Давно известно, что мы не можем эффективно управлять тем, что мы не можем измерить. Это то, почему так важно оценивать эффективность ИБ. Но мы не можем измерить то, что мы не определили. Именно поэтому так важна терминология в области ИБ. Надо признать, что общего языка у специалистов так и нет. Что такое ИБ? Чем ИБ отличается от защиты информации? Чем информационная безопасность отличается от безопасности информации? Вопросов больше чем ответов. Ситуацию мог бы изменить терминологичекий национальный стандарт.
Такие стандарты есть. Это рекомендации по стандартизации Р 50.1.056-2005 "Основные термины и определения" и ГОСТ Р 50922-2006 "Основные термины и определения". Еще есть РД ФСТЭК по терминам и определениям. Казалось бы чего еще надо? Да, они не совсем полны и к ним есть определенные нарекания, но... Почему каждый руководящий документ или стандарт в области ИБ, который появляется в России, содержит свой собственный раздел, описывающий термины и определения. Я как-то могу оправдать ЦБ, который в свой отраслевой стандарт включил термины, толкования которых уже есть в национальном ГОСТе. Но я не понимаю, почему ФСТЭК, имеющая в своем распоряжении РД с терминами, выпускает документы, не ссылающиеся на этот РД? Почему ФСТЭК имеет СТР-К, четырехкнижие по персданным, четырехкнижие по КСИИ и рекомендации по коммерческой тайне, и в каждом документе СВОИ собственные определения?
Грустно это...
Вообще говоря, это не только национальная проблема. В мире тоже нет единообразия терминологии по ИБ.
ОтветитьУдалитьДействительно, это проблема. Причём проблема ПРАКТИЧЕСКАЯ...
ОтветитьУдалитьСколько копий сломано из за терминов в контрактах, РД и т.п.
Простой пример:
1. Грамотный Заказчик указывает в контракте или ТЗ требования к разрабатываемому изделию или к документации.
При этом Заказчик где то в требованиях указывает конкретный ГОСТ и формулировку ГОСТ - требование к конструкторской документации.
2. Неграмотный Манагер не разобравшись протаскивает такой контракт, потому как сумма его устраивает.
3. В результате оказывается, что фраза в контракте и ссылка на конкретный ГОСТ тянут за собой требования других ГОСТ и т.д. и работ соответственно в 5 раз больше чем "понимает Манагер"...
И такие ситуации сплошь и рядом...
vair'у: Но там нет обязательных требований - только рекомендации.
ОтветитьУдалитьАлексею: Почему? Есть. PCI DSS, SOX например...
ОтветитьУдалитьvair'у: SOX к ИБ имеет очень опосредованное отношение. PCI DSS одно из немногих исключение, на которое, кстати, многие забивают ;-) Да и раздела по терминологии в PCI DSS нет
ОтветитьУдалитьКак ни странно, у меня есть ответ на Ваш вопром - потому что одни разрабатывают стандарт 50922, другие (мне известные люди) разрабатывают 4-книжие по ПД, третьи пытаются реанимировать общие критерии, четвертые разрабатывают стандарты для ЦБ.
ОтветитьУдалитьА главное - нет координационного центра в лице центрального аппарата ФСТЭК, который бы координировал как минимум деятельность. Хорошим центром мог бы стать ГНИИИ ПТЗИ, но... не стал.
Кстати именно ГОСТ 50922 мне кажется лучше всего использовать для терминологии. Хотя и к нему достаточно вопросов.
ОтветитьУдалитьВообще-то именно Воронежский институт и должен координировать все эти работы, т.к. именно он их и разрабатывал ;-) Только вот он каждый раз все с нуля пишет ;-(
ОтветитьУдалитьЯ и говорил про 4-х разных людей из Воронежа. :-) Не все пишут с нуля, кто-то продолжает свои мысли... Ну да ладно, чем больше пишу, тем грустнее становится...
ОтветитьУдалитьПотому что текучка во ФСТЭКе, потому что на работу во ФСТЭК берут разных людей, потому что подразделения разные эти документы разрабатывают... Потому что у разработчиков разных документов свои интересы, а ФСТЭК - не монолит
ОтветитьУдалитьМиленький Алексей - не с нуля - а с нулевого очередного начальника - Калифа на час.
ОтветитьУдалить