Безопасность информационных технологий (ИТ) и информационная безопасность – две вещи, которые часто путают друг с другом. В эпоху цифровизации информация обычно обрабатывается, хранится или транспортируется с помощью ИТ, но часто информационная безопасность все еще является более аналоговой, чем мы думаем! В принципе, ИТ-безопасность и информационная безопасность очень тесно связаны. Поэтому для эффективной защиты конфиденциальной информации, а также самих ИТ необходим системный подход.
ИТ-безопасность против информационной безопасности
Информационная безопасность – это больше, чем просто ИТ-безопасность. Она направлена на всю компанию. Ведь безопасность конфиденциальной информации направлена не только на данные, обрабатываемые электронными системами. Информационная безопасность охватывает все корпоративные активы, которые нуждаются в защите, включая те, которые находятся на аналоговых носителях информации, таких как бумага.
“ИТ-безопасность и информационная безопасность – два термина, которые (пока) не являются взаимозаменяемыми”.
Цели защиты информационной безопасности
Три основные цели защиты информационной безопасности – конфиденциальность, доступность и целостность – поэтому применимы и к письму с важными договорными документами, которое должно вовремя, надежно и в целости прибыть к получателю, доставленное курьером, но полностью аналоговое. И эти цели защиты в равной степени применимы к листу бумаги, который содержит конфиденциальную информацию, но лежит на столе без присмотра, чтобы любой мог его увидеть, или ждет в копировальном аппарате в свободном доступе для несанкционированного доступа.
Таким образом, информационная безопасность имеет более широкую сферу применения, чем ИТ-безопасность. ИТ-безопасность, с другой стороны, относится “только” к защите информации на ИТ-системах.
ИТ-безопасность согласно определению
ИТ-безопасность – это “состояние, при котором риски, существующие при использовании информационных технологий из-за угроз и уязвимостей, снижены до приемлемого уровня с помощью соответствующих мер”. Поэтому ИТ-безопасность – это состояние, при котором конфиденциальность, целостность и доступность информации и информационных технологий защищены соответствующими мерами”.
Информационная безопасность = ИТ-безопасность плюс X
На практике иногда применяют другой подход, используя эмпирическое правило “информационная безопасность = ИТ-безопасность + защита данных”. Однако это утверждение, записанное в виде уравнения, поражает воображение. Следует признать, что вопрос защиты данных в соответствии с, например, европейским GDPR касается защиты частной жизни, что требует от операторов персональных данных наличия как безопасных ИТ, так и, например, безопасной среды в здании – таким образом, исключается физический доступ к записям данных клиентов. Однако это оставляет без внимания важные аналоговые данные, которые не требуют конфиденциальности. Например, строительные планы компании и многое другое.
Термин “информационная безопасность” содержит фундаментальные критерии, которые выходят за рамки чисто ИТ-аспектов, но всегда включают их. Так, сравнительно, даже простые технические или организационные меры в рамках IT-безопасности всегда принимаются на фоне соответствующей информационной безопасности. Примерами этого могут быть:
- обеспечение безопасности электропитания оборудования
- Меры против перегрева оборудования
- Проверка на вирусы и безопасные программы
- Организация структуры папок
- Настройка и обновление межсетевых экранов
- Обучение сотрудников и т.д.
Очевидно, что компьютеры и целые ИТ-системы сами по себе не нуждаются в защите. В конце концов, без информации, которую необходимо обрабатывать или транспортировать в цифровом виде, аппаратное и программное обеспечение становится бесполезным.
ISO 27001 – стандарт информационной безопасности
Что говорит стандарт ISO 27001? Признанный во всём мире стандарт для систем менеджмента информационной безопасностью (СМИБ) с его производными ISO 27019, ISO 27017 и ISO 27701 называется:
ISO/IEC 27001:2017 – Информационные технологии – Методы обеспечения безопасности – Системы менеджмента информационной безопасности – Требования (ISO/IEC 27001:2013, включая Cor 1:2014 и Cor 2:2015).
Из названия стандарта становится ясно, что безопасность ИТ играет важную роль в информационной безопасности сегодня и будет продолжать расти в будущем. Однако требования, изложенные в ISO 27001, не направлены непосредственно только на цифровые ИТ-системы. Напротив:
“Во всем ISO/IEC 27001 “информация” упоминается повсеместно, без исключения”.
В принципе, не делается различия между аналоговым или цифровым способом обработки или защиты этой информации.
Успешно внедренная СМИБ поддерживает целостную стратегию безопасности: она включает организационные меры, управление персоналом с учетом требований безопасности, безопасность развернутых ИТ-структур и соответствие законодательным требованиям.
Информационная безопасность часто является более аналоговой, чем мы думаем
Любой, кто захочет, может применить требования стандарта ISO 27001 к полностью аналоговой системе и получить в итоге столько же, сколько и тот, кто применит эти требования к полностью цифровой системе. Только в Приложении А известного стандарта СМИБ, содержащем цели и меры для пользователей, появляются такие термины, как телеработа или мобильные устройства. Но даже меры в Приложении А стандарта напоминают нам о том, что в каждой компании все еще существуют аналоговые процессы и ситуации, которые должны быть приняты во внимание в отношении информационной безопасности.
Тот, кто громко говорит о деликатных темах через смартфон на публике, например, в поезде, возможно, использует цифровые каналы связи, но его проступок на самом деле является аналоговым. А тому, кто не убирает за собой на столе, лучше запереть свой кабинет, чтобы сохранить конфиденциальность. По крайней мере, первое, как одна из самых эффективных мер по надежной защите информации, обычно до сих пор делается вручную…
Заключение
ИТ-безопасность и информационная безопасность – два термина, которые (пока) не являются взаимозаменяемыми. Скорее, ИТ-безопасность является компонентом информационной безопасности, которая, в свою очередь, также включает в себя аналоговые факты, процессы и коммуникации – что, кстати, во многих случаях сегодня все еще является обычным делом. Однако растущая цифровизация все больше сближает эти термины, так что в долгосрочной перспективе разница в значении, вероятно, станет более незначительной.
