`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Юрий Гудзь

Кібербезпека чи Інформаційна безпека?

+11
голос

Час від часу бачу як журналісти, різні ІТ спеціалісти чи маркетологи плутають поняття Кібербезпеки та Інформаційної безпеки, підміняючи поняття та вводячи людей в оману, чи то навмисно, чи то по нерозумінню різниці. Спробував розкласти мухи і котлети окремо.

Матчасть

Кібербезпека – це безпека ІТ систем (обладнання та програм).

Інформаційна безпека – це безпека інформації, зазвичай організації чи компанії, у тому числі в ІТ системах. Кібербезпека є частиною Інформаційної безпеки будь-якої організації.

Приклади

Наскільки захищений ваш домашній комп’ютер чи ваш веб-сайт від зламу хакерами – це питання кібербезпеки. Але чи кріпите ви стікер із записаним паролем від комп’ютера чи профайлу у соцмережі на екран свого монітору – це вже питання вашої Інформаційної безпеки.

На сайтах пошуку роботи часто можна зустріти об’яви на кшталт «потрібен спеціаліст з інформаційної безпеки», де в описі задач вказано «адміністрування системи моніторингу», «адміністрування антивірусу», «аналіз наявності вразливостей в системах (пентестер)» – це все вузькі задачі спеціалістів з кібербезпеки. Спеціаліст з інформаційної безпеки має вміти набагато більше, це і організація навчання працівників з питань ІБ, і впровадження проектів ІБ, аналіз ризиків, аналіз компанії на відповідність регуляторним чи законодавчим вимогам і т.п.

Часто продавці різного ІТ обладнання та ІТ продуктів пропонують «рішення з інформаційної безпеки», хоча по факту вони пропонують рішення для кібербезпеки – антивіруси, фаєрволи, мережеві екрани і т.п. Якщо ви купуєте дорогий маршрутизатор з розширеними функціями безпеки чи дорогий програмний продукт, який виявляє та нейтралізує віруси, ви закриваєте одну із задач міжнародного стандарту з інформаційної безпеки ISO 27001 по захисту від зловмисного коду, а в цілому в даному стандарті з ІБ десятки різних задач, які потрібно вирішувати кожній організації, аби її інформація була захищеною.

Хороший приклад правильного використання термінів маємо в назві проекту Закону України «Про основні засади забезпечення кібербезпеки України». Хоча по самому проекту закону є багато зауважень, які детально виклали мої колеги з київського відділення всесвітньої асоціації з розроблення методологій та стандартів у галузі управління, аудиту і безпеки інформаційних технологій ISACA (Information Systems Audit and Control Association), але по своїй суті цей документ якраз і покриває питання саме кібербезпеки.

З іншого боку, маємо не зовсім вдалий приклад використання словосполучення «інформаційна безпека» в документі «Доктрина інформаційної безпеки України». Даний документ описує в основному цілі та дії, які має застосовувати держава щодо протидії Росії в інформаційному полі (телебачення, радіо, інтернет). В документі згадується Державна служба спеціального зв'язку та захисту інформації України (ДССЗІ), але тільки в контексті захисту спеціального зв'язку, захисту інформації, телекомунікацій та користування радіочастотним ресурсом України. Більш вдалою назвою для цього документу була б «Доктрина інформаційної політики України», як на мене. Бо для того, аби цей документ покривав всі питання інформаційної безпеки держави, потрібно також врегулювати не тільки питання забезпечення безпеки інформаційних систем в державі, але також і проведення аналізу цих систем на відповідність (аудит ІТ систем), врегулювати питання освітницької діяльності щодо підвищення і підтримки на належному рівні знань громадян щодо питань інформаційної безпеки, врегулювати питання аналізу та реагування на інциденти ІБ (тим чим займається CERT-UA), питання безперервності роботи державних ІТ систем. Цього всього в поточній «Доктрині інформаційної безпеки» немає, і в цілому ці питання залишаються неврегульованими на державному рівні, тому і по інформаційній безпеці України залишається багато відкритих питань.

Хакери, вони хто?

Всім відомі хакери – це, в основному, спеціалісти з кібербезпеки. Вони вивчають як побудовані різні ІТ системи, щоб знайти в них слабкі місця і використати їх для отримання вигоди, чи то фінансової, чи для інших цілей. Хакерам протидіють не тільки Білі Хакери (White Hats), які також знаходять вразливі місця в наших ІТ системах, але роблять це відкрито, аби допомогти нам закрити наявні проблемні місця, але й спеціалісти з інформаційної безпеки, тому що для проникнення в ту чи іншу організацію можуть використовуватись не тільки прямі методи зламу тієї чи іншої системи, але також і прості людські слабкості – збережені паролі у відкритих місцях, зайва балакучість співробітників, фішинг, спам, прийоми соціальної інженерії по телефону, емейл і т.п.

Як відрізнити спеціаліста кібербезпеки від спеціаліста з ІБ?

Найпростіший і найочевидніший спосіб – по сертифікації. Сертифікацій на тему кібербезпеки та ІБ у світі величезна кількість, але є декілька найпоширеніших та найбільш популярних.

Спеціалісти з Кібер-безпеки:

  • CEH (Certified Ethical Hacker);
  • CISSP (Certified Information System Security Professional);
  • CCSP (Cisco Certified Security Professional).

Спеціалісти з Інформаційної безпеки:

  • CISM (Certified Information Security Manager);
  • CISA (Certified Information Systems Auditor);
  • ISO 27001 Lead Implementer;
  • ISO 27001 Lead Auditor.

З ІТ аудиторами також часто виникає плутанина. Класичний ІТ аудитор чітко знає набір процедур і методологічних практик, які потрібно пройти, аби проаналізувати будь-які ІТ систему згідно поставлених цілей. Також є Пентестери, які інколи позиціонують себе як ІТ аудитори, але виконують зовсім інші задачі. Задача Пентестера – зламати систему, у той час як задача ІТ аудитора проаналізувати систему, наприклад, на відповідність налаштувань до рекомендацій постачальника.

Якщо вам потрібно перевірити вашу систему на міцність – тут в нагоді стане Пентестер, CEH, White Hat. Якщо потрібно просто проаналізувати, наскільки адекватні налаштування ІТ системи, чи порядок з правами користувачів в системі – допоможе ІТ Аудитор, CISA.

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT