Час від часу бачу як журналісти, різні ІТ спеціалісти чи маркетологи плутають поняття Кібербезпеки та Інформаційної безпеки, підміняючи поняття та вводячи людей в оману, чи то навмисно, чи то по нерозумінню різниці. Спробував розкласти мухи і котлети окремо.
Матчасть
Кібербезпека – це безпека ІТ систем (обладнання та програм).
Інформаційна безпека – це безпека інформації, зазвичай організації чи компанії, у тому числі в ІТ системах. Кібербезпека є частиною Інформаційної безпеки будь-якої організації.
Приклади
Наскільки захищений ваш домашній комп’ютер чи ваш веб-сайт від зламу хакерами – це питання кібербезпеки. Але чи кріпите ви стікер із записаним паролем від комп’ютера чи профайлу у соцмережі на екран свого монітору – це вже питання вашої Інформаційної безпеки.
На сайтах пошуку роботи часто можна зустріти об’яви на кшталт «потрібен спеціаліст з інформаційної безпеки», де в описі задач вказано «адміністрування системи моніторингу», «адміністрування антивірусу», «аналіз наявності вразливостей в системах (пентестер)» – це все вузькі задачі спеціалістів з кібербезпеки. Спеціаліст з інформаційної безпеки має вміти набагато більше, це і організація навчання працівників з питань ІБ, і впровадження проектів ІБ, аналіз ризиків, аналіз компанії на відповідність регуляторним чи законодавчим вимогам і т.п.
Часто продавці різного ІТ обладнання та ІТ продуктів пропонують «рішення з інформаційної безпеки», хоча по факту вони пропонують рішення для кібербезпеки – антивіруси, фаєрволи, мережеві екрани і т.п. Якщо ви купуєте дорогий маршрутизатор з розширеними функціями безпеки чи дорогий програмний продукт, який виявляє та нейтралізує віруси, ви закриваєте одну із задач міжнародного стандарту з інформаційної безпеки ISO 27001 по захисту від зловмисного коду, а в цілому в даному стандарті з ІБ десятки різних задач, які потрібно вирішувати кожній організації, аби її інформація була захищеною.
Хороший приклад правильного використання термінів маємо в назві проекту Закону України «Про основні засади забезпечення кібербезпеки України». Хоча по самому проекту закону є багато зауважень, які детально виклали мої колеги з київського відділення всесвітньої асоціації з розроблення методологій та стандартів у галузі управління, аудиту і безпеки інформаційних технологій ISACA (Information Systems Audit and Control Association), але по своїй суті цей документ якраз і покриває питання саме кібербезпеки.
З іншого боку, маємо не зовсім вдалий приклад використання словосполучення «інформаційна безпека» в документі «Доктрина інформаційної безпеки України». Даний документ описує в основному цілі та дії, які має застосовувати держава щодо протидії Росії в інформаційному полі (телебачення, радіо, інтернет). В документі згадується Державна служба спеціального зв'язку та захисту інформації України (ДССЗІ), але тільки в контексті захисту спеціального зв'язку, захисту інформації, телекомунікацій та користування радіочастотним ресурсом України. Більш вдалою назвою для цього документу була б «Доктрина інформаційної політики України», як на мене. Бо для того, аби цей документ покривав всі питання інформаційної безпеки держави, потрібно також врегулювати не тільки питання забезпечення безпеки інформаційних систем в державі, але також і проведення аналізу цих систем на відповідність (аудит ІТ систем), врегулювати питання освітницької діяльності щодо підвищення і підтримки на належному рівні знань громадян щодо питань інформаційної безпеки, врегулювати питання аналізу та реагування на інциденти ІБ (тим чим займається CERT-UA), питання безперервності роботи державних ІТ систем. Цього всього в поточній «Доктрині інформаційної безпеки» немає, і в цілому ці питання залишаються неврегульованими на державному рівні, тому і по інформаційній безпеці України залишається багато відкритих питань.
