четверг, 20 декабря 2012 г.

Управление безопасностью = Управление рисками?

Множество нормативных документов определяют понятие "информационная безопасность" как "состояние защищенности ... в информационной сфере". Определять информационную безопасность так стали вследствие копипасты и из ФЗ "О безопасности" 1992 года, где "Безопасность - состояние защищенности..."

Вот только слово защищенность нигде не определенно. А слово это куда менее... адекватное, нежели безопасность. 
Вообще существительные в русском языке от причастий несовершенного образуются довольно редко. Да, они есть, например "осведомленность", "отрешенность" и т.д. И все они описывают некоторое состояние. Т.о. из формулировки можно выкинуть слово состояние. Безопасность - это защищенность, а защищенность - это безопасность... замечательно! 

Нормального человека такое определение удовлетворить не может... потому, имхо, требуется искать другое. А ведь такое есть. По крайней мере было озвучено на лекции профессора Майструка о безопасности и управлении рисками сложных систем. Итак:
Безопасность - способность системы сохранять уровень приемлемого риска.
Таким образом, изменяя составляющие риска (внедряя средства защиты, определяя сценарии реагирования на инциденты и т.д.), мы пытаемся снизить его до приемлемого, т.е. привести систему к "состоянию защищенности".

Оценка риска - определение уровня безопасности системы. Определение того, где стоит оказывать управляющее (или другое) воздействие. Кроме того она при детальной проработке дает ответ - какое именно воздействие необходимо сделать.

На основе статьи в одном американском онлайн-журнале я в свое время набросал статью "Управление рисками - основа управления безопасностью", но мои вышерасписанные рассуждения привели меня к тому, что управление рисками и есть управление безопасностью...

Комментариев нет:

Отправить комментарий