Случился у нас тут на днях диспут на тему того, чем отличается ИТ-безопасность от информационной безопасности. И вот в тему этого вопроса попалась мне сегодня на глаза статья. Не могу сказать, что во всем согласен с автором, но привожу здесь мой перевод этого материала.
Некоторые думают, что термины ИТ-безопасность и информационная безопасность -это слова синонимы, ведь в конце концов разве информационная безопасность не занимается защитой компьютеров ? Вообще говоря нет. Основной аргумент здесь следующий - у вас может быть идеальная ИТ-безопасность, но всего лишь одно злонамеренное действие, например, администратора, и вся ИТ-инфраструктура может стать не работоспособной. Этот риск не имеет никакоk5;о отношения к компьютерам, он относится к людям, процессам и контролю.Кроме того, важная информация может быть и не в электронной, а в бумажной форме. В качестве примера можно привести важный договор, подписанный с клиентом или перечень административных паролей, хранящихся в сейфе директора по ИТ.Именно поэтому я люблю говорить своим клиентам, что ИТ-безопасность это примерно 50% от информационной безопасности, т.к. к информационной безопасности нужно еще отнести вопросы работы с персоналом, выполнения законодательства, защиты бизнес-процессов. Задача информационной безопасности обеспечить защиту информации (как относящуюся к ИТ, так и не относящуюся) путем реализации механизмов, снижающих возможные риски.Этот подход хорошо описан в стандарте ISO 27001. В Приложении А этого стандарта описано 133 контроля (или иначе защитные меры), среди которых:
- контроли, относящиеся к ИТ: 46%
- контроли, относящиеся к организации и документированию: 30%
- контроли, связанные с физической безопасностью: 9%
- контроли, связанные с соблюдением законодательства: 6%
- контроли, связанные с взаимодействием с поставщиками и клиентами: 5%
- контроли, связанные с управлением персоналом: 4%
Собственно подход, описанный в данной статье совпадает со многими комментариями, которые высказывались коллегами. Поясню почему я с ним не согласен. На мой взгляд это довольно классический (я бы даже сказал несколько устаревший) взгляд на информационную безопасность. Я предлагаю обратиться к такому стандарту как Cobit (кстати не особо популярному в России). Так вот в данном стандарте, относящемся к ИТ приводятся следующие процессы:
Как можно увидеть здесь есть и процессы работы с персоналом (APO07) и работа с поставщиками (APO10) и вопросы контроля процессов (DSS8). Так что говорить, что вопрос работы с персоналом - это прерогатива именно информационной безопасности на мой взгляд не совсем корректно. Это все смежные области, которые могут интегрироваться и с информационной и с ИТ-безопасностью. Так что хоть я и согласен, что в настоящее время информационная безопасность и включает в себя ИТ-безопасность, но в очень скором будущем это должно измениться. Так что будет new school и old school :) Но это мое мнение, а так поживем - увидим.
Facebook
интересное рассуждение получилось...
ОтветитьУдалитьP.S. испрвьте ошибку в переводе статьи "Этот подход хорошо описан в стандарте ISO 27001. В Приложении А этого стандарта описано 133 контроля (защитных мерЫ)"
Да просто нет никакой ИТ-безопасности.
ОтветитьУдалитьРигель, коротко и безаппеляционно. Обоснуйте !
ОтветитьУдалитьАлександр, я не знаю того определения ИТБ, из которого Вы исходите (и вообще не знаю такого определения, пожалуй), поэтому может получиться лишняя трата времени.
ОтветитьУдалитьТем не менее.
ИБ, как я ее понимаю - это защита стейкхолдеров от угроз, связанных с обработкой информации. В обработке участвуют а) сам контент, data, б) средства обработки, ware, в) участники обработки, одмины и юзвери, г) регуляция внешняя, внутренняя и контрагентская и т.д. (еще до буквы «к» примерно). Что-то из этого Вы сводите в ИТБ.
Но ведь это же не объекты ИБ, не цели ее. Объект ИБ – это интересы стрейкхолдеров. Информация не рискует, ИТ-инфраструктура не рискует, понимаете? Вы когда риски оцениваете, то ущерб рассматриваете кому – самим цифрам, принтеру, программе?
Любимый мой пример, который я всегда в доказательство привожу – повышение ИБ без повышения КДЦ или с ухудшением даже. Организация прекратила незаконную обработку, и ее (организации!) защищенность выросла. Оператор легально понизил класс ИСПДн, и его защищенность выросла. А информации упала.
Говорить, что безопасность информации, или ИТ-инфраструктуры, или еще чего нибудь еще более странного, это часть ИБ – некорректно. Где-то задача ИБ _может_ совпадать с обеспечением конфиденциальности информации или целостностью витой пары, а может и не совпадать – вообще не зависеть или даже противоречить.
Соглашусь в той части, что рассматривать информацию в отрыве от способа ее обработки и участников процесса обработки с точки зрения ИБ неправильно.
ОтветитьУдалитьА теперь с чем не согласен:
>Оператор легально понизил класс ИСПДн, и его защищенность выросла. А информации упала.
У Вас защищенность информации может рассматриваться в отрыве от способа обработки, субъектов доступа и значимости для оператора?
Или все-таки в данном примере, Вы просто пересмотрели _значимость_ такой информации для оператора и далее последовало снижение класса ИСПДн? Что первично - значимость информации или класс защищенности?
