вторник, 22 ноября 2011 г.

ИТ-безопасность или Информационная безопасность

Случился у нас тут на днях диспут на тему того, чем отличается ИТ-безопасность от информационной безопасности. И вот в тему этого вопроса попалась мне сегодня на глаза статья. Не могу сказать, что во всем согласен с автором, но привожу здесь мой перевод этого материала.

Некоторые думают, что термины ИТ-безопасность и информационная безопасность -это слова синонимы, ведь в конце концов разве информационная безопасность не занимается защитой компьютеров ? Вообще говоря нет. Основной аргумент здесь следующий - у вас может быть идеальная ИТ-безопасность, но всего лишь одно злонамеренное действие, например, администратора, и вся ИТ-инфраструктура может стать не работоспособной. Этот риск не имеет никакоk5;о отношения к компьютерам, он относится к людям, процессам и контролю.

Кроме того, важная информация может быть и не в электронной, а в бумажной форме. В качестве примера можно привести важный договор, подписанный с клиентом или перечень административных паролей, хранящихся в сейфе директора по ИТ.

Именно поэтому я люблю говорить своим клиентам, что ИТ-безопасность это примерно 50% от информационной безопасности, т.к. к информационной безопасности нужно еще отнести вопросы работы с персоналом, выполнения законодательства, защиты бизнес-процессов. Задача информационной безопасности обеспечить защиту информации (как относящуюся к ИТ, так и не относящуюся) путем реализации механизмов, снижающих возможные риски.

Этот подход хорошо описан в стандарте ISO 27001. В Приложении А этого стандарта описано 133 контроля (или иначе защитные меры), среди которых:
  • контроли, относящиеся к ИТ: 46%
  • контроли, относящиеся к организации и документированию: 30%
  • контроли, связанные с физической безопасностью: 9%
  • контроли, связанные с соблюдением законодательства: 6%
  • контроли, связанные с взаимодействием с поставщиками и клиентами: 5%
  • контроли, связанные с управлением персоналом: 4%

Собственно подход, описанный в данной статье совпадает со многими комментариями, которые высказывались коллегами. Поясню почему я с ним не согласен. На мой взгляд это довольно классический (я бы даже сказал несколько устаревший) взгляд на информационную безопасность. Я предлагаю обратиться к такому стандарту как Cobit (кстати не особо популярному в России). Так вот в данном стандарте, относящемся к ИТ приводятся следующие процессы:




Как можно увидеть здесь есть и процессы работы с персоналом (APO07) и работа с поставщиками (APO10) и вопросы контроля процессов (DSS8). Так что говорить, что вопрос работы с персоналом - это прерогатива именно информационной безопасности на мой взгляд не совсем корректно. Это все смежные области, которые могут интегрироваться и с информационной и с ИТ-безопасностью. Так что хоть я и согласен, что в настоящее время информационная безопасность и включает в себя ИТ-безопасность, но в очень скором будущем это должно измениться. Так что будет new school и old school :) Но это мое мнение, а так поживем - увидим.

13 комментариев:

  1. интересное рассуждение получилось...

    P.S. испрвьте ошибку в переводе статьи "Этот подход хорошо описан в стандарте ISO 27001. В Приложении А этого стандарта описано 133 контроля (защитных мерЫ)"

    ОтветитьУдалить
  2. Да просто нет никакой ИТ-безопасности.

    ОтветитьУдалить
  3. Ригель, коротко и безаппеляционно. Обоснуйте !

    ОтветитьУдалить
  4. Александр, я не знаю того определения ИТБ, из которого Вы исходите (и вообще не знаю такого определения, пожалуй), поэтому может получиться лишняя трата времени.
    Тем не менее.
    ИБ, как я ее понимаю - это защита стейкхолдеров от угроз, связанных с обработкой информации. В обработке участвуют а) сам контент, data, б) средства обработки, ware, в) участники обработки, одмины и юзвери, г) регуляция внешняя, внутренняя и контрагентская и т.д. (еще до буквы «к» примерно). Что-то из этого Вы сводите в ИТБ.
    Но ведь это же не объекты ИБ, не цели ее. Объект ИБ – это интересы стрейкхолдеров. Информация не рискует, ИТ-инфраструктура не рискует, понимаете? Вы когда риски оцениваете, то ущерб рассматриваете кому – самим цифрам, принтеру, программе?
    Любимый мой пример, который я всегда в доказательство привожу – повышение ИБ без повышения КДЦ или с ухудшением даже. Организация прекратила незаконную обработку, и ее (организации!) защищенность выросла. Оператор легально понизил класс ИСПДн, и его защищенность выросла. А информации упала.
    Говорить, что безопасность информации, или ИТ-инфраструктуры, или еще чего нибудь еще более странного, это часть ИБ – некорректно. Где-то задача ИБ _может_ совпадать с обеспечением конфиденциальности информации или целостностью витой пары, а может и не совпадать – вообще не зависеть или даже противоречить.

    ОтветитьУдалить
  5. Соглашусь в той части, что рассматривать информацию в отрыве от способа ее обработки и участников процесса обработки с точки зрения ИБ неправильно.

    А теперь с чем не согласен:
    >Оператор легально понизил класс ИСПДн, и его защищенность выросла. А информации упала.

    У Вас защищенность информации может рассматриваться в отрыве от способа обработки, субъектов доступа и значимости для оператора?
    Или все-таки в данном примере, Вы просто пересмотрели _значимость_ такой информации для оператора и далее последовало снижение класса ИСПДн? Что первично - значимость информации или класс защищенности?

