В национальных стандартах РФ, в обиходе и во всех русскоязычных источниках уже прочно закрепились неправильные переводы понятий Information Security и Information Security Management System (ISMS). К сожалению, даже в словарях (например, lingvo.ru) эти понятия неправильно переводятся. Да простит меня читатель за такой азбучный пост, но ошибка рано или поздно все же должна быть исправлена.
Если мы с вами все написанное ниже правильно понимаем, тогда давайте дружно перестанем использовать термины СМИБ и СУИБ, когда речь идет об ISMS. Это также режет слух, как и в случае, когда мы с вами слышим от кого-то отсутствующие в языке слова «шифрация» или «криптование». А может быть все таки СМИБ, СУИБ и ISMS понятия тождественные? Попробуем в этом разобраться.
Information Security правильно переводится как Безопасность Информации. Под Безопасностью Информации понимается совокупность свойств информации, таких как конфиденциальность, целостность и доступность, а, помимо этого, в расширенном толковании, также и некоторые другие свойства, включая аутентичность, надежность, достоверность и пр. Соответствующую деятельность по обеспечению (сохранению) указанных свойств информации называют обеспечением безопасности информации или, что то же самое, защитой информации.
Информационная Безопасность (Informational Security) понятие значительно более широкое, нежели Безопасность Информации (Information Security). В Доктрине информационной безопасности РФ, в частности, оно определяется следующим образом: «Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства«.
Выделяются четыре основные составляющие национальных интересов РФ в информационной сфере:
- соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны
- информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
- развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов
- защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России
Другими словами, Безопасность Информации (Защита Информации, Защита Информационных Ресурсов, Information Security и т.п.) — это одна из четырех составляющих Информационной Безопасности (Informational Security), причем не самая важная.
Международный стандарт ISO 27001 определяет спецификацию ни Системы Менеджмента Информационной Безопасности, а, всего лишь, Системы Менеджмента Безопасности Информации.
ISMS — это не СУИБ и не СМИБ, ISMS — это СМБИ.
Информационная защита — это не то же самое, что защита информации (обеспечение безопасности информации). Информационная защита — это одна из составляющих информационной безопасности, связанная с защитой субъектов от целенаправленных информационных воздействий и дезинформации. Информационная защита — это также защита своих интересов при помощи информационных воздействий и ведения информационных войн.
Остается еще вопрос «не сводится ли информационная безопасность к обеспечению безопасности информации?» Ведь, что такое информационная сфера и защита чьих то интересов в информационной сфере? Это, ни что иное, как обеспечение доступности информации для определенного круга лиц, а также ее достоверности, актуальности, надежности, непротиворечивости и т.п. Будь то защита интересов личности, компании, общества или государства. Это также и обеспечение недоступности определенной информации для определенно круга лиц, т.е. обеспечение ее конфиденциальности.
Интересы каких бы личностей и общностей людей мы не защищали в информационной сфере, все сводится к обеспечению доступности или недоступности определенных видов информации, обладающей определенными свойствами. Расширенное определение понятия Безопасность Информации как раз все эти свойства в себя включает. Значит можно поставить знак равенства между понятиями Информационная Безопасность и Безопасность Информации, поскольку первое сводится ко второму. Скорее всего, так оно и есть.