На этой неделе столкнулся в разных источниках на подчеркнутое разделение и противопоставление ИТ-безопасности и Информационной Безопасности (ИБ), мне казалось, что это деление уже кануло в Лету, а тут снова и из уст авторитетных людей…
Я воспринимаю такое деление, как источник снижения уровня защищенности, так как оно вносит дезориентацию в систему управления Предприятием, плохо отражается на корпоративной культуре, приводит к неэффективному финансированию и внедрению средств управления ИБ.
Пример из практики: поддержкой геораспрделенной кластерной системы, на которой «крутится» корпоративная ERP-система, занимаются подчиненные CIO, а вот «выдачей» Check Point GO (в прошлом Abra) для удаленного доступа, к этой системе, занимаются подчиненные CISO. Так что, данный пример нужно воспринимать как иллюстрацию раздельного существования ИТ-безопасности и ИБ? Тогда получается, что «конфиденциальность» это ИБ, а «доступность» это ИТ-безопасность?
А пользователь, скажем «операционист Банка», который обеспечивает правильное использование средств управления ИБ, участвует в обработке инцидентов и принимает участие в оценке рисков ИБ он представитель какой безопасности?
С другой стороны, мне обьясняют, что все очень просто: ИТ-безопасности занимается «безопасностью инструмента» и «поэтому ею может заниматься и "продвинутый" ИТ-шник. ИБ - это безопасность актива: здесь уже риски другие, и область шире, и методы иные.»(с)
Оно конечно все правильно, если бы не «маленькая» метаморфоза: мы не о человеке с его профессиональной подготовкой и обязанностями говорим, а о сфере человеческой деятельности – "направленной на обеспечение защищенного состояния объекта" (с)
Не существует никакой ИТ-безопасности, есть единый бизнес-процесс обеспечивающий информационную безопасность предприятия, для подержания бизнес процесса в работоспособном состоянии необходимы ресурсы среди которых Инфраструктура и Люди.
Люди, которые ввели термин «ИТ-безопасность», «безопасность информационных технологий» подсунули огромную свинью, породив anchoring, который стал причиной различных когнитивных искажений не только в головах потребителей услуг безопасности, но и в профессиональной среде…
Информационная Безопасность - это "отрасль", в которой работают много разных и нужных друг другу людей. И "токарь шестого разряда", и "главный авиаконструктор" делают одно и то же дело: выпускают самолеты в рамках какого-то авиапрома и являются авиастроителями. Они не могут сближаться или не сближаться - они жить друг без друга не могут...
Лично я предпочитаю разделение на операционную ИБ и управление ИБ. Так симпатичнее.
ВідповістиВидалитиВолодя, без контекста разбираться в сущностях дело опасное и бесперспективное (особенно когда мозг пытается выстроить ассоциации с «оperations management»)
ВідповістиВидалитиПросто это устоявшиеся термины на Западе. Мне они кажутся практичными.
ВідповістиВидалитиВолодя, я не сталкивался (так как далек от Запада :-), но если поразмышлять и от бизнес-процесса обеспечивающего ИБ перейти к процессам управления, взяв любимого всеми Деминга, то вполне при определенном уровне абстракции можно говорить, что
ВідповістиВидалити"Plan/Планирование" - отражает "стратегическое управления ИБ"
"Do/Выполнение" - предположительно Ваша "операционная ИБ" ??
"Check/Проверка" - предположительно Ваша "управленческая ИБ" ?? (хотя Деминг этот шаг рассматривал как Study)
"Act/Воздействие (управление, корректировка)" - отражает "операционное управление ИБ"
Где-то так по быстрячку, не для строгой критики :-)
Я бы не спешил раскладывать обе дисциплины по циклу Демминга, потому что, на мой взгляд, он применим только к управлению ИБ.
ВідповістиВидалитиСкорее, операционная ИБ это выполнение контролей, как правило логических и физических. А управление ИБ это стратегическое и тактическое планирование и создание контролей. Еще, может быть, выполнение административных контролей.
Причину разделения я вижу чисто политическую: ИТ-менеджмент не желает, чтобы кто-то кроме их подчиненных ковырялся в их драгоценных мигающих коробочках. И чтобы понять выгоды разделения полномочий пока еще чего-то не хватает (С).
Ну во-первых я спешил и на то указал ;-)
ВідповістиВидалити"Скорее, операционная ИБ это выполнение контролей, как правило логических и физических." - читаем у меня - "Do/Выполнение" - предположительно Ваша "операционная ИБ" ??" - ИМХО зе сэйм шит.
"Управление" - конечно может интегрировать все виды управления.
Термины вообщето Вы притащили, не дав ссылок и контексту ;-)))
Нормально, нормально, мозги надо тренировать. Бог создал землю из Хаоса
Ну я как бэ не возражаю, просто уточняю и дополняю =))
ВідповістиВидалити