О терминологии в области ИБ

Давно известно, что мы не можем эффективно управлять тем, что мы не можем измерить. Это то, почему так важно оценивать эффективность ИБ. Но мы не можем измерить то, что мы не определили. Именно поэтому так важна терминология в области ИБ. Надо признать, что общего языка у специалистов так и нет. Что такое ИБ? Чем ИБ отличается от защиты информации? Чем информационная безопасность отличается от безопасности информации? Вопросов больше чем ответов. Ситуацию мог бы изменить терминологичекий национальный стандарт.

Такие стандарты есть. Это рекомендации по стандартизации Р 50.1.056-2005 «Основные термины и определения» и ГОСТ Р 50922-2006 «Основные термины и определения». Еще есть РД ФСТЭК по терминам и определениям. Казалось бы чего еще надо? Да, они не совсем полны и к ним есть определенные нарекания, но… Почему каждый руководящий документ или стандарт в области ИБ, который появляется в России, содержит свой собственный раздел, описывающий термины и определения. Я как-то могу оправдать ЦБ, который в свой отраслевой стандарт включил термины, толкования которых уже есть в национальном ГОСТе. Но я не понимаю, почему ФСТЭК, имеющая в своем распоряжении РД с терминами, выпускает документы, не ссылающиеся на этот РД? Почему ФСТЭК имеет СТР-К, четырехкнижие по персданным, четырехкнижие по КСИИ и рекомендации по коммерческой тайне, и в каждом документе СВОИ собственные определения?

Грустно это…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Vair

    Вообще говоря, это не только национальная проблема. В мире тоже нет единообразия терминологии по ИБ.

    Ответить
  2. Анонимный

    Действительно, это проблема. Причём проблема ПРАКТИЧЕСКАЯ…

    Сколько копий сломано из за терминов в контрактах, РД и т.п.

    Простой пример:
    1. Грамотный Заказчик указывает в контракте или ТЗ требования к разрабатываемому изделию или к документации.
    При этом Заказчик где то в требованиях указывает конкретный ГОСТ и формулировку ГОСТ — требование к конструкторской документации.

    2. Неграмотный Манагер не разобравшись протаскивает такой контракт, потому как сумма его устраивает.

    3. В результате оказывается, что фраза в контракте и ссылка на конкретный ГОСТ тянут за собой требования других ГОСТ и т.д. и работ соответственно в 5 раз больше чем «понимает Манагер»…

    И такие ситуации сплошь и рядом…

    Ответить
  3. Алексей Лукацкий

    vair’у: Но там нет обязательных требований — только рекомендации.

    Ответить
  4. Vair

    Алексею: Почему? Есть. PCI DSS, SOX например…

    Ответить
  5. Алексей Лукацкий

    vair’у: SOX к ИБ имеет очень опосредованное отношение. PCI DSS одно из немногих исключение, на которое, кстати, многие забивают 😉 Да и раздела по терминологии в PCI DSS нет

    Ответить
  6. Алексей Т.

    Как ни странно, у меня есть ответ на Ваш вопром — потому что одни разрабатывают стандарт 50922, другие (мне известные люди) разрабатывают 4-книжие по ПД, третьи пытаются реанимировать общие критерии, четвертые разрабатывают стандарты для ЦБ.
    А главное — нет координационного центра в лице центрального аппарата ФСТЭК, который бы координировал как минимум деятельность. Хорошим центром мог бы стать ГНИИИ ПТЗИ, но… не стал.

    Ответить
  7. Алексей Т.

    Кстати именно ГОСТ 50922 мне кажется лучше всего использовать для терминологии. Хотя и к нему достаточно вопросов.

    Ответить
  8. Алексей Лукацкий

    Вообще-то именно Воронежский институт и должен координировать все эти работы, т.к. именно он их и разрабатывал 😉 Только вот он каждый раз все с нуля пишет ;-(

    Ответить
  9. Алексей Т.

    Я и говорил про 4-х разных людей из Воронежа. 🙂 Не все пишут с нуля, кто-то продолжает свои мысли… Ну да ладно, чем больше пишу, тем грустнее становится…

    Ответить
  10. AnsNet

    Потому что текучка во ФСТЭКе, потому что на работу во ФСТЭК берут разных людей, потому что подразделения разные эти документы разрабатывают… Потому что у разработчиков разных документов свои интересы, а ФСТЭК — не монолит

    Ответить
  11. AnsNet

    Миленький Алексей — не с нуля — а с нулевого очередного начальника — Калифа на час.

    Ответить