четвер, 17 листопада 2011 р.

В поисках взаимопонимания: ИБ vs ИТ-безопасности


На этой неделе столкнулся в разных источниках на подчеркнутое разделение и противопоставление  ИТ-безопасности и Информационной Безопасности (ИБ), мне казалось, что это деление уже кануло в Лету, а тут снова и из уст авторитетных людей… 
Я воспринимаю такое деление, как  источник снижения уровня защищенности, так как оно вносит дезориентацию в систему управления Предприятием, плохо отражается на корпоративной культуре, приводит к неэффективному   финансированию и внедрению средств управления ИБ.
Пример из практики:  поддержкой геораспрделенной кластерной системы, на которой «крутится» корпоративная ERP-система,  занимаются подчиненные CIO, а вот «выдачей» Check Point GO (в прошлом Abra) для удаленного доступа, к этой системе, занимаются  подчиненные CISO.  Так что, данный пример нужно воспринимать как иллюстрацию раздельного существования ИТ-безопасности и ИБ? Тогда получается, что «конфиденциальность» это ИБ, а «доступность» это ИТ-безопасность?
А пользователь, скажем «операционист Банка», который обеспечивает правильное использование средств управления ИБ, участвует в обработке инцидентов и принимает участие в оценке рисков ИБ он представитель какой безопасности
С другой стороны, мне обьясняют, что все очень просто: ИТ-безопасности занимается «безопасностью инструмента» и «поэтому ею может заниматься и "продвинутый" ИТ-шник. ИБ - это безопасность актива: здесь уже риски другие, и область шире, и методы иные.»(с)
Оно конечно все правильно, если бы не «маленькая» метаморфоза: мы не о человеке с его профессиональной подготовкой и обязанностями говорим, а о сфере человеческой деятельности"направленной на обеспечение защищенного состояния объекта" (с)  
Не существует никакой ИТ-безопасности, есть единый бизнес-процесс обеспечивающий информационную безопасность предприятия, для подержания бизнес процесса в работоспособном состоянии необходимы ресурсы среди которых Инфраструктура и Люди. 
Люди, которые ввели термин «ИТ-безопасность», «безопасность информационных технологий» подсунули огромную свинью, породив anchoring, который стал причиной различных когнитивных искажений не только в головах потребителей услуг безопасности, но и в профессиональной среде… 

Информационная Безопасность - это "отрасль", в которой работают много разных и нужных друг другу людей. И "токарь шестого разряда", и "главный авиаконструктор" делают одно и то же дело:  выпускают самолеты в рамках какого-то авиапрома и являются авиастроителями. Они не могут сближаться или не сближаться - они жить друг без друга не могут...

7 коментарів:

  1. Лично я предпочитаю разделение на операционную ИБ и управление ИБ. Так симпатичнее.

    ВідповістиВидалити
  2. Володя, без контекста разбираться в сущностях дело опасное и бесперспективное (особенно когда мозг пытается выстроить ассоциации с «оperations management»)

    ВідповістиВидалити
  3. Просто это устоявшиеся термины на Западе. Мне они кажутся практичными.

    ВідповістиВидалити
  4. Володя, я не сталкивался (так как далек от Запада :-), но если поразмышлять и от бизнес-процесса обеспечивающего ИБ перейти к процессам управления, взяв любимого всеми Деминга, то вполне при определенном уровне абстракции можно говорить, что
    "Plan/Планирование" - отражает "стратегическое управления ИБ"
    "Do/Выполнение" - предположительно Ваша "операционная ИБ" ??
    "Check/Проверка" - предположительно Ваша "управленческая ИБ" ?? (хотя Деминг этот шаг рассматривал как Study)
    "Act/Воздействие (управление, корректировка)" - отражает "операционное управление ИБ"

    Где-то так по быстрячку, не для строгой критики :-)

    ВідповістиВидалити
  5. Я бы не спешил раскладывать обе дисциплины по циклу Демминга, потому что, на мой взгляд, он применим только к управлению ИБ.

    Скорее, операционная ИБ это выполнение контролей, как правило логических и физических. А управление ИБ это стратегическое и тактическое планирование и создание контролей. Еще, может быть, выполнение административных контролей.

    Причину разделения я вижу чисто политическую: ИТ-менеджмент не желает, чтобы кто-то кроме их подчиненных ковырялся в их драгоценных мигающих коробочках. И чтобы понять выгоды разделения полномочий пока еще чего-то не хватает (С).

    ВідповістиВидалити
  6. Ну во-первых я спешил и на то указал ;-)

    "Скорее, операционная ИБ это выполнение контролей, как правило логических и физических." - читаем у меня - "Do/Выполнение" - предположительно Ваша "операционная ИБ" ??" - ИМХО зе сэйм шит.

    "Управление" - конечно может интегрировать все виды управления.

    Термины вообщето Вы притащили, не дав ссылок и контексту ;-)))

    Нормально, нормально, мозги надо тренировать. Бог создал землю из Хаоса

    ВідповістиВидалити
  7. Ну я как бэ не возражаю, просто уточняю и дополняю =))

    ВідповістиВидалити