Чем занимается ИБ?

Аватар пользователя riskmn
Автор: Никишин Михаил,
(11)
()

Читаю посты и диву даюсь. О всем пишут, чего только не поминают. Обычному человеку покажется, что безумно важна и интересная деятельность.

Уважаемые авторы статей, а может кто из редакции прояснит - просьба дайте ответ на простейший вопрос;

Безопасность чего или кого обеспечиватся подразделением ИБ?

Может так удастся ясность внести?

 

Оцените материал:
Total votes: 20
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Ichikara

Михаил Вениаминович, регулярные читатели блогов на BISA так или иначе _уже_ понимают, что "информационная безопасность" != "безопасность информации" и, в первую очередь, направлена на обеспечение состояния защищенности субъектов от информационных угроз. Тем не менее, общая риторика от этого не меняется. Так может настало время задавать и _отвечать_ на правильные вопросы из серии "Почему БИ заменяет собой понятие ИБ в большинстве компаний?" и "Как изменить данную ситуацию?"

up
1 user has voted.
Аватар пользователя riskmn

Кирилл, добрый день.

Пишу второй раз. Первый ответ пропал в редакторе (написал много - обидно, что пропало) :-((

1. Хочу уточнить, в понимании сообщества "субъект" - это......(если можно конкретнее дабы исключить недопонимание)?

Теперь по сути вопросов:

1.  "Почему БИ заменяет собой понятие ИБ в большинстве компаний?"

Ответ: Так исторически сложилось. В конце 90-х пошли по ложному пути. Стали в ИБ (там, где только эти службы начинали зарождаться) брать ИТ-ков.Считаю, что это первопричина всех текущих бед. Пожинаем ошибки тех лет.

2. "Как изменить данную ситуацию?" - вопрос слишком общий!!! Надо уточнить о чем речь?

Какую ситуацию - с адекватным пониманием ИБ и БИ - только ее (локально) не изменить. Менять надо фундаментальные принципы. Многим не понравится.

ИБ - не поляна бизнеса и тем более не поляна выходцев из ИТ. В ней есть некоторые задачки, решение которых можно поручить некоторым компаниям, но тоько это.

​Этот узел разрубить может только государство. Как это сделать - вариантов несколько, а вообще это длинная история....

up
1 user has voted.
Аватар пользователя Ichikara

На мой взгляд, трактовка понятия "субъект" напрямую завит от того, кого мы защищаем от информационных угроз: в рамках семьи - ее члены, в рамках компании - его владельцы, страны - государтсво (ну и общество в довесок).

По первому вопросу: тут, скорее, я не совсем корректно сформулировал вопрос - точнее будет: "Почему БИ _продолжает_ подменять собой понятие ИБ?" Информация с каждым днем становится все доступней, а владельцы бизнеса (не будем брать в рассчет специалистов по БИ/БИ/ТЗИ, ибо у них свои интересы), в большинстве своем, продолжают "покупать" БИ под видом ИБ.

По второму вопросу: опять же, скорректирую вопрос: "Что нужно сделать для изменения понятия ИБ в головах владельцев бизнеса? И нужно ли вообще? Может просто правильным формулировкам научить?"

up
1 user has voted.
Аватар пользователя riskmn

1. Защищать надо сотрудников - это задача ИБ! Остальные объекты - это дело других нправлений.

2. Владельцы действуют так, как им советуют эксперты. Если они советуются с "самозванцами и шарлатанами" - как будет что-то полезное? Это основной симптом. Пока будет так - бизнес будут продолжать обманывать. Но, бизнес умнеет из года в год - это положительная динамика позволяет надеяться что век самозванцев кончится.

3. Надо заниматься ликвидацией у них безграмотности в области ИБ, Тоько кто их будет образовывать? Сегодняшние самозванцы - не будут и не смогут. Выход будет такой: появится мощный игрок, которые наберет настоящих спецов и выжмет с рынка современных "экспертов".

up
1 user has voted.
Аватар пользователя Ichikara

1. Если так, то чья же задача состоит в обеспечении состояния защищенности остальных категорий субъектов от информационных угроз?

