Безпека інформаційних технологій (зазвичай скорочено ІТ-безпека або InfoSec) – це сукупність процедур та інструментів, що забезпечують комплексний захист конфіденційної корпоративної інформації від неправомірного використання, несанкціонованого доступу, спотворення або знищення. Існує також поняття «Інформаційна безпека» (або Інформаційна безпека), яке є більш глобальним поняттям і стосується захисту даних, запобігання несанкціонованому доступу, розголошенню, зміні або знищенню інформації. Схожі терміни і визначення, але є різниця.
Інформаційна безпека (ІБ) пов’язана із захистом даних, запобіганням несанкціонованому доступу, розголошенню, зміні або знищенню інформації. Інформаційні технології (ІТ) – відповідає за розробку апаратного забезпечення, програмного забезпечення та нових технологій, що використовуються для обробки інформації.
Інформаційна безпека – це більше, ніж просто ІТ-безпека, це стосується всієї компанії. Адже безпека конфіденційної інформації спрямована не тільки на дані, що обробляються комп’ютерами та медіасистемами. Інформаційна безпека охоплює всі корпоративні активи, які потребують захисту, включаючи ті, що знаходяться на аналогових носіях, таких як папір.
Гарбіс: аудит інформаційних та безпекових систем підприємства
Коли бізнес зростає, а підрозділи компанії територіально розосереджені, забезпечення безпеки підприємства є досить складним процесом. Він включає в себе технічну і фізичну охорону, а також підрозділ служби безпеки, який займається інформаційною безпекою.
Інформаційна безпека переслідує три цілі:
- Конфіденційність;
- Доступність;
- Цілісність (інтегрованість).
Дані цілі стосуються аркуша паперу, який містить конфіденційну інформацію, але лежить на столі без нагляду, або чекає в копіювальному апараті для несанкціонованого доступу. А також перераховані вище цілі стосуються сканера радіомережі, розташованого в автомобілі зловмисників, який знаходиться поруч з офісом компанії.
Таким чином, інформаційна безпека має більш широку сферу застосування, ніж ІТ-безпека. З іншого боку, ІТ-безпека відноситься «лише» до захисту інформації в ІТ-системах.
Питання інформаційної безпеки систематизовані на міжнародному рівні в стандарті. Це міжнародний стандарт інформаційної безпеки, розроблений спільно Міжнародною організацією зі стандартизації та Міжнародною електротехнічною комісією. Підготовлено до випуску Підкомітетом SC27 Об’єднаного технічного комітету JTC 1. Стандарт містить вимоги в області інформаційної безпеки до створення, розвитку та підтримки системи управління інформаційною безпекою.
Цей стандарт постійно модернізується і гармонізується з новими інформаційними технологіями. За кордоном, в розвинених країнах, компанії, пов’язані з обробкою інформації та інформаційними послугами, проходять сертифікацію систем менеджменту на відповідність стандарту ISO/IEC 27001. Ця процедура важлива для довіри клієнтів і успіху бізнесу, вона включає в себе чотири етапи:
- Підготовка до сертифікації;
- Аудит 1-го етапу (перевірка готовності до сертифікації);
- Аудит 2-го етапу (сертифікаційний аудит);
- Видача сертифікатів та нагляд за ними.
Процедури інформаційної безпеки містять фундаментальні критерії, які виходять за рамки суто ІТ-безпеки, але завжди включають їх. Прості технічні або організаційні заходи в рамках ІТ-безпеки завжди приймаються на тлі відповідної інформаційної безпеки. Прикладами цього є:
- Забезпечення безпеки електропостачання обладнання;
- Заходи щодо запобігання перегріву обладнання;
- Сканування на віруси та безпечні програми;
- Організація структури папок у відділах компанії;
- Зовнішній і внутрішній сайт і веб-сервіси компанії;
- Налаштування та оновлення брандмауерів;
- Доступ до конфіденційних даних на основі сертифікатів;
- Навчання співробітників і т.д..
ІТ-безпека та інформаційна безпека (ІБ) – це два терміни, які (поки що) не є взаємозамінними. Скоріше, ІТ-безпека – це складова інформаційної безпеки, яка, в свою чергу, включає в себе і аналогові системи (паперові), процеси і комунікації – що, до речі, і сьогодні є звичним явищем у багатьох випадках. Однак зростаюча цифровізація зближує ці терміни, тому в довгостроковій перспективі Різниця у вартості, швидше за все, стане більш незначною.