10.08.2009

Принципиальное отличие ИБ от ЗИ

Заключается в том, что объект заботы разный.

Обеспечение защиты информации - борьба с угрозами (конфиденциальности/целостности/доступности) информации. Обеспечение информационной безопасности - борьба с угрозами предприятию, связанными с обработкой информации. В т.ч. и от нарушения К/Д/Ц информации, но не только.

Примеры на разницу:
1. С ИБ-шных позиций использование сабли (эмулятора HASP для нелицензионной 1С) - риск, а с ЗИ-шных нет, раз вреда КДЦ не наносит.
2. Перевод базы в статус общедоступного справочника персональных данных (договорившись с субъектами, конечно) защищенность информации уменьшает, а информационную безопасность увеличивает в полном соответствии с древнерусским принципом "Баба с возу - кобыле легче".

На этом же примере удобно иллюстрировать ошибочность утверждения, что повышение информационной безопасности - дополнительное бремя для исполнителей.

Анекдот к нему же.
Инспекция на крейсере. Проверяющий: "Пишу вам 5 замечаний - пожарная лопатка - вес не по приказу № 54545, заточка лезвия не по № 4434, длина черенка не по № 99, окраска лопатки не по № 3421, нет бирки по № 4567".
Боцман выкидывает лопатку за борт и говорит: "Пиши, замечание - отсутствие пожарной лопатки".

10 комментариев:

swan комментирует...

Анекдот в точку ПДн...

Ригель комментирует...

Я их для того и рассказываю - больше шансов, что человек не расстроится, что зашел.

biakus комментирует...

Для каждого "объекта заботы" будем придумывать свое название ИБ? :)

Информация существует в любых системах, которые делают выбор.
Как насчет человека?

Ригель комментирует...

Для biakus:

Не знаю, от чьего лица Вы говорите, но лично я не придумываю явления, а описываю.

Не только. Например, она существует в Трудовой книжке, которая вообще не система, а простой носитель.

Он сам система и элемент других систем. Может, Вы уже наконец изложите, что Вас беспокоит - только чур не здесь, чтоб не потерялось.

biakus комментирует...

Прошу прощения, если обидел. Развязывать религиозные войны нет смысла. Мир, дружба, жвачка :)

SD комментирует...

Я бы предложил другую трактовку:

Information security - безопасность информации.

Информация может быть представлена на разных носителях(бумага, человек, дискета...)

Т.е. IS необходимо прикладывать ко всем носителям- (бумага, человек, дискета...)

Если приложить ее к "дискете",
то получится "ЗИ", "computer security".

Таким образом, "computer security" - это лишь один из разделов "information security".

Ригель комментирует...

Для SD:
Посмотрите пример №2 - в нем безопасность информации падает, а информационная безопасность растет.
Потому что это не просто information security, а information security of ...

SD комментирует...

И что?

Вот Ваш пример 2 в моих глазах:

Есть АС "А".
Разделили ее на 2 АС: "Аа" и Аб", Аа отдали в общий доступ, Аб оставили.

Получили:
(какую именно строчку, зависит ТОЛЬКО от цели высказывающего)

-в Аа [CS] ниже, в Аб [CS] выше
-в Аа [IS] ниже, в Аб [IS] выше
-в Аа [CS] ниже, в Аб [IS] выше
-в Аа [IS] ниже, в Аб [CS] выше

Ни одна строка другой не противоречит, только в 2-х последних смешение разнородных понятий, что не совсем красиво, но не незаконно.

Буду многословен :-)
Ваш пример не показателен: и в Аа и в Аб присутствуют обе сути: CS и IS.

Представляете, как электронное облако[IS] и ядро[CS] в атоме? Вы, указывая на один атом, пальцем тыкаете в ядро, а указывая на другой - пальцем тыкаете в электрон.

Ригель комментирует...

В моем примере Аб не оставляли.

Может, этот будет яснее -
http://dom.bankir.ru/showpost.php?p=2667940&postcount=54

Ригель комментирует...

Для biakus:

Не знаю, от чьего лица Вы говорите, но лично я не придумываю явления, а описываю.

Не только. Например, она существует в Трудовой книжке, которая вообще не система, а простой носитель.

Он сам система и элемент других систем. Может, Вы уже наконец изложите, что Вас беспокоит - только чур не здесь, чтоб не потерялось.

Отправить комментарий