Люди часто плутають або змішують три не зовсім подібних поняття: 1) інформаційна безпека (ІБ), 2) комп’ютерна безпека, тобто, безпека інформаційних технологій (ІТ) та 3) кібербезпека. Кілька визначень і порівняльних аналізів опубліковано в Інтернеті. Деякі з них не зовсім коректні. Тому ми вирішили розібратися в цьому питанні та продемонструвати наше бачення цих понять із ретроспективи нашого 20-річного досвіду роботи у сфері ІБ та ІТ-безпеки.
Галузі безпеки бурхливо розвиваються, тому термінологія змінюється з роками. Наприклад, візьмемо поняття аудиту. Воно має багато різних значень і відтінків. Від налаштування протоколювання подій та їх аналізу до тестування безпеки та співбесід персоналу на предмет виконання вимог безпеки. Коли ми маємо справу з живими об’єктами, що розвиваються, на зразок мов спілкування або ІТ, неоднозначність у термінології нормальна. І все ж, є сенс розставити деякі акценти.
1. Інформаційна безпека
Інформаційна безпека, за великим рахунком, – це безпека будь-якої інформації, включаючи паперові документи, голосову інформацію, інформацію в мізках людей тощо. Ця дисципліна з’явилася кілька тисяч років тому. Тобто, умовно, з появою перших алгоритмів шифрування, якщо не раніше.
Сюди ж за традицією часто відносять питання державної безпеки, пропаганди, цензури, соціальних маніпуляцій тощо. Є навіть державні закони про ІБ, які мають мало спільного з сучасною ІТ-безпекою.
Також до ІБ часто відносяться деякі сусідні галузі безпеки, особливо для організацій, які активно використовують ІТ. Мова про фізичну безпеку, безпеку персоналу, безпеку відносин із третіми сторонами, безперервность бізнесу тощо. Для авторитетного прикладу наведемо міжнародний стандарт із управління безпекою організацій ISO 27001. Ключові два слова з назви цього стандарту – “інформаційна безпека”, хоча сам стандарт містить деякі матеріали за межами суто інформаційної безпеки.
Три “кити”, на яких базується ІБ, – цілісність, доступність і конфіденційність. Ці вимоги застосовні не тільки до електронної інформації, але й до “паперової”, усної тощо.
Таким чином, ІБ – це класична назва дисципліни, що охоплює широкий набір питань безпеки інформації та суміжних питань.
2. Безпека інформаційних технологій
Безпека ІТ (комп’ютерна безпека, цифрова безпека, ІТ-безпека) – тут начебто все зрозуміло. Захист від хакерів, вірусів, спаму, фішингу та безлічі інших загроз, що виникають, головним чином, з Інтернету. Цей захист найчастіше реалізується зниженням тих чи інших організаційних або технічних вразливостей безпеки.
Говорячи більш формальною мовою, безпека ІТ – це забезпечення цілісності, доступності, конфіденційності та інших вимог безпеки, що пред’являються до обчислювальної та комунікаційної техніки та інформації, яку вона зберігає, обробляє та передає.
Однак, як тільки ми починаємо розбиратися в ІТ-безпеці трохи глибше, виникає безліч суміжних завдань на зразок захисту від соціальної інженерії, управління ефективністю безпеки, надання гарантій безпеки, відповідності нормативним вимогам безпеки, страхування інформаційних ризиків, забезпечення безперервності бізнесу та десятки подібних завдань.
Ці завдання вже не вкладаються лише в ІТ-безпеку, і вимагають компетенцій економістів, менеджерів, юристів, фінансистів, психологів, викладачів і деяких інших професій. Комусь може здатися, що ці професії не настільки технологічні, і начебто вторинні у безпеці. Але, якщо розібратися, у безпеці все зводиться до управління ризиками. А що робити з ризиками вирішує, зрештою, економіка та математика.
Таким чином, ІТ-безпека, переходячи на рівень грамотного системного управління, рано чи пізно, знову-таки зводиться до інформаційної безпеки в розумінні стандарту ISO 27001 (див. п. 1 вище).
3. Кібербезпека
Кібер-безпека або кібербезпека (без дефіса) – найбільш неоднозначний термін. Багато хто вважає, що кібербезпека означає те ж саме, що ІТ-безпека. Типу сучасного синоніма та модного слова. Хтось вважає, що кібер-безпека – це новий рівень ІТ-безпеки, пов’язуючи його появу з якимись великими інцидентами або іншими подіями. Хтось думає, що кібербезпека – те ж саме, що ІБ. Так все-таки, що ж таке кібербезпека – ІТ-безпека, ІБ або щось третє? Розберемося.
Почнемо з кібернетики, оскільки саме це поняття, вигадане Ампером і розвинене Вінером, подарувало назву не тільки кібер-безпеці, але й всій сучасній кібер-культурі. Примітно, що словосполучення “кібернетична безпека” поки не прижилося. Воно виглядає як безглузда майорська спроба відтворити неіснуючу наукову назву із загальноприйнятого короткої. Типу, “гауптична вахта” або “епічний центр вибуху”.
Кібернетика, за визначенням, – це дисципліна про інформацію в складних керуючих системах. Наприклад, у комп’ютері, людині або суспільстві. Тому під кібербезпекою можна мати на увазі безпеку інформації в складних керуючих системах. У той самий час, така безпека сама по собі є складною керуючої підсистемою. Тому в будь-якому випадку, справа зводиться до управління безпекою.
Іншими словами, коли в поєднанні зі словом “безпека” ми вживаємо слово “кібер”, що означає по-грецьки “рульовий на судні” або “уряд”, ми говоримо перш за все про “управління”, тобто, про управління безпекою.
Виходить, що, строго кажучи, ближче всього до поняття кібер-безпеки знаходиться поняття системи управління інформаційною безпекою в розумінні все того ж стандарту ISO 27001. Тобто, це набір процесів і засобів управління безпекою організації.
На практиці, на жаль чи на щастя, під кібербезпекою розуміють найрізноманітніші набори питань. Від вузьких, на зразок змагань CTF, захисту від окремих видів загроз або розслідувань інцидентів, до більш широких, типу застосування стандартів конфігурації та харденінга безпеки. Як буде розвиватися це поняття, покаже час.
Висновок
Таким чином, ми спробували неупереджено розібратися у відмінностях інформаційної безпеки, ІТ-безпеки та кібербезпеки. Не дарма у кожному з цих понять справа зводиться до управління безпекою. Саме грамотне управління надає безпеці цінність. Найпоширенішим стандартом такого управління є ISO 27001. Його значення в сучасній інформаційній безпеці важко переоцінити. Цей стандарт є основою багатьох інших державних і галузевих стандартів інформаційної безпеки. Якщо нашим читачам буде цікаво, в одній із наступних публікацій ми розповімо, як ми брали участь у розробці цього стандарту спільно з центральним офісом ISO у Швейцарії.