Возвращаясь к теме стратегии кибербезопасности, о которой начали говорить в прошлом году, хочу обратиться к очень интересному стандарту, который описывает это понятие и его связь с другими, более привычному российскому уху терминами их области информационной безопасности. Речь идет о стандарте ISO/IEC 27032:2012 Information technology -- Security techniques -- Guidelines for cybersecurity, который был принят в июле прошлого года.
В этом стандарте не стоит искать откровений и вселенской мудрости. Однако он дает четкое понимание связи термина cybersecurity (кибербезопасность) с сетевой безопасностью, прикладной безопасностью, Интернет-безопасностью и безопасностью критичных информационных инфраструктур с точки зрения западных специалистов. В стандарте приводится вот такая картинка, которая визуализирует связь различных терминов.
И сразу становится понятно, что кибербезопасность и так нам привычная информационная безопасность - это совсем не одно и тоже. И безопасность критичных информационных инфраструктур хоть и связана с кибербезопасностью (так как ее понимают во всем мире), но только частично.
Киберпреступность (cybercrime) же вообще стоит особняком и не имеет никакого отношения ни к информационной безопасности, ни к кибербезопасности. Также как и понятие cybersafety, которая в России не имеет прямого и емкого перевода, но смысл его таков - безопасное поведение в киберпространстве и, в первую очередь, защита детей от негативной информации в Интернет. В России эта тема имеет скорее отрицательный оттенок, что связано с "законом о черных списках" (ФЗ-139), но это не совсем верно. Немало организаций ведет очень важную работу в этой связи - это и Центр безопасного Интернета, и Фонд "Дружественный Рунет", и проект i-Deti, и Фонд развития Интернет, и Google, и линия помощи "Дети Онлайн" и многие другие.
Собственно разброд и шатания на заседании в Совете Федерации, где обсуждалась тема разработки стратегии кибербезопасности России как раз и связана с тем, что каждый специалист, присутствующий на мероприятии (операторы связи, Минкомсвязь, Совет Безопасности, интеграторы, производители, научное сообщество, ВУЗы и т.п.) вкладывает в термин "кибербезопасность" свой смысл и в итоге получается смешение несмешиваемого в одной куче. В итоге в предварительный проект этого документа включили почти все предложения звучавшие на встрече и получился ералаш, с которым надо что-то делать ;-(
Хотя предвижу, что данное деление, предложенное в ISO 27032:2012, также будет воспринято не всеми. И если мы пойдем своим путем и будем придумывать свое толкование так любимого на Западе термина кибербезопасность, то можем в будущем столкнуться с тем, что нас перестанут понимать иностранные специалисты, с которыми мы сейчас пытаемся найти общий язык. Зато такая нестыковка позволит благополучно существовать департаменту по международной ИБ, который создается в Министерстве иностранных дел. Для дипломатов же милое дело начать с обсуждения общих понятий ;-)
В этом стандарте не стоит искать откровений и вселенской мудрости. Однако он дает четкое понимание связи термина cybersecurity (кибербезопасность) с сетевой безопасностью, прикладной безопасностью, Интернет-безопасностью и безопасностью критичных информационных инфраструктур с точки зрения западных специалистов. В стандарте приводится вот такая картинка, которая визуализирует связь различных терминов.
И сразу становится понятно, что кибербезопасность и так нам привычная информационная безопасность - это совсем не одно и тоже. И безопасность критичных информационных инфраструктур хоть и связана с кибербезопасностью (так как ее понимают во всем мире), но только частично.
Киберпреступность (cybercrime) же вообще стоит особняком и не имеет никакого отношения ни к информационной безопасности, ни к кибербезопасности. Также как и понятие cybersafety, которая в России не имеет прямого и емкого перевода, но смысл его таков - безопасное поведение в киберпространстве и, в первую очередь, защита детей от негативной информации в Интернет. В России эта тема имеет скорее отрицательный оттенок, что связано с "законом о черных списках" (ФЗ-139), но это не совсем верно. Немало организаций ведет очень важную работу в этой связи - это и Центр безопасного Интернета, и Фонд "Дружественный Рунет", и проект i-Deti, и Фонд развития Интернет, и Google, и линия помощи "Дети Онлайн" и многие другие.
Собственно разброд и шатания на заседании в Совете Федерации, где обсуждалась тема разработки стратегии кибербезопасности России как раз и связана с тем, что каждый специалист, присутствующий на мероприятии (операторы связи, Минкомсвязь, Совет Безопасности, интеграторы, производители, научное сообщество, ВУЗы и т.п.) вкладывает в термин "кибербезопасность" свой смысл и в итоге получается смешение несмешиваемого в одной куче. В итоге в предварительный проект этого документа включили почти все предложения звучавшие на встрече и получился ералаш, с которым надо что-то делать ;-(
Хотя предвижу, что данное деление, предложенное в ISO 27032:2012, также будет воспринято не всеми. И если мы пойдем своим путем и будем придумывать свое толкование так любимого на Западе термина кибербезопасность, то можем в будущем столкнуться с тем, что нас перестанут понимать иностранные специалисты, с которыми мы сейчас пытаемся найти общий язык. Зато такая нестыковка позволит благополучно существовать департаменту по международной ИБ, который создается в Министерстве иностранных дел. Для дипломатов же милое дело начать с обсуждения общих понятий ;-)
2 коммент.:
Да какойто ворох прям инициатив непонятных перспектив...
Ужасное слово "Кибербезопасность". Сразу на ум приходит Терминатор или трансформеры, однако, его очень любят во властных структурах) Сказал так, "вопросы кибербезопасности!" и все думают, что ты жутко умный)
Отправить комментарий