В очередной раз я замечаю, что наш рынок информационной безопасности также как и любой другой рынок серьезно подвержен различным влияниям моды. Термин «управление ИБ» сегодня является чрезвычайно модным и его по делу и без дела используют абсолютно все: вендоры, интеграторы, специалисты, журналисты – все действующие лица рынка ИБ. Причем, часто совершенно не задумываясь о его смысле и правомочности его применения.
Поэтому, когда в очередной раз в статье или на конференции по безопасности в том или ином контексте используется термин «управление ИБ» большинству специалистов как и автору этих строк на ум не может не прийти поговорка: «кто в лес, а кто по дрова».
Каждый понимает термин по-своему, а некоторые - так как им выгодно. Например, вендоры и с их подачи системные интеграторы понимают и до сих пор иногда пытаются настойчиво навязывать потребителям в качестве этого термина технический процесс управления с единой консоли разветвленной сетью поставляемых ими «агентов», решающих те или иные задачи по ИБ, будь это мониторинг (агенты систем обнаружения атак или антивирусные системы) или управление (сеть межсетевых экранов, управление настройками систем) и т.д. Журналисты с их подачи называют системами управления ИБ любое программное решение по ИБ, что хоть как-то и хоть чем-то управляет, еще более усугубляя ситуацию и добавляя сумятицы в головы ни в чем не повинных пользователей, читающих их статьи.
В чем же причина неоднозначности толкования данного термина? Она на поверхности. Дело в том, что еще лет 5-7 назад под управлением ИБ многие понимали только управление программными (или аппаратными) решениями по ИБ. Однако с начала 2000-х годов мир безопасности кардинально изменился. Всему виной набравший силу процессный подход к управлению ИБ в соответствии со стандартами ISO 27001/ISO 17799. Поэтому давайте для начала зададим себе вопрос, правомочно ли в данном случае использование такого широкого термина как управление ИБ применительно к конкретным техническим решениям. На первый взгляд да. Мы ведь с помощью центральной консоли действительно управляем сетью агентов, которые решают те или иные задачи по ИБ, а значит - мы управляем безопасностью. Звучит красиво, масштабно и, главное, модно. А мода двигает рынок, в том числе и рынок ИБ. Мода задает тенденции. Если ты отстал от моды, значит ты стал не интересен потребителю – страшный сон для любого вендора. Поэтому надо не отставать от моды.
Но давайте чуть глубже задумаемся о данном понятии – специалистам сегодня крайне важно говорить на одном языке и аккуратно обращаться с терминами, несмотря на веяния моды. Не слишком ли этот термин объемен для любого технического решения? Ведь сегодня все мы отлично знаем, что безопасность это процесс. Этот ставший уже каноническим процесс описан в PDCA-модели стандарта ISO 27001. Сегодня очевидно, что этот процесс не ограничивается и не может ограничиваться никаким техническим решением. Соответственно единственно правильное толкование такого широкого термина как управление безопасностью – это управление процессом ИБ в соответствии со стандартом ISO 27001 (стандарт сегодня является единственным стандартом де-факто в построении СУИБ).
Вспомним определение СУИБ из стандарта 27001:
«СУИБ – часть системы менеджмента, основанная на анализе рисков и предназначенная для создания, внедрения, выполнения, мониторинга, пересмотра, поддержания и повышения уровня ИТ-безопасности.
СУИБ включает в себя организационную структуру, политики, план действий, распределение ответственности, осуществление на практике, процедуры, процессы и ресурсы»
В рамках процесса, безусловно, могут применяться (или не применяться) те или иные технические решения, позволяющие реализовывать те или иные управляющие воздействия с единой консоли управления.
Эта логика очевидна. И надо сказать, что вендорам она также стала очевидна. Поэтому применительно к их решениям они стали с осторожностью применять такой масштабный термин как управление ИБ, начиная уточнять в названиях, а чем же именно они управляют. Network Security Management, Identity Management (управление идентификацией пользователей) и др., а не системы управления ИБ как их иногда называют журналисты, – эти названия с одной стороны оправдывают веяния моды на термин «управление», а с другой стороны являются наглядным свидетельством того, что процессный подход к организации управления ИБ в соответствии с ISO 27001 принят ведущими вендорами, как принято ими и то (правда с большим скрипом), что сегодня управление ИБ не тождественно равно управлению теми или иными программными решениями, какие бы масштабные задачи они не решали.
Поэтому нам всем стоит, даже несмотря на веяния моды, все-таки аккуратно относиться к терминам и не вводить друг друга в заблуждение, помня что безопасность это процесс и техническими решениями, которые являются лишь его частью, он по определению не может ограничиться.
наверх
