Сообщений в теме: 9

[Case]

Уже поместил свой вопрос в листе, продублирую его и тут.

Есть небольшое замечание по поводу тематики обсуждений.
Оговорюсь, что я не занимаюсь информационной безопасностью в принципе.

По-моему во многих обсуждениях неверно используются термины:
"Информационная безопасность" и "Компьютерная безопасность".
Это далеко не одно и тоже, как вы понимаете.

Если говорить о всяческих заплатках на ОСи и программы, сервис паки и
антивирусное оборудование - то речь идёт о безопасности компьютерной.
Сюда же можно отнести и темы об уязвимостях в ПО.

Если же говорить о системе безопасности, которая захватывает
информационные процессы предприятия, каналы связи, занимается
вопросами обеспечения конфиденциальности, регламентирует правила
доступа и права абонентов инфраструктуры предприятия и т.д. - то
говорится уже о вопросах информационной безопасности.

Просто тематика рассылки и этого листа указывает на тестирование
именно _информационной безопасности_, а речь идёт преимущественно о
"сервис паках". Возможно я себе неверно представляю вопрос, но
по-моему это две совершенно разные "безопасности".

[Toparenko]

По-моему во многих обсуждениях неверно используются термины:
"Информационная безопасность" и "Компьютерная безопасность".
Это далеко не одно и тоже, как вы понимаете.

Если говорить о всяческих заплатках на ОСи и программы, сервис паки и
антивирусное оборудование - то речь идёт о безопасности компьютерной.
Сюда же можно отнести и темы об уязвимостях в ПО.

Если же говорить о системе безопасности, которая захватывает
информационные процессы предприятия, каналы связи, занимается
вопросами обеспечения конфиденциальности, регламентирует правила
доступа и права абонентов инфраструктуры предприятия и т.д. - то
говорится уже о вопросах информационной безопасности.

Просто тематика рассылки и этого листа указывает на тестирование
именно _информационной безопасности_, а речь идёт преимущественно о
"сервис паках". Возможно я себе неверно представляю вопрос, но
по-моему это две совершенно разные "безопасности".

Это не две совершенно разные безопасности.
Понятие информационная безопасность включает в себя компьютерную безопасность, как одну из ряда составляющих. А своевременное обновление и закрытие "дыр" - это одна из многих составляющих компьютерной безопасности.

Имеется ли необходимость в очередной раз публиковать все уязвимости и очередные заплатки? Я, лично, не вижу в этом смысла (для этого существуют специальные сайты, на которые можно дать ссылки в разделе полезных ссылок).

[Case]

Я акцинтировал внимание именно на том, что информационная безопасность не заканчивается компьютерной безопасностью и уж никак не является исключительно ею. То есть ИБ не сводится к пакам и патчам.

[Spy]

Понимаю откуда возник вопрос. Согласен с Case-oм, согласен с Toparenko. Просто следует отметить, что вопросы компьютерной безопасности более проще и доступнее, поэтому волей-неволей мы к ним возвращаемся. Они более конкретные, с ними легче сражаться, да и инфы по ним больше.

Вопросы же по проектированию, разработке, тестированию ИБ предприятия
1) более сложные, мало изученные;
2) зависят от специфики бизнеса предприятия и от уровня развития его собственной службы безопасности;
3) касаются значительно меньшего количества людей и поэтому высока вероятность, что вопрос зависнет в воздухе :blink:
4) его трудно задать так, чтобы тебя поняли и смогли ответить!

Именно поэтому чаще всего приходиться за ответы на подобные вопросы платить БольшиЕ бабки...

[Case]

За бабки мне подобную консультацию окажут в моём же кабинете, верно?
Приедут, изучат и выдадут решение или рекомендации. Хочется разобраться самому.

Просто листов и рассылок по софту на околокомпьютерную тематику много - а на счёт безопасности и именно информационной сказано мало - потому и поднимаю эту тему.

[Spy]

Цитата с URL: http://www.intuit.ru...ecbasics_1.html


Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. (Чуть дальше мы поясним, что следует понимать под поддерживающей инфраструктурой.)


Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности

<skip>

Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры - только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
------- конец цитаты -------------

Нашёл вот такие определения:
----------------------
Безопасность информационной системы
Свойство информационной системы противостоять попыткам несанкционированного доступа к ресурсам
----------------------
Безопасность компьютерной системы
Свойство _компьютерной_ системы противостоять попыткам несанкционированного доступа к обрабатываемой и хранимой информации, вводу информации, приводящей к деструктивным действиям и навязыванию ложной информации, выходу (выводу) из строя, разрушению ресурсов и системы в целом
----------------------
Защита ИТ
Все аспекты, связанные с определением, достижением, обеспечением конфиденциальности, целостностью, пригодностью, ответственностью, аутентичностью и надёжностью
----------------------
Защита от несанкционированного доступа (нсд)
Предотвращение или существенное затруднение несанкционированного доступа к программам и данным путем использования аппаратных, программных и криптографических методов и средств защиты, а также проведения организационных мероприятий. Наиболее распространенным программным методом защиты является парольная система
----------------------
Защитная мера
Практическое действие, процедура или механизм, которые уменьшают риск
----------------------

[Case]

Очень даже грамотно всё написано. Только вот есть загвоздка:
Безопасность информационной системы <> информационная безопасность. Верно, нет?

[Toparenko]

Еще один документ из разряда исторических (с вводом ГОСТ ИСО/МЭК 15408 не применяется), но основные подходы можно определить: СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (СТР-К).

[skAmZ]

Здравствуйте. Что касается опеределений, то тут вы правы - это 2 совершенно разных понятия. Однако ж крайне взаимосвязанных, поэтому говорить, что это совершенно разные процессы, на мой взгляд не верно. В рекомендациях при работе на предприятии не плохо написано, тут не чтобы определения, читая эту статью сам понимаешь чем стоит заниматься в первую очередь, а что отложить, хотя откладывать ничего нельзя.

[SALar]

Вопросы же по проектированию, разработке, тестированию ИБ предприятия
1) более сложные, мало изученные;
2) зависят от специфики бизнеса предприятия и от уровня развития его собственной службы безопасности;
3) касаются значительно меньшего количества людей и поэтому высока вероятность, что вопрос зависнет в воздухе :blink:
4) его трудно задать так, чтобы тебя поняли и смогли ответить!

Просто листов и рассылок по софту на околокомпьютерную тематику много - а на счёт безопасности и именно информационной сказано мало - потому и поднимаю эту тему.

Как раз наоборот. Ведь вопросами информационной безопасности люди занимались тысячелетиями. Так что теории там наработано - мама не горюй. Можно, скажем, с Сунь Цзы начать.

Компьютерная безопасность это такая маленькая часть от всего остального, что даже неудобно говорить об этом. Там отношение примерно такое же как доля компьютера в строительстве.