ИБ в бизнесе и ЗИ в гос.учреждениях

Игорь Гальцев

С этим крайне трудно спорить, ибо такого допуска у меня не было, и что за магические тайны раскрываются перед его обладателями я не знаю. Кроме того, в этом утверждении речь идет о защите информации, которую от ИБ следует отделять. ЗИ безусловно является частью ИБ, но не обязательной частью, в чем у нас вновь возникли разногласия:

Прежде чем начать комментировать это высказывание, процитирую еще один вчерашний твит:

Начнем с того, что "Без ЗИ - ИБ не будет". Это не совсем так. ИБ должна давать ответы на вопрос "А нужно ли защищать?". Эти ответы могут быть даны только при оценке информационных рисков . Во-первых, вполне вероятно, что оценка даст такой незначительный уровень риска, что внедрение защитных мер окажется экономически нецелесообразным. Т.е. мы получаем актив, находящийся в состоянии информационной безопасности, но при этом никак не защищаемый. Во-вторых, даже если риск оказался велик, то его не обязательно снижать - есть и другие методы его обработки (страхование, избежание).

Но все же, мой товарищ не совсем не прав. Чаще всего ЗИ таки часть ИБ, а в государственных учреждениях - всегда. Вернее в гос.учреждениях реже встретишь ИБ, чем ЗИ. Дело в том, что в организациях работающих, в частности со сведениями составляющими государственную тайну, информационные риски оценил некто сверху (как? - другой вопрос, ответ на который, полагаю, никто не найдет), проанализировал и решил, что для снижения их до приемлемого уровня необходима установка и настройка определенных СЗИ. Правда, наверняка, риск-терминология в этом процессе не использовалась. Почему эти "люди сверху" выбрали такой вариант обработки?

Избежать риски в данном случае можно лишь отказавшись от обработки секретных сведений. А страховать информационные активы гос.организаций равносильно страхованию танков от угона и боеголовок от кражи... Во всех этих случаях, политические и социальные последствия перевешивают экономические. А риски, как мы знаем, имеют ту же единицу измерения, что и последствия, т.е. рассчитать факторы риска , связанные с последствиями, в денежнем эквиваленте  попросту невозможно.

Потому в ряде учреждений безопасность понимается исключительно как соответствие требованиям безопасности. А управление безопасностью сводится к тому, что на западе зовется compliance management - т.е. спецы занимаются приведением организации к соответствию определенным нормам и правилам.

Бизнес же требует, чтобы эти нормы и правила проистекали из целей и задач бизнеса. Чтобы деятельность службы информационной безопасности максимизировала прибыль.

Зато compliance management крайне необходим в гос.конторах, а с относительно недавних пор еще и в тех организациях, где обрабатываются персональные данные. Само приведение к соответствию можно сделать один раз и потом, до изменений в законодательстве не заморачиваться, лишь периодически проверять, не изменились ли какие-то параметры объекта, по которым оценивалось соответствие. В масштабах небольшого предприятия это много времени не займет - потому подобная деятельность зачастую и отдается на аутсорс, в том числе таким организациям, в которых работает мой друг.

Отдать на аутсорс определение параметров, по которым в дальнейшем будет проводится соответствие для бизнеса тоже реально. Но вот компаний, которые таким промышляют, довольно мало (в России по крайней мере), т.к. это дело требует индивидуального подхода и адаптации методики оценки под конкретную организацию с учетом всей ее специфики.