23 Сентября, 2006

О том, что же такое ИБ в конце то концов)))

janeRKC
Жутко надоело, когда все путаются в понятиях безопасности и чем она занимается.
Почему предлагаю для обсуждения свою схему.
Безопасность отдельно взятого предприятия можно подразделить на следующие направления:
1. Служба общей безопасности - это то, что на сегодня есть в любой конторе и возглавляется как правило ФСБшником на пенсии. Что они там делают?
1.1. Служба экономической безопасности или, как я видела в одной конторе, отдел предотвращения потерь. Например, в дилерской организации они могут расследовать недосдачи на складе, в сотовых операторах - искать мошенничества с оплатой и тому подобное.
1.2. Даже не знаю как это называть, но есть прям такая конкретная функция - это пробивание контрагентов, выбивание долгов и т.д. Назовем это безопасностью взаимодействий.
1.3. Физическая безопасность. Это как правило замки, сигнализация, противопожарка, видонаблюдения и т.д. То есть за народом своим и чужим приглядывают. За народом как за определенной массой тела, в смысле ;) Но сюда же можно отнести и то, что СБ часто работает телохранителями шефа))

2. Информационная безопасность - это новомодное, можно сказать, направление (службы общей безопасности существуют уже фиг знает сколько времени, а ИБ - дай бог лет 20), связанное с тем, что бизнес в современном обществе во многом зависит уже не от продукта, а от информации о нем. Подразделить это все можно так:
2.1. ИТ-безопасность. Да, да, не надо путать информационную и ИТ безопасность. ИТсекьюрити, как следует из названия, это безопасность информационных технологий. ИЛи ИТ-инфраструктуры предприятия. Она тоже может делиться - на сетевую или ИНтернет безопасность, безопасность приложений и т.д. Основная фишка здесь в том, что в ИТ-безопасности объектом защиты все-таки является ИТ-инфраструктура, а не информация. Но естественно, поскольку безопасность ИТ-инфраструктуры сама по себе никого не колышет, кроме как из спортивного интереса, ИТбезопасность является частью ИБ.
2.2. Собственно ИБ. Здесь объектом защиты является информация и защищаются информационные потоки. ИБ должна учитывать информацию на всех этапах обработки. Начиная от факса, принятого секретаршей, документа в электронном документооборота и заканчивая копией, которую распечатал себе исполнитель. Здесь защищаются бизнес-процессы, связанные с информационными ресурсами компании.

Надеюсь, у меня получилось понятно изложить. Может кто-нибудь что-нибудь уточнит?

UPD - вот здравое уточнение по поводу общей службы безопасности от xsaper.
1. Служба безопасности (состоит из отдела охраны и отдела режима), они делают то, что у тебя написано под п.п. 1.1 и 1.3.
2. Служба экономической безопасности, они работают только с информацией ("пробивание" контрагентов из п. 1.2).
3. Служба внешнеэкономической безопасности, они работают с конечными фирмами и людьми ("выбивание" долгов).
4. Служба охраны президента компании, тут все понятно, у них еще очень обособленная подчиненность.
5. Служба информационной безопасности.
6. Служба собственной безопасности, контролирует все 5 предидущих пунктов, такие бывают только в очень крупных холдингах.
или введите имя

CAPTCHA
ak_
25 Сентября, 2006
RE: О том, что же такое ИБ в конце то концов)))
В сад! %) Не обижайтесь плиз. Почитайте определение термина "информационные технологии". После чего еще раз попытайтесь сформулировать что такое в вашем понимании ИТ-безопасность и информационная безопасность. Из ваших слов это одно и тоже. Академически ИБ делят (вернее пытаются делить, т.к. толком еще никто не доказал, что так правильнее всего) на сетевую безопасность (интранет, интернет, правильная с точки зрения безопасности прокладка кабельной инфраструктуры, настройка активного сетевого оборудования), безопасность АИС (политики разграничения доступа, шифрование информации, ЭЦП и прочее), безопасность серверов (бэкапы, пожарная безопасность серверных помещений, контроль доступа, электрическая безопасность и т.д.).
0 |
25 Сентября, 2006
RE: RE: О том, что же такое ИБ в конце то концов)))
либо я невнятно объяснилась, либо Вы не так поняли))) те академические деления, которые Вы перечислили - это безопасность инфраструктуры (а точнее ИТ-безопасность), а не безопасность информации. Это разница большая. Из моих слов ИТбезопасность и ИБ - две очень очень разные вещи. Давайте по другому попробуем подойти, академически. Когда я училась в институте, нам говорили, что ИБ - это комплекс организационных, технических и еще каких-то там мер для того то того то. ИБ включает в себя ИТ-б, но не исключается ей. Если бы ИБ заключалас ьв том, что вы перечислили, то у меня бы уменьшилось работы процентов на 60. А у Вас, вынуждена констатировать, типичный ИТшный перекос. Всего есть два распространенных перекоса в понимании ИБ. ФСБшный и ИТшный. Только не обижайтесь ради бога))
0 |
25 Сентября, 2006
RE: RE: О том, что же такое ИБ в конце то концов)))
чтобы было понятно, задам наводящие вопросы: где в Ваших перечислениях Security Awareness как там ее Program, то бишь обучение пользователей? а также обязательства о неразглашении, приложения в трудовым и т.д. где юридическая проработка и закрепление статусов информации, как коммерческой тайны и т.д. под лозунгом какого из ваших делений можно поставить шредер в компании? или сейф? кто создаст юридическую значимость ЭЦП? под лозунгом какой из этих безопасностей мне проводить анализ рисков? и т.д.
0 |
1 Октября, 2006
RE: О том, что же такое ИБ в конце то концов)))
Не стоит разделять собственно ИТ-безопасность и Собственно ИБ в Вашей терминологии. В ИТ-безопасности объектом защиты таже должна являться ИНФОРМАЦИЯ. Иначе на кой вообще защищать эту самую инфраструктуру
0 |
2 Октября, 2006
RE: RE: О том, что же такое ИБ в конце то концов)))
может вы и правы. Но разделяя - я пытаюсь объединить. Просто очень часто ставят знак равенства между ИБ и ИТ-безопасностью. Но это не так. А про объект защиты - у меня есть наглядный пример. Когда я пришла в контору - с ИТ-безопасностью там все было более менее нормально благодаря профессиональным админам. А вот с ИБ - оставляло желать лучшего. Уверяю Вас - наш админ ни разу не задумывался о том, что он защищает корпоративную информацию какую-то, неизвестно какую. Он просто делал свое дело по поддержке ИТ-инфраструктуры профессионально.
0 |