18.01.2010

Что защищает ИБ или сколько стоит информация?

На банкире началось (тут и тут) дискуссия о том, что же такое информационная безопасность. Не знаю, куда она заведет, но я решил пойти еще дальше и подумать, а что же мы защищаем и почему?

Что? Понятно - информацию. Зачем? Тоже понятно - потому, что она стоит денег и с ее помощью мы получаем какие-то преимущества, блага и т.п. Но почему мы должны защищать именно эту информацию, а не другую? И сколько тратить на ее защиту? Ведь классический принцип "защита не должны стоить дороже защищаемой информации" не подвергается сомнению никем, но и никем почти не доказывается. Потому что мы обычно не считаем, сколько стоит информация. Иными словами, информация ценна, но какова ее цена?

 Для ответа на этот вопрос, надо понимать, что представляет собой информация, ценная для бизнеса. Можно выделить 3 три вида ценности информации:
  1. Информация обладает рыночной стоимостью сама по себе. Например, ноу-хау, изобретение, база клиентов и т.п. Цена (она же в данном случае и ценность) информации в данном случае вычисляется относительно просто и нам тут помогуть методы оценки нематериальных активов.
  2. Информация влияет на поведение людей, систем, процессов и ее стоимость вычисляется как разница в стоимости поведения до и после. Допустим, я посетил курс по тайм-менеджменту, после которого моя производительность возросла на 12%. Ценность  этого курса (информации, данной на этом курсе) может быть вычислена двояко. Простой вариант - ценность курса равна его цене. Сложный вариант - ценность равна стоимости повышения производительности. Ведь именно благодаря этому курсу я стал работать на 12% лучше, что выражается в денежном исчислении.
  3. Информация снижает неопределенность, которая присуща любым бизнес-решениям, имеющим экономические последствия. Иными словами, мы должны измерить стоимость снижения неопределенности. Допустим, я пошел на ипподором и делаю ставку на лошадь. Изначально я не знаю, на кого ставить, - полная неопределенность. Но я заплатил "честным" мошенникам и узнал, что одна из лошадей выиграет точно. Теперь я могу принять более обоснованное решение; тем самым я снизил неопределенность. Очевидно, что информация о лошаде-победителе - имеет не только цену (равную заплаченной мной сумме), но и ценность, максимум которой равен моему выигрышу от ставок на скачках. Последний вариант тоже измерим, но более сложными методами. Один из них - прикладная информационная экономика (Applied Information Economics).

22 коммент.:

Ригель комментирует...

> Что? Понятно - информацию.

Уже не согласен.

biakus комментирует...

Беда в том, что мы не понимаем что такое информация и как измерять ее ценность. Но уже занимаемся ее защитой :)
ИБ станет полезной лишь тогда, когда появятся технологии измерения ценности информации...

Vair комментирует...
Этот комментарий был удален автором.
Vair комментирует...

2 biakus: В этом, возможно, и нет ничего страшного.
Пример: Человек, защищающий ювелирные украшения, вполне может не понимать что за украшения он защищает, какие у них свойства, в чем именно их ценность и пр. Однако его знаний об объекте защиты вполне хватает для того, чтобы организовать защиту...

biakus комментирует...

2 Vair: Ваш пример, подтверждение того что ИБ пока что "искусство"..

Quiet Zone комментирует...

ИМХО только информацией сфера интересов безопасника не ограничивается; защита информации не всегда является конченой целью безопаснега.

Алексей Лукацкий комментирует...

Ригелю: Предвосхитил завтрашний пост ;-)

biakus: Такие технологии уже давно существуют - AIE, iValue и другие, не имеющие собственных названий

Анонимный комментирует...

