Пришла в голову такая вот не хитрая аналогия по мироустройству и месту службы информационной безопасности в нем: сравнить компанию с водопроводом (или нефтепроводом, так злободневней).При такой аналогии получается, что:
- Задача бизнеса - производить воду и определять куда ее нужно доставить,
- Задача службы ИТ - проложить трубопровод по направлению, определенному бизнесом, и поддерживать его работу (обеспечение доступности)
- Задача службы ИБ - замазать все щели, чтобы по дороге ничего не вытекало (нарушение конфиденциальности) и не попадало внутрь (нарушение целостности).
Именно такая последовательность. Иногда, службе ИБ удаётся договориться с "вышестоящим" уровнем (ИТ), и тогда получается использовать трубы понадежней, или даже направление/форму трубопровода скорректировать, но не более.
Службе же ИТ необходимо постоянно следить за службой ИБ, чтобы та, в процессе замазывания щелей, не налепила столько замазки, что в трубе образовались заторы.
Не очень приятно осознавать "замазывающую" роль ИБ, лучше перефразировать.
На эту тему (не к ИБ а более к ИТ) хорошо описано в книге "Блеск и нищета информационных технологий. Почему ИТ не являются конкурентным преимуществом" Николаса Дж. Карра (в свободном доступе в тексте и аудио)
