From information security to cyber security

요약

사이버 보안이라는 용어는 종종 정보 보안이라는 용어와 상호 교환 적으로 사용됩니다.

이 논문은 사이버 보안과 정보 보안 사이에는 상당한 중복이 존재하지만,이 두 개념은 완전히 유사하지 않다고 주장한다.

또한 사이버 보안은 전통적인 정보 보안의 한계를 넘어서서 정보 자원의 보호뿐만 아니라 사람을 포함한 다른 자산의 보호까지 포함한다고 가정합니다.

정보 보안에 있어서,인적 요소에 대한 언급은 일반적으로 보안 과정에서 인간의 역할과 관련이 있습니다.

사이버 보안에서이 요소는 추가 차원, 즉 사이버 공격의 잠재 대상 또는 심지어 사이버 공격에 무의식적으로 참여하는 인간을 포함합니다. 이 추가 차원은 사회 전체에 윤리적 의미를 가지는데, 그 이유는 어린이와 같은 특정 취약 집단의 보호가 사회적 책임으로 간주 될 수 있기 때문입니다.

Introduction

화이트 하우스 (Whitehouse) (2011)는 사이버 관련 문제에 대한 미국의 입장을 제공하고 사이버 문제에 관한 미국의 다른 나라와의 연계에 대한 통일 된 접근 방식을 설명하는 사이버 전략을 개설했습니다.

영국은 사이버 보안을 최우선 과제로 선정하고 변형 가능한 국가 사이버 보안 프로그램을 위해 4 년 동안 6 억 5 천만 파운드를 투입했습니다.

그러나 이러한 소스의 극소수는 사이버 보안과 정보 보안의 개념 또는 이들 사이의 관계를 구분하는 것처럼 보입니다.

대부분의 문헌에서 사이버 보안은 포괄적 인 용어로 사용됩니다.

이 용어의 정의는 다양합니다. 예를 들어, Merriam Webster 사전은 이것을 "허가받지 않은 접근이나 공격으로부터 컴퓨터 또는 컴퓨터 시스템 (인터넷)을 보호하기위한 조치"라고 정의합니다.

                                 

국제 전기 통신 연합 (ITU)은 사이버 보안을 다음과 같이 정의합니다.

사이버 보안은 사이버 환경과 조직 및 사용자의 자산을 보호하는 데 사용할 수있는 도구, 정책, 보안 개념, 보안 보호, 지침, 위험 관리 접근법, 작업, 교육, 모범 사례, 보증 및 기술의 모음입니다.

조직 및 사용자의 자산에는 연결된 컴퓨팅 장치, 인력, 인프라, 응용 프로그램, 서비스, 통신 시스템 및 사이버 환경의 전송 및 / 또는 저장된 정보의 전체가 포함됩니다.

사이버 보안은 사이버 환경에서 관련 보안 위험으로부터 조직 및 사용자 자산의 보안 속성을 달성하고 유지하기 위해 노력합니다.

일반적인 보안 목적은 다음을 포함한다.

- 유효성

- 무결성 : 진정성 및 부인 방지를 포함 할 수 있음

- 비밀 유지 ITU, 2008.      

이러한 정의는 정보 보안의 정의와 매우 유사합니다.

이 관점은 국제 표준 ISO / IEC 27032 : 2012 (E)에 의해 지원됩니다.

Information security

정보 보안의 목적은 보안 사고의 영향을 제한함으로써 비즈니스 연속성을 보장하고 비즈니스 피해를 최소화하는 것입니다 (Von Solms, 1998).

Information security defined

국제 표준 인 ISO / IEC 27002 (2005)는 정보 보안을 정보의 기밀성, 무결성 및 가용성 유지로 정의합니다 (ISO / IEC 27002, 2005, p.1).

ISO / IEC 27002 (2005)의 맥락에서, 정보는 많은 형태를 취할 수있다. 종이에 인쇄하거나 쓰거나, 전자적으로 저장하거나, 우편이나 전자 수단으로 전송하거나, 영화에 표시하거나, 대화를 통해 전달할 수 있습니다 (ISO / IEC 27002, 2005, 1 페이지).