Уважаемые коллеги, Алексей, вот у меня такой вопрос.
Есть какая-либо критична информация которую априори нужно защищать. Эта информация храниться в "старой" информационной системе. Для защиты данной информации нужно провести комплекс работ и в частности реорганизация / построение новой информационной системы. Это требует тех или иных финансовых затрат. Руководители у нас зачастую экономисты и что для нас порой очевидно, для них не всегда.
Вот и возникают у группы товарищей вопросы характера: "Ну понятно новая система стоит X рублей, а стоит ли это того, стоит ли утеря данной информации этих X рублей?"
Понятно что "...прямые финансовые убытки, удар по репутации, снижение конкурентноспособности предприятия и прочие негативные последствия...", НО СКОЛЬКО ЭТО В ДЕНЕЖНЫХ ЕДИНИЦАХ.
Есть ли такое направление в ИБ и где такому учат?

Евгений Родыгин комментирует...

Один коллега перед новым годом развивал идею о том, что направление ИБ захватили ЗИ-шники и не отпускают...
После 2х часового обсуждения я уловил смысл и согласился...
Понятия эти и направления сплелись... в плохом смысле этого слова... и направление ИБ необходимо вытягивать наружу... иначе у нас продвижение Иб как науки останется в зачаточном состоянии...

biakus комментирует...

Посмотрел (поверхностно) AIE, iValue: - это методологии принятия решений применяемые при оценке инвестиций, но не технологии оценки ценности информации.. хотя тут может быть недопонимание из-за разных тезаурусов.

Алексей Лукацкий комментирует...

Именно ;-) Тезаурус в топку. Читайте первоисходники. AIE - это методика, позволяющая измерять неизмеримое ;-) В т.ч. ценность информации, возврат инвестиций в ИТ/ИБ, лояльность и т.п.

infowatch комментирует...

+ более распространённые случаи.

4. Информацию нельзя реализовать и получить с этого какой-либо выигрыш. Но если её реализуют другие, последуют убытки.

5. Информацию нельзя реализовать никому. Но если её не защитить, кое-кто ;) будет недоволен и применит санкции.

6. Информация не интересна вообще никому. Но в случае её утечки будет как-то неуютненько... И вообще - так принято!

Алексей Лукацкий комментирует...

Вырожденные случаи ;-) Но зато к России применимые ;-)

Алексей Т. комментирует...

Для обсуждения этой непростой проблемы необходимо сначала ввести термины, что есть что. Что такое ИБ, что такое ЗИ и т.д. По поводу ценности и классификации информации - с удовольствием подожду, до каких результатов данное обсуждение дойдет. Вопрос очень сложный, на мой взгляд исключительно практический. И как любая другая деятельность, созданная воображением и руками человека, с большим трудом поддается результативному анализу. Ждем-с выдающихся результатов!!!

attendantofwood комментирует...

Думаю, стоит начать с того, что Информационная безопасность (ИБ) не защищает информацию. ИБ вообще не защищает – это динамическое состояние, а не процесс. Это состояние, по сути, сродни гомеостазу у живых организмов – сохранение жизненно важных параметров организма (организации, общества, государства) в окрестности некоторых оптимальных значений. Например, аналогично уровню pH в крови, можно определить свежесть антивирусных баз – есть отклонение от нормы – запускается обновление или администратор безопасности запускает процесс ручками.

Доктрина информационной безопасности РФ дает достаточно точное определение ИБ государства: «Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства». Дальше расписывается, что же есть такое «интересы в информационно сфере» и, собственно, что же есть «информационная сфера» (смотрим доктрину).

Аналогично Доктрине, можно определить ИБ для предприятия как состояние защищенности ИНТЕРЕСОВ руководства предприятия в информационной сфере.

Информационная сфера в различной литературе определяется по-разному, но рас уж начали, то продолжим по Доктрине. Информационная сфера – это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

Защита информации – деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ определения ЗИ). Следовательно, Защита информации в традиционном понимании лишь часть Информационной безопасности.

Для создания адекватной системы безопасности необходимо подвергнуть научному анализу сущность социума (персонала предприятия) как социально-информационной системы. Уникальность социальной информационной системы, в первую очередь, заключается в том, что только она способна генерировать угрозы своей информационный безопасности внутри самой себя. Это связано с тем, что элементами данной системы являются люди – носители как индивидуального, так и общественного сознания.

