27.12.2012

Carol

Защита информации нет, а информационная безопасность кончается человеком.

В защите информации объект защиты – информация, информация защищена – задача достигнута. У информационной безопасности объект – интересы: если в интересах нанимателя безопасное использование некоего информационного актива (необязательно, кстати, информации), и оно ему обеспечивается – задача достигнута.

Но использование – это интересный момент. Потому что использовать или не использовать, и как использовать, решает белковый индивид, он субъективен, у него повадки и ощущения. Видели же, как один может дорогой внедорожник до разрешенной скорости десять минут разгонять, а другой обращается как Шумахер с видавшим виды зубилом?

Это различие между реальным предметом и его восприятием, с ним приходится иметь дело и у нас: бизнес может обладать суперзащищенной системой, но не доверять ей серьезной задачи, а может в отношении дырявой считать, что ничто не грозит, и что ты там опять возишься.

Так что информационная безопасность складывается из двух частей: из объективной и субъективной, действительной и мнимой, если так веселее.

Простой пример, близкий классической ЗИ: потенциальный нарушитель – тоже человек, поэтому безопасность форта/сейфа/дилижанса суммируется из их физической устойчивости к атаке и из психологического барьера у атакера. Его на чем-то основанное или напротив ни на чем не основанное ощущение, что там нечего брать, или что потом все оторвут по самые – это прямое снижение риска, т.к. снижение частоты или вероятности реализации.

Аналогично и с владельцем/пользователем: его убежденность в безопасности системы увеличивает безопасное использование, а в небезопасности уменьшает. Вот защищенность информации уже не меняется в этом случае, а информационная безопасность (если, конечно, в том понимании, с которого мы начали) вполне.

Убежденность эта должна опираться на материальные, авторитетные и по возможности независимые свидетельства, но все равно остается место, лаг, имя которому – доверие, простое человеческое доверие. В наше-то время.

Это слово постоянно витает где-то в непосредственной близости от ИБшных учений. Порой они его захватывают, полагаясь больше на интуитивно ощущаемое родство, пытаются как-то заюзать, обычно неудачно. Иной раз заезжий криптограф делится, что не располагал достоверной информацией о безопасности поездки, и понадобилось доверие, а самоуверенная поросль твитит, что дедушка сегодня ни слова по работе...

Ладно, к чему это я. За людей!

5 комментариев:

Vlad Styran комментирует...

Навевает мысли про перечитать Шанйера. Честно. особенно в части про доверие.

Ригель комментирует...

А вот фиг ему, чукча не читатель.

Михаил Юрьевич Емельянников комментирует...

Очень созвучно. Из моего последнего отчета заказчику по проекту о коммерческой тайне: "Возможные варианты решения зависят от принятой обладателем информации, составляющей коммерческую тайну, стратегии управления рисками и склонности к ним, степени доверия контрагенту, основанному, прежде всего, на опыте отношений с ним, особенностей использования передаваемой информации контрагентом и имеющихся у контрагента условий, обеспечивающих конфиденциальность принимаемой информации". С новым годом!

Vgninyuk@gmail.com комментирует...

"...информационная безопасность складывается из двух частей: из объективной и субъективной"

ИМХО: в ИБ любая "обьективность" субьективна ;-)

За Людей!!!

Ригель комментирует...

Михаил Юрьевич, а это не впервые: см. про выставки, например (у меня - от 14 марта).
Владимир, объективность субъективна, но в этот раз не так интересна как собственно субъективность.
Коллеги, извините великодушно, что отпостил и ушел.

Отправить комментарий