Jump to content

Конвергенция безопасности

    Add links

    Конвергенция безопасности означает конвергенцию двух исторически различных функций безопасности – физической безопасности и информационной безопасности – внутри предприятий; оба являются неотъемлемой частью последовательной программы управления рисками . Конвергенция безопасности мотивирована признанием того, что корпоративные активы все больше основаны на информации. В прошлом физические активы требовали основных усилий по защите, тогда как информационные активы требуют все большего внимания. Хотя конвергенция безопасности обычно используется в отношении киберфизической конвергенции, она также может относиться к конвергенции безопасности с соответствующими дисциплинами риска и устойчивости, включая планирование непрерывности бизнеса и управление чрезвычайными ситуациями . Конвергенцию безопасности часто называют «конвергентной безопасностью».

    Определения [ править ]

    США По данным Агентства кибербезопасности и безопасности инфраструктуры , конвергенция безопасности — это «формальное сотрудничество между ранее разрозненными функциями безопасности». [1] Участники опроса ASIS Фонда «Состояние конвергенции безопасности в США, Европе и Индии» определяют конвергенцию безопасности как «обеспечение беспрепятственной совместной работы функций безопасности/управления рисками, устранения пробелов и уязвимостей, существующих в пространстве между функциями». " [2]

    В своей книге « Конвергенция безопасности: управление рисками безопасности предприятия » Дэйв Тайсон определяет конвергенцию безопасности как «интеграцию совокупных ресурсов безопасности организации с целью предоставления преимуществ в масштабах всего предприятия за счет улучшенного снижения рисков, повышения операционной эффективности и результативности, а также экономии затрат». ." [3]

    Предыстория [ править ]

    Концепция конвергенции безопасности получила распространение в контексте Четвертой промышленной революции , которая, по словам основателя и исполнительного председателя Всемирного экономического форума (ВЭФ) Клауса Шваба , «характеризуется слиянием технологий, стирающим границы между физической, цифровой и биологической сферах». [4] Ключевые результаты этого слияния включают разработки в области киберфизических систем (CPS) и рост Интернета вещей (ioT), который привел к увеличению количества и типов физических объектов, подключенных к Интернету. В 2017 году Gartner предсказал, что к 2020 году будет 20 миллиардов подключенных к Интернету вещей. [5]

    Конвергенция безопасности была одобрена еще в 2007 году тремя ведущими международными организациями специалистов по безопасности – ASIS International , ISACA и ISSA – которые вместе стали соучредителями Альянса по управлению рисками безопасности предприятия, чтобы частично продвигать эту концепцию.

    Типы конвергенции [ править ]

    Киберфизическая конвергенция

    рисков Конвергенция

    В контексте Интернета вещей киберугрозы с большей вероятностью трансформируются в физические последствия, а нарушения физической безопасности также могут расширить сферу киберугроз организации. США По данным Агентства кибербезопасности и безопасности инфраструктуры , «принятие и интеграция устройств Интернета вещей (IoT) и промышленного Интернета вещей (IIoT) привели к созданию все более взаимосвязанной сети киберфизических систем (CPS), которая расширяет возможности поверхность атаки и размывает некогда ясные функции кибербезопасности и физической безопасности». [6]

    Согласно отчету ВЭФ о глобальных рисках за 2020 год , «операционные технологии подвергаются повышенному риску, поскольку кибератаки могут вызвать более традиционные, кинетические последствия, поскольку технологии распространяются в физический мир, создавая киберфизическую систему». [7] По данным Министерства внутренней безопасности США , «последствия непреднамеренных неисправностей или злонамеренных атак [на киберфизические системы] могут иметь серьезные последствия для жизни людей и окружающей среды». [8]

    Яркими примерами атак на объекты, подключенные к Интернету, являются атака Stuxnet в 2010 году на иранские ядерные объекты в Натанзе и кибератака на энергосистему Украины в декабре 2015 года .

    «Сегодняшние угрозы являются результатом гибридных и смешанных атак, использующих информационные технологии (ИТ), физическую инфраструктуру и операционные технологии (OT) в качестве направления подхода противника», — отмечает бывший помощник директора CISA по инфраструктурной безопасности Брайан Харрелл. «Подчеркивая это будущее Ландшафт угроз обеспечит лучшую ситуационную осведомленность и более быстрое реагирование». [9]

    конвергенция Организационная

    Традиционно отдельные, или «разрозненные», подходы к физической безопасности и кибербезопасности рассматриваются сторонниками конвергенции безопасности как неспособные адекватно защитить организацию от атак, затрагивающих как кибер-, так и физические (кибер-физические) измерения. Организационный аспект конвергенции безопасности фокусируется на том, в какой степени внутренняя структура организации способна адекватно противостоять конвергентным рискам безопасности.

