Кибербезопасность, информационная безопасность и киберкот Шрёдингера
Все знакомы с определением информационной безопасности. Можно обновить память, заглянув в новейший ГОСТ Р ИСО/МЭК Р 27000-2021.
С термином «кибербезопасность» несколько туманнее благодаря американскому научному либерализму. Обратимся к оригиналу дефиниции. И, конечно же, не к наследию прошлого века Норберта Винера, как до сих пор — как выяснилось — полагают отдельные маститые ученые, а к актуальному глоссарию Национального института стандартов и технологий США (NIST). Еще напомним, что изначально лингвистический термин имел вид cyber security (когда в армии США и НАТО логично детализировали «безопасность» и создавали кибервойска), но в результате популизма сократился (кое-где) на пробел — cybersecurity.
Итак, открываем глоссарий — https://csrc.nistgov/glossary/term/cyber_security — и читаем:
• The ability to protect or defend the use of cyberspace from cyberattacks (способность защитить или защитить использование киберпространства от кибератак), см. документы: [NISTIR 8170:2021, p 20], [NIST SP 800-30, p. B-3], [NIST SP 800-39, p. B-3], [NIST SP 800-53 Revision 4, p. B-6].
Полистав американские нормативные фреймверки, можно встретить вариации на тему обеспечения кибербезопасности, например, [NIST SP 800-160 V.2, p. 59] дает еще два определения одновременно:
• The process of protecting information by preventing, detecting, and responding to attacks (процесс защиты информации путем предотвращения, обнаружения и реагирования на атаки);
• Prevention of damage to, protection of, and restoration of computers, electronic communications systems, electronic communications services, wire communication, and electronic communication, including information contained therein, to ensure its availability, integrity, authentication, confidentiality, and nonrepudiation (…. для обеспечения доступности, целостности, аутентификации, конфиденциальности и неотказуемости).
При любом раскладе налицо отличительные черты термина: «кибератака» и/или «киберпространство» (интернет/глобальная компьютерная среда и т.п.).
Попробуем ниже в таблице сфокусироваться на критических моментах понятий «информационная безопасность» и «кибербезопасность», как ее трактует первоисточник (США) с момента появления.
Ключевые аспекты понятий кибербезопасности и информационной безопасности
ФОКУС | Кибербезопасность | Информационная безопасность |
Таксономии | ATT@CK, Cyber Kill Chain | SCAP (CWE, CVE, …) и др. |
Киберкоманды | Cyber red teams (CRT) | Все цвета |
Сертификаты | CEH, OSCP | CISSP, CISA, CISM |
Факторы безопасности | Уязвимости | Дефекты безопасности, уязвимости, угрозы, риски |
Угрозы | Возможность проведения компьютерной (целенаправленной) атаки на компьютерные ресурсы | Все виды угроз, в том числе непреднамеренные, в том числе всем ресурсам, угрозы среды и цепочек поставки |
Нарушения (реализация угрозы) | НСД (путем эксплуатации уязвимости или выполнения парольной атаки) или отказ в обслуживании | Нарушение целостности, доступности, конфиденциальности и др. |
Источники воздействия | Хакеры и кибергруппировки (противник) | Все внутренние и внешние субъекты и активные объекты, среда безопасности, инфраструктура и пр. |
Процессы | Разведка, атака, скрытие следов | СМИБ, включая политики (роли и обязанности), ВC/DR-планы, риск-менеджмент, организационно-технические меры (детективные, превентивные, восстановительные, директивные и др.), механизмы безопасности (IA4, IDS/IPS, DLP, VA, AV, FW, SIEM и др.), SDL, сертификация, аттестация, спецэкспертизы, СИ/СО/СП и пр. |
Данные | Конкретные технические данные (хеши, пароли, ключи, адресные данные) и наборы данных (фрагменты трафика, логи и пр.) | Все виды данных, всех форматов и форм, в том числе электронные, в твердой копии, программный код, документация, файловые системы, БД, архивы, хранилища, облака, big/smart data и пр. |
Что касается остального мира, то термин активно применяется многими странами и блоками, например, его удалось сегодня найти в официальных документах 82 стран!
Кстати, европейская научная элита, зачастую, относится с сарказмом к понятию «кибербезопасность», так, например, Агентство Европейского Союза по кибербезопасности ENISA считает ряд определений — dumbed-down [ENISA, 2015, TP-01-15-934-EN-N].
В то же время термин уже представлен в международных стандартах европейского происхождения. Так, стандарт ISO/IEC 27032:2012 трактует кибербезопасность как информационную безопасность, но в виртуальной среде, не имеющей вещественной формы (как-то: QR-код или криптовалюта, но никак не IoT/IIoT, смарфон, сервер, USB-флешка, сетевая плата, физические mac-адрес и порт коммутатора, ATM, TAP, беспроводная точка доступа в кафе или в офисе). Новый стандарт — ISO/IEC 27100:2020 дает определение кибербезопасности как свойства защищенности активов (общества, организации, человека) от киберрисков, связанных с эксплуатацией уязвимостей в киберпространстве (но в данном случае, в цифровой среде в самом широком смысле). Заметим, что не с наличием уязвимостей (то есть угрозой), а их эксплуатацией (то есть атакой). Упоминание рисков, по мнению авторов, подчеркивает проактивную деятельность по управлению кибербезопасностью.
Итого, можно утверждать, что кибербезопасность как американизм является просто частным подмножеством информационной безопасности (уровень ограничения активов или наступательной составляющей определён ссылкой на конкретный стандарт).
Кстати, стоп, а как понимают кибербезопасность ассоциации профессионалов по кибербезопасности? Находим глоссарий ISACA и читаем: The protection of information assets by addressing threats to information processed, stored and transported by internetworked information systems. … Cybersecurity is a part of information security (Защита информационных активов путем устранения угроз для информации, обрабатываемой, хранимой и транспортируемой информационными системами, объединенными в сеть Интернет. …. Кибербезопасность является частью информационной безопасности).
Ну, более-менее ясно. И последнее: причем здесь собственно какой-то киберкот Шредингера (все любят котиков)?
Дело в том, что в нашей стране с этого года Минобрнауки России ввело две конгруэнтные научные специальности: кибербезопасность и информационная безопасность. Как они связаны с киберкотом Шредингера можно догадаться или пролистнуть в нашем журнале «Вопросы кибербезопасности»:
• Кибербезопасность и информационная безопасность как бифуркация номенклатуры научных специальностей / А.С.Марков // Вопросы кибербезопасности. 2022. N 1(47), С. 2-9. DOI: 10.21681/2311-3456-2022-1-2-9.
Кибербезопасность, информационная безопасность и киберкот Шрёдингера
Cybersecurity, Information Security and Schrödinger’s Cybercat