социальные аспектыинформационной безопасности

Владимир Стыран, CISSP

Задумывались ли вы когда-нибудь?..

• В бизнесе?• собственникам и акционерам• клиентам

• В государстве?• государственным институтам• гражданам

• В обществе?• разве это не одно и то же?..

Зачем нам нужна информационная

безопасность?

Потребность общества в информационной безопасности

Для большинства это не очевидно• Многие знают что такое ИБ• Мало кто задумывался – зачем

Общество – первично • Государство – вторично

Общество устанавливает мораль• Государство создает законы

Бизнес – это общественное явление

Возвращение к истокам

• Guidelines for the Security of Information Systems and Networks

Organization for Economic Co-operation and

Development (OECD)

• Generally Accepted Information Security Principles, GASSP, GAISP

Information Systems Security Association (ISSA)

• Generally Accepted Principles and Practices for Securing Information Technology Systems, SP800-14

National Institute of Standards and Technology (NIST)

Возвращение к истокам

OECD Guidelines

1991-1992*

GASSP, GAISP 1992-…*

NIST SP800-141996*

Итак, зачем?

Определение необходимости общества в информационной безопасности

OECD Guidelines

ДА

GASSP

еще ДА

ISSA GAISP

уже НЕТ

NIST SP800-14

НЕТ

CobiTISO 27000

НЕТ

Итак, зачем же??? (1)

OECD aims• Foster greater confidence among all

participants in information systems and networks and the way in which they are provided and used.

• Способствовать росту доверия между всеми участниками в информационных системах и сетях, и способами их предоставления и использования.

Итак, зачем же??? (2)

GASSP benefits• Good information security practice will increase

the effectiveness and efficiency of business, promote trade and commerce, and improve productivity.

• Хорошие практики информационной безопасности повысят эффективность бизнеса, разовьют торговлю и коммерцию, улучшат продуктивность.

Итак, зачем же??? (3)

GASSP benefits• Good information security practice will help preserve the

necessary public trust in the ability to leverage modern information technology while avoiding unintended consequences. This trust is necessary for the effective use of the technology.

• Хорошие практики в информационной безопасности помогут сохранить необходимое общественное доверие к возможности использования современных информационных технологий, предотвращая их нежелательные последствия. Доверие это необходимо для эффективного использования технологий.

То есть, вот зачем

Информационная безопасность призвана

• повысить доверие общества к информационным технологиям;

• сделать надежным использование информационных технологий;

• предотвратить негативные последствия.

Кому это неудобно?

ИТ менеджменту. Примеры?• ИБ способна объективно оценить возможности

ИТ и стоящие перед ИТ трудности, а также довести эту оценку до менеджмента.

• ИБ вынуждает ИТ концентрироваться на чем-то большем, чем предоставление допустимого уровня сервиса используя доступные ресурсы.

• ИБ заставляет ИТ работать не только быстро, но и надежно.

Кому это мешает? (1)

«Ценным сотрудникам». Примеры?• Хорошие практики ИБ – разделение и

ротация полномочий – ликвидируют ценных сотрудников как класс.

• ИБ усиливает процессы – управление изменениями, безопасный жизненный цикл (разработки) систем – и уменьшает зависимость компаний от экспертных навыков.

Кому это мешает? (2)

Тунеядцам, хулиганам, пьяницам. Примеры?• ИБ понижает вероятность «человеческой

ошибки»• ИБ понижает вероятность «ошибки

компьютера»• ИБ увеличивает объем внутренних

коммуникаций и потребность в них• ИБ определяет и концентрирует

ответственность

Кому это мешает? (3)

Недобросовестным инсайдерам.

Примеры???

Теперь ваша очередь!

• В бизнесе?• Собственникам и акционерам• Клиентам

• В государстве?• Государственным институтам• Гражданам

• В обществе?

Кому нужна информационная

безопасность?

Теперь ваша очередь!

• В бизнесе?• Собственникам и акционерам• Клиентам

• В государстве?• Государственным институтам• Гражданам

• В обществе?

• Каждому пользователю любой ИТ системы

Кому нужна информационная

безопасность?

Как улучшить ситуацию?

Популяризировать ИБ на языке «рядового пользователя»• «глюков» не бывает, бывают нерадивые проектировщики, ленивые

программисты и невнимательные тестировщики

Развеивать мифы о не безупречности ИТ• программы и компьютеры не ошибаются, ошибаются их создатели,

их администраторы и их пользователи• Создателей, администраторов и пользователей программ и

компьютеров можно обмануть

Повышать авторитет ИБ

Спасибо за внимание!

Как со мной связаться?Email sapran@sapran.com

WWW http://www.sapran.comTwitter @xaocuc

Blog http://securegalaxy.blogspot.com