Ответьте на вопрос: "что такое информационная безопасность", не подглядывая в блог

Ответьте на вопрос: "что такое информационная безопасность", не подглядывая в блог
Мой блог читают специалисты по кибербезопасности, которые занимаются этой деятельностью уже не первый год (хотя кто-то и первый). В любом случае, каждый из тех, кто сейчас читает эти строки должен знать, чем он занимается. Так вот, попробуйте, ответить на вопрос: "что такое информационная (или кибер) безопасность?" Попробуйте ответить на этот вопрос (а лучше записать), прежде чем смотреть заметку дальше.


Я на курсах по моделированию угроз и измерению эффективности ИБ всегда начинаю с того, что советую определиться с тем, что каждый слушатель вкладывает в термин "информационная безопасность", так как от этого будет зависеть и какие угрозы мы будем рассматривать (и бороться с ними), и эффективность чего мы будем измерять. И надо признать, что у всех это определение разное. 8 лет назад я уже поднимал в блоге этот вопрос, но решил вновь вернуться к нему. Тем более, что и повод есть - недавно в англоязычном Твиттер я наткнулся на интересную дискуссию о том, что же такое безопасность. Топикстартер задал своим подписчикам этот вопрос и получил несколько десятков ответов. Я многие из них перевел и привожу ниже:
  • Безопасность - это постоянная оценка рисков и принятие или смягчение этих рисков. Это осознание того, что процесс никогда не закончится, что вы никогда не сможете быть полностью защищены от всех угроз, и что вам нужен план реагирования на сбои.
  • Безопасность - это процесс поддержания приемлемого уровня предполагаемого риска для конкретного события.
  • Безопасность - это процесс, а не конечное состояние.
  • ИБ - действия, направленные на защиту информации.
  • ИБ - это сочетание защиты и снижение беспокойства (комфорт).
  • Гарантия того, что актив защищен в степени, необходимой для снижения риска эксплуатации уязвимости до уровня, приемлемого для владельца актива.
  • Это видимость критически важных для бизнеса людей, процессов и технологий, с четкой способностью предотвращать или быстро реагировать на угрозы, как внутренние так и внешние, которые угрожают способности предоставлять ценность как компания.
  • Это все, что вам нужно, чтобы защитить себя и все, что вы цените, от того, что может причинить вам вред или привести к потерям.
  • Защита ключевых бизнес-операций для обеспечения прибыльности организации.
  • Состояние свободы от опасности или страха.
  • Это уменьшение, минимизация или устранение вероятности того, что угроза будет использовать уязвимость и повлияет на критичные активы.
  • Это состояние защиты компьютеров и данных от вреда.
  • Защита ваших интересов за пределами возможностей, пороговые значения рентабельности или устойчивости к риску ваших потенциальных злоумышленников.
  • Разумная защиты от актуальных угроз.
  • Практика минимизация беспокойства о системе или продукте.
  • Цикличный процесс идентификации, достижения и поддержания состояния.
  • Это состояние в котором, контроль, целостность, автономность и эволюция поддерживаются несмотря на внешнюю неопределенность окружающей среды.
  • Минимизация рисков, позволяющая нормально функционировать предприятиям и гражданам.
  • Процесс защиты критичных активов предприятия, позволяющий предприятию использовать функции этих активов для достижения своих целей.
  • Поддержание способности системы надежно выполнять предназначенную функцию, несмотря на разумный набор ошибок или помех со стороны нарушителей.
  • Практика защиты информации в структурированном и неструктурированном виде.
  • Это внимание, которое уделяется обеспечению доступности, используемости и сохранности данных надлежащим образом.
  • Обнаружение, предотвращение и реагирование на злоупотребления до приемлемого уровня риска.
  • Это когда частное преимуществ и стоимости от безопасности больше 1.
  • Состояние убежденности (которое может быть и ложным), которое было определено и разумно подготовлено к большим и наиболее вероятным угрозам текущему состоянию или любым его изменениям, которые могут произойти.
  • Это управление рисками.
  • Это предотвращение потерь.
  • Достижение баланса между целостностью, конфиденциальностью и доступностью в условиях постоянно меняющегося ландшафта рисков.
  • Это практика сочетания функциональности с конфиденциальностью.
  • Обеспечение доверия.
  • Минимизация рисков при максимизации ценности и работоспособности функции.
  • Действия, предпринятие для создания комфортного состояния, обеспечивающего нормальное функционирование.
  • Совокупность процессов и практик, предназначенных для защиты активов от атак, ущерба или неавторизованного доступа.
  • Непрерывный процесс оценки рисков.
  • Процессы предотвращения угроз и реагирования на них для минимизация риска компрометации данных.
  • Знание того, что для вас важно и сохранение его там. где вы хотите, тогда, когда вы хотите, и так, как вы этого хотите.
  • Достижение состояния, когда усилия по вторжению обходятся дороже прибыли от вторжения.
  • Сбалансированность использования ресурсов для снижения рисков, в то же время позволяя бизнесу выполнять желаемые функции, необходимые для продолжения работы, не препятствуя введенным мерам смягчения рисков.
  • Бесконечная битва с непредвиденными последствиями.
  • Меры безопасности, принимаемые для активного обнаружения и предотвращения совершения людьми плохих действий, а также процессы поддержания этих мер безопасности функциональными, актуальными и релевантными.
  • Борьба с максимальным ущербом минимальными усилиями, приводящими к максимально возможному благу.
  • Способность обнаруживать и сдерживать угрозы в допустимых пределах потерь для организации.
Можно еще накидать и ряд отечественных определений, которые мне встречались в разных документах и материалах:
  • Отсутствие опасности.
  • Состояние, при котором не угрожает опасность.
  • Состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
  • Деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию).
  • Технологическая задача, обеспечивающая целостность, конфиденциальность и доступность.
  • Состояние защищенности объекта от внешних и внутренних угроз.
  • Системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления.
  • Деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития.
  • Динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере.
  • Состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса.
Интересный список, не так ли? А как вы определяете термин "информационная безопасность"?..
Alt text