Кібербезпека, ІБ, безпека ІТ – у чому різниця?

Люди часто плутають або змішують три не зовсім подібних поняття: 1) інформаційна безпека (ІБ), 2) комп’ютерна безпека, тобто безпека інформаційних технологій (ІТ) та 3) кібербезпека. Кілька визначень і порівняльних аналізів опубліковано в Інтернеті. Деякі з них не зовсім коректні. Тому ми вирішили розібратися в цьому питанні та продемонструвати наше бачення цих понять із ретроспективи нашого 20-річного досвіду роботи у сфері ІБ та ІТ-безпеки.

Галузі безпеки бурхливо розвиваються, тому термінологія змінюється з роками. Наприклад, візьмемо поняття аудиту. Воно має багато різних значень і відтінків. Від налаштування протоколювання подій та їх аналізу до тестування безпеки та співбесід персоналу на предмет виконання вимог безпеки. Коли ми маємо справу з живими об’єктами, що розвиваються, на зразок мов спілкування або ІТ, неоднозначність у термінології нормальна. І все ж, є сенс розставити деякі акценти.

1. Інформаційна безпека

Інформаційна безпека, за великим рахунком, – це безпека будь-якої інформації, включаючи паперові документи, голосову інформацію, інформацію в мізках людей тощо. Ця дисципліна з’явилася кілька тисяч років тому. Інакше кажучи, її коріння можна умовно зарахувати до появи перших алгоритмів шифрування, а то й раніше.

Сюди ж за традицією часто відносять питання державної безпеки, пропаганди, цензури, соціальних маніпуляцій тощо. Є навіть державні закони про ІБ, які мають мало спільного з сучасною ІТ-безпекою.

Також до ІБ часто відносяться деякі сусідні галузі безпеки, особливо для організацій, які активно використовують ІТ. Мова про фізичну безпеку, безпеку персоналу, безпеку відносин із третіми сторонами, безперервність бізнесу тощо. Для авторитетного прикладу наведемо міжнародний стандарт ISO 27001. Ключові два слова з назви цього стандарту – “інформаційна безпека”, хоча сам стандарт містить деякі матеріали за межами суто інформаційної безпеки.

Три “кити”, на яких базується ІБ, – цілісність, доступність і конфіденційність. Ці вимоги застосовні не тільки до електронної інформації, але й до “паперової”, усної тощо.

Таким чином, ІБ – це класична назва дисципліни, що охоплює широкий набір питань безпеки інформації та суміжних питань.

2. Безпека інформаційних технологій

Безпека ІТ (комп’ютерна безпека, цифрова безпека, ІТ-безпека) – тут, на перший погляд, все зрозуміло. Це захист від хакерів, вірусів, спаму, фішингу та безлічі інших загроз, що виникають, головним чином, з Інтернету. Цей захист найчастіше реалізується зниженням тих чи інших організаційних або технічних вразливостей безпеки.

Говорячи більш формальною мовою, безпека ІТ – це забезпечення цілісності, доступності, конфіденційності та інших вимог безпеки, що пред’являються до обчислювальної та комунікаційної техніки та інформації, яку вона зберігає, обробляє та передає.

Однак як тільки ми починаємо розбиратися в ІТ-безпеці трохи глибше, виникає безліч суміжних завдань на зразок захисту від соціальної інженерії, управління ефективністю безпеки, надання гарантій безпеки, відповідності нормативним вимогам безпеки, страхування інформаційних ризиків, забезпечення безперервності бізнесу та десятки подібних завдань.

Ці завдання вже не вкладаються лише в ІТ-безпеку, і вимагають компетенцій економістів, менеджерів, юристів, фінансистів, психологів, викладачів і деяких інших професій. Комусь може здатися, що ці професії не настільки технологічні, і начебто вторинні у безпеці. Якщо розібратися, у безпеці все зводиться до управління ризиками. А що робити з ризиками визначають, зрештою, економіка та математика.

Таким чином, ІТ-безпека, переходячи на рівень грамотного системного управління, врешті зводиться до інформаційної безпеки в розумінні того ж стандарту ISO 27001 (див. п. 1 вище).

3. Кібербезпека

Кібербезпека – найбільш неоднозначний термін. Багато хто вважає, що кібербезпека означає те ж саме, що ІТ-безпека. Типу сучасного синоніма та модного слова. Хтось вважає, що кібербезпека – це новий рівень ІТ-безпеки, пов’язуючи його появу з якимись великими інцидентами або іншими подіями. Хтось думає, що кібербезпека – те ж саме, що ІБ. Так все-таки, що ж таке кібербезпека – ІТ-безпека, ІБ або щось третє? Розберемося.

Все почалося з терміну “кібернетика”. Він був придуманий Андре-Марі Ампером у 1834 році та розвинений Норбертом Вінером у 1948 році. Кібернетика в сучасному розумінні – це дисципліна про інформацію в складних керуючих системах. Наприклад, у комп’ютері, людині чи суспільстві.

Термін “кіберпростір” популяризував письменник Вільям Гібсон, описуючи віртуальну реальність та мережі. З того часу приставка „кібер-“ міцно асоціюється з цифровими технологіями та Інтернетом.

У той самий час, повертаючись до кібернетики, слід згадати, що приставка „кібер-“ походить від грецького слова „κυβερνήτης“ – „кормчий, кермовий“. Зважаючи на це, під кібербезпекою можна мати на увазі безпеку інформації в складних керуючих системах. З іншого боку, така безпека сама по собі є складною керуючою підсистемою. Тому у будь-якому випадку справа зводиться до управління.

Виходить, якщо розібратися у витоках, кібербезпека – це управління інформаційною безпекою в розумінні все того ж стандарту ISO 27001. Тобто це набір процесів і засобів управління інформаційною безпекою.

Висновок

Таким чином, ми спробували неупереджено розібратися у відмінностях інформаційної безпеки, ІТ-безпеки та кібербезпеки. Не дарма кожне з цих понять пов’язане з управлінням безпекою. Саме грамотне управління надає безпеці цінність. Найпоширенішим стандартом такого управління є ISO 27001. Його значення в сучасній інформаційній безпеці важко переоцінити. Цей стандарт є основою багатьох інших державних і галузевих стандартів інформаційної безпеки. Якщо нашим читачам буде цікаво, в одній із наступних публікацій ми розповімо, як ми брали участь у доробці цього стандарту спільно з центральним офісом ISO у Швейцарії.