13.05.2019

Ответьте на вопрос: "что такое информационная безопасность", не подглядывая в блог

Мой блог читают специалисты по кибербезопасности, которые занимаются этой деятельностью уже не первый год (хотя кто-то и первый). В любом случае, каждый из тех, кто сейчас читает эти строки должен знать, чем он занимается. Так вот, попробуйте, ответить на вопрос: "что такое информационная (или кибер) безопасность?" Попробуйте ответить на этот вопрос (а лучше записать), прежде чем смотреть заметку дальше.


Я на курсах по моделированию угроз и измерению эффективности ИБ всегда начинаю с того, что советую определиться с тем, что каждый слушатель вкладывает в термин "информационная безопасность", так как от этого будет зависеть и какие угрозы мы будем рассматривать (и бороться с ними), и эффективность чего мы будем измерять. И надо признать, что у всех это определение разное. 8 лет назад я уже поднимал в блоге этот вопрос, но решил вновь вернуться к нему. Тем более, что и повод есть - недавно в англоязычном Твиттер я наткнулся на интересную дискуссию о том, что же такое безопасность. Топикстартер задал своим подписчикам этот вопрос и получил несколько десятков ответов. Я многие из них перевел и привожу ниже:
  • Безопасность - это постоянная оценка рисков и принятие или смягчение этих рисков. Это осознание того, что процесс никогда не закончится, что вы никогда не сможете быть полностью защищены от всех угроз, и что вам нужен план реагирования на сбои.
  • Безопасность - это процесс поддержания приемлемого уровня предполагаемого риска для конкретного события.
  • Безопасность - это процесс, а не конечное состояние.
  • ИБ - действия, направленные на защиту информации.
  • ИБ - это сочетание защиты и снижение беспокойства (комфорт).
  • Гарантия того, что актив защищен в степени, необходимой для снижения риска эксплуатации уязвимости до уровня, приемлемого для владельца актива.
  • Это видимость критически важных для бизнеса людей, процессов и технологий, с четкой способностью предотвращать или быстро реагировать на угрозы, как внутренние так и внешние, которые угрожают способности предоставлять ценность как компания.
  • Это все, что вам нужно, чтобы защитить себя и все, что вы цените, от того, что может причинить вам вред или привести к потерям.
  • Защита ключевых бизнес-операций для обеспечения прибыльности организации.
  • Состояние свободы от опасности или страха.
  • Это уменьшение, минимизация или устранение вероятности того, что угроза будет использовать уязвимость и повлияет на критичные активы.
  • Это состояние защиты компьютеров и данных от вреда.
  • Защита ваших интересов за пределами возможностей, пороговые значения рентабельности или устойчивости к риску ваших потенциальных злоумышленников.
  • Разумная защиты от актуальных угроз.
  • Практика минимизация беспокойства о системе или продукте.
  • Цикличный процесс идентификации, достижения и поддержания состояния.
  • Это состояние в котором, контроль, целостность, автономность и эволюция поддерживаются несмотря на внешнюю неопределенность окружающей среды.
  • Минимизация рисков, позволяющая нормально функционировать предприятиям и гражданам.
  • Процесс защиты критичных активов предприятия, позволяющий предприятию использовать функции этих активов для достижения своих целей.
  • Поддержание способности системы надежно выполнять предназначенную функцию, несмотря на разумный набор ошибок или помех со стороны нарушителей.
  • Практика защиты информации в структурированном и неструктурированном виде.
  • Это внимание, которое уделяется обеспечению доступности, используемости и сохранности данных надлежащим образом.
  • Обнаружение, предотвращение и реагирование на злоупотребления до приемлемого уровня риска.
  • Это когда частное преимуществ и стоимости от безопасности больше 1.
  • Состояние убежденности (которое может быть и ложным), которое было определено и разумно подготовлено к большим и наиболее вероятным угрозам текущему состоянию или любым его изменениям, которые могут произойти.
  • Это управление рисками.
  • Это предотвращение потерь.
  • Достижение баланса между целостностью, конфиденциальностью и доступностью в условиях постоянно меняющегося ландшафта рисков.
  • Это практика сочетания функциональности с конфиденциальностью.
  • Обеспечение доверия.
  • Минимизация рисков при максимизации ценности и работоспособности функции.
  • Действия, предпринятие для создания комфортного состояния, обеспечивающего нормальное функционирование.
  • Совокупность процессов и практик, предназначенных для защиты активов от атак, ущерба или неавторизованного доступа.
  • Непрерывный процесс оценки рисков.
  • Процессы предотвращения угроз и реагирования на них для минимизация риска компрометации данных.
  • Знание того, что для вас важно и сохранение его там. где вы хотите, тогда, когда вы хотите, и так, как вы этого хотите.
  • Достижение состояния, когда усилия по вторжению обходятся дороже прибыли от вторжения.
  • Сбалансированность использования ресурсов для снижения рисков, в то же время позволяя бизнесу выполнять желаемые функции, необходимые для продолжения работы, не препятствуя введенным мерам смягчения рисков.
  • Бесконечная битва с непредвиденными последствиями.
  • Меры безопасности, принимаемые для активного обнаружения и предотвращения совершения людьми плохих действий, а также процессы поддержания этих мер безопасности функциональными, актуальными и релевантными.
  • Борьба с максимальным ущербом минимальными усилиями, приводящими к максимально возможному благу.
  • Способность обнаруживать и сдерживать угрозы в допустимых пределах потерь для организации.
Можно еще накидать и ряд отечественных определений, которые мне встречались в разных документах и материалах:
  • Отсутствие опасности.
  • Состояние, при котором не угрожает опасность.
  • Состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
  • Деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию).
  • Технологическая задача, обеспечивающая целостность, конфиденциальность и доступность.
  • Состояние защищенности объекта от внешних и внутренних угроз.
  • Системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления.
  • Деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития.
  • Динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере.
  • Состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса.
Интересный список, не так ли? А как вы определяете термин "информационная безопасность"?..

