30 Ноября, 2011

К вопросу по ИБ и ЗИ

Сергей Медюшко

В последнее время в блогах коллег было много постов на тему "ИБ неравно ЗИ". Решил высказать и свою точку зрения по этому вопросу.

В посте я рассматриваю ИБ и ЗИ не как конкретное определение, а направление деятельности специалиста. В этом контексте неравенство ИБ и ЗИ очевидно. ЗИ – это часть деятельности, непосредственно относящаяся к ИТ-безопасности. ИБ в свою очередь охватывает комплекс направлений, в большей или меньшей степени выраженных в зависимости от деятельности специалиста:
- юриспруденция;
- ЗИ (или ИТ-безопасность);
- организация и коммуникации;
- экономика;
- психология.

Без юридического направления сущность ИБ как таковая теряется. Правовые основы играют важнейшую роль при обеспечении информационной безопасности. Полное исключение направления превратит ИБ в ЗИ+, а только наличие одного направления юриспруденции (при отсутствии остальных направлений) сделает из специалиста по ИБ юриста.

ЗИ также одно из основополагающих направлений в ИБ. Без принципов ИТ-безопасности обеспечение информационной безопасности при задачах адекватной и выше сложности будет невозможно.

Работы по ИБ предполагают активную организаторскую деятельность, которая подразумевает наличие соответствующего уровня коммуникаций (в т.ч. в части согласования). Особенно это касается внутренних специалистов по ИБ – в рамках работ часто задействуются специалисты из различных областей, а работы по ИБ подразумевают затрагивание многих сотрудников организации и их деятельности.

Любые работы по ИБ в компании, которая не сорит деньгами, требует экономического обоснования расходов на ИБ и экономическую оценку рисков. Это относительно побочное направление в ИБ, сейчас ставшее довольно актуальным, может быть частью ИБ в зависимости от деятельности специалиста.

Понимание психологии необходимо для моделирования мышления нарушителей. Крайне опциональная составляющая, но в определенных случаях может быть обязательной. Опять же, в зависимости от направления деятельности, в остальных случаях – опционально. Особенно актуально при борьбе с инсайдерами, тема которых сейчас стала очень популярной.

Подведя итог, Информационная Безопасность (как деятельность специалиста) – это организационная деятельность, направленная на обеспечение сохранности информации и ее характеристик безопасности, путем использования правовых мер и технических решений.
ИБ (как деятельность) = Ю + ЗИ +/-ОиК +/- Э +/- П.
или введите имя

CAPTCHA
1 Декабря, 2011
Хотя в своей деятельности только частично занимаюсь ЗИ, но могу позволить себе оценить - толковая статья получилась. Все четко и по полочкам.
0 |
  • Поделиться
  • Ссылка
Ригель
2 Декабря, 2011
И все равно Вы привязали ИБ к обеспечению неизменности характеристик информации. А я вот уже раз в неделю примерно повышаю ИБ одной организации, тем что обосновываю необходимость прекратить (не начинать) обработку какой-то информации, выкинуть что-то из перечня КТ, раскрыть что-то самим, пока конкуренты не переврали и т.п. Защищенность информации падает, а защищенность работодателя растет. Абсолютная ИБ - у организации, не имеющей рисков, связанных с информацией ...
0 |
  • Поделиться
  • Ссылка