Кибербезопасность, ИБ, безопасность ИТ – в чём разница?

Люди часто путают или смешивают три не совсем совпадающих понятия: 1) информационная безопасность (ИБ), 2) компьютерная безопасность, то есть, безопасность информационных технологий (ИТ) и 3) кибербезопасность. Несколько определений и сравнительных анализов опубликовано в Интернете. Некоторые из них не совсем корректны. Поэтому мы решили разобраться в этом вопросе и представить наше видение этих понятий с ретроспективой нашего 20-летнего опыта работы в сфере ИБ и ИТ-безопасности.

Области безопасности бурно развиваются, поэтому терминология изменяется с годами. Например, возьмём понятие аудита. Оно имеет много разных значений и оттенков. От настройки протоколирования событий и их анализа до тестирования безопасности и собеседований персонала на предмет выполнения требований безопасности. Когда мы имеем дело с живыми, развивающимися объектами вроде языков общения или ИТ, неоднозначность в терминологии нормальна. И всё же, есть смысл расставить некоторые акценты.

1. Информационная безопасность

Информационная безопасность, по большому счёту, – это безопасность любой информации, включая бумажные документы, голосовую информацию, информацию в мозгах людей и так далее. Эта дисциплина появилась несколько тысяч лет назад. То есть, условно, с появлением первых алгоритмов шифрования, если не раньше.

Сюда же по традиции часто относят вопросы государственной безопасности, пропаганды, цензуры, социальных манипуляций и так далее. Есть даже государственные законы об ИБ, которые имеют мало общего с современной ИТ-безопасностью.

Также к ИБ часто относятся некоторые соседние области безопасности, особенно для организаций, активно использующих ИТ. Речь о физической безопасности, безопасности персонала, безопасности отношений с третьими сторонами, непрерывности бизнеса и т.д. В качестве авторитетного примера приведём международный стандарт по управлению безопасностью организаций ISO 27001. Ключевые два слова из названия этого стандарта – “информационная безопасность”, хотя сам стандарт содержит некоторые материалы за пределами сугубо информационной безопасности.

Три “кита”, на которых базируется ИБ, – целостность, доступность и конфиденциальность. Эти требования применимы не только к электронной информации, но и к “бумажной”, устной и т.д.

Таким образом, ИБ – это классическое название дисциплины, охватывающей широкий набор вопросов безопасности информации и смежных вопросов.

2. Безопасность информационных технологий

Безопасность ИТ (компьютерная безопасность, цифровая безопасность, ИТ-безопасность) – здесь как бы всё понятно. Защита от хакеров, вирусов, спама, фишинга и множества других угроз, возникающих, главным образом, из Интернета. Эта защита чаще всего реализуется снижением тех или иных организационных или технических уязвимостей безопасности.

Говоря более формальным языком, безопасность ИТ – это обеспечение целостности, доступности, конфиденциальности и других требований безопасности, предъявляемых к вычислительной и коммуникационной технике и информации, которую она хранит, обрабатывает и пересылает.

Однако, как только мы начинаем разбираться в ИТ-безопасности немного глубже, возникает множество смежных задач вроде защиты от социальной инженерии, управления эффективностью безопасности, предоставления гарантий безопасности, соответствия нормативным требованиям безопасности, страхования информационных рисков, обеспечения непрерывности бизнеса и десятки подобных задач.

Эти задачи уже не укладываются в чисто ИТ-безопасность, и требуют компетенций не только специалистов ИТ, но и экономистов, менеджеров, юристов, финансистов, психологов, преподавателей и некоторых других профессий. Кому-то может показаться, что эти профессии не настолько технологичны, и как бы вторичны в безопасности. Но, если разобраться, в безопасности всё сводится к управлению рисками. А что делать с рисками решает, в конечном счёте, экономика и математика.

Таким образом, ИТ-безопасность, переходя на уровень грамотного системного управления, рано или поздно, снова-таки сводится к информационной безопасности в понимании стандарта ISO 27001 (см. п. 1 выше).

3. Кибербезопасность

Кибер-безопасность или кибербезопасность (без дефиса) – самый неоднозначный термин. Многие считают, что кибербезопасность означает то же самое, что ИТ-безопасность. Типа современного синонима и модного словечка. Кто-то считает, что кибер-безопасность – это новый уровень ИТ-безопасности, связывая его появление с крупными угрозами, уязвимостям или инцидентами. Кто-то думает, что кибербезопасность – то же самое, что ИБ. Так всё-таки, что же такое кибербезопасность – ИТ-безопасность, ИБ или что-то третье? Разберёмся.

Всё началось с термина “кибернетика”. Он был придуман Андре-Мари Ампером в 1834 году и развит Норбертом Винером в 1948 году. Кибернетика в современном понимании – это дисциплина об информации в сложных управляющих системах. Например, в компьютере, человеке или обществе.

В современном контексте приставка «кибер-» получила широкое распространение и переосмысление благодаря канадско-американскому писателю-фантасту Уильяму Гибсону. В 1984 году в своём романе «Нейромант» он ввёл и популяризировал термин «киберпространство» (cyberspace) для описания виртуальной реальности и глобальных коммуникационных сетей. Его работы оказали глубокое влияние на массовую культуру и сформировали современное понимание цифрового мира.

Уильям Гибсон использовал приставку «кибер-» именно из-за её положительного, организующего смысла, чтобы подчеркнуть контраст между идеалами управления и теми антиутопическими реалиями, которые могут возникнуть при неконтролируемом развитии технологий. Его работы послужили напоминанием о двойственной природе прогресса: технологии обладают потенциалом как для улучшения жизни, так и для создания новых форм риска и неравенства. Выбор приставки “кибер” был осознанным художественным приёмом, позволяющим глубже исследовать темы контроля, свободы и человеческой сущности в эпоху стремительного технологического развития.

В результате приставка «кибер-» стала ассоциироваться с цифровыми технологиями, компьютерами и Интернетом.

Кибербезопасность в современном понимании — это защита цифровых систем, сетей и данных от киберугроз, исходящих из киберпространства. Она фокусируется на предотвращении кибератак, несанкционированного доступа, кражи данных и других цифровых угроз.

Чисто технически, когда в сочетании со словом “безопасность” мы употребляем слово “кибер”, означающее по-гречески “рулевой на судне” или “правительство”, мы по факту говорим о “рулении”, то есть, об управлении безопасностью.

Возвращаясь к кибернетике, подарившей нам приставку “кибер”, под кибербезопасностью можно подразумевать безопасность информации в сложных управляющих системах. В то же время, такая безопасность сама по себе является сложной управляющей подсистемой. Поэтому в любом случае дело сводится к управлению безопасностью.

Получается, если разобраться в истоках, кибер-безопасность – это управление информационной безопасностью в понимании всё того же стандарта ISO 27001. То есть, это набор процессов и средств управления безопасностью организации, который применяется при защите от кибератак.

Заключение

Таким образом, мы попробовали непредвзято разобраться в отличиях информационной безопасности, ИТ-безопасности и кибербезопасности. Не зря каждое из этих понятий связано с управлением безопасностью. Именно грамотное управление придаёт безопасности ценность.

Самым распространённым стандартом такого управления является стандарт информационной безопасности ISO 27001. Его значение трудно переоценить. Этот стандарт является основой многих других государственных и отраслевых стандартов. Если нашим читателям будет интересно, в одной из следующих публикаций мы расскажем, как мы участвовали в доработке ISO 27001 совместно с центральным офисом ISO в Швейцарии.