"Security is a process, not a product" (c) Bruce Schneier
Начну с того, что в своё время оказало на меня огромное влияние (см. название этого блога в заголовке).
Великобритания - родина замечательных стандартов. Например серия ISO 27000 и руководство (как оно себя величает) ITIL корнями ведут происхождение из Великобритании. Вот так и с Information Assurance, зародившейся в уже далёком 1998 году именно в Великобритании! В России оно никак не выделяется в отдельную область, а часто просто входит в ИБ. Но как писал поэт - "Русь, куда ж несешься ты? дай ответ. Не дает ответа..." (с) Гоголь Н.В.
Так вот, Information Assurance, если дословно, - это "Информационное доверие". Эта область родилась вслед за Информационной безопасностью, но ещё до Кибербезопасности:
- Компьютерная безопасность (с 1970-ых), субъект защиты: компьютеры
- Информационная безопасность (с 1980-ых), субъект защиты: информация
- Информационное доверие (конец 1990-ых начало 2000-ых), субъект защиты: информация и сети
- Кибербезопасность (с 2000-ых по настоящее время) - субъект защиты: информация и Бизнес
А теперь на примере крупной российской компании, посмотрим на цепочку событий, повлёкшей к утере одноимённого актива информационное доверие и серьёзных мер, чтобы его восстановить.
Для Лаборатории Касперского информационное доверие стало намного важнее любых инцидентов информационной безопасности, его потеря стала равноценна потери бизнеса по крайней мере на крупных рынках. А восстановить утерянное доверие очень трудно. Мы сейчас не берём в рассчёт геополитическую обстановку, - она с 2014 г. напряжённая, а публичным инцидент с утечкой стал в октябре 2017 г.
Найдутся и другие примеры последствий от ущерба нематериальным активам. Кстати стандарт ISO 27005 (процесс Управление рисками информационной безопасности) требует защищать все активы Компании, - и материальные, и нематериальные, при этом предлагая учитывать не просто ущерб, но последствия для Бизнеса в целом. Тоесть, что не противоречит принципам Information Assurance.
Итак, Information Assurance - это не только ценный и критичный актив, который необходимо защищать (как и другие ценные активы Бизнеса), но и одноимённая область, занимающаяся защитой бизнеса в целом и рискоориентированным рентабельным (cost-effective) управлением ИБ в частности.
А вот и определение:
Information Assurance is a multidisciplinary area of study and pro-
fessional activity which aims to protect business by reducing risks associated
with information and information systems by means of a comprehensive and
systematic management of security countermeasures, which is driven by risk
analysis and cost-effectiveness.
IA больше относится к бизнес-уровню и управлению стратегическими рисками для информации и связанных систем, нежели к созданию и применению средств контроля безопасности.
Спасибо за внимание. До скорых встреч!