Возвращаясь к теме стратегии кибербезопасности, о которой начали говорить в прошлом году, хочу обратиться к очень интересному стандарту, который описывает это понятие и его связь с другими, более привычному российскому уху терминами их области информационной безопасности. Речь идет о стандарте ISO/IEC 27032:2012 Information technology -- Security techniques -- Guidelines for cybersecurity, который был принят в июле прошлого года.
В этом стандарте не стоит искать откровений и вселенской мудрости. Однако он дает четкое понимание связи термина cybersecurity (кибербезопасность) с сетевой безопасностью, прикладной безопасностью, Интернет-безопасностью и безопасностью критичных информационных инфраструктур с точки зрения западных специалистов. В стандарте приводится вот такая картинка, которая визуализирует связь различных терминов.
И сразу становится понятно, что кибербезопасность и так нам привычная информационная безопасность - это совсем не одно и тоже. И безопасность критичных информационных инфраструктур хоть и связана с кибербезопасностью (так как ее понимают во всем мире), но только частично.
Киберпреступность (cybercrime) же вообще стоит особняком и не имеет никакого отношения ни к информационной безопасности, ни к кибербезопасности. Также как и понятие cybersafety, которая в России не имеет прямого и емкого перевода, но смысл его таков - безопасное поведение в киберпространстве и, в первую очередь, защита детей от негативной информации в Интернет. В России эта тема имеет скорее отрицательный оттенок, что связано с "законом о черных списках" (ФЗ-139), но это не совсем верно. Немало организаций ведет очень важную работу в этой связи - это и Центр безопасного Интернета , и Фонд "Дружественный Рунет" , и проект i-Deti , и Фонд развития Интернет , и Google , и линия помощи " Дети Онлайн " и многие другие.
Собственно разброд и шатания на заседании в Совете Федерации, где обсуждалась тема разработки стратегии кибербезопасности России как раз и связана с тем, что каждый специалист, присутствующий на мероприятии (операторы связи, Минкомсвязь, Совет Безопасности, интеграторы, производители, научное сообщество, ВУЗы и т.п.) вкладывает в термин "кибербезопасность" свой смысл и в итоге получается смешение несмешиваемого в одной куче. В итоге в предварительный проект этого документа включили почти все предложения звучавшие на встрече и получился ералаш, с которым надо что-то делать ;-(
Хотя предвижу, что данное деление, предложенное в ISO 27032:2012, также будет воспринято не всеми. И если мы пойдем своим путем и будем придумывать свое толкование так любимого на Западе термина кибербезопасность, то можем в будущем столкнуться с тем, что нас перестанут понимать иностранные специалисты, с которыми мы сейчас пытаемся найти общий язык. Зато такая нестыковка позволит благополучно существовать департаменту по международной ИБ, который создается в Министерстве иностранных дел. Для дипломатов же милое дело начать с обсуждения общих понятий ;-)
В этом стандарте не стоит искать откровений и вселенской мудрости. Однако он дает четкое понимание связи термина cybersecurity (кибербезопасность) с сетевой безопасностью, прикладной безопасностью, Интернет-безопасностью и безопасностью критичных информационных инфраструктур с точки зрения западных специалистов. В стандарте приводится вот такая картинка, которая визуализирует связь различных терминов.
И сразу становится понятно, что кибербезопасность и так нам привычная информационная безопасность - это совсем не одно и тоже. И безопасность критичных информационных инфраструктур хоть и связана с кибербезопасностью (так как ее понимают во всем мире), но только частично.
Киберпреступность (cybercrime) же вообще стоит особняком и не имеет никакого отношения ни к информационной безопасности, ни к кибербезопасности. Также как и понятие cybersafety, которая в России не имеет прямого и емкого перевода, но смысл его таков - безопасное поведение в киберпространстве и, в первую очередь, защита детей от негативной информации в Интернет. В России эта тема имеет скорее отрицательный оттенок, что связано с "законом о черных списках" (ФЗ-139), но это не совсем верно. Немало организаций ведет очень важную работу в этой связи - это и Центр безопасного Интернета , и Фонд "Дружественный Рунет" , и проект i-Deti , и Фонд развития Интернет , и Google , и линия помощи " Дети Онлайн " и многие другие.
Собственно разброд и шатания на заседании в Совете Федерации, где обсуждалась тема разработки стратегии кибербезопасности России как раз и связана с тем, что каждый специалист, присутствующий на мероприятии (операторы связи, Минкомсвязь, Совет Безопасности, интеграторы, производители, научное сообщество, ВУЗы и т.п.) вкладывает в термин "кибербезопасность" свой смысл и в итоге получается смешение несмешиваемого в одной куче. В итоге в предварительный проект этого документа включили почти все предложения звучавшие на встрече и получился ералаш, с которым надо что-то делать ;-(
Хотя предвижу, что данное деление, предложенное в ISO 27032:2012, также будет воспринято не всеми. И если мы пойдем своим путем и будем придумывать свое толкование так любимого на Западе термина кибербезопасность, то можем в будущем столкнуться с тем, что нас перестанут понимать иностранные специалисты, с которыми мы сейчас пытаемся найти общий язык. Зато такая нестыковка позволит благополучно существовать департаменту по международной ИБ, который создается в Министерстве иностранных дел. Для дипломатов же милое дело начать с обсуждения общих понятий ;-)