    >Где-то задача ИБ _может_ совпадать с обеспечением конфиденциальности информации или целостностью витой пары, а может и не совпадать – вообще не зависеть или даже противоречить

    Это уже не ИБ, это прикрытие своих каких-то (личностных/корпоративных) интересов под задачами и целями ИБ. Заботой об общем благе, решаются интересы какой-то части "держателей стейков"
    ФСБ по этой же схеме "защищает" от "тлетворного влияния Запада", и пофиг на интересы сограждан, отечественного бизнеса и пр. Лукацкий об этом в режиме нон-стопа уже полгода пишет... ;)

    > Объект ИБ – это интересы стрейкхолдеров.
    В контексте того, что написано выше: а кто решает что учтены интересы _всех_ стейкхолдеров?
    И что интересы стейкхолдера соответствуют интересам компании?

    зы: вообще-то уже местами (кажется у Лукацкого) касались вопросов целеполагания в ИБ, но полного развития (на мой взгляд) эта тема пока не получила.

    С ув. Turkish

    ОтветитьУдалить
  6. Дор. Turkish!

    1. У меня защищенность информации может не рассматриваться вообще.
    2. Первичны интересы того, кто ИБ деньги платит.
    3. В контексте ИБ стейкхолдеры - это стороны, заинтересованные в ИБ. Стейкхолдеры предприятия тоже к таковым относятся, но занимают почетное восьмое место - сами же и перепутали, а меня в прикрытии личных интересов обвинили.
    4. Подробнее объяснял года два назад то ли у себя, то ли на банкире.

    ОтветитьУдалить
  7. > У меня защищенность информации может не рассматриваться вообще.
    А может ли информационная безопасность рассматриваться в отрыве информации и в отрыве защищенности? При положительном ответе, полагаю, это будет уже не ИБ, а вообще нечто другое.
    > Первичны интересы того, кто ИБ деньги платит.
    а как же моральные принципы или "генетика - продажная девка империализма"(c) ?

    > В контексте ИБ стейкхолдеры - это стороны, заинтересованные в ИБ. Стейкхолдеры предприятия тоже к таковым относятся, но занимают почетное восьмое место
    Источником не поделитесь. А то я везде встречал, что "ИБ это защита активов [стейкхолдеров] от угроз, связанных с обработкой информации" (близко к Вашему же определению), без разделения стейкхолдеров по степени заинтересованности в ИБ, зато заинтересованных в своих активах.

    По теме: как-то незаметно от вопроса чем 'защита информации [актива] независимо от способов ее представления и обработки' (ИБ) отличается от 'защиты информации в эл.виде [актива] и обработкой инф.технологиями' (ИТ-безопасность) скатились к целям и задачам ИБ...
    Равно, как и не увидел ответа, почему ув. Ригель постулирует, что защиты информации в эл.виде и обработкой инф.технологиями (ИТ-безопасность) не существует.

    С ув. Turkish

    ОтветитьУдалить
  8. 1. Может. Сейчас напишу у себя - велкам.
    2. Моральные принципы не живут сами по себе, а принадлежат кому-то. Очевидно, имеются в виду принадлежащие ИБшнику. Да, ИБшник - один из стейкхолдеров (одна из сторон, заинтересованных в успехе) ИБ. Но не первый по важности. Но сторона. Интересы которой также участвуют.
    3. Если сегодня найду - поделюсь. Семь лет назад где-то видел.
    4. Не скатывались, Вы ИБ расшифровываете неверно.
    5. Хорошо, напишу совсем "на кошках".

    ОтветитьУдалить
  9. з.ы. Не, давайте время сэкономим. Везде, где Вы у меня видите "стейкхолдер" читайте вместо него "заинтересованная сторона".

    ОтветитьУдалить
  10. > 4. Не скатывались, Вы ИБ расшифровываете неверно.

    ОК :)))
    Жду формулировку. Думаю, было бы неплохо, если бы потом автор блога (ув. Александр) провел бы очередной опрос кто и как расшифровывает ИБ и какое из определений _правильнЕЕ_

    >Везде, где Вы у меня видите "стейкхолдер" читайте вместо него "заинтересованная сторона"
    Эээ, не. Мухи (заинтересованные стороны) отдельно, котлеты (владельцы активов) отдельно. ;)
    Так подменять понятия не согласен. В контексте "стейкхолдеров" с Вашими утверждениями (определениями) согласен, в контексте "заинтересованных сторон" - смысл будет иной.

    По остальным вопросам - ОК, ждем подтверждений

    С ув. Turkish

    ОтветитьУдалить
  11. Спасибо, на таких условиях - нет. Правильность народным голосованием не определяется, а кто чего не хочет понимать - это уж его личная беда.

    ОтветитьУдалить
  12. Да будет так.
    Эйнштейн в свое время тоже оттолкнулся от того, что _считалось_ правильным. Может Вы и правы :)

    С ув. Turkish

    ОтветитьУдалить
  13. "Любимый мой пример, который я всегда в доказательство привожу – повышение ИБ без повышения КДЦ или с ухудшением даже. Организация прекратила незаконную обработку, и ее (организации!) защищенность выросла. Оператор легально понизил класс ИСПДн, и его защищенность выросла. А информации упала.
    Говорить, что безопасность информации, или ИТ-инфраструктуры, или еще чего нибудь еще более странного, это часть ИБ – некорректно. Где-то задача ИБ _может_ совпадать с обеспечением конфиденциальности информации или целостностью витой пары, а может и не совпадать – вообще не зависеть или даже противоречить."

    Блестяще.

    ОтветитьУдалить