среда, 30 ноября 2011 г.

К вопросу по ИБ и ЗИ


В последнее время в блогах коллег было много постов на тему "ИБ неравно ЗИ". Решил высказать и свою точку зрения по этому вопросу.

В посте я рассматриваю ИБ и ЗИ не как конкретное определение, а направление деятельности специалиста. В этом контексте неравенство ИБ и ЗИ очевидно. ЗИ – это часть деятельности, непосредственно относящаяся к ИТ-безопасности. ИБ в свою очередь охватывает комплекс направлений, в большей или меньшей степени выраженных в зависимости от деятельности специалиста:
- юриспруденция;
- ЗИ (или ИТ-безопасность);
- организация и коммуникации;
- экономика;
- психология.

Без юридического направления сущность ИБ как таковая теряется. Правовые основы играют важнейшую роль при обеспечении информационной безопасности. Полное исключение направления превратит ИБ в ЗИ+, а только наличие одного направления юриспруденции (при отсутствии остальных направлений) сделает из специалиста по ИБ юриста.

ЗИ также одно из основополагающих направлений в ИБ. Без принципов ИТ-безопасности обеспечение информационной безопасности при задачах адекватной и выше сложности будет невозможно.

Работы по ИБ предполагают активную организаторскую деятельность, которая подразумевает наличие соответствующего уровня коммуникаций (в т.ч. в части согласования). Особенно это касается внутренних специалистов по ИБ – в рамках работ часто задействуются специалисты из различных областей, а работы по ИБ подразумевают затрагивание многих сотрудников организации и их деятельности.

Любые работы по ИБ в компании, которая не сорит деньгами, требует экономического обоснования расходов на ИБ и экономическую оценку рисков. Это относительно побочное направление в ИБ, сейчас ставшее довольно актуальным, может быть частью ИБ в зависимости от деятельности специалиста.

Понимание психологии необходимо для моделирования мышления нарушителей. Крайне опциональная составляющая, но в определенных случаях может быть обязательной. Опять же, в зависимости от направления деятельности, в остальных случаях – опционально. Особенно актуально при борьбе с инсайдерами, тема которых сейчас стала очень популярной.

Подведя итог, Информационная Безопасность (как деятельность специалиста) – это организационная деятельность, направленная на обеспечение сохранности информации и ее характеристик безопасности, путем использования правовых мер и технических решений.
ИБ (как деятельность) = Ю + ЗИ +/- ОиК +/- Э +/- П.

1 коммент.:

Ригель комментирует...

И все равно Вы привязали ИБ к обеспечению неизменности характеристик информации.
А я вот уже раз в неделю примерно повышаю ИБ одной организации, тем что обосновываю необходимость прекратить (не начинать) обработку какой-то информации, выкинуть что-то из перечня КТ, раскрыть что-то самим, пока конкуренты не переврали и т.п. Защищенность информации падает, а защищенность работодателя растет.
Абсолютная ИБ - у организации, не имеющей рисков, связанных с информацией ...

Отправить комментарий