Информационная безопасность, как наука, должна играть интегрирующую роль в системе знаний о принципах безопасного развития общества (предприятия).

Вот как-то так.

Алексей Т. комментирует...

2 attendantofwood: Браво, на этом дискуссию на эту тему можно и закрывать! А дискуссии на такие темы рождаются из-за того, что люди не вполне адекватно воспринимают термины и не имеют четкого внутреннего понимания каждого слова, которое они пишут или говорят. На самом деле какая разница, ИБ, ЗИ, БИ и т.д. Непонятно, что означает каждый из терминов, - открывайте первоисточники - Доктрину, Трехглавый, ГОСТ 50922 (мой любимый, хоть и не без изъянов - вернуть бы время назад, постарался бы в нем что-нибудь изменить...). Продолжаем дискуссию!

Алексей Лукацкий комментирует...

Т.е. защищаем информационную сферу... Не взирая на форму представления информации - файлы, записи в БД, бумажные документы, устная речь, видеосигнал...

Алексей Т. комментирует...

2 Алексей Лукацкий. Если придерживаться терминов Доктрины, информационная сфера как раз всеобъемлющее понятие (по сравнению с ИТ, информацией). А еще лучше мне кажется в каждом конкретном случае выбирать самостоятельно объекты защиты и отвечать за свой выбор в каждом конкретном случае. Никому еще не удалось настолько обобщить область ИБ (ЗИ), чтобы написать предусматривающие ВСЁ правила, методики, рекомендации и т.д. ПИшу, пишу, а в итоге опять полемика. Если Нас почитать, из писателей и читателей только этого блога можно создать неплохой (возможно даже лучший) НИИ по данным вопросам. Осталось выбить какой-нибудь госконтракт на проведение НИОКР для развития и....

attendantofwood комментирует...

2 Алексей Т.:
> Никому еще не удалось настолько обобщить область ИБ (ЗИ), чтобы написать предусматривающие ВСЁ правила, методики, рекомендации и т.д.

Да, вот это как раз следствие подмены информационной безопасности защитой информации. Чтобы написать комплекс рекомендаций хоть сколько нибудь привязанный к реальности, нужно уйти на более низкий уровень абстракции. Перейти от ЗИ ниже - к ИБ и развивать ИБ как науку - нужно начинать с фундаментальных основ. У меня в блоге в последнем посте есть об этом длинный коммент.

Алексей Лукацкий комментирует...

attendantofwood: Я тут (http://lukatsky.blogspot.com/2010/01/itsm_14.html) ответил на коммент в твоем блоге, т.к. у тебя разрешены посты только от ЖЖ-пользователей (даже OpenID запрещен).

Алексей Т. комментирует...

2 attendantofwood
Про разделение понятий все понятно. У меня в голове с самого начала работы в сфере защиты информации сложилась своя система: ИБ, включающая в себя ЗИ. А такую же систему я закладываю во всех, в кого в состоянии заложить. Но я не об этом говорил, а о сложности и сомнительной целесообразности описания ИБ, ЗИ и т.д. Если описывать недетально - нет смысла. Как только уровень детальности приближается к полезному, он начинает быстро устаревать и быть применительным к конкретной системе, а не ВООБЩЕ. Слушайте, пока я с вам тут общаюсь тему диссертации придумал. :-)

attendantofwood комментирует...

Алексей Лукацкий:

Совсем забыл об этом досадном факте... Сейчас открыл возможность, пожалуйста, выскажитесь там.

Алексей Т.:

Без отношения к ИБ как к науке - без целостного обобщенного описания, без описания безовых принципов и закономерностей - не представляется возможным создание комплексных практически применимых рекомендаций (не стандартов). ИБ становится в большей степени искусством, нежели естественно-научной дисциплиной.

Быстро устаревать будет только техническая часть, базис останется тем же гораздо дольше. А техническую часть и сейчас меняют очень часто - вот только не помогает это, без гуманитарного подхода.