28.1.13

Что же такое кибербезопасность?

Возвращаясь к теме стратегии кибербезопасности, о которой начали говорить в прошлом году, хочу обратиться к очень интересному стандарту, который описывает это понятие и его связь с другими, более привычному российскому уху терминами их области информационной безопасности. Речь идет о стандарте ISO/IEC 27032:2012 Information technology -- Security techniques -- Guidelines for cybersecurity, который был принят в июле прошлого года.

В этом стандарте не стоит искать откровений и вселенской мудрости. Однако он дает четкое понимание связи термина cybersecurity (кибербезопасность) с сетевой безопасностью, прикладной безопасностью, Интернет-безопасностью и безопасностью критичных информационных инфраструктур с точки зрения западных специалистов. В стандарте приводится вот такая картинка, которая визуализирует связь различных терминов.



И сразу становится понятно, что кибербезопасность и так нам привычная информационная безопасность - это совсем не одно и тоже. И безопасность критичных информационных инфраструктур хоть и связана с кибербезопасностью (так как ее понимают во всем мире), но только частично.

Киберпреступность (cybercrime) же вообще стоит особняком и не имеет никакого отношения ни к информационной безопасности, ни к кибербезопасности. Также как и понятие cybersafety, которая в России не имеет прямого и емкого перевода, но смысл его таков - безопасное поведение в киберпространстве и, в первую очередь, защита детей от негативной информации в Интернет. В России эта тема имеет скорее отрицательный оттенок, что связано с "законом о черных списках" (ФЗ-139), но это не совсем верно. Немало организаций ведет очень важную работу в этой связи - это и Центр безопасного Интернета, и Фонд "Дружественный Рунет", и проект i-Deti, и Фонд развития Интернет, и Google, и линия помощи "Дети Онлайн" и многие другие.

Собственно разброд и шатания на заседании в Совете Федерации, где обсуждалась тема разработки стратегии кибербезопасности России как раз и связана с тем, что каждый специалист, присутствующий на мероприятии (операторы связи, Минкомсвязь, Совет Безопасности, интеграторы, производители, научное сообщество, ВУЗы и т.п.) вкладывает в термин "кибербезопасность" свой смысл и в итоге получается смешение несмешиваемого в одной куче. В итоге в предварительный проект этого документа включили почти все предложения звучавшие на встрече и получился ералаш, с которым надо что-то делать ;-(

Хотя предвижу,  что данное деление, предложенное в ISO 27032:2012, также будет воспринято не всеми. И если мы пойдем своим путем и будем придумывать свое толкование так любимого на Западе термина кибербезопасность, то можем в будущем столкнуться с тем, что нас перестанут понимать иностранные специалисты, с которыми мы сейчас пытаемся найти общий язык. Зато такая нестыковка позволит благополучно существовать департаменту по международной ИБ, который создается в Министерстве иностранных дел. Для дипломатов же милое дело начать с обсуждения общих понятий ;-)

2 коммент.:

alex_st комментирует...

Да какойто ворох прям инициатив непонятных перспектив...

Максим Репин комментирует...

Ужасное слово "Кибербезопасность". Сразу на ум приходит Терминатор или трансформеры, однако, его очень любят во властных структурах) Сказал так, "вопросы кибербезопасности!" и все думают, что ты жутко умный)