Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3
RSS
Бизнес и информационная безопасность – новые тенденции.
 
Цитата
Гость пишет:
Кроме того - в слюбом случае - сеть _без VPN_, защищенней чем эта же сеть _c VPN_.

Интересное умозаключение...
 
Поднимаю данную тему из архивов по одной причине. Тема чрезвычайно полезная и нужная, но логически незавершенная. Раз уж обсуждение свелось к спору о здоровом образе жизни следует постараться раскрыть это понятие. Постараюсь сделать некое обощение ключевых моментов, прозвучавших в постах темы.
Начну с поддержки высказывания, что ИБ ни в коем случае не является частью стратегии бизнеса. Это даже не предпосылка - это лишь подпорка к реализации этой самой стратегии. ИБ не влияет на бизнес-процессы организации в явном виде, а ее влияние на технологические процессы происходит только через обратную связь.
Концепция оценки рисков напротив является наиболее здравым подходом к проблеме ИБ. При этом камнем преткновения здесь является методологический аспект. Если проводить оценку рисков используя различные методики, то и результат получится соответствующий. Вероятно отсюда и пошел разброс во мнениях, чего же конкретно должна касаться ИБ. Особо упорные исследователи ищут уязвимости в бизнес-процессах компании, забывая, что самым уязвимым звеном является человек.
Говоря о влиянии иностранных регулирующих документов трудно не согласиться с мнением, что маркетологи притягивают за уши все, что хоть как-то касается правового регулирования - традиционно сильного средства воздействия. Как уже было отмечено - данный вопрос может быть актуален только для ничтожно малого числа компаний. Единственным полезным аспектом влияния этих документов является пропаганда самой идеи оценки рисков как исходного элемента ИБ. Таким образом ИБ должна начинанаться с оценки рисков и заканчиваться их обработкой. И так по кругу до бесконечности. Однако от слов к делу перейти не удается. Слишком много методик оценки, нет критериев выбора (интеграторы здесь не помощники по понятной причине), нет доверия полученным результатам. Мы имеем ситуацию, когда все говорят "мойте руки перед едой", а вот как мыть - есть множество мнений. В итоге на сегодня ИБ является рынком, который регулируется государством и маркетологами, но не актуальными проблемами.
В качестве резюме хотел бы отметить, что Илья поднял в данном материале очень нужную тему, при этом мотивацию выбрал заведомо неправильную. Оценка рисков нужна не потому, что это кто-то требует, а потому, что это в первую очередь нужно вам самим. Осталось только убедить людей перестать в этом сомневаться.
 
Вопрос: Что такое ИБ?
Ответ: ИБ = Доступность + Целостность + Конфиденциальность.

При отсутствии какого-либо из этих компонентов - по любой причине, будь то глючное ПО, применяемые в бизнес-процессах, кривые руки необученных пользователей, отсутствие резервного копирования, действия злоумышленников, беспечность сотрудников, непрозрачные, неотлаженные, дырявые сами бизнес-процессы, все это приносит потери для бизнеса. Эти потери закладываются в издержки, на основе анализа рисков.

Соответственно - обеспечение ИБ (донесение до умов топ-менеджмента важности вышеперечисленных проблем, внедрение политик, корпоративной культуры ИБ, систематизация подхода к бизнес-процессам, повышение надёжности организационных процедур бизнес-процессов, применение надёжного ПО, резервирование, дублирование, обучение сотрудников, установка оборудования защиты и т. д.) - снижает риски, соответственно снижаются заложенные издержки. Появляется дополнительная прибыль. Это в качестве ответа на вопрос, как ИБ приносит прибыль.

Риски всегда были, есть и будут, и глупо рассчитывать, что они не реализуются. Как раз вероятностная природа рисков и говорит нам, что некоторые риски в текущей ситуации не реализуются вообще (атака инопленетян), а некоторые - реализуются в 100% случаев (мобильный телефон, оставленный на скамейке зала ожидания вокзала пролежит там не более 10 минут).

ИБ - это философия жизни. В идеальном мире не потребуется работа ни врачей, ни милиции, ни пожарных, ни армии, ни спецслужб, ни спасателей, ни нотариусов, ни адвокатов, ни защитников информации. Однако в реальном мире, везде работа вышеуказанных специалистов востребована и от степени осознания обществом этой востребованности зависит его благополучие. ИБ неотделима от жизни современного человека, также как неотделимы от жизни медицина, юриспруденция, военное дело. И рассматривать её нужно в первую очередь с философских, гуманитарных, экономических, юридических позиций, а уже после выработки идеологии, тонкой интеграции её в общую модель, приступать к организационной и технической реализации. ИБ - такой же компонент системы успешного бизнеса, как и другие его составляющие - анализ рынка, разработки, производство, реклама, продажи, физическая безопасность. Давно известно - "Кто не хочет кормить свою армию - будет кормить чужую."

Беда многих специалистов по ИБ, в том что они видят ИБ - как вспомогательный технический процесс в виде закупания и установки брандмауэров, антивирусов и т. д. Они не с той стороны подходят к процессу и совершенно естественно натыкаются на непонимание топ-менеджмента. Купить специализированные железяки и установить их там, где это КАЖЕТСЯ нужным, и говорить что готова ИБ - всё равно, что купить партию автоматов АК, взять толпу людей, раздать им эти автоматы и говорить, что это готовая армия.

С Уважением ко всем коллегам.
Страницы: Пред. 1 2 3
Читают тему