31.05.2010

Презентация "Измерение эффективности ИБ"

В пятницу я выступал на отличном мероприятии в Казани - IT & Security Forum. Тема презентации была посвящена вновь измерению эффективности ИБ. По сути только сейчас удалось создать некую рамочную модель любого измерения в ИБ. Достаточно определить четыре ключевых элемента - что такое ИБ, что такое эффективность, что такое измерение и какие цели ИБ мы хотим достичь. Ответив на эти 4 вопроса, мы получаем возможность измерить практически все, что угодно в области ИБ, включая и многие финансовые вопросы. Вот этой рамочной модели и была посвящена моя презентация.

8 коммент.:

eagle комментирует...

Спасибо! Отличная презентация

Евгений Родыгин комментирует...

В презентации указан обсуждаемый не так давно на банкире термин/определение ИБ:
"Безопасность информации -деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию)
ФСТЭК"

Обратимся к первоисточнику так как источник указан туманно ...
например:
(http://www.wikisec.ru/index.php?title=Безопасность_информации)

И РД и ГОСТ толкуют термин иначе...

Евгений Родыгин комментирует...

Еще очень много цитат великих !!! Не нашел ни одной цитаты Российских ученых !!!

P.S> ;-)

Алексей Лукацкий комментирует...

Я поищу, где у ФСТЭК такое определение. Но разве от этого меняется суть? Я все равно от другого отталкиваюсь ;-)

Евгений Родыгин комментирует...

Алексей !
Это я только чтобы wikisec.ru пропиарить ...

Очень хороший документ... чувствуется как подводишь подводишь за руку к выводам...

Спасибо за формулу "если что то можно наблюдать - это можно измерить". В принципе "темную материю" скорее вычислили по одной из теорий чем наблюдали.

Алексей Лукацкий комментирует...

Ну темная материя - это особая категория ;-)

attendantofwood комментирует...

Слайд 18 - эволюция взглядов?;)

http://lukatsky.blogspot.com/2010/01/blog-post_18.html

И всетаки, если определять ИБ в общем, а не применительно к государству или бизнесу, то она может определяться только интересами личности.

Остальные названные "субъекты" (государство, бизнес, общество) не имеют своих собственных интересов, ибо у них отсутствует сознание. Их интересами обычно называют интересы руководства, властной элиты и т.п.
Различные общественные институты (государство, работодатель (бизнес)) служат лишь для удовлетворения интересов (потребностей) личности. В этом, кстати, косяк определения доктрины, в котором личность, обладающая потребностями, интересами ставиться в один ряд с "бездушными субъектами" (общество, государство) а по сути с потребностями, интересами лиц властьимущих, то есть властьимущие как бы равнее других животных))

Собственно как же мы будем жить иначе, если даже в таких концептуальных документах, как доктрина ИБ, декларируется по сути что «All animals are equal, but some animals are more equal than others»

По-этому, мне кажется, не следует определять и измерять ИБ в общем (это задача как раз государства), а сосредоточится на интересах руководства (бизнеса). (Обсуждалось тут: http://attendantofwood.livejournal.com/9907.html) Для удовлетворения своих интересов руководство вынуждено считаться с интересами остальных работников и таким образом должно выражать их совокупность. Тут обсуждалось: http://lukatsky.blogspot.com/2010/01/blog-post_19.html

Алексей Лукацкий комментирует...

Ну я с тобой не согласен был относительно "защиты интересов" и на этой позиции остался. А вот определение мне понравилось по зрелому размышлению. Оно очень емкое и глубокое... в зависимости от понимания его пользователей.