Информационная безопасность и кибербезопасность — в чем разница?
Еще с давних времен становления производства, владельцы переживали о двух вещах: первая – чтобы их производственные секреты не попали в руки конкурентам, вторая — о физической безопасности производства и сотрудников.
Когда производство начало приобретать первые черты промышленности, появилась такая специализация как специалист по безопасности компании (охране), который отвечал и за физическую безопасность предприятия и за сохранность ее секретов.
С ростом количества бумаг, бухгалтерии, отделов (которые отвечают за новаторство) и лабораторий у предприятий появилась необходимость в информационной безопасности , что вполне естественно: чтобы секретные документы не попали в руки, чтобы инженер изобретатель не унес чертежи из лаборатории, чтобы секретная переписка (еще письменная) не стала достоянием общественности и конкурентов.
Информационная безопасность — это термин, который появился первым, в разрезе ІТ.
С ростом количества компьютеризированных систем и автоматизированных инструментов, все начало переходить в ІТ-поле. На предприятии появились сотрудники по информационной безопасности.
Изначально информационная безопасность подразумевала минимизацию количества доступов к бухгалтерской информации, различной документации, информации о патентах и многому другому. Для этого создавались большие регламенты по внутренней безопасности компании. Как правило, есть сотрудник, который отдельно отвечает за информационную безопасность. А именно, чтобы не сливались номера и счета конкурентам.
Но 21 век встретил нас ІТ-бумом: компьютер стал появляться в каждом доме, эволюция от черно-белой нокии переросла в смартфон, который стал необходимостью, а интернет… с 2016 года резолюция ООН закрепила в правах человека “Право на доступ к интернету”.
С ростом девайсов, умных вещей, увеличением трафика, потоком данных, человек начал все больше переносить в кибер среду и в облако: бухгалтерию, управление процессами, выполнение работ. Появилась необходимость защиты информации именно в диджитал (оно же “кибер”) среде.
Кибербезопасность — это уже новый виток информационной безопасности, который направлен именно на диджитал среду. В которой, собственно, мы и находимся с вами. КБ подразумевает не только саму по себе защиту информации, а и защиту всей системы в информационном поле, в ИТ-поле (поле компьютерных технологий) в целом.
Куда ведет “кибербезопасность” и чего ожидать
Кибербезопасность — включает в себя защиту информации, но не ограничивается лишь ею. Это защита от вирусов, хакерских атак, подделки данных, которые могут не только удалить/украсть данные, но и повлиять на работу и производительность сотрудников, использовать информацию против человека или структуры, а также остановить производство. Кибербезопасность сегодня отвечает за три фактора: системы, процессы, люди.
Потребность в личной кибербезопасности будет все расти, потому что чем дальше, тем больше мы “срастаемся” с нашими гаджетами. КБ отвечает за защиту конфиденциальной информации и взаимодействие с ней при пользовании любым гаджетом. Например, чтобы к тебе не проник вирус через умный холодильник или кофеварку.
29 августа 2019 года на Всемирной конференции по искусственному интеллекту в Шанхае Джек Ма и Илон Маск обсуждали все что волнует человечество в последние годы: “Мы УЖЕ киборги. Люди настолько интегрированы с телефоном и компьютером, что даже не осознают этого. Когда мы забываем где-то мобильный, то кажется, будто потеряли часть тела”. И так оно и есть. Мы уже полностью связаны с нашими телефонами, без которых мы никуда не можем выйти и не мыслим жизни без них. Наш телефон — это еда, перемещение, карты, погода, сон, состояние здоровья, и этот список можно дополнять еще множеством возможностей, с которыми мы живем изо дня в день.
От “Червя” до “Petya”: вирусы мутируют и развиваются вместе с технологиями
Вместе с развитием технологий, искусственного интеллекта, информационных систем, развивается также и их “темная сторона” — кибератаки и «вирусы”. Компьютерные “вирусы”, как и биологические, тоже мутируют и развиваются.
