Кибербезопасность, ИБ, безопасность ИТ — в чём разница?

Люди часто путают или смешивают три не совсем совпадающих понятия: 1) информационная безопасность (ИБ), 2) компьютерная безопасность, то есть безопасность информационных технологий (ИТ) и 3) кибербезопасность. Несколько определений и сравнительных анализов опубликовано в Интернете. Некоторые из них не совсем корректны. Поэтому мы решили разобраться в этом вопросе и представить наше видение этих понятий с ретроспективой нашего 20-летнего опыта работы в сфере ИБ и ИТ-безопасности.

Области безопасности бурно развиваются, поэтому терминология изменяется с годами. Например, возьмём понятие аудита. Оно имеет много разных значений и оттенков. От настройки протоколирования событий и их анализа до тестирования безопасности и собеседований персонала на предмет выполнения требований безопасности. Когда мы имеем дело с живыми, развивающимися объектами вроде языков общения или ИТ, неоднозначность в терминологии нормальна. И всё же, есть смысл расставить некоторые акценты.

1. Информационная безопасность

Информационная безопасность, по большому счёту, — это безопасность любой информации, включая бумажные документы, голосовую информацию, информацию в мозгах людей и так далее. Эта дисциплина появилась несколько тысяч лет назад. Иными словами, её корни можно условно отнести к появлению первых алгоритмов шифрования, если не раньше.

Сюда же по традиции часто относят вопросы государственной безопасности, пропаганды, цензуры, социальных манипуляций и так далее. Есть даже государственные законы об ИБ, которые имеют мало общего с современной ИТ-безопасностью.

Также к ИБ часто относятся некоторые соседние области безопасности, особенно для организаций, активно использующих ИТ. Речь о физической безопасности, безопасности персонала, безопасности отношений с третьими сторонами, непрерывности бизнеса и т.д. В качестве авторитетного примера приведём международный стандарт ISO 27001. Ключевые два слова из названия этого стандарта — «информационная безопасность», хотя сам стандарт содержит некоторые материалы за пределами сугубо информационной безопасности.

Три «кита», на которых базируется ИБ, — целостность, доступность и конфиденциальность. Эти требования применимы не только к электронной информации, но и к «бумажной», устной и т.д.

Таким образом, ИБ — это классическое название дисциплины, охватывающей широкий набор вопросов безопасности информации и смежных вопросов.

2. Безопасность информационных технологий

Безопасность ИТ (компьютерная безопасность, цифровая безопасность, ИТ-безопасность) — здесь, на первый взгляд, всё понятно. Это защита от хакеров, вирусов, спама, фишинга и множества других угроз, возникающих, главным образом, из Интернета. Эта защита чаще всего реализуется снижением тех или иных организационных либо технических уязвимостей безопасности.

Говоря более формальным языком, безопасность ИТ — это обеспечение целостности, доступности, конфиденциальности и других требований безопасности, предъявляемых к вычислительной и коммуникационной технике и информации, которую она хранит, обрабатывает и пересылает.

Однако как только мы начинаем разбираться в ИТ-безопасности немного глубже, возникает множество смежных задач вроде защиты от социальной инженерии, управления эффективностью безопасности, предоставления гарантий безопасности, соответствия нормативным требованиям безопасности, страхования информационных рисков, обеспечения непрерывности бизнеса и десятки подобных задач.

Эти задачи уже не укладываются в чисто ИТ-безопасность, и требуют компетенций не только специалистов ИТ, но и экономистов, менеджеров, юристов, финансистов, психологов, преподавателей и некоторых других профессий. Кому-то может показаться, что эти профессии не настолько технологичны, и как бы вторичны в безопасности. Если разобраться, в безопасности всё сводится к управлению рисками. А что делать с рисками определяют, в конечном счёте, экономика и математика.

Таким образом, ИТ-безопасность, переходя на уровень грамотного системного управления, в итоге сводится к информационной безопасности в понимании того же стандарта ISO 27001 (см. п. 1 выше).

3. Кибербезопасность

Кибербезопасность — самый неоднозначный термин. Многие считают, что кибербезопасность означает то же самое, что ИТ-безопасность. Типа современного синонима и модного словечка. Кто-то считает, что кибербезопасность — это новый уровень ИТ-безопасности, связывая его появление с крупными угрозами, уязвимостями или инцидентами. Кто-то думает, что кибербезопасность — то же самое, что ИБ. Так всё-таки, что же такое кибербезопасность — ИТ-безопасность, ИБ или что-то третье? Разберёмся.

Всё началось с термина «кибернетика». Он был придуман Андре-Мари Ампером в 1834 году и развит Норбертом Винером в 1948 году. Кибернетика в современном понимании — это дисциплина об информации в сложных управляющих системах. Например, в компьютере, человеке или обществе.

Термин „киберпространство“ популяризовал писатель Уильям Гибсон, описывая виртуальную реальность и сети. С тех пор приставка „кибер-“ прочно ассоциируется с цифровыми технологиями и Интернетом.

Кибербезопасность в современном понимании — это защита цифровых систем, сетей и данных от киберугроз, исходящих из киберпространства. Она фокусируется на предотвращении кибератак, несанкционированного доступа, кражи данных и других цифровых угроз.

В то же время, возвращаясь к кибернетике, нужно вспомнить, что приставка „кибер-“ происходит от греческого слова „κυβερνήτης“ – „кормчий, рулевой“. Принимая это во внимание, под кибербезопасностью можно подразумевать безопасность информации в сложных управляющих системах. С другой стороны, такая безопасность сама по себе является сложной управляющей подсистемой. Поэтому в любом случае дело сводится к управлению.

Получается, если разобраться в истоках, кибербезопасность — это управление информационной безопасностью в понимании всё того же стандарта ISO 27001. То есть, это набор процессов и средств управления безопасностью организации, который применяется при защите от кибератак.

Заключение

Таким образом, мы попробовали непредвзято разобраться в отличиях информационной безопасности, ИТ-безопасности и кибербезопасности. Не зря каждое из этих понятий связано с управлением безопасностью. Именно грамотное управление придаёт безопасности ценность.

Самым распространённым стандартом такого управления является стандарт информационной безопасности ISO 27001. Его значение трудно переоценить. Этот стандарт является основой многих других государственных и отраслевых стандартов. Если нашим читателям будет интересно, в одной из следующих публикаций мы расскажем, как мы участвовали в доработке ISO 27001 совместно с центральным офисом ISO в Швейцарии.