30 Ноября, 2011

К вопросу по ИБ и ЗИ

Сергей Медюшко

В последнее время в блогах коллег было много постов на тему "ИБ неравно ЗИ". Решил высказать и свою точку зрения по этому вопросу.

В посте я рассматриваю ИБ и ЗИ не как конкретное определение, а направление деятельности специалиста. В этом контексте неравенство ИБ и ЗИ очевидно. ЗИ – это часть деятельности, непосредственно относящаяся к ИТ-безопасности. ИБ в свою очередь охватывает комплекс направлений, в большей или меньшей степени выраженных в зависимости от деятельности специалиста:
- юриспруденция;
- ЗИ (или ИТ-безопасность);
- организация и коммуникации;
- экономика;
- психология.

Без юридического направления сущность ИБ как таковая теряется. Правовые основы играют важнейшую роль при обеспечении информационной безопасности. Полное исключение направления превратит ИБ в ЗИ+, а только наличие одного направления юриспруденции (при отсутствии остальных направлений) сделает из специалиста по ИБ юриста.

ЗИ также одно из основополагающих направлений в ИБ. Без принципов ИТ-безопасности обеспечение информационной безопасности при задачах адекватной и выше сложности будет невозможно.

Работы по ИБ предполагают активную организаторскую деятельность, которая подразумевает наличие соответствующего уровня коммуникаций (в т.ч. в части согласования). Особенно это касается внутренних специалистов по ИБ – в рамках работ часто задействуются специалисты из различных областей, а работы по ИБ подразумевают затрагивание многих сотрудников организации и их деятельности.

Любые работы по ИБ в компании, которая не сорит деньгами, требует экономического обоснования расходов на ИБ и экономическую оценку рисков. Это относительно побочное направление в ИБ, сейчас ставшее довольно актуальным, может быть частью ИБ в зависимости от деятельности специалиста.

Понимание психологии необходимо для моделирования мышления нарушителей. Крайне опциональная составляющая, но в определенных случаях может быть обязательной. Опять же, в зависимости от направления деятельности, в остальных случаях – опционально. Особенно актуально при борьбе с инсайдерами, тема которых сейчас стала очень популярной.

Подведя итог, Информационная Безопасность (как деятельность специалиста) – это организационная деятельность, направленная на обеспечение сохранности информации и ее характеристик безопасности, путем использования правовых мер и технических решений.
ИБ (как деятельность) = Ю + ЗИ +/-ОиК +/- Э +/- П.
comments powered by Disqus