2. Но ведь владельцы бизнеса должны исходить из своих потребностей, а не советов самозванцев и шарлатанов. Может дело таки в них самих?

3. Ну, вот я здесь благодаря Вам образовываюсь - вопрос в наличии внутренней потребности обучающегося. Будет ли человек, у которого уже закрыты все его потребности, активно прислушиваться к призывам о смене парадигмы?

up
1 user has voted.
Аватар пользователя riskmn

Кирилл, Вы задаете вопросы с такими широчайшими категориями и масштабами. Трудно ответить так, чтобы всем ответ помог.

1. Тут надо разбираться от печки. От модели угроз и от модели нарушителя. Давайте конкретно кому, что и от кого угрожает?

Что такое информационная угроза?

Чья задача - да комплексная и субъекта (потребителя услуг) и того, кто услугу поставвляет. Банк и карта. Человек записал пин на карте. деньги сняли - кто крайний? Это если об информационных технологиях и услугах.

Про информацию - просто песня. Давайте конкретный пример - думаю Геннадий Атаманов нам поможет разобраться. Абстрактно говорить сложно. Не будут видны тонкости.

2. Конечно во владельцах. Никто другой за их добро не отвечает (кроме специальных ситуаций). От их грамотности в этих вопросах. Хотят слушать сказки и платить лишние деньги - это их право (деньги их и они могут с ними делать что угодно  - хоть печь топить). Потребност у них есть - цифра уже плотно вошла в жизнь. Не понимают они - каждый день это видят на примере своих детей, которые из гаджетов не вылезают. В них дело.

3. Я не понял про "закрыты все потребности"? Это у кого они закрыты? Бизнес от ИБ сейчас вертится как на сковороде. Людей набрали - бабки вложили - содержание платят - а отдачи нет. Все росказни про гениальные внедрения в бизнесе подобных решений - не хочу никого обижать, но если придирчиво спросить, то столько вывалится странного для тех, кто эти штуки оплачивал. Отсутствие понимания и компетенций - ведет к "схлопыванию" всего рынка. Бизнес умнеет на глазах и рынок нечинает защищаться. Он (бизнес) начинает уже задавать неприятные для "экспертов" от ИБ вопросы, на которые получает лишь простанные ответы. Дальше - больше. Дети, пришедшие в ИБ на волне начала 2000-х, начинают создавать системы, которые просто вредны для бизнеса. Все это затягивает бизнес в такие расходы, что заниматься уже основным делом просто некогда и не на что....

up
1 user has voted.
Аватар пользователя Атаманов Геннадий

Здравствуйте, Михаил!

Давно что-то Вас не было в данном сегменте виртуального простанства. В отпуске были?

А теперь по сути.

По п.1: так сложилось не потому, что ИТ-ки пошли (что тоже было), а потому, что некоторые в силу своей методологической безграмотности перевели «information security». В то время как «security» не есть «безопасность», а есть «охрана», т.е. защита (в американском языке, насколько я понимаю, вообще нет такого понятия как «безопасность»). А остаётся до сих пор эта глупость благодаря усилиям некоторых деятелей, в т. ч. и, в первую очередь, А. Лукацкого. Неоднократно писал ему, что не нужно подменять эти понятия. Он и слушать не хочет (или не может) и толдычит своё ИБ да ИБ.

По п.2: про адекватное понимание ИБ/БИ/ТЗИ я написал всё (или почти всё): и кто/что объект, и кто субъект, и что такое информационные угрозы, и что такое угрозы информации, и что «угрозы информационной безопасности» есть откровенный бред, и т.д. и т.п. И про подразделение написал: кого и как (но не чем) оно должно защищать.  Всё есть в открытом доступе в моём блоге «АГАСОФИЯ».

