|
Страница 3 из 3
Методики
Система обеспечения информационной безопасности не может
сводиться только к компьютерам и телекоммуникационным сетям. Из-за резкого роста
объема информации, циркулирующей в цифровом виде, увеличивается значение
программно-технических и организационных мероприятий по управлению доступом к
информации.
Типичное предприятие обычно имеет:
• классификатор информации с указанием степени ее
конфиденциальности, целостности, доступности и порядка изменения степеней этих
параметров во времени;
• регламент управления информацией и обеспечения ее
защиты;
• подразделение, которому поручено управление и
проведение регламентных работ.
Защита информации обходится предприятиям недешево,
поэтому бюджет обеспечения безопасности должен быть экономически и финансово
обоснован.
Бизнес должен сформировать сумму средств, которая может
быть рационально потрачена на управление информацией предприятия.
Можно выделить несколько уровней защиты информации:
уровень операционной системы, сетевой и телекоммуникационный уровень, уровень
базы данных, уровень логики приложения, уровень интерфейса.
Согласованное управление защитой информации на всех
уровнях — задача, не имеющая оптимального решения. Например, уровень защиты
данных, предоставляемый операционной системой, как правило, эксплуатируется при
наличии “установок по умолчанию”.
Большинство успешных атак добиваются цели именно
благодаря этому обстоятельству.
На сетевом и телекоммуникационном уровне достигнута
действительно высокая степень унификации и стандартизации. Хотя в специальных
случаях на данном уровне также целесообразно воспользоваться имеющейся
вариативностью.
Уровень базы данных все больше “погружается” в приложения
и все менее является фактором эксплуатирующей организации. Если в начале и
середине 90-х гг. в Украине не было предприятия, сотрудники ИТ-службы которого
не разрабатывали бы “свой R/3” или хотя бы “свою 1С”, то сегодня большинство
компаний используют индустриальные решения.
На уровне базы данных в основном оперируют разработчики,
поэтому информационные аспекты безопасности при взаимодействии с пользователем
переносятся на бизнес-логику программных приложений.
Уровень информационной защиты программных приложений
является наименее стандартизированной частью и будет оставаться таким и впредь.
Однажды в начале 90-х годов в Швейцарии спросили работни-
ка безопасности одного из банков:
“А можно ли ознакомиться со стандартами информационной
безопасности программных приложений?”
Ответ был неожиданным:
“Таких стандартов просто не может быть: стандарт “замка”
одновременно описывает стандарт “ключа” и “отмычки””.
К сожалению, возможности, предоставляемые программными
приложениями на этом уровне, часто не могут соответствовать реальным
потребностям предприятия. Это связано, например, с наличием возможности
настройки сложных правил обеспечения доступа к информации, с требованиями
одновременно учитывать селективность (по контрагентам, по деятельности, по
лимитному размеру сумм, по регионам и т.п.).
В некоторых случаях возникает потребность управления
доступностью исторических бизнес- данных предприятия. Вместо заключения Основная
проблема в формировании стратегии информационной безопасности сегодня состоит в
том, что бизнес не понимает всей серьезности создавшейся ситуации и пытается
решить ее “малой кровью” за счет того, что передоверяет решение задачи отделам
ИТ.
Эта стратегия неправильная: во-первых, ИТ-отделы решают
проблемы безопасности при наличии свободного времени и свободных средств, а
во-вторых, слишком увлекаются техническими средствами.
Наконец, возникает организационная сложность, связанная с
тем, что некому проверить постановку задач по информационной безопасности и
корректность их решения.
В идеале на предприятии должны существовать три
самостоятельных подразделения:
департамент ИТ, отдел информационной безопасности и
секторы аудита ИТ и аудита ИБ в отделе аудита компании, которые занимались бы
проверкой соответст- вующих подразделений.
Однако здесь возникает целый ряд сложных вопросов, причем
главный из них — кадры, ведь не секрет, что специалистов по информационной
безопасности сейчас практически нет, поскольку ВУЗы их не готовят.
Если в ближайшее время положение на рынке информационной
безопасности предприятий кардинально не изменится в лучшую сторону, то вопросы
обеспечения информационной безопасности национального бизнеса могут постепенно
перейти в плоскость национальной безопасности.
Владимир Безмалый,
“БМС Консалтинг”,
консультант
по вопросам информационной
безопасности
Сергей Корнеев,
PMCG, директор
|
