24.11.2011

Снова о главном

Сколько существует этот блог, столько в нем повторяется тема ИБ!=ЗИ. Буду считать, что периодически облекаю ее в новые краски.

Позапритча.
Хотя старое название стоматолога – дантист ("зубник"), задача стоматологии не в том, чтобы помогать зубам. Она в том, чтобы помогать пациентам. В проблемах, связанных с зубами. Во-первых, это ведь не всегда сохранение/восстановление свойств собственно зубов – лечить могут десну или прикус. Но главное: зубу могут сделать и хуже – его могут подпилить, лишить нерва, вообще удалить. Для того чтобы пациенту стало лучше – отпустила боль, не пошла киста, остеомиелит, восстановился прикус опять же. Стоматология – это медицина в интересах пациента, а не зубов. У зубов их тупо нет.

Притча.
Безопасное транспортное средство (дальше подразумеваю автомобиль, его пример мне ближе) – это не защищенное транспортное средство, а защищающее – безопасное для кого-то или чего-то. Это и шкурные интересы собственника, страдающие при угоне, поломках, повреждениях; и собственников того имущества, в которых это имущество въехало; и жизнь-здоровье водителя/пассажиров этого ТС; и водителя/пассажиров встречных ТС; и пешеходов; и мера ответственности водителя, зависящая от ущерба, причиненного жизни, здоровью, имуществу; и чистота легких горожан еще сюда ж.
Только в одном случае (в первом) чем целее автомобиль, тем целее интересы соответствующего субъекта, в остальных его защищенность для безопасности субъектов не важна. А порой и наоборот: он должен как можно больше пострадать сам, чтобы как можно меньше навредить.

Тча.
Если стоматолог сосредоточится на зубах, ему скоро станет некого лечить. А производителю автомобилей, максимально сохраняющих самое себя, скоро станет некому их продавать. От того, что этот бред, будто информационная безопасность должна защищать информацию или какие-то ее свойства, написан на первых страницах современных учебников, он не перестает быть бредом. Это временно: просто пострадавших от идиотов-ИБшников пока меньше, чем от идиотов-врачей.

Затча.
Перестаньте читать (и писать) эти чертовы книжки, займитесь оценкой рисков в реальности. На третий или пятый раз Вы заметите, что рассматриваете ущербы не самим цифрам, программам или устройствам, а кому-то. На тридцать пятый Вы задумаетесь, а на сто тридцать пятый сформулируете то же, что здесь написано. Но, вероятно, в других словах и выражениях.

Послезатча.
Из вредности и чтобы два раза не вставать. Самый худший случай – это сфокусированный ИБшник. "Я – герой: каждый день хожу на работу и навариваю там на бампер всё новые и новые стальные листы!". Вот лучше бы он ничего не делал. Для безопасности лучше. Безопасности людей. Но он-то автомобиль защищает. Который уйдет с траектории, и пешеходов похоронят, а водителя посадят, а детей в интернат. А могли жить. А автомобилю хоть бы фиг.

23 комментария:

Анонимный комментирует...

Потому и отплевываюсь от этой небылицы "информационная безопасность"...

Alexey Volkov комментирует...

> Это временно: просто пострадавших от идиотов-ИБшников пока меньше, чем от идиотов-врачей.

С учетом современных идио(ма)тических тенденций в области госрегулирования ПДн, все большего распространения и проникновения ИТ в нашу жизнь, ситуация вскоре переменится. Правда, если другие идиоты, те, что принимали закон Об охране здоровья, не сведут нас в могилу раньше.

Ригель комментирует...

А.А.: везет Вам, если можете себе позволить.

А.В.: надо ждать - когда-то через это отрасль должна была пройти.

Анонимный комментирует...

Просто стараюсь не употреблять ее в собственной речи и нормативных документах, которые пишу, а там глядишь и другие перестанут...
Вот еще нормотворцы бы перестали...

Анонимный комментирует...

Загнался: нормативных пока не писал, тока организационно-распорядительные)))

Ригель комментирует...