    По данным Агентства по кибербезопасности и безопасности инфраструктуры , «подразделения физической безопасности и кибербезопасности часто по-прежнему рассматриваются как отдельные подразделения. Когда руководители служб безопасности работают в этих разрозненных подразделениях, им не хватает целостного представления об угрозах безопасности, нацеленных на их предприятие. В результате атаки становятся более серьёзными. вероятно, произойдет». [1] «Многие традиционные риски физической и информационной безопасности рассматриваются изолированно», — говорится PricewaterhouseCoopers в документе «Конвергенция рисков безопасности» . «Эти риски могут сходиться или перекрываться в определенных точках жизненного цикла риска и, как таковые, могут стать слепым пятном для организации или лиц, ответственных за управление рисками». [10]

    В ходе опроса более 1000 высокопоставленных специалистов по физической безопасности, кибербезопасности, управлению стихийными бедствиями и обеспечению непрерывности бизнеса Фонда ASIS исследование «Состояние конвергенции безопасности в США, Европе и Индии» показало, что, несмотря на «годы прогнозов о неизбежности конвергенции безопасности, только 24 процента респондентов объединили свои функции физической и кибербезопасности». [2] Опрос также показал, что 96 процентов организаций, которые объединили две или более функции безопасности, сообщили о положительных результатах конвергенции, а 72 процента сообщили, что конвергенция укрепила их общую безопасность. В целом 78 процентов опрошенных полагали, что конвергенция укрепит их общую функцию безопасности.

    Ссылаясь на работу Джея Райта Форрестера по системному мышлению , генеральный директор Optic Security Group Джейсон Черрингтон утверждает, что системный подход обеспечивает полезную линзу для понимания того, как подгруппы безопасности внутри организации способствуют достижению общих целей безопасности организации. «В идеальном мире SoS организации будут рассматривать свою безопасность как совокупность ориентированных на задачи или специализированных систем, которые объединяют свои ресурсы и возможности как часть общей системы, предлагающей больше функциональности и производительности, чем сумма ее частей. Важно отметить, что надзор всей системы будет гарантировать выявление любых пробелов между ее компонентами и предотвращение сбоев». [11]

    Конвергенция решений (унифицированная безопасность) [ править ]

    Растущая распространенность гибридных кибер-физических угроз безопасности привела к параллельному появлению ряда конвергентных решений безопасности, охватывающих как кибер-, так и физическую сферу. По словам Джейсона Черрингтона, «в современных угрозах безопасности мы наблюдаем конвергенцию физических и цифровых векторов; и защита от этих гибридных угроз требует гибридного подхода». [11] По данным Агентства США по кибербезопасности и безопасности инфраструктуры : «Организации с конвергентными функциями кибербезопасности и физической безопасности более устойчивы и лучше подготовлены к выявлению, предотвращению, смягчению угроз и реагированию на них. Конвергенция также способствует обмену информацией и разработке единых политик безопасности по всей безопасности. дивизии». [6]

    Библиография [ править ]

    Ссылки [ править ]

    1. Перейти обратно: Перейти обратно: а б «Руководство по действиям по сближению кибербезопасности и безопасности инфраструктуры» . Агентство кибербезопасности и безопасности инфраструктуры . 2020 . Проверено 18 февраля 2021 г.
    2. Перейти обратно: Перейти обратно: а б «Состояние конвергенции безопасности в США, Европе и Индии» (PDF) . Глобальная биржа безопасности плюс . 2019 . Проверено 18 февраля 2021 г.
    3. ^ Тайсон, Дэйв (2007). Конвергенция безопасности: управление рисками безопасности предприятия . Эльзевир. п. 4. ISBN  978-0-7506-8425-5 .
    4. ^ Шваб, Клаус (14 января 2016 г.). «Четвертая промышленная революция: что это значит, как на нее реагировать» . Всемирный экономический форум . Проверено 27 февраля 2021 г.
    5. ^ Хунг, Марк (2017). «Лидерство в Интернете вещей: идеи Gartner о том, как лидировать в подключенном мире» (PDF) . Гартнер . Проверено 28 февраля 2021 г.
    6. Перейти обратно: Перейти обратно: а б «Конвергенция кибербезопасности и физической безопасности» . Агентство кибербезопасности и безопасности инфраструктуры . Проверено 12 марта 2021 г.
    7. ^ «Отчет о глобальных рисках 2020» (PDF) . Всемирный экономический форум . Март 2020 года . Проверено 28 февраля 2021 г.
    8. ^ «Киберфизическая безопасность систем» . Департамент внутренней безопасности . Проверено 28 февраля 2021 г.
    9. ^ Джонсон, Бриджит (1 ноября 2019 г.). «CISA будет работать с заинтересованными сторонами, «влиять на культуру конвергенции безопасности» во время NCISRM» . Национальная безопасность сегодня . Проверено 28 февраля 2021 г.
    10. ^ «Конвергенция рисков безопасности» (PDF) . ПрайсуотерхаусКуперс . 2010 . Проверено 15 марта 2021 г.
    11. Перейти обратно: Перейти обратно: а б Черрингтон, Джейсон (25 ноября 2020 г.). «Конвергенция безопасности: системный подход» . Новозеландский журнал по безопасности . Проверено 21 февраля 2021 г.

    Внешние ссылки [ править ]

    Retrieved from "https://en.wikipedia.org/w/index.php?title=Security_convergence&oldid=1211017767"
    Arc.Ask3.Ru: конец переведенного документа.
    Arc.Ask3.Ru
    Номер скриншота №: 7881fe278eb7f0b8d64d49d1e0fc01b5__1709198520
    URL1:https://arc.ask3.ru/arc/aa/78/b5/7881fe278eb7f0b8d64d49d1e0fc01b5.html
    Заголовок, (Title) документа по адресу, URL1:
    Security convergence - Wikipedia
    Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)