Целевые системы для СЗИ
Пост в рамках задания из ПСМ
Продукт компании -- средства защиты информации, в широком смысле, одни могут предоставлять функции для мониторинга, другие помогать контролировать утечки, третьи накладывать правила на работу с информацией, четвертые управлять доступом. Пока давайте рассмотрим их обобщенно.
Все перечисленное -- функции софта: система, а нам хотелось бы докопаться до целевой системы, давайте попробуем порассуждать.
Клиент компании, тот кто покупает СЗИ -- предприятие, которое что-то производит, это могут быть и услуги, не обязательно что-то материальное. Например, производит алюминиевые болванки или доставляет газ в квартиры.
Сама по себе информационная безопасность предприятию не нужна,. Когда говорят «я хочу быть в безопасности» на самом деле подразумевают «я хочу чтобы мои планы соответствовали реальности», то есть чтобы вероятные угрозы этому не мешали.
Например, я хочу продолжить производить и продавать алюминиевые болванки. А запрос быть защищенным от мошенников появляется тогда, когда появляются сами мошенники. Пока все идет по плану, такого запроса нет, потому что существует только риск, угроза.
То есть меры и инструменты по информационной безопасности (наши продукты туда входят) увеличивают вероятность, что бизнес-модель предприятия находит отражение в физическом мире, что поток сырья и комплектующих будет проходить через предприятие, как планировалось. Минимизируем риски предприятия. Может ли риск (а точнее его отсутствие) быть целевой системой? Это близко к тому, что мы обсуждали на занятии и называли угрозой, и кажется (я так и не понял) назвали целевой системой.
С другой стороны.
Информационная безопасность появляется тогда, когда появляются данные -- неважно в информационных системах или в виде документов. Эти данные появляются не просто так, они описывают модель/планы предприятия. Планы по закупкам, оплатам, перемещениям, модели производства и продаж. По сути предприятие дальше функционирует согласно модели, заложенной в нее, а сама модель эта описывается данными в момент работы этой системы.
И чтобы предприятие функционировало, нам нужно чтобы эта модель не модифицировалась. Поэтому я бы назвал целевой системой модель данных и данные. Да, для предприятия: система модель_данных:описание, а данные: документация. Но ведь и модель, и данные где-то хранятся и именно их мы «защищаем», чтобы предприятие могло дальше функционировать.
Давайте обсудим в комментариях, я попробовал порассуждать и думаю это хороший пример, чтобы порассуждать самим.
- Запостил Эмиль Хуснетдинов
- Дата 21.02.2023
- 4 Comments
Называть целевой системой модель данных — ну такое, модель — это про описание. Что эти описания описывают?
Я бы сказал, что целевой системой для безопасности (в широком смысле) будет целевая система той системы создания, для которой эта безопасность создается. Безопасность тут — элемент системы создания. Мы проектируем систему создания так, чтобы агенты в ней не смогли реализовать свои намерения, которые входят в противоречие со стратегией создающих систем (проектов, офисов развития, компаний).
Так что целевая система для безопасности — это и есть созданная целевая система создающих систем. Созданная == не сработали риски, от которых защищает безопасность.
А мне кажется, что система информационной безопасности предприятия — вполне по себе самостоятельная целевая система.
Для ее подсистемы СЗИ, по аналогии с более близкими мне подсистемами физической безопасности и контроля доступа, нашей системой будет развернутая система в момент срабатывания. То есть включения/активации функции защиты, или обнаружения нарушителя на картинке, или (не)доступа персоны на дверном считывателе.
Соответственно, при создании еще продумать:
Нет?
Уходить надо от слова «безопасность», как слишком общего. Это всё части целевой системы или части системы-создателя, нужные для каких-то функций. Но функция «безопасность» -- это оверкилл, «защита от всего, включая взрывов сверхновых звёзд», такого не бывает. Бывает, например, какая-то «сигнализация», да и это -- только какая-то определённая, а не «общая тревога ото всего».
От слова «безопасность» уйти попробую, однако ж все едино надо будет для представителей заказчика в какой-то момент переходить на понятные ему службы СБ, ТБ и ИБ. Впрочем, тут английский язык дает подсказку, где, по крайней мере, есть разделение на safety и security.