Возможно, это правильно: или все должны договориться, что это, или перестать пока непонятными словами жонглировать.

Alexey Volkov комментирует...

Я вообще считаю, что information security != информационная безопасность, но "безопасность информации". Здесь информация выступает объектом защиты (как зуб - у стоматолога), ну а делается все естественно ради одного - человека (владельца, клиента, пациента, субъекта....).

Alexey Volkov комментирует...

И как и у стоматолога, нельзя ограничиваться только зубом: нужно помнить и про десны, и про щеки, и про нерв, и про много что еще. Но потому и "стоматологи" разные бывают - пародонтологи, хирурги и т.д. Главврач больницы правда везде главврач )))

Ригель комментирует...

> information security != информационная
> безопасность, но "безопасность информации".
> Здесь информация выступает объектом защиты
> как зуб

Конечно. Поэтому безопасность информации - не эквивалент информационной безопасности, а часть.

Alexey Volkov комментирует...

Я бы на твоем месте вообще не употреблял термин "информационная безопасность". Артем прав - он от лукавого.

Ригель комментирует...

Он меньшее зло. Альтернативные варианты зовут защищать саму информацию (на что начинающие и попадаются), а не интересы людей и групп, связанные с этой информацией.

Вихорев комментирует...

Очень правильная и актуальная тема! Ригель как всегда бьет не в бровь, а в глаз. Только сегодня читал лекцию в МИЭТе перед 5-курсниками. Эту тему затронули. Но не могу полностью согласиться с Ригелем.
Во-первых, безусловно - безопасности информации (не буду вдаваться в подробности, хотя могу).
Во-вторых, тоже попробую "на яблоках".
Мы кладем в сейф деньги, но не интересы их собственника, а получается, что спасаем от ущерба именно собственника денег. Получается. что все-таки ОБЪЕКТОМ защиты будут деньги (информация), а делается это с ЦЕЛЬЮ утсранить ущерб собственника денег (обладателя информации).

ЦЕЛЬ ЗАЩИТЫ и ОБЪЕКТ ЗАЩИТЫ - суть разные категории.
Так что леча зуб (или десну) стоматолог преследует цель избавить пациента от проблем. Порлучается, что зуб - объект лечения, а цель лечения - здоровье пациента.

Так же и в безопасности информации: объект защиты - все-таки информация, а цель защиты - интересы субъекта.

Тут можно и дальше продолжить. Применит методы парирования угрозам к информации - нельзя! Она наполовину идеальна. А вот применить эти методы к той оболчке, где она сейчас находится - можно, потому, что она материальна. Вот и получается еще одна категория: точкой приложения усилий по защите информации в интересах субъекта является - среда в которй циркулирует информация.

Ригель комментирует...

С.В.: да!! Но мое "да" тоже с оговорками. Бывало, например, что в моих собственников чужими яблоками попадало, оттого что свои вовремя не засветили - так что порой все-таки не яблоки объект. Ох, надо было по частям продвигаться - первую модельку разобрали, потом дальше пошли. ИС (автомобиль) я из-за вчерашнего спора с Turkish ввел, чтобы много заинтересованных сторон навернуть, жалею. Ну, в любом случае есть таймаут сейчас, я вразрядку эту тему пишу.
Спасибо за комментарий.

Alexey Volkov комментирует...

СВ: я бы расширил: "точкой приложения усилий по защите объекта в интересах субъекта является, среда, в которой находится объект". Отсюда следует, что смысл фразы "information security" сводится к "безопасность информационной среды", и в отличие от модели традиционной безопасности, где объект материален (можно сказать что Инт = f (О,t)), мы имеем более сложную функцию, поскольку объект идеален (Инт = f (И, f(O,t), t)).

Вихорев комментирует...

