Люди часто путают или смешивают три не совсем совпадающих понятия: 1) информационная безопасность (ИБ), 2) компьютерная безопасность, то есть, безопасность информационных технологий (ИТ) и 3) кибербезопасность. Несколько определений и сравнительных анализов опубликовано в Интернете. Некоторые из них не совсем корректны. Поэтому мы решили разобраться в этом вопросе и представить наше видение этих понятий с ретроспективой нашего 20-летнего опыта работы в сфере ИБ и ИТ-безопасности.
Области безопасности бурно развиваются, поэтому терминология изменяется с годами. Например, возьмём понятие аудита. Оно имеет много разных значений и оттенков. От настройки протоколирования событий и их анализа до тестирования безопасности и собеседований персонала на предмет выполнения требований безопасности. Когда мы имеем дело с живыми, развивающимися объектами вроде языков общения или ИТ, неоднозначность в терминологии нормальна. И всё же, есть смысл расставить некоторые акценты.
1. Информационная безопасность
Информационная безопасность, по большому счёту, – это безопасность любой информации, включая бумажные документы, голосовую информацию, информацию в мозгах людей и так далее. Эта дисциплина появилась несколько тысяч лет назад. То есть, условно, с появлением первых алгоритмов шифрования, если не раньше.
Сюда же по традиции часто относят вопросы государственной безопасности, пропаганды, цензуры, социальных манипуляций и так далее. Есть даже государственные законы об ИБ, которые имеют мало общего с современной ИТ-безопасностью.
Также к ИБ часто относятся некоторые соседние области безопасности, особенно для организаций, активно использующих ИТ. Речь о физической безопасности, безопасности персонала, безопасности отношений с третьими сторонами, непрерывности бизнеса и т.д. В качестве авторитетного примера приведём международный стандарт по управлению безопасностью организаций ISO 27001. Ключевые два слова из названия этого стандарта – “информационная безопасность”, хотя сам стандарт содержит некоторые материалы за пределами сугубо информационной безопасности.
Три “кита”, на которых базируется ИБ, – целостность, доступность и конфиденциальность. Эти требования применимы не только к электронной информации, но и к “бумажной”, устной и т.д.
Таким образом, ИБ – это классическое название дисциплины, охватывающей широкий набор вопросов безопасности информации и смежных вопросов.
2. Безопасность информационных технологий
Безопасность ИТ (компьютерная безопасность, цифровая безопасность, ИТ-безопасность) – здесь как бы всё понятно. Защита от хакеров, вирусов, спама, фишинга и множества других угроз, возникающих, главным образом, из Интернета. Эта защита чаще всего реализуется снижением тех или иных организационных или технических уязвимостей безопасности.
Говоря более формальным языком, безопасность ИТ – это обеспечение целостности, доступности, конфиденциальности и других требований безопасности, предъявляемых к вычислительной и коммуникационной технике и информации, которую она хранит, обрабатывает и пересылает.
Однако, как только мы начинаем разбираться в ИТ-безопасности немного глубже, возникает множество смежных задач вроде защиты от социальной инженерии, управления эффективностью безопасности, предоставления гарантий безопасности, соответствия нормативным требованиям безопасности, страхования информационных рисков, обеспечения непрерывности бизнеса и десятки подобных задач.
Эти задачи уже не укладываются в чисто ИТ-безопасность, и требуют компетенций не только специалистов ИТ, но и экономистов, менеджеров, юристов, финансистов, психологов, преподавателей и некоторых других профессий. Кому-то может показаться, что эти профессии не настолько технологичны, и как бы вторичны в безопасности. Но, если разобраться, в безопасности всё сводится к управлению рисками. А что делать с рисками решает, в конечном счёте, экономика и математика.
Таким образом, ИТ-безопасность, переходя на уровень грамотного системного управления, рано или поздно, снова-таки сводится к информационной безопасности в понимании стандарта ISO 27001 (см. п. 1 выше).
3. Кибербезопасность
Кибер-безопасность или кибербезопасность (без дефиса) – самый неоднозначный термин. Многие считают, что кибербезопасность означает то же самое, что ИТ-безопасность. Типа современного синонима и модного словечка. Кто-то считает, что кибер-безопасность – это новый уровень ИТ-безопасности, связывая его появление с какими-то крупными инцидентами или другими событиями. Кто-то думает, что кибербезопасность – то же самое, что ИБ. Так всё-таки, что же такое кибербезопасность – ИТ-безопасность, ИБ или что-то третье? Разберёмся.
Начнём с кибернетики, поскольку именно это понятие, придуманное Ампером и развитое Винером, подарило название не только кибер-безопасности но и всей современной кибер-культуре. Примечательно, что словосочетание “кибернетическая безопасность” пока не прижилось. Оно выглядит как нелепая майорская попытка воссоздать несуществующее научное название из общепринятого краткого. Типа, “гауптическая вахта” или “эпический центр взрыва”.
Кибернетика, по определению, – это дисциплина об информации в сложных управляющих системах. Например, в компьютере, человеке или обществе. Поэтому под кибербезопасностью можно подразумевать безопасность информации в сложных управляющих системах. В то же время, такая безопасность сама по себе является сложной управляющей подсистемой. Поэтому в любом случае, дело сводится к управлению безопасностью.
Иными словами, когда в сочетании со словом “безопасность” мы употребляем слово “кибер”, означающее по-гречески “рулевой на судне” или “правительство”, мы говорим прежде всего о “рулении”, то есть, об управлении безопасностью.
Получается, что, строго говоря, ближе всего к понятию кибер-безопасности находится понятие системы управления информационной безопасностью в понимании всё того же стандарта ISO 27001. То есть, это набор процессов и средств управления безопасностью организации, который применяется при защите от кибератак.
На практике, к сожалению или к счастью, под кибербезопасностью понимают самые разные наборы вопросов. От узких, вроде соревнований CTF, защиты от кибератак, отдельных видов угроз или расследований инцидентов, до более широких, вроде применения стандартов конфигурации и харденинга безопасности. Как будет развиваться это понятие, покажет время.
Заключение
Таким образом, мы попробовали непредвзято разобраться в отличиях информационной безопасности, ИТ-безопасности и кибербезопасности. Не зря в каждом из этих понятий дело сводится к управлению безопасностью. Именно грамотное управление придаёт безопасности ценность. Самым распространённым стандартом такого управления является стандарт кибербезопасности ISO 27001. Его значение в современной информационной безопасности трудно переоценить. Этот стандарт является основой многих других государственных и отраслевых стандартов информационной безопасности. Если нашим читателям будет интересно, в одной из следующих публикаций мы расскажем, как мы участвовали в разработке этого стандарта совместно с центральным офисом ISO в Швейцарии.