Согласен: сложившийся «гордиев узел» должно было бы разрубить государство (в смысле «власть»). Но этого, по понятным причинам, не будет.

up
1 user has voted.
Аватар пользователя riskmn

Да, забыл сказать про решение. Решений нет, потому что лидера этой отрасли ищут не в тех краях. Министра же для МО нашли- вот и получают приличный результат.

Пока наверху это не догонят - решения не будет.

up
1 user has voted.
Аватар пользователя riskmn

Геннадий, приветствую.

Да есть место где можно/ нужно людям хорошим помогать. Вот и бываю редко в столице.

Почитываю что они тут пишут и иногда терпения не хватает, вот и прорывает.

1. Я описал первопричину текущей ситуации. Не в переводе было дело - в то время на западные стандарты даже внимания не обращали. BS7799 появился у накс только в 1999 году, да и то не у всех... Про Лукацкого - разговор отдельный. Алекссей - разумный человек (мы знакомы с тех времен) он никогда себя супер специалистом по ИБ не считал и не считает - это реальная позиция. Что говорят и как считают другие - это их дело. Алексей двигается в рамках общего потока - зачем ему в эти дрязки встрявать? Но, он хороший спец по cisco, как канальной защите и он отлично использует западные методологии по ИБ (например их система обучения по ИБ - достойна уважения и тиражирования). Решать надо глобальные проблемы через своих, а не тех, кто работает на чужих)))

2. Ну, по тонкостя ИБ мы с Вами не во всем совпадаем, но это слишком тонкие материи. Буду рад, если большинство хотя бы почитает Ваши наработки - уверен, что это пойдет всем на пользу.

3. А вот про субъекты и объекты хотелось бы у других посетителей узнать))) Хотел даже написать, чтобы Вы на это не реагировали (потом подумал, что может показаться несколько невежливо и не стал уточнять))))). Вы знаете, но знают ли другие - это многим важнее????   

up
1 user has voted.
Аватар пользователя Атаманов Геннадий

Помогать – дело хорошее, благородное.

По п.1: До начала 2000-х речь вели только о ТЗИ. Термин «информационная безопасность» не использовался, во всяком случае в официальных документах Гостехкомиссии. А потом понеслось.

Про Лукацкого: я считаю Алексея суперспециалистом, но только не в ИБ, а в КБ, т.е. в кибербезопасности. Алексей – талантливый человек и очень популярный (заслуженно). От этого его коэффициент социальной значимости (термин мой – А.Г.А.) очень высок, но и ответственность за то, что он говорит/пишет должна быть значительно выше, чем у остальных. При этом он упорно продолжает называть кибербезопасность информационной безопасностью. Зачем? Почему? Зачем он дезинформирует публику? Подмена понятий – один из основных способов ведения когнитивной войны. Результат – формирование искажённой картины мира. Неужели он этого не знает?

Если не знает, то какой же он тогда ИБешник?

А если знает, но всё равно делает, то тогда …?

Я отношу подмену понятий к категории «информационная диверсия».

По п.2: Спасибо!!!

По п.3: Не реагировать стараюсь, иногда уже получается. Услышать немого – задача благородная, но, как показывает опыт, неблагодарная. Вам – успехов!

up
1 user has voted.
Аватар пользователя riskmn

1. В ГТК подхода к ИБ. А вот в бизнесе уже были. Ко мне с аудитом в департамент приезжали европейские руководители по ИБ от E&Y. Это было в 1999-ом!

2. Про термины. ВЫсе начиналось с середины 90-х с ЗИ ( в бизнесе ТЗИ - такого термина не было).

3. Алексей как раз спец в ЗИ, причем очень узкой ее части. А все остальное - он не придает этому значение - только и всего. Если говорить серьезно то и кибербезопасностью ни он ни другие не заняты. Только часть ЗИ, а потом начинаются маркетинговые трюки - как придать брольше пафоса и подобное....Они ведь ничем не отвечают за это - сплошь безнакананность.

Буду пытаться в силу своих мелких возможностей...

up
1 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.