А. Волкову. Хотя я сам в душе идеалист (в смысле придерживаюсь не материалистической, а идеалистической точки зрения), но согласиться с тем, что информация - чисто идеальный продукт не могу. Информация действительно уникальный предмет, который одновременно содержит в себе и идеальное и материальное начало. Как-то давно я уже об этом писал. Попытаюсь вспомнить аргументы.
Энциклопедический словарь Прохорова дает определение: “Информация (от латинского informatio - разъяснение, изложение) с середины ХХ века общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом, обмен сигналами в животном и растительном мире, передачу признаков от клетки к клетке, от организма к организму” . Из этого смледует, что собственно сведения еще не являются информацией. Только тогда, когда они участвуют в процессе обмена, они становятся информацией. А для этого эти сведения должны где-то двигатся и это "где-то", как правило, некая материальная субстанция. Вот и получается, что только при соединении идеального с материальным появляется информация как таковая. Более того, при отсутствии одного из этих компонент информация исчезает. Пример "на яблоках": Если взять определенный набор типографских литер, то их, хотя они и являются материальным предметом, вряд ли можно назвать информацией. Если взять какую-либо идею, которая находится в сознании человека, то это, как уже говорилось, тоже еще далеко не информация. Но если взять те же литеры и расположить их определенным образом в соответствии с рожденной идеей, то можно получить информацию, которой можно обменяться. Если убрать из этой связки идею или материальный объект и информация разрушится и перестанет существовать. Это, по-моему, и есть дуализм информации.
Кстати, это не просто философские рассуждения. Это как раз показывает, что к защите информации можно применять не только интеллектуальное право, но и вещное, то есть гражданское и уголовное право.

Alexey Volkov комментирует...

Ну да, действительно - дуализм.

Анонимный комментирует...

Прям фотон какой-то.

Alexey Volkov комментирует...

Ну если помнить, что "словом можно убить, словом можно спасти, словом можно полки за собой повести" - то да. Корпускулярно-волновой.

Анонимный комментирует...

Только пример с идеей не совсем правильный. Идея - это уже информация. Во-первых по тому же принципу "дуализма", т.к. идея находится в голове, и защищая голову, которая является носителем информации мы тем самым защищаем саму информацию. Во-вторых, идеи\мысли человека можно достать, например, через сны, что не является материальной средой (отсылка к фильму "Начало", и к хакерам сновидений).

Насчет ИБ и ЗИ - действительно это разные вещи, неважно как они написаны на бумаге, важно чтобы понятия понимали те люди, которые ими оперируют. Однако, принимая в расчет ИБ, как удовлетворение потребностей "заказчика", в отличии от защиты информации как таковой, можно также уйти во зло, когда "исполнитель" обеспечивает ЗИ в целях "заказчика", но эти цели наносят вред всем остальным (в конечном счете может и самому "исполнителю").

Так что, поняв, что ЗИ сама по себе нейтральна и вообще не может быть целью, нужно еще понять, а стоит ли вообще удовлетворять потребности "заказчика", даже если с правовой точки зрения ты будешь являться whitehat.
Каждый сам для себя решает, кто же является такими заказчиками для него - это и отражает мотивы исполнителя.
Я считаю, что размышлять об этом - это и есть "говорить о главном". Надеюсь, как можно больше людей меня поймут.

Артем Аветян комментирует...

> важно чтобы понятия понимали те люди, которые ими оперируют.

А вот это как раз проще всего. Вы же понимаете и я понимаю, НО мы понимаем разное!

Напротив: самое важное - чтобы люди, когда говорили на языке, понимали друг друга - говорили об одном и том же.

Анонимный комментирует...

имелось ввиду - понимали одно и то же конечно же, иначе какой в этом смысл :)

Alexey Volkov комментирует...

> Каждый сам для себя решает, кто же является такими заказчиками для него - это и отражает мотивы исполнителя.

А вот это, дорогой Аноним, есть самый главный вопрос для безопасника, и варианты ответа на него мне достаточно хорошо известны. Возможно, что-нибудь и напишу. Поболе, чем пост.

Ригель комментирует...

Анонимному:
Поймут. Это вообще очень известная фишка - и подразделение по работе с персоналом служит работодателю, а не персоналу, и подразделение охраны труда, и юристы. У одних только информационных безопасников смешной переклин.

Отправить комментарий