С 1987 они попадали в систему и влияли на данные в ней: “съедали” данные, шифровали, подтасовывали, манипулировали. Например, вирус который копировал ваши данные до окончания места на диске “С”, или вирус, который перегружал процессор до 100%.
Следующий серьезный скачок в мутации произошел в 2012 году: появился вирус “ivchetoo” или “hallmark”, который физически сжигал жесткий диск. Этот вирус был объявлен CNN “как самый вредоносный”.
Следующая мутация и развитие кибератак произошла совсем недавно – WannaCry или Petya. Этот вирус прославился не тем, что шифровал данные и требовал Биткоин, а тем, что остановил треть банковской системы целой страны в 2017 году.
Это ощутили на себе и авиалинии вместе с метрополитеном, медиа-холдинги, промышленные концерны и крупные компании.
Бухгалтеры, когда взломали рабочую программу “1С” пострадали тогда первыми: вирус проник через программное обеспечение для сдачи бухгалтерской отчетности, а дальше распространился через нелицензированное ПО.
Катастрофы такого масштаба можно было избежать если бы предприятия и их сотрудники придерживались базовых правил кибергигиены и кибербезопасности. Но, “незнание” не освобождает от ответственности. И от последствий.
Wanna Cry показал до чего могут мутировать кибератаки — до остановки работы предприятий, концернов, систем и государственных структур.
Следующая мутация кибератак имеет все шансы влиять на жизнедеятельность и здоровье человека. Давайте посмотрим почему.
Тело и мозг = кибербезопасность 24/7?
С 2014 года в мир ворвался новый тренд в ІТ — умные устройства и носимые девайсы: умные холодильники, фитнес браслеты, шлемы виртуальной реальности, очки дополненной реальности.
Конференция Black Sea Summit в 2016 году в Одессе была знаменательна тем, что впервые в Украине человеку вживили чип в руку, которым он мог оплачивать счета, как банковской картой ( https://korrespondent.net/ukraine/3743253-v-ukrayne-vpervye-vzhyvyly-chyp-v-ruku-cheloveka )
С 2018 года начали активно вживлять чипы в других странах, которые бы заменяли ключи, карты, идентификационные данные, а в 2019 году проект “xNT” начал рассылку чипов для вживления в руку своим покупателям. ( https://dangerousthings.com/product/xnt/)
Apple основали тенденцию на FaceID, благодаря которой уже можно расплачиваться на кассе и идентифицировать человека просто по лицу.
Все эти факты говорят о том, что аппаратура становится все ближе к телу, ближе к мозгу и глазам, к мышцам и в прямом смысле “внутренностям” человека.
А значит, что есть большой риск, что кибератаки могут коснуться физического состояния человека.
Чем ближе девайсы расположены к телу и мозгу, тем важнее защита информации их носителей.
Следующий этап ответственности кибербезопасности – сохранность информации, процессов и девайсов, которая тесна с телом, мозгов и жизнью человека.
Подводя итоги, мы можем сказать, что кибербезопасность была частью информационной безопасностью. Сейчас же – это эволюция информационной безопасности. Сейчас именно от защиты процессов, информации и деятельности в киберпространстве зависит слишком много, чем просто потеря информации.
Сохранность системы, процессов, человеческой жизни — все это ложится на “плечи“ кибербезопасности.
Предыдущий
VR/AR в наше время: тренд или необходимость
Следующий
Чем отличается Информационная безопасность от Компьютерной безопасности?
Здравствуйте! Я хотел бы стать специалистом по ИНФОРМАЦИОННОЙ безопасности (вакансий на специалиста по КОМПЬЮТЕРНОЙ безопасности я не встречал) , но не знаю как точно называется курс\направление подготовки\факультет (не знаю, как правильно) для данной специальности. В ВУЗах при просмотре факультетов встречаю Информационную безопасность и Компьютерную безопасность. Хотелось бы узнать, есть ли разница между этими двумя «безопасностями» или это одно и тоже? Если есть, то какая? Заранее благодарен!
