Что такое информационная безопасность
Да, вот так — в лоб, с маленькой буквы и без вопросительного знака!
Большинство возмутится — так ясно же! Причём каждый будет понимать по-своему — кто-то вспомнит определение из Доктрины ИБ, кто-то — из стандартов (про безопасность данных в организации), кто-то начнёт объяснять, что ИБ — состояние защищенности (общества, организации или информации), а защита информации — процесс, но многие, если не большинство из тех, кто работает сейчас «в сфере ИБ», будут иметь ввиду компьютерные системы и компьютерную информацию.
Почему я так говорю? Да потому, что информатизация / компьютеризация / цифровизация настолько вошла в нашу жизнь, насколько почти вся информация перешла из «бумажного» вида в «цифровой» (электронный, компьютерный). Пожалуй, остались не «оцифрованными» древние манускрипты, которые могут испортиться от излучения сканеров, да уже ненужные картотеки, старые учебники да сочинения классиков «измов» — и то не уверен. Даже медицинские карточки скоро перейдут в «цифру» (и, как предсказывают, их всё равно будут терять в регистратуре).
И людей, которые позиционируют себя как специалисты в сфере ИБ, а также тех, кто соприкасается с вопросами ИБ, стало намного больше просто в силу развития цифровизации.
И что произошло?
Фактически «информационная безопасность» стала восприниматься как «компьютерная безопасность».
Причем вышло за пределы сообществ ИТ и «IT Security» в широкие круги, ведь у большинства теперь есть и свой компьютер, и телефон, который зачастую мощнее ноута (во всяком случае — у городских жителей).
Здесь я буду использовать понятия «кибербезопасность», компьютерная безопасность», «безопасность информационных технологий» (БИТ), «защита от НСД» (она выросла в БИТ, но в ряде документов понятие осталось), IT Security как синонимы, так как для целей статьи возможные нюансы и различия в определенияолкованиях значения не имеют.
И как следствие
Говорят о нехватке кадров в ИБ — подразумевают безопасность в сфере информационных технологий, оставляя за бортом другие ИБ-профессии. Какие? А они есть!
Причем даже если брать ИБ в сфере безопасности ИТ (БИТ), то и там не увидим чёткой разбивки по группам профессий и критериев этой разбивки.
Слышим фразы, что «ИБ вышло из ИТ и должно туда вернуться» и про то, что ИБ — часть ИТ-отрасли.
То есть, фактически приравнивают ИБ (все её сферы, о них речь пойдёт дальше) к безопасности ИТ (кибербезопасности, компьютерной безопасности, безопасности информационных технологий, IT Security), что, по сути, также оставляет вопросы безопасности только в одной плоскости — защита от несанкционированного доступа (НСД), компьютерных атак, компьютерных вирусов и т.п.
Фактически ушло из массового оборота понятие (официальное!) «техническая защита информации» (ТЗИ), причем порой даже люди, работающие в сфере ИБ, считают это или защитой от утечки за счёт побочных электромагнитных излучений и наводок, или комплексом охранной сигнализации, замков, заборов и видеонаблюдения.
Противодействие техническим разведкам воспринимается (и в массовом сознании, и среди многих специалистов IT Security), соответственно, как защита от перехвата излучений, отказывая им, техническим разведкам, в работе в компьютерной плоскости, в киберпространстве.
Есть специалисты, которые понимают как на самом деле, знают терминологию и взаимосвязи, а также есть комплекс открытых документов, с которыми можно ознакомиться и разобраться. Я говорю о массовом восприятии.
И далее
Происходит перенос понятия ИБ на разработку и производство средств защиты информации (в рамках опять же НСД, компьютерных систем). Отказ от использования понятий «техническая защита информации» (ТЗИ), «средство защиты информации» (СЗИ) приводит к ситуациям, когда, например, заявители на гранты утверждают, что им не нужна лицензия на разработку СЗИ в рамках ПП-171, т.к. у них не «техническое средство защиты конфиденциальной информации, а средство ИБ, что не одно и то же».
И появляются предложения об определении новых классов средств ИБ, разработке государственных требований к ним, но, естественно, не в терминах ТСЗИ/СКЗИ и безпопадания под лицензирование.
Отмечу, что средство защиты информации (СЗИ) часто защищает не только саму информацию (в т.ч. компьютерную информацию), но и систему, которая её обрабатывает. Например, защита от компьютерных атак — защита как самой системы от блокирования или уничтожения, так и уничтожения как данных, обрабатываемых ей, так и служебной информации. Реже встретишь систему, которая защищает только компьютерную информацию.
