Информационно технологическая безопасность (распространенное сокращение — ИТ-безопасность или InfoSec) — это набор процедур и инструментов, которые обеспечивают всестороннюю защиту конфиденциальной корпоративной информации от неправильного использования, несанкционированного доступа, искажения или уничтожения. Существует еще понятие «Информационная безопасность» (или ИБ), которое является более глобальным понятием и касается защиты данных, предотвращением несанкционированного доступа, раскрытия, изменения или уничтожения информации. Похожие термины и определения, однако различие в них есть.
Информационная безопасность (ИБ) – занимается защитой данных, предотвращением несанкционированного доступа, раскрытия, изменения или уничтожения информации. Информационные технологии (ИТ) — отвечают за оборудование, разработку программного обеспечения и новые технологии, используемые для обработки информации.
Информационная безопасность — это больше, чем просто ИТ-безопасность, это касается всей компании. Ведь безопасность конфиденциальной информации направлена не только на данные, обрабатываемые компьютерами и медиа-системами. Информационная безопасность охватывает все корпоративные активы, которые нуждаются в защите, включая те, которые находятся на аналоговых носителях информации, таких как бумага.
Гарбис: аудит информационных систем и систем безопасности предприятия
Когда бизнес растет, и подразделения компании разнесены территориально, обеспечение безопасности предприятия является довольно сложным процессом. В него включена техническая и физическая охрана, а также подразделение охраны, которое занимается информационной безопасностью.
Информационная безопасность преследует три цели:
- Конфиденциальность;
- Доступность;
- Целостность.
Эти цели применимы к листу бумаги, который содержит конфиденциальную информацию, но лежит на столе без присмотра, чтобы любой мог его увидеть, или ждет в копировальном аппарате в свободном доступе для несанкционированного доступа. А также вышеизложенные цели применимы к радио-сетевому сканеру, находящемуся в автомобиле злоумышленников, который расположен рядом с офисом компании.
Таким образом, информационная безопасность имеет более широкую сферу применения, чем ИТ-безопасность. ИТ-безопасность, с другой стороны, относится «только» к защите информации на ИТ-системах.
Вопросы информационной безопасности систематизированы на международном уровне в стандарте. Это международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединённого технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности.
Данный стандарт постоянно модернизируется, и согласовывается с новыми информационными технологиями. За рубежом, в развитых странах, компании связанные с обработкой информации и информационными услугами, проходят сертификацию систем менеджмента на соответствие ISO/IEC 27001. Данная процедура важна для доверия клиентов и успешного ведения бизнеса, она включает в себя четыре этапа:
- Подготовка к сертификации;
- Аудит 1-й ступени (проверка готовности к сертификации);
- Аудит 2-й ступени (сертификационный аудит);
- Выдача сертификата и надзор.
Процедуры информационной безопасности содержат фундаментальные критерии, которые выходят за рамки чисто ИТ-безопасности, но всегда включают их. Простые технические или организационные меры в рамках IT-безопасности всегда принимаются на фоне соответствующей информационной безопасности. Примерами этого могут быть:
- Обеспечение безопасности электропитания оборудования
- Меры против перегрева оборудования
- Проверка на вирусы и безопасные программы
- Организация структуры папок в отделах компании
- Внешний и внутренний сайт и веб-сервисы компании
- Настройка и обновление межсетевых экранов
- Организация доступа к конфиденциальным данным на основе сертификатов
- Обучение сотрудников и т.д.
ИТ-безопасность и информационная безопасность (ИБ) — два термина, которые (пока) не являются взаимозаменяемыми. Скорее, ИТ-безопасность является компонентом информационной безопасности, которая, в свою очередь, также включает в себя аналоговые факты, процессы и коммуникации — что, кстати, во многих случаях сегодня все еще является обычным делом. Однако растущая цифровизация все больше сближает эти термины, так что в долгосрочной перспективе разница в значении, вероятно, станет более незначительной.