Дополнен 10 лет назад
P.S. Пожалуйста, отвечайте конкретнее! Например, ответ Alex Bash мне ничего не дал.
Лучший ответ
Компьютерная безопасность — это безопасность компьютера, его ПО, информации заложеной в ней. Она связана конкретно с компьютерами и техникой. А информационная безопасность — это защищенность информационных ресурсов (документов и массивов документов какой-либо организации, например) , а также защита прав личности и государства в информационной сфере (например, от разглашения гос. тайн или от пиратства) и много чего другого.
Лучше выбирайте направление «информационная безопасность» — это более широкий профиль. А если встречали «специалиста по защите информации», то и это подойдет.
Остальные ответы
Информационная безопасность понятие гораздо более широкое чем компьютерная.
В чем отличия информационной безопасности от компьютерной? И что более перспективно?
В чем отличия информационной безопасности от компьютерной? И что более перспективно?(В каком направлении специалисты больше ценятся, и кто нужнее). И где больше програмирования?
- Вопрос задан более двух лет назад
- 4248 просмотров
11 комментариев
Простой 11 комментариев
Информационная — про зачиту информации.
В том числе на бумажных носителях.
Компбтерная — про защиту компьютерных сетей.
В каком смысле «перспективнее»?
Programist18946 @Programist18946 Автор вопроса
Василий Банников, в каком направлении больше вакансий и какое более нужно
Programist18946, вроде в макдоналдсе всегда много вакансий, да и вполне нужно
Programist18946 @Programist18946 Автор вопроса
Василий Банников, я про IT- сферу, кто более востребован
Programist18946, ну в it-сфере программисты гораздо более востребованы, чем оба вышеназванных направления вместе взятых во много раз.
Programist18946 @Programist18946 Автор вопроса
Василий Банников, программные инженеры?
Programist18946 @Programist18946 Автор вопроса
Но меня интересует, какое направление из этих двух, перспективнее
Programist18946, примерно одинаково. Очень часто их сейчас объединяют
Programist18946, вряд ли найдете вакансию где будете заниматься исключительно чем-то одним
Разницы нет никакой, это как спорить про значение терминов аналитик ИБ, специалист по ЗИ, инженер-аналитик по ИБ, консультант по ИБ, менеджер ИБ…
Решения вопроса 0
Ответы на вопрос 4
CityCat4 @CityCat4 Куратор тега Информационная безопасность
Внимание! Изменился адрес почты!
И где больше програмирования?
Нигде. Его там вообще может не быть.
ИБ — это огромная область, в которой направлений, поднаправлений и субподнаправлений примерно столько же, сколько в системном администрировании. Некоторые из них — про программирование, а некоторые — сугубо про людей. А в небольших конторах ИБ-шник, как правило один, ну редко два-три. И он делает все, в том числе и «про людей» тоже. И работа запросто может оказаться неприятной, грязной (в моральном смысле), крайне неэстетичной.
А также бумаги, бумаги, бумаги. Не лишним также будет знание законодательства.
Ответ написан более двух лет назад
Комментировать
Нравится 3 Комментировать
ИБ это в первую очередь бумаги, тонны бумаг и регламентов. Это знание закона и различных ведомственных инструкции.
Я бы сказал, это вообще ближе к юристу или к охране труда чем к ИТ.
Но поскольку это информационная безопасность, то там есть элементы необходимы для составления модели угроз, в том числе специалист по ИБ должен понимать основы программирования и системного администрирования.
Но ИБ это не про хакеров, это все фантазии.
«Практическая» ИБ, т.е. те люди которые непосредственно реализуют, то что прописал специалист по ИБ, это как правило системные администраторы, очень редко разработчики.
И бывает, что инфраструктура для бумажки и инфраструктура для работы, это две разные инфраструктуры.
Работа не благодарная, въедливая, поскольку основная функция всего этого мероприятия объяснить почему нужно потратить в 2-10 раз больше денег за тот же самый результата и что и кому будет если так не сделать, ну и почему теперь все будут работать с кучей дополнительных неудобств.
