Понятно, что существуют организации с различным размером, уровнем развития, культурой и спецификой, которые формируют IT-спрос в области информационной безопасности, и, соответственно, существует целый спектр компаний IT-предложения. Поэтому необходимо понимать субъективность данной попытки ответа :)
Итак, все эти организации "варятся в одной каше" - для обеспечения информационной безопасности. Определим следующих заинтересованных лиц:
- Администраторы безопасности организации
- Системные и сетевые администраторы организации
- Пользователи информационных систем организации
- Руководство организации
- Компании IT-предложения – разработчики, поставщики оборудования и программного обеспечения, компании-интеграторы
- Компании IT-предложения в области ИБ
- Вышестоящие и государственные регуляторы в области ИБ
- Конкуренты
- Все остальные
Администраторы безопасности это те, кого в первую очередь не удовлетворяет текущий уровень безопасности, обеспечиваемый существующей системой информационной безопасности в организации. Им с каждым днем становится все труднее контролировать безопасность, так как появляются все более сложные информационные системы, и все более сложные по реализации атаки на эти информационные системы. Отсутствие понимания и поддержки со стороны администраторов, пользователей и руководства порождают дополнительный виток проблем. Администраторы безопасности являются «заложниками» некоторых эксплуатируемых информационных систем, из-за их недоработок в области ИБ.
Системные и сетевые администраторы заинтересованы лишь в том, чтобы их системы "работали". Повышение уровня безопасности для них лишь означает дополнительную нагрузку – управление правами доступа, ведение справочников, слежение за активностью пользователей и работоспособностью систем, бюрократия и т.д.
Пользователи информационных систем заинтересованы в том, чтобы информационные системы, услугами которых они пользуются, предоставляли актуальную и достоверную информацию, работали без задержек, были удобными в работе. Для них повышение уровня безопасности означает также дополнительную нагрузку – запоминание паролей, соблюдение правил безопасной работы и т.д. Кроме того, ими будет потеряна некоторая степень свободы – возможно, действия, которые раньше для них были возможными, станут запрещены. Например, установка произвольного программного обеспечения.
Руководство организации как собственник или владелец информационных ресурсов, информационных систем и поддерживающей инфраструктуры заинтересовано в том, чтобы информационные системы бесперебойно и эффективно решали поставленные задачи. При этом повышение уровня безопасности для руководства означает дополнительные финансовые затраты, которые должны экономически оправдываться.
Компании IT-предложения:
Разработчиков информационных систем интересует кратковременная выгода – быстрее сделать, быстрей сбыть. Функциональные требования для них имеют больший приоритет, чем требования безопасности. В результате, в информационных системах отсутствуют встроенные механизмы безопасности, на которые бы могло опереться подразделение безопасности, и механизмы становятся наложенными, имеющие низкую эффективность. Повышение уровня безопасности, для них означает учет требований безопасности на этапе проектирования, их тестирование на всех этапах разработки, и решение проблем безопасности на стадии эксплуатации. То есть время выпуска рабочей системы затягивается, кроме того, необходимо осуществлять постоянную поддержку выпущенного программного продукта, на что также необходимы дополнительные ресурсы.
Поставщики оборудования и программного обеспечения, компании-интеграторы занимаются сбытом и внедрением оборудования и программного обеспечения, осуществляют их поддержку. Для них повышение уровня безопасности означает, что на стадии внедрения необходимо учитывать требования безопасности в проектах по внедрению, производить оценку среды эксплуатации, осуществлять пилотные проекты. А на стадии поддержки необходимо быстрее реагировать на запросы по обслуживанию, т.е. более активно взаимодействовать с производителями.
Компании IT-предложения в области ИБ занимаются проектированием, разработкой и внедрением наложенных средств защиты, а также собственно оценкой уровня безопасности организации. Очевидно, что они заинтересованы в возмездной оценке уровня безопасности организации и его повышении. И чем выше этот уровень необходимо поднять, тем больше данные компании выигрывают (зарабатывают).
