25.08.2011

Что такое информационная безопасность?

Недавно, а точнее 12-го августа, с Евгением Царевым в Твиттере мы дисскутировали на тему, что такое ИБ с точки зрения бизнеса. Завершили на следующем определеним: "ИБ - это процесс обеспечения интересов стейкхолдеров путем управления бизнес-рисками, связанными с информационными потоками и технологиями". Я бы его в него добавил немного, чтобы получилось: "ИБ - это процесс обеспечения и поддержания необходимого уровня защищенности интересов стейкхолдеров путем управления бизнес-рисками, связанными с информационными потоками и технологиями". На мой взгляд это определение чуть лучше, т.к. объединяет двойственность ИБ как состояния и процесса, а во-вторых, говоря о необзодимом уровне защищенности, мы приходим к понятию оценки и измерению эффективности ИБ.

Это определение мне нравится даже больше того, которое я использовал раньше - "ИБ - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса". Это я переделал из определения в Доктрине ИБ Российской Федерации.

И вот совсем недавно я наткнулся на еще одно, очень высокоуровневое бизнес-определение - "Весь бизнес - это вопрос доверия. Доверие может развиваться только там, где участники сделки чувствуют себя в безопасности. Поэтому безопасность с точки зрения бизнеса должна рассматриваться как драйвер, способствующий бизнесу, а не как статья затрат". Оно из комментариев "Information Security Assurance for Executives" к руководству ОЭСР по ИБ сетей и информационных систем (OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security). Интересный поворот - от технологий и страховки к понятию доверия и условиям его обеспечения. А вообще оба последних документа (и руководство ОЭСР и комментарии к нему) достойны для изучения. Они позволяют понять, как и каким языком выносить ИБ на уровень руководства компании (разумеется, если руководство руководствуется общепринятыми нормами и принципами ведения бизнеса).

18 коммент.:

ansv комментирует...

ИМХО.
Все-таки, безопасность - это состояние. Антоним к "опасности". А вот "обеспечение безопасности" - уже процесс. В ходе которого достигается и результатом которого является состояние.

Алексей Волков комментирует...

ansv: +1. Более того, если стейкхолдеру каждый день капать на мозги "как у него все круто", то даже если все погано, он будет уверен в своей безопасности и значит процесс будет реализован успешно - ведь состояние достигнуто :) Так что все очень субъективно.

Mihail комментирует...

Не хочу никого обидеть! Да и не стоит обижаться,но если к ИБ подходить с точки зрения развития философских мыслей,то боюсь получиться итог как в армии-военный это не профессия ,а вид сексуальной ориентации!:))

BDV комментирует...

чтобы не спорить. начнем с простого: безопасность движущегося поезда - это состояние?

Евгений Родыгин комментирует...

Информационная безопасность бизнеса = безопасность бизнеса связанная с информацией.

ansv комментирует...

BDV,
Условия, при которых поезд выполняет свою "миссию" по своевременной доставке груза в целостности и сохранности из пункта А в определенный его владельцем пункт Б я бы назвал состоянием "безопасности движущегося поезда".

Различные обстоятельства (природные явления, партизаны в кустах, вагон с дембелями) могут вылиться в неожиданное событие (инцидент), способное нарушить "безопасность" и задержать, а то и сделать невозможным, выполнение его миссии.

Соответственно, обеспечение безопасности - это процесс исключения обстоятельств и приближения к условиям, при которых поезд гарантированно выполняет свою "миссию".

Алексей Волков комментирует...

Один мой хороший товарищ говорит, что нужно ко всему относиться философски :)

Евгений Родыгин комментирует...

2 ansv - безопасность конечно состояние.

avetjan комментирует...

Из тех времен как раз, срач про ИБ в ФБ: https://www.facebook.com/permalink.php?story_fbid=233151050054167&id=100000778210976

Алексей Волков комментирует...

Вообще, стоит задуматься над тем, является ли термин "информационная безопасность" смысловым эквивалентом и точным переводом "information security"?

Евгений комментирует...

Мда, наверно в стране все практические проблемы решены, раз уважаемые коллеги принялись за обсуждение столь высоких материй и базовых терминов :)

avetjan комментирует...

> столь высоких материй и базовых терминов

А вы с заказчиком на каком языке разговариваете? Какие термины употребляете? И друг друга понимаете? А с коллегами?

melifaroh комментирует...

Простите, но мне кажется что такие фундаментальные определения не должны содержать терминов типа стейкхолдер. почему нельзя использовать термин владелец? как-то проще и понятнее.

Алексей Лукацкий комментирует...

А вы занимаетесь ИБ не только в интересах владельца, но и в интересах сотрудников, акционеров, регуляторов и т.д.

melifaroh комментирует...

но стейкхолдер уж больно косноязычно

Алексей Лукацкий комментирует...

Можно "заинтересованные лица"

tiger-66 комментирует...

К Алексею Л.
В одной известной вам книге, опять же известный вам А.П. Курило дает такое определение:
Под ИБ организации понимается состояние защищенности интересов (целей)организации в условиях угроз в информационной сфере..
Далее чуть подробнее раскрывается что такое информационная сфера.
Имхо определение вполне себе нормальное.

Алексей Лукацкий комментирует...

Мне "состояние" не очень нравится ;-)