Что такое информационная безопасность?

Недавно, а точнее 12-го августа, с Евгением Царевым в Твиттере мы дисскутировали на тему, что такое ИБ с точки зрения бизнеса. Завершили на следующем определеним: «ИБ — это процесс обеспечения интересов стейкхолдеров путем управления бизнес-рисками, связанными с информационными потоками и технологиями«. Я бы его в него добавил немного, чтобы получилось: «ИБ — это процесс обеспечения и поддержания необходимого уровня защищенности интересов стейкхолдеров путем управления бизнес-рисками, связанными с информационными потоками и технологиями«. На мой взгляд это определение чуть лучше, т.к. объединяет двойственность ИБ как состояния и процесса, а во-вторых, говоря о необзодимом уровне защищенности, мы приходим к понятию оценки и измерению эффективности ИБ.

Это определение мне нравится даже больше того, которое я использовал раньше — «ИБ — состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса«. Это я переделал из определения в Доктрине ИБ Российской Федерации.

И вот совсем недавно я наткнулся на еще одно, очень высокоуровневое бизнес-определение — «Весь бизнес — это вопрос доверия. Доверие может развиваться только там, где участники сделки чувствуют себя в безопасности. Поэтому безопасность с точки зрения бизнеса должна рассматриваться как драйвер, способствующий бизнесу, а не как статья затрат». Оно из комментариев «Information Security Assurance for Executives» к руководству ОЭСР по ИБ сетей и информационных систем (OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security). Интересный поворот — от технологий и страховки к понятию доверия и условиям его обеспечения. А вообще оба последних документа (и руководство ОЭСР и комментарии к нему) достойны для изучения. Они позволяют понять, как и каким языком выносить ИБ на уровень руководства компании (разумеется, если руководство руководствуется общепринятыми нормами и принципами ведения бизнеса).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. ansv

    ИМХО.
    Все-таки, безопасность — это состояние. Антоним к "опасности". А вот "обеспечение безопасности" — уже процесс. В ходе которого достигается и результатом которого является состояние.

    Ответить
  2. Unknown

    ansv: +1. Более того, если стейкхолдеру каждый день капать на мозги "как у него все круто", то даже если все погано, он будет уверен в своей безопасности и значит процесс будет реализован успешно — ведь состояние достигнуто 🙂 Так что все очень субъективно.

    Ответить
  3. Анонимный

    Не хочу никого обидеть! Да и не стоит обижаться,но если к ИБ подходить с точки зрения развития философских мыслей,то боюсь получиться итог как в армии-военный это не профессия ,а вид сексуальной ориентации!:))

    Ответить
  4. BDV

    чтобы не спорить. начнем с простого: безопасность движущегося поезда — это состояние?

    Ответить
  5. Анонимный

    Информационная безопасность бизнеса = безопасность бизнеса связанная с информацией.

    Ответить
  6. ansv

    BDV,
    Условия, при которых поезд выполняет свою "миссию" по своевременной доставке груза в целостности и сохранности из пункта А в определенный его владельцем пункт Б я бы назвал состоянием "безопасности движущегося поезда".

    Различные обстоятельства (природные явления, партизаны в кустах, вагон с дембелями) могут вылиться в неожиданное событие (инцидент), способное нарушить "безопасность" и задержать, а то и сделать невозможным, выполнение его миссии.

    Соответственно, обеспечение безопасности — это процесс исключения обстоятельств и приближения к условиям, при которых поезд гарантированно выполняет свою "миссию".

    Ответить
  7. Unknown

    Один мой хороший товарищ говорит, что нужно ко всему относиться философски 🙂

    Ответить
  8. Анонимный

    2 ansv — безопасность конечно состояние.

    Ответить
  9. Анонимный

    Из тех времен как раз, срач про ИБ в ФБ: https://www.facebook.com/permalink.php?story_fbid=233151050054167&id=100000778210976

    Ответить
  10. Unknown

    Вообще, стоит задуматься над тем, является ли термин "информационная безопасность" смысловым эквивалентом и точным переводом "information security"?

    Ответить
  11. Евгений

    Мда, наверно в стране все практические проблемы решены, раз уважаемые коллеги принялись за обсуждение столь высоких материй и базовых терминов 🙂

    Ответить
  12. Анонимный

    > столь высоких материй и базовых терминов

    А вы с заказчиком на каком языке разговариваете? Какие термины употребляете? И друг друга понимаете? А с коллегами?

    Ответить
  13. Анонимный

    Простите, но мне кажется что такие фундаментальные определения не должны содержать терминов типа стейкхолдер. почему нельзя использовать термин владелец? как-то проще и понятнее.

    Ответить
  14. Алексей Лукацкий

    А вы занимаетесь ИБ не только в интересах владельца, но и в интересах сотрудников, акционеров, регуляторов и т.д.

    Ответить
  15. Анонимный

    но стейкхолдер уж больно косноязычно

    Ответить
  16. Алексей Лукацкий

    Можно "заинтересованные лица"

    Ответить
  17. Анонимный

    К Алексею Л.
    В одной известной вам книге, опять же известный вам А.П. Курило дает такое определение:
    Под ИБ организации понимается состояние защищенности интересов (целей)организации в условиях угроз в информационной сфере..
    Далее чуть подробнее раскрывается что такое информационная сфера.
    Имхо определение вполне себе нормальное.

    Ответить
  18. Алексей Лукацкий

    Мне "состояние" не очень нравится 😉

    Ответить