой собственный раздел, описывающий термины и определения. Я как-то могу оправдать ЦБ, который в свой отраслевой стандарт включил термины, толкования которых уже есть в национальном ГОСТе. Но я не понимаю, почему ФСТЭК, имеющая в своем распоряжении РД с терминами, выпускает документы, не ссылающиеся на этот РД? Почему ФСТЭК имеет СТР-К, четырехкнижие по персданным, четырехкнижие по КСИИ и рекомендации по коммерческой тайне, и в каждом документе СВОИ собственные определения?

Грустно это...

11 коммент.:

Vair комментирует...

Вообще говоря, это не только национальная проблема. В мире тоже нет единообразия терминологии по ИБ.

swan комментирует...

Действительно, это проблема. Причём проблема ПРАКТИЧЕСКАЯ...

Сколько копий сломано из за терминов в контрактах, РД и т.п.

Простой пример:
1. Грамотный Заказчик указывает в контракте или ТЗ требования к разрабатываемому изделию или к документации.
При этом Заказчик где то в требованиях указывает конкретный ГОСТ и формулировку ГОСТ - требование к конструкторской документации.

2. Неграмотный Манагер не разобравшись протаскивает такой контракт, потому как сумма его устраивает.

3. В результате оказывается, что фраза в контракте и ссылка на конкретный ГОСТ тянут за собой требования других ГОСТ и т.д. и работ соответственно в 5 раз больше чем "понимает Манагер"...

И такие ситуации сплошь и рядом...

Алексей Лукацкий комментирует...

vair'у: Но там нет обязательных требований - только рекомендации.

Vair комментирует...

Алексею: Почему? Есть. PCI DSS, SOX например...

Алексей Лукацкий комментирует...

vair'у: SOX к ИБ имеет очень опосредованное отношение. PCI DSS одно из немногих исключение, на которое, кстати, многие забивают ;-) Да и раздела по терминологии в PCI DSS нет

Алексей Тесцов комментирует...

Как ни странно, у меня есть ответ на Ваш вопром - потому что одни разрабатывают стандарт 50922, другие (мне известные люди) разрабатывают 4-книжие по ПД, третьи пытаются реанимировать общие критерии, четвертые разрабатывают стандарты для ЦБ.
А главное - нет координационного центра в лице центрального аппарата ФСТЭК, который бы координировал как минимум деятельность. Хорошим центром мог бы стать ГНИИИ ПТЗИ, но... не стал.

Алексей Тесцов комментирует...

Кстати именно ГОСТ 50922 мне кажется лучше всего использовать для терминологии. Хотя и к нему достаточно вопросов.

Алексей Лукацкий комментирует...

Вообще-то именно Воронежский институт и должен координировать все эти работы, т.к. именно он их и разрабатывал ;-) Только вот он каждый раз все с нуля пишет ;-(

Алексей Тесцов комментирует...

Я и говорил про 4-х разных людей из Воронежа. :-) Не все пишут с нуля, кто-то продолжает свои мысли... Ну да ладно, чем больше пишу, тем грустнее становится...

AnsNet комментирует...

Потому что текучка во ФСТЭКе, потому что на работу во ФСТЭК берут разных людей, потому что подразделения разные эти документы разрабатывают... Потому что у разработчиков разных документов свои интересы, а ФСТЭК - не монолит

AnsNet комментирует...

Миленький Алексей - не с нуля - а с нулевого очередного начальника - Калифа на час.