Говорят о необходимости создания «Министерства ИБ», фактически сводя его функции к сфере кибербезопасности, в том числе в части контрольных функций (например, «сосредоточение функций ИБ-надзора в одной структуре усилит кибербезопасность страны»). Хотя если посмотреть направления работы международного ИБ по линии МИД, то увидите там прежде всего вопросы идеологии, психологии и права (международного, национального), «киберпространство» рассматривается как место и средства размещения контента.
А на конференциях по ИБ порой вне повестки кто-нибудь поднимает вопрос, почему речь идёт только о технических дисциплинах и ничего нет про идеологию, противодействие манипуляциям, защите сознания и т.п.
Считаю, что сводя ИБ к безопасности информационных технологий (*), т.е. к защите компьютерных систем и компьютерной информации в плоскости киберпространства/НСД, мы оставляем за бортом другие сферы и профессии ИБ, в том числе другие плоскости безопасности компьютерных систем, упускаем вопросы координации взаимодействия всех сфер информационной безопасности.
*(к компьютерной безопасности, кибербезопасности, IT Security, защите информации от НСД )
Понятия, определения, термины
Сразу скажу, что тема ИБ — не фундаментальные науки, в них нет законов природы и констант, чего-то объективного и независимого. Появление новых терминов и определений, как правило, связано как с развитием техники и технологий, расширением отраслей применения техники (не только вычислительной), со взглядами людей, развивающих направление, а также с маркетингом — желанием продвинуть и продать в красивой обертке, порой меняя её несколько раз для одной сущности. Можно много спорить над нюансами и кто что вкладывает в каждое определение, понятие, термин, но в данном случае это не имеет смысла.
Здесь я предложу картину мира, позволяющую максимально устранить пробелы и противоречия в сфере основных понятий информационной безопасности.
Да, вот так смело. Но выстрадано.
В условиях большого количества понятий, терминов, определений, их различных толкований и наполнений, ведь порой даже в разных стандартах даются разные определений одного и того же термина, стоит принимать ту картину мира, ту систему понятий и классификацию, которые позволят выстроить непротиворечивый план действий, позволяющий достигнуть сформулированных в её рамках и в рамках требований работодателя и НПА целей.
Сначала планировал привести определения ИБ из Доктрины ИБ, из стандартов, взять постановления правительства с видами технической защиты информации, потом решил, что в данном формате не стоит. У эксперта всё это «на кончиках пальцев», у специалиста «подгрузится» по мере прочтения, для остальных — несколько ссылок в конце статьи.
Информационная безопасность состоит из сфер:
- идеологическое и психологическое противоборство;
- информационно-техническое противоборство;
- защита информации.
Начинает складываться картинка? Видна сфера, где борьба с чужой идеологией, отстаиванием суверенитета, воздействием на человека, в т.ч. через сайты с рекламой, играми, пирамидами, через звонки и смс, с буллингом и цифровой гигиеной, правилами безопасности в цифровом пространстве для детей?
И далее сфера, куда возможно отнести различного рода вмешательства в выборы путем взлома сайтов и почты политиков, похищение или уничтожение информации, остановы работы предприятий через компьютерные атаки и другие действия в киберпространстве. Причём в доктринах ряда стран поиск и атаки группировок или инфраструктуры государств в ответ на недружественные действия — вполне легитимные меры, причём не только в киберпространстве (см. т.н. Таллинское руководство).
Причём в рамках информационно-технического противоборства, в гражданской её части, уже можно рассматривать радиоэлектронную борьбу (РЭБ), т.к. теперь она затрагивает сферу борьбы с беспилотниками при защите гражданских объектов не только в военное время и не только силами ПВО, а теперь уже и силами служб безопасности объектов критической инфраструктуры (транспорт, ТЭК, атомные станции и т.п.).
Можно привести пример сочетания идеологического, психологического и информационно-технического противоборств из недавнего нашего прошлого, когда ставили антенные поля, чтобы заглушить «вражеские голоса» — специально подготовленные радиопередачи из стран западной Европы и США. То есть, выражаясь современным языком, глушили технические каналы доставки запрещенного контента.
А если дальше заглянуть в историю, то можно найти описания борьбы жандармов с типографиями, где большевики печатали газету «Искра», вплоть до перехвата курьеров с типографскими рифтами.
То есть, исторически и в современности спектр самый широкий. Не только киберпространство и взломы сайтов и сетей.
Защита информации
Эту сферу ИБ возможно рассмотреть в различных плоскостях, например:
- по видам мер,
- по видам защищаемой информации (конфиденциальность, открытые данные),
- по форме представления защищаемой информации,
- по видам объектов защиты (средств и систем обработки информации).
