Начнем с того, что информационная безопасность (ИБ) - не бизнес-процесс, и вообще не процесс. Согласно Доктрине информационной безопасности РФ, ИБ - "состояние защищенности сбалансированных интересов личности, общества и государства в информационной сфере". Но это если говорить о государстве (стране), если же мы рассматриваем ИБ предприятия, то логично предположить, что информационная безопасность - состояние защищенности интересов предприятия. Что это за интересы?
Интересы предприятия
Любая коммерческая организация основной целью своей деятельности ставит получение прибыли. Для достижения этой цели в организации осуществляется ряд бизнес-процессов. Часть из них направлена на непосредственное получение прибыли (операционные бизнес-процессы), остальные - на повышение эффективности операционных процессов или предотвращение убытков (управленческие и вспомогательные бизнес-процессы).
Тогда информационную безопасность можно трактовать, как состояние защищенности от прерываний этих самых процессов в следствии инцидентов информационной безопасности. Таким образом, хоть мы и говорим об информационной безопасности, но требуется обеспечивать безопасность не информации, а бизнес-процессов.
А как же безопасность информации?
Тут мне могут возразить, что существует информация, которую требуется защищать. Вспомнят о коммерческой, государственной и других видах тайн... Но информацию мы защищаем постольку, поскольку того требуют определенные бизнес-процессы, даже если этот процесс "выполнение законодательных и договорных требований", т.к. убытки для организации принесет именно нарушение этого процесса, а не сама утечка информации. Что касается закрытой информации о "ноу-хау" в организации, то в случае утечки будет нарушен процесс "монопольное владение информацией".
Именно в силу таких размышлений информацию, имхо, стоит относить ко вторичным активам, а к первичным - бизнес-процессы организации. Помимо информации ко вторичным активам также (с этим со мной уже согласятся, наверное, все) сотрудники предприятия, материально-техническое оснащение... в общем все то, что обеспечивает первичные активы.
Более того, злоумышленник (или другое деструктивное воздействие) не может влиять на первичные активы на прямую. Воздействие происходит через вторичные активы и их защищенность и приведет к информационной безопасности организации.
Безопасность и защита
Стоит отметить, что безопасность информации обеспечивается не только посредством внедрения средств защиты - это лишь одна из вариантов обеспечения безопасности. Другие варианты - воздействие на источник угроз, избегание угрозы (перенос бизнеса в среду, где данные угрозы отсутствуют) или страхование активов.
Комментариев нет:
Отправить комментарий