22 Ноября, 2011

ИТ-безопасность или Информационная безопасность

Александр Бондаренко
Случился у нас тут на днях диспут на тему того, чем отличается ИТ-безопасность от информационной безопасности. И вот в тему этого вопроса попалась мне сегодня на глаза статья . Не могу сказать, что во всем согласен с автором, но привожу здесь мой перевод этого материала.

Некоторые думают, что термины ИТ-безопасность и информационная безопасность -это слова синонимы, ведь в конце концов разве информационная безопасность не занимается защитой компьютеров ? Вообще говоря нет. Основной аргумент здесь следующий - у вас может быть идеальная ИТ-безопасность, но всего лишь одно злонамеренное действие, например, администратора, и вся ИТ-инфраструктура может стать не работоспособной. Этот риск не имеет никакого отношения к компьютерам, он относится к людям, процессам и контролю.

Кроме того, важная информация может быть и не в электронной, а в бумажной форме. В качестве примера можно привести важный договор, подписанный с клиентом или перечень административных паролей, хранящихся в сейфе директора по ИТ.

Именно поэтому я люблю говорить своим клиентам, что ИТ-безопасность это примерно 50% от информационной безопасности, т.к. к информационной безопасности нужно еще отнести вопросы работы с персоналом, выполнения законодательства, защиты бизнес-процессов. Задача информационной безопасности обеспечить защиту информации (как относящуюся к ИТ, так и не относящуюся) путем реализации механизмов, снижающих возможные риски.

Этот подход хорошо описан в стандарте ISO 27001. В Приложении А этого стандарта описано 133 контроля (защитных меры), среди которых:
  • контроли, относящиеся к ИТ: 46%
  • контроли, относящиеся к организации и документированию: 30%
  • контроли, связанные с физической безопасностью: 9%
  • контроли, связанные с соблюдением законодательства: 6%
  • контроли, связанные с взаимодействием с поставщиками и клиентами: 5%
  • контроли, связанные с управлением персоналом: 4%

Собственно подход, описанный в данной статье совпадает со многими комментариями, которые высказывались коллегами. Поясню почему я с ним не согласен. На мой взгляд это довольно классический (я бы даже сказал несколько устаревший) взгляд на информационную безопасность. Я предлагаю обратиться к такому стандарту как Cobit (кстати не особо популярному в России). Так вот в данном стандарте, относящемся к ИТ приводятся следующие процессы:




Как можно увидеть здесь есть и процессы работы с персоналом (APO07) и работа с подставщиками (APO10) и вопросы контроля процессов (DSS8). Так что говорить, что вопрос работы с персоналом - это прерогатива именно информационной безопасности на мой взгляд не совсем корректно. Это все смежные области, которые могут интегрироваться и с информационной и с ИТ-безопасностью. Так что хоть я и согласен, что в настоящее время информационная безопасность и включает в себя ИТ-безопасность, но в очень скором будущем это должно измениться. Так что будет new school и old school :) Но это мое мнение, а так поживем - увидим.