>Где-то задача ИБ _может_ совпадать с обеспечением конфиденциальности информации или целостностью витой пары, а может и не совпадать – вообще не зависеть или даже противоречить
Это уже не ИБ, это прикрытие своих каких-то (личностных/корпоративных) интересов под задачами и целями ИБ. Заботой об общем благе, решаются интересы какой-то части "держателей стейков"
ФСБ по этой же схеме "защищает" от "тлетворного влияния Запада", и пофиг на интересы сограждан, отечественного бизнеса и пр. Лукацкий об этом в режиме нон-стопа уже полгода пишет... ;)
> Объект ИБ – это интересы стрейкхолдеров.
В контексте того, что написано выше: а кто решает что учтены интересы _всех_ стейкхолдеров?
И что интересы стейкхолдера соответствуют интересам компании?
зы: вообще-то уже местами (кажется у Лукацкого) касались вопросов целеполагания в ИБ, но полного развития (на мой взгляд) эта тема пока не получила.
С ув. Turkish
Дор. Turkish!
ОтветитьУдалить1. У меня защищенность информации может не рассматриваться вообще.
2. Первичны интересы того, кто ИБ деньги платит.
3. В контексте ИБ стейкхолдеры - это стороны, заинтересованные в ИБ. Стейкхолдеры предприятия тоже к таковым относятся, но занимают почетное восьмое место - сами же и перепутали, а меня в прикрытии личных интересов обвинили.
4. Подробнее объяснял года два назад то ли у себя, то ли на банкире.
> У меня защищенность информации может не рассматриваться вообще.
ОтветитьУдалитьА может ли информационная безопасность рассматриваться в отрыве информации и в отрыве защищенности? При положительном ответе, полагаю, это будет уже не ИБ, а вообще нечто другое.
> Первичны интересы того, кто ИБ деньги платит.
а как же моральные принципы или "генетика - продажная девка империализма"(c) ?
> В контексте ИБ стейкхолдеры - это стороны, заинтересованные в ИБ. Стейкхолдеры предприятия тоже к таковым относятся, но занимают почетное восьмое место
Источником не поделитесь. А то я везде встречал, что "ИБ это защита активов [стейкхолдеров] от угроз, связанных с обработкой информации" (близко к Вашему же определению), без разделения стейкхолдеров по степени заинтересованности в ИБ, зато заинтересованных в своих активах.
По теме: как-то незаметно от вопроса чем 'защита информации [актива] независимо от способов ее представления и обработки' (ИБ) отличается от 'защиты информации в эл.виде [актива] и обработкой инф.технологиями' (ИТ-безопасность) скатились к целям и задачам ИБ...
Равно, как и не увидел ответа, почему ув. Ригель постулирует, что защиты информации в эл.виде и обработкой инф.технологиями (ИТ-безопасность) не существует.
С ув. Turkish
1. Может. Сейчас напишу у себя - велкам.
ОтветитьУдалить2. Моральные принципы не живут сами по себе, а принадлежат кому-то. Очевидно, имеются в виду принадлежащие ИБшнику. Да, ИБшник - один из стейкхолдеров (одна из сторон, заинтересованных в успехе) ИБ. Но не первый по важности. Но сторона. Интересы которой также участвуют.
3. Если сегодня найду - поделюсь. Семь лет назад где-то видел.
4. Не скатывались, Вы ИБ расшифровываете неверно.
5. Хорошо, напишу совсем "на кошках".
з.ы. Не, давайте время сэкономим. Везде, где Вы у меня видите "стейкхолдер" читайте вместо него "заинтересованная сторона".
ОтветитьУдалить> 4. Не скатывались, Вы ИБ расшифровываете неверно.
ОтветитьУдалитьОК :)))
Жду формулировку. Думаю, было бы неплохо, если бы потом автор блога (ув. Александр) провел бы очередной опрос кто и как расшифровывает ИБ и какое из определений _правильнЕЕ_
>Везде, где Вы у меня видите "стейкхолдер" читайте вместо него "заинтересованная сторона"
Эээ, не. Мухи (заинтересованные стороны) отдельно, котлеты (владельцы активов) отдельно. ;)
Так подменять понятия не согласен. В контексте "стейкхолдеров" с Вашими утверждениями (определениями) согласен, в контексте "заинтересованных сторон" - смысл будет иной.
По остальным вопросам - ОК, ждем подтверждений
С ув. Turkish
Спасибо, на таких условиях - нет. Правильность народным голосованием не определяется, а кто чего не хочет понимать - это уж его личная беда.
ОтветитьУдалитьДа будет так.
ОтветитьУдалитьЭйнштейн в свое время тоже оттолкнулся от того, что _считалось_ правильным. Может Вы и правы :)
С ув. Turkish
"Любимый мой пример, который я всегда в доказательство привожу – повышение ИБ без повышения КДЦ или с ухудшением даже. Организация прекратила незаконную обработку, и ее (организации!) защищенность выросла. Оператор легально понизил класс ИСПДн, и его защищенность выросла. А информации упала.
ОтветитьУдалитьГоворить, что безопасность информации, или ИТ-инфраструктуры, или еще чего нибудь еще более странного, это часть ИБ – некорректно. Где-то задача ИБ _может_ совпадать с обеспечением конфиденциальности информации или целостностью витой пары, а может и не совпадать – вообще не зависеть или даже противоречить."
Блестяще.