Почему \"контроль\" <> \"средство защиты\"

Многим известно, что Национальный банк Украины в прошлом году снабдил отечественные банки стандартом систем управления информационной безопасностью, основанным на международных стандартах серии ISO/IEC 27000. Некоторые его даже читали и знают, что в ходе вольногоперевода текста стандарта был допущен ряд стилистических ошибок и упущений. Совсем немногие в курсе, что "под раздачу" толкователей попали и основные термины оригинального стандарта: информационный актив и контроль безопасности.

Активы в переведенном стандарте названы ресурсами СУИБ. Это было сделано, чтобы не вносить панику в ряды банковских служащих, потому что от информационных активову них возникает ложная ассоциация устоявшимся термином банковский актив, в результате чего наступает масштабнейший когнитивный диссонанс. Новый термин ресурс СУИБ (в смысле актив) моментально коррелирует с фигурирующими в стандарте ресурсами СУИБ в их оригинальном значении: тем, чем СУИБ снабжается и без чего ее быть не может.

Фундаментальное понятие контроль безопасностипереводчик опрометчиво нарек средством безопасности (укр.: засіб безпеки), и если в случае с активами причины более или менее ясны и последствия достаточно скромные, то здесь мы имеем расхождение менее очевидное, но более серьезное. Контроль безопасности это регулярно выполняемый процесс, то есть нечто ужеспроектированное, реализованное и исполняемое; существующее в реальности и дающее некий результат после каждого выполнения контроля. В то время, как средство защиты обладает потенциальным характером: это один из факторов, который может способствовать построению контроля, если это средство применить.

Например: программа-антивирус это средство защиты, а антивирусная защита это контроль, который состоит из:

• установленного и постоянно обновляемого антивируса,
• процесса централизированного сбора журналов мониторинга вирусной активности,
• регулярного просмотра этих журналов администратором ИТ-безопасности,
• мерами, предпринимаемыми по результатам изучения журналов: ручным обновлениям антивируса "на местах", руганью с антивирусным вендором, удалением вирусов вручную и т.д.

Так что, если поразмыслить минуту-другую, разница оказывается не такой уж и маленькой. Каковы могут быть последствия такого отождествления? В первую очередь, ментальные: украинская (в частности, банковская) ИБ как отрасль еще какое-то время пробудет в состоянии неведения о том, что такое внутренние контроли и зачем их строить и выполнять, если можно приобрести и установить программу или устройство, или привлечь  внешних консультантов и написать неработающую стратегию/политику/процедуру. Винить в этом некого, слабое понимание понятия контроль это глобальная проблема, которой не удалось избежать даже SANS .