Как возможно отобразить (крупно) меры защиты информации:
- правовая защита;
- инженерно-техническая защита (охранные сооружения, замки, охранно-пожарная сигнализация, СКУД, видеонаблюдение и т.п.);
- техническая защита информации (ТЗИ, в терминах ПП-79):
- защита от несанкционированного доступа,
- от утечки по техническим каналам,
- от специальных воздействий на такую информацию
в целях ее уничтожения, искажения или блокирования доступа к ней;
- обеспечение кадровой безопасности в целях предупреждения умышленных и неумышленных утечек информации, модификации, блокирования или уничтожения, в т.ч. через подбор кадров, повышение осведомленности, обучение и тренинги и т.п., а также привлечение к ответственности в случае инцидентов.
Отмечу, что организационные меры возможно рассматривать как часть всех видов мер, например, в ТЗИ — в приказах ФСТЭК России №№21/17/31/239 — каждый раздел начинается с оргмер (регламентация правил и процедур). Также правовые и кадровые меры бессмысленны, если не предусмотрены оргмероприятия по своевременному доведению приказов до работников, проведению служебных расследований, назначению ответственных и т.п.
Интересно связывать сферы идеологического противоборства и технической защиты информации, например, в сфере антифрода (борьбы с мошенничеством с применением компьютерных средств). Идёт воздействие на человека через средства коммуникаций: телефон, мессенджер, электронная почта в форме сообщений, картинок, роликов, а также голосом (в т.ч. и поддельным под родственников, руководство и т.п.).
Человек или распознаёт махинацию и прерывает общение, или под воздействием мошенников совершает определенные действия, например, переводит средства со своего счета на чужой счет с использование личного кабинета в интернет-банке или другим способом, или передаёт мошенникам информацию, достаточную, чтобы они могли распоряжаться его средствами.
Антифрод система (реально — системы и комплекс мер) анализирует операции по определенным критериям применительно к конкретному клиенту и может заблокировать операцию по переводу средств. Появляется шанс, что человек за это время отойдёт от воздействия и не будет более пытаться отдать деньги мошенникам. Это самый простой и оптимистичный сценарий.
Здесь мы видим со стороны атакующего наличие методик воздействия, умение их применять и подготовленного оператора, сформированный контент, персональные данные потенциальной жертвы (из утечки или полученные путем целенаправленной охоты за конкретной личностью), со стороны безопасности - технические и программные средства обработки и защиты информации, методики защиты и подготовленный персонал, субъект атаки, который часто оказывается не готов к воздействию.
Можно ли рассматривать «компьютерную часть» (ПО и ПАКи) антифрод системы как СЗИ?
Если посмотреть на деньги как на компьютерную информацию в АБС — почему бы и нет? Защищает от несанкционированной модификации, если владелец счета передал необходимую информацию для доступа, защищает от модификации, вызванной незаконным воздействием на психику владельца. Но, пожалуй, всё зависит от цели классификации, желания иметь официальные требования на соответствие которым продукт может быть сертифицирован, (не) желания попасть под лицензируемые виды деятельности и т.п.
Предложил такую вот картину мира и подходы. И многие противоречия устраняет, и с НПА в сфере ИБ, в т.ч. ТЗИ, сочетается.
А говоря про ИБ в ИТ рисуем такую картинку: (ИБ) — в ней — (Защита информации) — в ней — (ТЗИ) — в ТЗИ — (БИТ/IT Security.)
Конечно, хорошо бы сюда подгрузить картинку с кругами-множествами, их пересечением, стрелочками и пояснениями, но… так и не перерисовал красиво со своих бумаг. Обязуюсь к следующей статье сделать.
Сведения об авторе: Михаил Смирнов, член Правления Ассоциации руководителей служб информационной безопасности (АРСИБ), 2015-2024 гг., г. Москва
PS. Картинку складывал давно, мне она казалась очевидной, но всё равно приводил тезисы и примеры как во время выступлений, так и брал за основу в статьях. Мне всё казалось само собой разумеющимся, но всё же входящий поток «ИБ — часть ИТ» заставил сделать еще одну версию статьи.
Доктрина ИБ
Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ № 646 от 5 декабря 2016 г.)
ПП-171
Постановление Правительства РФ от 03.03.2012 N 171 (ред. от 03.02.2023) "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" (вместе с "Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации").
ПП-79
Постановление Правительства РФ от 03.02.2012 N 79 (ред. от 03.02.2023) "О лицензировании деятельности по технической защите конфиденциальной информации" (вместе с "Положением о лицензировании деятельности по технической защите конфиденциальной информации").
Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ruСтавьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!