Ответ написан более двух лет назад
Комментировать
Нравится 2 Комментировать
Информационная безопасность
англ. Information Security, а также — англ. InfoSec — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная или, например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных, с учётом целесообразности применения и без какого-либо ущерба производительности организации.
Компьютерная безопасность
Раздел информационной безопасности, характеризующий невозможность возникновения ущерба компьютера, превышающего величину приемлемого ущерба для него от всех выявленных и изученных источников его отказов в определённых условиях работы и на заданном интервале времени.
Также, это меры безопасности, применяемые для защиты вычислительных устройств (компьютеры, смартфоны и другие), а также компьютерных сетей (частных и публичных сетей, включая Интернет). Поле деятельности системных администраторов охватывает все процессы и механизмы, с помощью которых цифровое оборудование, информационное поле и услуги защищаются от случайного или несанкционированного доступа, изменения или уничтожения данных, и приобретает всё большее значение в связи с растущей зависимостью от компьютерных систем в развитом сообществе.
Компьютерная безопасность — это более прикладная область информационной безопасности. Больше программирования в информационной безопасности. А хорошие специалисты ценятся в любой области, эксперты — так вообще, на вес золота.
Кибербезопасность, ИБ, безопасность ИТ – в чём разница?
Люди часто путают или смешивают три не совсем совпадающих понятия: 1) информационная безопасность (ИБ), 2) компьютерная безопасность, то есть, безопасность информационных технологий (ИТ) и 3) кибербезопасность. Несколько определений и сравнительных анализов опубликовано в Интернете. Некоторые из них не совсем корректны. Поэтому мы решили разобраться в этом вопросе и представить наше видение этих понятий с ретроспективой нашего 20-летнего опыта работы в сфере ИБ и ИТ-безопасности.
Области безопасности бурно развиваются, поэтому терминология изменяется с годами. Например, возьмём понятие аудита. Оно имеет много разных значений и оттенков. От настройки протоколирования событий и их анализа до тестирования безопасности и собеседований персонала на предмет выполнения требований безопасности. Когда мы имеем дело с живыми, развивающимися объектами вроде языков общения или ИТ, неоднозначность в терминологии нормальна. И всё же, есть смысл расставить некоторые акценты.
1. Информационная безопасность
Информационная безопасность, по большому счёту, – это безопасность любой информации, включая бумажные документы, голосовую информацию, информацию в мозгах людей и так далее. Эта дисциплина появилась несколько тысяч лет назад. То есть, условно, с появлением первых алгоритмов шифрования, если не раньше.
Сюда же по традиции часто относят вопросы государственной безопасности, пропаганды, цензуры, социальных манипуляций и так далее. Есть даже государственные законы об ИБ, которые имеют мало общего с современной ИТ-безопасностью.
Также к ИБ часто относятся некоторые соседние области безопасности, особенно для организаций, активно использующих ИТ. Речь о физической безопасности, безопасности персонала, безопасности отношений с третьими сторонами, непрерывности бизнеса и т.д. В качестве авторитетного примера приведём международный стандарт по управлению безопасностью организаций ISO 27001. Ключевые два слова из названия этого стандарта – “информационная безопасность”, хотя сам стандарт содержит некоторые материалы за пределами сугубо информационной безопасности.
Три “кита”, на которых базируется ИБ, – целостность, доступность и конфиденциальность. Эти требования применимы не только к электронной информации, но и к “бумажной”, устной и т.д.
Таким образом, ИБ – это классическое название дисциплины, охватывающей широкий набор вопросов безопасности информации и смежных вопросов.
2. Безопасность информационных технологий
Безопасность ИТ (компьютерная безопасность, цифровая безопасность, ИТ-безопасность) – здесь как бы всё понятно. Защита от хакеров, вирусов, спама, фишинга и множества других угроз, возникающих, главным образом, из Интернета. Эта защита чаще всего реализуется снижением тех или иных организационных или технических уязвимостей безопасности.