Whitman and Mattord (2009)는 정보 보안을 "정보 및 정보를 사용, 저장 및 전송하는 시스템 및 하드웨어를 포함하여 정보와 그 중요한 요소를 보호"한다고 정의합니다 (Whitman and Mattord, 2009, 8 페이지). 이 저자 (2009)는 조직에서 가치를 부여하는 정보의 몇 가지 중요한 특성을 확인합니다.

이러한 특성은 ISO / IEC 27002 (2005)에 제공된 정의에서 언급 된 정보의 기밀성, 무결성 및 가용성을 포함하지만 이러한 세 가지 특성에만 국한되지는 않습니다. 휘트먼과 매 토드 (Whitman and Mattord, 2009, p. 8)에 따르면 CIA 삼각형과 같이 정보 보안 분야에서 알려진 정보의 기밀성, 무결성 및 가용성을 보장하는 것은 전통적으로 산업 표준이었습니다.

CIA 삼각형 모델은 더 이상 컴퓨터 업계의 끊임없이 변화하는 환경에 적절하게 대처하지 못합니다. "(Whitman and Mattord, 2009, p.8).

따라서 Whitman과 Mattord (2009)는 보호해야 할 정보 특성 목록에 정확성, 신뢰성, 유용성 및 소유권을 추가합니다.

위의 정의에서 몇 가지 개념을 면밀히 검토해야합니다. 첫째, 정보 보안은 제품이나 기술이 아니라 프로세스입니다 (Mitnick and Simon, 2002, 4 페이지).

Wood (2004)에 따르면 정보 보안은 기술적으로 엄격한 문제였습니다.

 그러나 컴퓨터와 네트워크의 사용이 진화함에 따라 이러한 컴퓨터와 네트워크를 안전하게 유지하는 과정도 기술적 측면을 넘어서서 확장되어야했습니다.

정보 보안 프로세스는 특정 제품의 사용을 요구할 수 있지만 선반에서 구매할 수있는 것은 아닙니다. 위의 정의에 대해 유의해야 할 두 번째 중요한 요소는 정보 보안이 일반적으로 정보 보안에 필요한 특성 또는 특성의 측면에서 정의된다는 것입니다.

여기에는 대개 정보의 기밀성, 무결성 및 가용성이 포함되지만 추가 특성이 포함될 수 있습니다.

정보 보안과 정보 기술 (또는 정보 및 통신 기술) 보안에는 차이가 있음을 알아 두는 것이 중요합니다.

Information and communication technology security defined

정보 통신 기술 (ICT) 보안은 정보가 일반적으로 저장 및 / 또는 전송되는 실제 기술 기반 시스템을 보호합니다.

국제 표준 ISO / IEC 13335-1 (2004)는 ICT 보안을 정보 자원의 기밀성, 무결성, 가용성, 부인 방지, 책임, 신뢰성 및 신뢰성의 정의, 달성 및 유지와 관련된 모든 측면으로 정의합니다 (ISO / IEC 13335 -1, 2004, p.3). 정보 보안은 기본 정보 자원의 보호를 포함하기 때문에 ICT 보안은 정보 보안의 하위 구성 요소라고 주장 할 수 있습니다.

ICT 보안의 정의는 정보 보안의 정의와 매우 유사합니다. 그러나이 맥락에서 보안 정보 자원에 의해 제공되어야하는 서비스로 더 잘 설명 될 수있는 추가 특성이 정의에 추가됩니다.

여기에는 부인 방지, 책임, 신뢰성 및 신뢰성이 포함됩니다.

Dhillon (2007, p. 19)은 또한 정보 시스템의 실제 데이터 보호를 나타내는 데이터 보안 개념을 언급합니다.

Dhillon (2007, p.19)에 주어진 정의는 정보 기술 보안의 정의에서 대부분의 특성을 포함하고 있기 때문에 기본 데이터의 보안은 정보 시스템의 전반적인 보안에 크게 의존하기 때문에 데이터가 존재한다면, 데이터 보안이라는 용어는 실제로 Dhillon (2007)에서 ISO / IEC TR 13335-1 (2004)가 ICT 보안을 부르는 개념과 동일한 개념을 나타 내기 위해 사용된다고 주장 할 수 있습니다.