17 коммент.:

biakus комментирует...

В общем, информационная безопасность - способность системы УПРАВЛЕНИЯ противодействовать негативным воздействиям. Понятно, что система управления функционирует в чьих-то интересах, с какими-то целями, в условиях каких-то рисков и для управления нужна передача, хранение и обработка информации (кибернетика Винера). Информация - это запомненный выбор (динамическая теория информации). Воздействуя на выбор - воздействуем на управление, т.е. на результаты работы системы управления.
А в частности, безопасность делится на множество узких специализаций (уже со своими определениями), которые в конечном счете нужны для обеспечения этой способности системы управления.

Nik1t03 комментирует...

Деятельность по построению и поддержанию процесса предотвращения, мониторинга и своевременного реагирования на инциденты ИБ.

Unknown комментирует...

Беда в том что многие "начальники" не понимают или не хотят понимать что мы делает, а значит ИБ-шник для них априори - лодырь.

John комментирует...

На мой взгляд, эта тема полностью раскрыта в блоге АГАСОФИЯ, чуть ли не каждый пост этой теме посвящен. Хоть и написано сложно, но вполне логично. Пользоваться надо научной терминологией, а не придумками.

Ржавский Константин комментирует...

Алексей, а Вам для чего это? Если для продления списков, то это как то ни о чем, если для получения объективного результата, то тут опят два допущения:

1. Если для практических решений, то этот термин не применим, что называется «совсем»;

2. Если с научной точки зрения, то есть единственное научно обоснованное определение этого термина у Г. Атаманова.

Алексей Лукацкий комментирует...

Константин, я вас на другой площадке ответил.

Алексей Лукацкий комментирует...

John: только вот в реальной жизни терминология Геннадия не применима

iScream комментирует...