Говоря более формальным языком, безопасность ИТ – это обеспечение целостности, доступности, конфиденциальности и других требований безопасности, предъявляемых к вычислительной и коммуникационной технике и информации, которую она хранит, обрабатывает и пересылает.
Однако, как только мы начинаем разбираться в ИТ-безопасности немного глубже, возникает множество смежных задач вроде защиты от социальной инженерии, управления эффективностью безопасности, предоставления гарантий безопасности, соответствия нормативным требованиям безопасности, страхования информационных рисков, обеспечения непрерывности бизнеса и десятки подобных задач.
Эти задачи уже не укладываются в чисто ИТ-безопасность, и требуют компетенций не только специалистов ИТ, но и экономистов, менеджеров, юристов, финансистов, психологов, преподавателей и некоторых других профессий. Кому-то может показаться, что эти профессии не настолько технологичны, и как бы вторичны в безопасности. Но, если разобраться, в безопасности всё сводится к управлению рисками. А что делать с рисками решает, в конечном счёте, экономика и математика.
Таким образом, ИТ-безопасность, переходя на уровень грамотного системного управления, рано или поздно, снова-таки сводится к информационной безопасности в понимании стандарта ISO 27001 (см. п. 1 выше).
3. Кибербезопасность
Кибер-безопасность или кибербезопасность (без дефиса) – самый неоднозначный термин. Многие считают, что кибербезопасность означает то же самое, что ИТ-безопасность. Типа современного синонима и модного словечка. Кто-то считает, что кибер-безопасность – это новый уровень ИТ-безопасности, связывая его появление с какими-то крупными инцидентами или другими событиями. Кто-то думает, что кибербезопасность – то же самое, что ИБ. Так всё-таки, что же такое кибербезопасность – ИТ-безопасность, ИБ или что-то третье? Разберёмся.
Начнём с кибернетики, поскольку именно это понятие, придуманное Ампером и развитое Винером, подарило название не только кибер-безопасности но и всей современной кибер-культуре. Примечательно, что словосочетание “кибернетическая безопасность” пока не прижилось. Оно выглядит как нелепая майорская попытка воссоздать несуществующее научное название из общепринятого краткого. Типа, “гауптическая вахта” или “эпический центр взрыва”.
Кибернетика, по определению, – это дисциплина об информации в сложных управляющих системах. Например, в компьютере, человеке или обществе. Поэтому под кибербезопасностью можно подразумевать безопасность информации в сложных управляющих системах. В то же время, такая безопасность сама по себе является сложной управляющей подсистемой. Поэтому в любом случае, дело сводится к управлению безопасностью.
Иными словами, когда в сочетании со словом “безопасность” мы употребляем слово “кибер”, означающее по-гречески “рулевой на судне” или “правительство”, мы говорим прежде всего о “рулении”, то есть, об управлении безопасностью.
Получается, что, строго говоря, ближе всего к понятию кибер-безопасности находится понятие системы управления информационной безопасностью в понимании всё того же стандарта ISO 27001. То есть, это набор процессов и средств управления безопасностью организации, который применяется при защите от кибератак.
На практике, к сожалению или к счастью, под кибербезопасностью понимают самые разные наборы вопросов. От узких, вроде соревнований CTF, защиты от кибератак, отдельных видов угроз или расследований инцидентов, до более широких, вроде применения стандартов конфигурации и харденинга безопасности. Как будет развиваться это понятие, покажет время.
Заключение
Таким образом, мы попробовали непредвзято разобраться в отличиях информационной безопасности, ИТ-безопасности и кибербезопасности. Не зря в каждом из этих понятий дело сводится к управлению безопасностью. Именно грамотное управление придаёт безопасности ценность. Самым распространённым стандартом такого управления является стандарт кибербезопасности ISO 27001. Его значение в современной информационной безопасности трудно переоценить. Этот стандарт является основой многих других государственных и отраслевых стандартов информационной безопасности. Если нашим читателям будет интересно, в одной из следующих публикаций мы расскажем, как мы участвовали в разработке этого стандарта совместно с центральным офисом ISO в Швейцарии.