Хакери, вони хто?
Всім відомі хакери – це, в основному, спеціалісти з кібербезпеки. Вони вивчають як побудовані різні ІТ системи, щоб знайти в них слабкі місця і використати їх для отримання вигоди, чи то фінансової, чи для інших цілей. Хакерам протидіють не тільки Білі Хакери (White Hats), які також знаходять вразливі місця в наших ІТ системах, але роблять це відкрито, аби допомогти нам закрити наявні проблемні місця, але й спеціалісти з інформаційної безпеки, тому що для проникнення в ту чи іншу організацію можуть використовуватись не тільки прямі методи зламу тієї чи іншої системи, але також і прості людські слабкості – збережені паролі у відкритих місцях, зайва балакучість співробітників, фішинг, спам, прийоми соціальної інженерії по телефону, емейл і т.п.
Як відрізнити спеціаліста кібербезпеки від спеціаліста з ІБ?
Найпростіший і найочевидніший спосіб – по сертифікації. Сертифікацій на тему кібербезпеки та ІБ у світі величезна кількість, але є декілька найпоширеніших та найбільш популярних.
Спеціалісти з Кібер-безпеки:
- CEH (Certified Ethical Hacker);
- CISSP (Certified Information System Security Professional);
- CCSP (Cisco Certified Security Professional).
Спеціалісти з Інформаційної безпеки:
- CISM (Certified Information Security Manager);
- CISA (Certified Information Systems Auditor);
- ISO 27001 Lead Implementer;
- ISO 27001 Lead Auditor.
З ІТ аудиторами також часто виникає плутанина. Класичний ІТ аудитор чітко знає набір процедур і методологічних практик, які потрібно пройти, аби проаналізувати будь-які ІТ систему згідно поставлених цілей. Також є Пентестери, які інколи позиціонують себе як ІТ аудитори, але виконують зовсім інші задачі. Задача Пентестера – зламати систему, у той час як задача ІТ аудитора проаналізувати систему, наприклад, на відповідність налаштувань до рекомендацій постачальника.
Якщо вам потрібно перевірити вашу систему на міцність – тут в нагоді стане Пентестер, CEH, White Hat. Якщо потрібно просто проаналізувати, наскільки адекватні налаштування ІТ системи, чи порядок з правами користувачів в системі – допоможе ІТ Аудитор, CISA.
Самостійна пошукова аналітична робота з інформацією
Що слід розуміти, на вашу думку, під інформованістю особи, що приймає рішення?
На вашу думку, якими якісними властивостями інформації доцільно оцінювати рівень інформованості особи, що приймає рішення?
На вашу думку, як би ви визначили особливості вимірювання якісного показника повноти інформованості особи, що приймає рішення?
Що, на вашу думку, слід розуміти під мінімально доцільним обсягом інформації для повного розв’язування проблеми чи задачі?
На вашу думку, які особливості у міри якісного показника своєчасної інформованості особи, що приймає рішення?
На вашу думку, у чому полягає суть часового ресурсу формування рішення і часового ресурсу для повної реалізації ідеї?
На вашу думку, з якою метою множини позаштатних ситуацій в смартфоні класифікують на підмножини, у кожній із яких виконується тільки одна з умов своєчасної інформованої?
На вашу думку, які особливості міри якісного показника достовірної інформованої особи, що приймає рішення?
На вашу думку, які особливості класифікації множини форс-мажорних ситуацій в вашому смартфоні за показниками повноти і достовірної вашої поінформованості?
На вашу думку, які властивості та особливості якісних показників інформації потрібно враховувати під час формування системного інформування вас: 1)про ваш стан здоров’я, 2) про ціни на ринку технологічних товарів?
На вашу думку, як визначають кількісні характеристики інформації?
На вашу думку, що є мірою можливості самостійного аналізу вами множини надзвичайних ситуацій?
Немає коментарів:
Дописати коментар