Недавно, а точнее 12-го августа, с Евгением Царевым в Твиттере мы дисскутировали на тему, что такое ИБ с точки зрения бизнеса. Завершили на следующем определеним: "ИБ - это процесс обеспечения интересов стейкхолдеров путем управления бизнес-рисками, связанными с информационными потоками и технологиями". Я бы его в него добавил немного, чтобы получилось: "ИБ - это процесс обеспечения и поддержания необходимого уровня защищенности интересов стейкхолдеров путем управления бизнес-рисками, связанными с информационными потоками и технологиями". На мой взгляд это определение чуть лучше, т.к. объединяет двойственность ИБ как состояния и процесса, а во-вторых, говоря о необзодимом уровне защищенности, мы приходим к понятию оценки и измерению эффективности ИБ.
Это определение мне нравится даже больше того, которое я использовал раньше - "ИБ - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса". Это я переделал из определения в Доктрине ИБ Российской Федерации.
И вот совсем недавно я наткнулся на еще одно, очень высокоуровневое бизнес-определение - "Весь бизнес - это вопрос доверия. Доверие может развиваться только там, где участники сделки чувствуют себя в безопасности. Поэтому безопасность с точки зрения бизнеса должна рассматриваться как драйвер, способствующий бизнесу, а не как статья затрат". Оно из комментариев "Information Security Assurance for Executives" к руководству ОЭСР по ИБ сетей и информационных систем (OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security). Интересный поворот - от технологий и страховки к понятию доверия и условиям его обеспечения. А вообще оба последних документа (и руководство ОЭСР и комментарии к нему) достойны для изучения. Они позволяют понять, как и каким языком выносить ИБ на уровень руководства компании (разумеется, если руководство руководствуется общепринятыми нормами и принципами ведения бизнеса).
Это определение мне нравится даже больше того, которое я использовал раньше - "ИБ - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса". Это я переделал из определения в Доктрине ИБ Российской Федерации.
И вот совсем недавно я наткнулся на еще одно, очень высокоуровневое бизнес-определение - "Весь бизнес - это вопрос доверия. Доверие может развиваться только там, где участники сделки чувствуют себя в безопасности. Поэтому безопасность с точки зрения бизнеса должна рассматриваться как драйвер, способствующий бизнесу, а не как статья затрат". Оно из комментариев "Information Security Assurance for Executives" к руководству ОЭСР по ИБ сетей и информационных систем (OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security). Интересный поворот - от технологий и страховки к понятию доверия и условиям его обеспечения. А вообще оба последних документа (и руководство ОЭСР и комментарии к нему) достойны для изучения. Они позволяют понять, как и каким языком выносить ИБ на уровень руководства компании (разумеется, если руководство руководствуется общепринятыми нормами и принципами ведения бизнеса).
ИМХО.
ОтветитьУдалитьВсе-таки, безопасность - это состояние. Антоним к "опасности". А вот "обеспечение безопасности" - уже процесс. В ходе которого достигается и результатом которого является состояние.
ansv: +1. Более того, если стейкхолдеру каждый день капать на мозги "как у него все круто", то даже если все погано, он будет уверен в своей безопасности и значит процесс будет реализован успешно - ведь состояние достигнуто :) Так что все очень субъективно.
ОтветитьУдалитьНе хочу никого обидеть! Да и не стоит обижаться,но если к ИБ подходить с точки зрения развития философских мыслей,то боюсь получиться итог как в армии-военный это не профессия ,а вид сексуальной ориентации!:))
ОтветитьУдалитьчтобы не спорить. начнем с простого: безопасность движущегося поезда - это состояние?
ОтветитьУдалитьИнформационная безопасность бизнеса = безопасность бизнеса связанная с информацией.
ОтветитьУдалитьBDV,
ОтветитьУдалитьУсловия, при которых поезд выполняет свою "миссию" по своевременной доставке груза в целостности и сохранности из пункта А в определенный его владельцем пункт Б я бы назвал состоянием "безопасности движущегося поезда".
Различные обстоятельства (природные явления, партизаны в кустах, вагон с дембелями) могут вылиться в неожиданное событие (инцидент), способное нарушить "безопасность" и задержать, а то и сделать невозможным, выполнение его миссии.
Соответственно, обеспечение безопасности - это процесс исключения обстоятельств и приближения к условиям, при которых поезд гарантированно выполняет свою "миссию".
Один мой хороший товарищ говорит, что нужно ко всему относиться философски :)
ОтветитьУдалить2 ansv - безопасность конечно состояние.
ОтветитьУдалитьИз тех времен как раз, срач про ИБ в ФБ: https://www.facebook.com/permalink.php?story_fbid=233151050054167&id=100000778210976
ОтветитьУдалитьВообще, стоит задуматься над тем, является ли термин "информационная безопасность" смысловым эквивалентом и точным переводом "information security"?
ОтветитьУдалитьМда, наверно в стране все практические проблемы решены, раз уважаемые коллеги принялись за обсуждение столь высоких материй и базовых терминов :)
ОтветитьУдалить> столь высоких материй и базовых терминов
ОтветитьУдалитьА вы с заказчиком на каком языке разговариваете? Какие термины употребляете? И друг друга понимаете? А с коллегами?
Простите, но мне кажется что такие фундаментальные определения не должны содержать терминов типа стейкхолдер. почему нельзя использовать термин владелец? как-то проще и понятнее.
ОтветитьУдалитьА вы занимаетесь ИБ не только в интересах владельца, но и в интересах сотрудников, акционеров, регуляторов и т.д.
ОтветитьУдалитьно стейкхолдер уж больно косноязычно
ОтветитьУдалитьМожно "заинтересованные лица"
ОтветитьУдалитьК Алексею Л.
ОтветитьУдалитьВ одной известной вам книге, опять же известный вам А.П. Курило дает такое определение:
Под ИБ организации понимается состояние защищенности интересов (целей)организации в условиях угроз в информационной сфере..
Далее чуть подробнее раскрывается что такое информационная сфера.
Имхо определение вполне себе нормальное.
Мне "состояние" не очень нравится ;-)
ОтветитьУдалить