Безопасность - это СВОЙСТВО объекта....

Target комментирует...

Существуют формальные определения понятия "безопасное состояние" для любой информационной системы. Например, см. по ссылке на автореферат на стр. 22 утверждение 1. Замените "функциональную стабильность" на "информационную безопасность" (для общего случая это одно и то же):

https://www.dissercat.com/content/razrabotka-nauchno-metodicheskogo-apparata-analiza-funktsionalnoi-stabilnosti-kritichnykh-in/read

Декларируй политику ИБ для информационной системы в терминах доступа субъектов к объектам (для этого надо понимать риски для ИС, т.е. что хорошо и плохо для ИС) и оценивай состояние ИБ по формуле.

Денис Б комментирует...

Безопасность - это эмерджентное СВОЙСТВО объекта...

John комментирует...

Алексей Лукацкий: Дело же не только в терминологии, а в парадигме, в целом. Многие мыслят только в рамках закона, забывая о реальной защите, многие привыкли думать о защите информации, а не о защите владельца информации, общая тенденция хорошо просматривается в популярных блогах. Возможно это связано, с тем, что изначально это направление было государственным, а затем без изменений растиражировано на частные компании.
Определённо, подход Атаманова где-то может быть ошибочным, но других альтернативных методологий нет, как нет и альтернативных методик и т.п. "Нельзя решить проблему с тем же сознанием, которое породило эту проблему".

Алексей Лукацкий комментирует...

John: почему нет? Есть. Просто они все не устраивают Геннадия, который считает свою теорию единственно верной

Artem комментирует...

Это деятельность направленная на конфиденциальность, целостность, доступность инфы... и сами эти состояния,
всё остальные слова укладываются в них, и это не только отечественная терминология в иностранных источниках тоже пишут CIA (confidentiality, integrity, accessibility)

Алексей Лукацкий комментирует...

У ФСБ иная терминология. И зарубежом используют не только триаду

Artem комментирует...

Это у они чтобы всех запутать, чтобы с важным видом говорить про атаки и гос. тайну никому не нужную (в смысле кто надо и так все знает), и намекать что они всем жизнь спасли. Умные живут за счет невежд, вот они "ума" и нагоняют, и не только они конечно...

Valery Estekhin комментирует...

Чем полезны разные подходы к определению безопасности вообще и информационной в частности?

По мне - так точно не поиском единственно верного определения. Скорее выводами, например таким:
В условиях агрессивного принятия рисков бизнесом, критерием приемлемости риска является способность компании нормально функционировать, "несмотря на разумный набор ошибок или помех со стороны нарушителей"

Алексей Попович комментирует...

Вот вы прогуливаетесь по улице. Что такое при прогулке Безопасность для вас лично? Скорее всего - ощущение защищённости... Ощущение. Для кого-то, вероятно, и при военных действиях будет присутствовать ощущение защищённости, а кто-то и сидя у себя дома не будет себя защищённым чувствовать.
А если теперь посмотреть на понятие "безопасность" глазами бизнеса\государства\кто-там-ещё-является-заказчиком-"безопасности" - зачем Им безопасность? По большому счёту - для пользы. У всех только она своя. В финансовом секторе - мани, в государственном - пошире рамки. Если взять бизнесОв, то какая им польза от безопасности? Скорее всего для минимизации расходов и максимизации доходов. Если, например, дешевле риски потери сохраняемого безопасностью застраховать, то безопасность вроде как и нужна в таком случае... То есть выкристаллизованная суть безопасности - это извлекаемая польза. Из чего польза? Похоже, что из состояний неопределённости, в которую вгоняют любую деятельность вездесущие риски. То есть умение использовать окружающий мир с выгодой для "себя". Прям искусство, панимаш. А может и кустарство. В общем - как умеешь, так и получится.
Но если более сухо, то у понятия много слоёв. И нет среди них главного "в общем" случае. Общий случай - это для... толпы жувачку пожувать.