Вышестоящие и государственные регуляторы в области ИБ обычно занимаются разработкой требований, распоряжений, стандартов и т.п. в области ИБ, а также контролем за их исполнением. При этом государственные регуляторы предъявляют особые требования к государственным организациям, а также контролируют компании IT-предложения в области ИБ. Регуляторы заинтересованы в повышении общего уровня безопасности за счет предъявления требований к нижестоящим организациям. Теоретически, выполнение требований регуляторов по определению должно приводить к повышению уровня безопасности в организации, но на практике такой уровень безопасности часто является "виртуальным". Так как цель повышения уровня безопасности подменяется целью соответствия нормативам регуляторов. Например, регуляторы обязывают государственные организации использовать сертифицированные средства защиты. Но необходимо понимать, что сертифицированные, не есть лучшие или более эффективные.
Для организаций-конкурентов повышение уровня безопасности означает уменьшение количества, либо пропускной способности разведывательных каналов информации, уменьшение ценности добытой информации. Для получения конкурентных преимуществ им потребуется больший объем ресурсов.
Всем остальным повышенный уровень безопасности создает дополнительные препятствия для его нарушения или требует дополнительных затрат для его поддержки.
Таким образом, повышение уровня безопасности привносит избыточность в работу заинтересованных лиц, тормозит их работу, заставляет нести дополнительные расходы и т.д., вследствие чего у всех них (кроме регуляторов и IT-предложения в сфере ИБ) складывается отношение сопротивления к повышению уровня безопасности, что создает значительные трудности в работе подразделений безопасности организации.
Сообщения
7 комментариев:
Если оперировать туманностями, то можно совершенно любой ответ получить.
Повышение информационной безопасности - это что? Резкое сокращение возмещений по искам и досудебным претензий?
Администраторы безопасности - это кто? Те, кто СЗИ эксплуатируют?
Между ними связь настолько нелинейная, что можно считать отсутствующей.
Оценка уровня информационной безопасности довольно сложный и скользкий вопрос, и для меня он не сводится к оценке рисков. В данном случае уровень безопасности величина гипотетическая, а администраторы безопасности это те кто эксплуатирует СЗИ и определяет политики безопасности.
Что плохого в обобщении? Предложите свои конкретные кандидатуры в список заинтересованных лиц.
Я с удовольствием подискутирую, если пойму, о чем. Поэтому повторяюсь: что имеется ввиду под повышением информационной безопасности?
Под повышением уровня ИБ понимаю адаптацию механизмов защиты системы управления организации к текущим угрозам с целью минимизации ущерба.
Повышение - это изменение чего-то от уровня А до уровня Б. Где эти Ваши А и В относительно приемлемого уровня С находятся?
Ок. В совсем абстрактной ситуации, на которой Вы почему-то настаиваете, в информационной безопасности безусловно и непосредственно заинтересованы те, кто железно получает ущерб - это субъект тайны и владелец (не путать с директором) бизнеса, но он еще может быть допустимым/недопустимым.
Все остальные заинтересованы опосредованно и при каком-то условии.
Даже про реально участвующих в гашении проблемы юротделе и pr-отделе заведомо нельзя ничего определенного сказать (с одной стороны - лишняя загрузка, а с другой - может, это их единственная и любимая возможность оправдать собственную зарплату), а уж про админов вообще невозможно - они совсем далеко.
В-общем, неприятности падают на топ-менеджеров и канализируются дальше по иерархии, а как - см. специфику в каждой конкретной организации и в каждом конретном случае.
И это я еще информационную безопасность организации на защищенность информации подменил, а то бы совсем туго.
Чувствуется мнение риск-менеджера.. :)
Приемлемый уровень ИБ это недостижимый идеал, так как скорость появления новых угроз и их реализация превышает скорость появления и внедрения парирующих им контрмер. Модель нарушителя давно перестала быть статической. Поэтому ИБ это непрерывный процесс адаптации к существующим угрозам. Иными словами, пока вы сегодня будете оценивать риски (брать вероятности с потолка) набор и вероятности угроз уже завтра изменятся.
Увеличить уровень ИБ, значит сделать шаг в сторону адаптации: внедрить, настроить, удалить механизм безопасности в системе управления. А чтобы определить цену такого шага, тут и нужно управление рисками.
Вы замечательно раскрыли лишь главный из аспектов заинтересованности в ИБ - экономический, а в сложных проблемах главенствует принцип многоаспектности. Так что админов не трогать :) , т.е. не забывать про технический аспект.
Что Вы понимаете под ИБ? :)
Это Вы с кем разговаривали - со своими тараканами? Я вижу четыре упоминания о рисках, ни одного от меня. Я для Вашего боя с тенью не нужен, по-моему.
Отправить комментарий