2.1 절과 2.2 절에서 논의 된 정의로부터 정보 자원 확보와 ICT 자원 확보 간에는 차이가 있음이 분명해야한다.

보안 정보 자원은 정보가 수신되거나 정보가 전송되는 모든 엔티티를 포함 할 수 있습니다.

보안 정보 기술 리소스는 정보 기술 시스템에 상주하는 보안 정보 리소스입니다.

ICT 기반 시스템의 측면에서 정보를 다루는 모든 자원과 프로세스가 안전하지 않으면 정보만으로는 안전하다고 간주 할 수 없다는 점도 중요합니다.

앞서 언급했듯이 처음 세 가지 특성 인 기밀성, 무결성 및 가용성은 일반적으로 메인 프레임 개발 이후 컴퓨터 보안 산업 표준으로 간주되는 CIA 삼각형 모델로 알려져 있습니다 (Whitman and Mattord, 2009, 8 페이지 ).

오늘날의 네트워크 간 비즈니스 환경에서 조직의 추가적인 보안 요구를 해결하기위한 추가 특성이 정의에 추가되었습니다.

위의 모든 특성 (및 / 또는 서비스)의 의미에 대한 명확한 이해는 기밀성, 무결성, 가용성, 부인 방지, 책임, 신뢰성 및 정보의 신뢰성없이 정보 및 ICT 보안을 이해하는 데 필수적입니다 자원, 정보는 안전하다고 간주 될 수 없습니다.

위의 모든 사항 (정보의 정확성, 유용성 및 소유권 포함)은 정보 보안에 필수적인 역할을하며 마찬가지로 중요하게 여겨 져야합니다.

그러나 이러한 특성이나 서비스 중 하나 이상이 정보 자체의 특성에 따라 특정 시나리오에서 다른 것보다 더 적용 가능할 수 있습니다.

예를 들어, 인플레이션 통계의 무결성은 경제학자에게는 명백한 중요성을 가지지 만 모든 사람이 그러한 정보에 접근 할 수있게 허용되기 때문에 동일한 데이터의 기밀성은 중요하지 않은 것처럼 보입니다.

그러나 정의에 따르면 비인가 된 단체가 정보를 입수하는 경우에만 기밀성 위반이 발생합니다.

모든 사람이 인플레이션 통계의 승인 된 사용자가 될 것이므로이 경우 정보의 기밀성은 실제로 유지됩니다.

조직적 맥락에서 조직의 정보 보안을 보장하는 것은 적용 가능한 특성이나 서비스를 결정하는 것이 아니라 주어진 정보에 대한 다른 매개 변수뿐만 아니라 권한있는 실체를 올바르게 정의하는 것입니다.

위에서 설명한 바와 같이 ICT 보안을 분석 할 때 다양한 위협이 관련 취약성을 겨냥하고 있으며 궁극적으로 ICT 인프라에 부정적인 영향을 미치고 있음이 분명합니다.

이 경우 기술 인프라가 보호가 필요한 자산으로 간주됩니다. 따라서 ICT 보안에서 ICT는 안전 자산입니다. 무화과. 1은이 관계를 묘사합니다.

정보를 처리, 저장 및 전달합니다.

이 경우 보호가 필요한 자산으로 간주되는 정보입니다.

정보 및 통신 기술은이 경우 자산, 즉 정보를 침해하려는 시도에서 다양한 위협에 의해 타격을받는 취약점으로 분류 될 수 있습니다.

따라서 정보 보안의 경우 정보는 보안되어야하는 자산임을 유의하는 것이 중요합니다.

다음 섹션에서는 사이버 보안에서 위협, 취약성 및 자산의 특성이 정보 보안의 특성과 다르다고 주장합니다.

결과 

정보 보안과 ICT 보안에 대한 정의를 살펴 보았습니다.

이 신문은 사이버 보안이 종종 정보 보안과 유사한 용어로 사용 되긴했지만 정보 보안과는 다르다고 주장했다.

정보 보안은 다양한 위협과 취약점으로 인해 발생할 수있는 피해로부터 자산 인 정보를 보호합니다.

반면에 사이버 보안은 사이버 공간 자체의 보호 일뿐만 아니라 사이버 공간에서 작동하는 사람들과 사이버 공간을 통해 도달 할 수있는 자산을 보호합니다.