Главная страница
Форум
Промиздат
Опережения рынка
Архитектура отрасли
Формирование
Тенденции
Промстроительство
Нефть и песок
О стали
Компрессор - подбор и ошибки
Из истории стандартизации резьб
Соперник ксерокса - гектограф
Новые технологии производства стали
Экспорт проволоки из России
Прогрессивная технологическая оснастка
Цитадель сварки с полувековой историей
Упрочнение пружин
Способы обогрева
Назначение, структура, характеристики анализаторов
Промышленные пылесосы
Штампованные гайки из пружинной стали
Консервация САУ
Стандарты и качество
Технология производства
Водород
Выбор материала для крепежных деталей
Токарный резец в миниатюре
Производство проволоки
Адгезия резины к металлокорду
Электролитическое фосфатирование проволоки
Восстановление корпусных деталей двигателей
Новая бескислотная технология производства проката
Синие кристаллы
Автоклав
Нормирование шумов связи
Газосварочный аппарат для тугоплавких припоев
|
Главная страница / Архитектура отрасли ПРОСТРАНСТВО ДОВЕРИЯ – Прежде чем начать разговор о рынке СЗИ, предлагаю определиться с кругом понятий. Информационная безопасность и защита информации – это одно и то же? Нет, это разные понятия. Сегодня под защитой информации понимается в общем случае некий определенный набор организационных и технических мер по обеспечению доступности, целостности и конфиденциальности информации, циркулирующей в рамках корпоративной информационной системы (ИС). Информационная безопасность представляет собой широкий комплекс мер, включающий в том числе защиту информации. Она преследует более глобальную цель: обеспечить в рамках компании некую доверенную информационную среду или, как сейчас модно говорить, единое информационное пространство, которое позволит компании успешно работать в сложившихся условиях. Под последними могут пониматься как банальные перебои с электропитанием, так и активное информационное противодействие со стороны конкурентов. Таким образом, можно сказать, что защита информации – это обеспечение информационной безопасности компании на уровне ИС. – Можно ли каким-то образом квалифицировать системы защиты информации? Насколько мне известно, предпринималась попытка квалифицировать ИС как защищенные, надежно защищенные и гарантированно защищенные. Считаю, что подобно булгаковской "осетрине второй свежести" ИС предприятия является либо защищенной, либо нет. Может быть, имеет смысл проводить квалификацию СЗИ с технологической или организационной точек зрения. В таком случае, на мой взгляд, можно выделить четыре основных типа или, точнее, этапа развития систем. • Однокомпонентные системы, которые строятся на базе одного, как правило, узкоспециализированного продукта по защите информации. • Многокомпонентные системы, строящиеся на базе нескольких продуктов, каждый из которых решает свою конкретную задачу. При этом используемые в многокомпонентной СЗИ продукты и технологии по защите информации никак не связаны между собой (ни технологически, ни организационно). • Комплексные системы защиты, представляющие собой дальнейшее развитие многокомпонентных СЗИ, где используемые продукты, технологии и решения объединяются на организационном уровне, с тем чтобы обеспечить максимальную степень защищенности корпоративной ИС в целом. Очевидно, что при этом надежность всего комплекса эквивалентна стойкости самого слабого его звена. • Интегрированные СЗИ, в которых все элементы защиты объединяются (интегрируются) не только на организационном, но и на техническом и даже технологическом уровнях. В таком случае компрометация одного из элементов защиты должна надежно компенсироваться противодействием других ее элементов. На мой взгляд, построение по-настоящему интегрированных СЗИ сегодня пока еще невозможно по техническим причинам. Стало быть, оптимальным решением можно считать построение комплексных СЗИ. – Чем определяется надежность (эффективность) СЗИ? Существует ли методика оценки ее эффективности оценки эффективности СЗИ, основанные на анализе архитектуры системы, прогнозе финансовых рисков и т. п. Но это отдельная тема. В двух словах я бы ответил на вопрос так: эффективность корпоративной СЗИ заключается в том, чтобы ...компания не замечала ее эффективности. СЗИ должна работать максимально "прозрачно" для компании и при этом обеспечивать наивысший уровень защиты информации. Другими словами, эффективная СЗИ не должна "напоминать" о своем существовании: пользователям – какими-то неудобствами в работе; руководству – фактами утечки конфиденциальной информации. На мой взгляд, этого можно добиться только в том случае, если СЗИ достаточно плотно технологически интегрирована в корпоративную ИС, а организационно – в структуру рабочих процессов компании. – Получается, что решение по обеспечению информационной безопасности предприятия неразрывно связано с процессами автоматизации? Совершенно верно. Невозможно заниматься организацией или оптимизацией бизнес-процессов, затем отдельно их автоматизировать, а потом еще и "защищать". Поступить таким образом, конечно, можно (так, к сожалению, в большинстве случаев и бывает), но положительного результата достичь при этом, как правило, не удается – система, как мы говорим, "расходится". На практике это означает, что сначала ИС не "уживается" с рабочими процессами, а затем еще и СЗИ постоянно "вмешивается" в работу. В итоге снижается эффективность компании, несмотря на полную автоматизацию и защиту. Приведу простой пример. Одной из задач, решаемых при создании СЗИ, является классификация корпоративной информации по категориям и разграничение прав доступа к ней различных сотрудников компании. Очевидно, что ИС должна изначально строиться с учетом требований. Но такая информация сама по себе не появится до анализа и "настройки" рабочих процессов. К сожалению, очень часто бизнес-процессы в компании организованы не самым оптимальным образом, вследствие чего через какую-то точку в структуре компании проходит информация, которая именно здесь совершенно не нужна для работы. Или, что еще хуже, в данной точке смешиваются потоки разных уровней конфиденциальности. ИС повторяет эту ошибку, в результате чего создается уязвимость, справиться с которой возможно только путем снижения эффективности СЗИ или чрезмерного увеличения ее стоимости. С уверенностью можно сказать, что информационная безопасность начинается на уровне бизнес-процессов. – Есть ли различия между российским подходом к проблеме защиты информации и методами, используемыми в США и Европе? Вопрос сложный. Основное различие заключается в некоторой "самостийности" российского рынка защиты информации. Первое проявление этой самой "самостийности" касается, например, подхода к разработке средств защиты информации. Запад уже давно понял, что всеобщая (и добровольная!) стандартизация в области информационных технологий обеспечивает более высокую надежность ИС, преемственность платформ, совместимду выбора и, самое главное, способствует сохранению инвестиций. Открытый стандарт, в том числе в области защиты информации, для западного менталитета означает, что над ним потрудились лучшие специалисты, он всесторонне протестирован, своевременно дополняется и совершенствуется. То есть на сегодняшний день он идеально соответствует потребностям рынка. В России такого доверия открытым стандартам и продуктам на их базе пока нет, хотя опыт последних двадцати лет, думается, не оставил альтернатив открытым стандартам. Второе проявление более серьезно и заключается, на мой взгляд, в излишней законодательной "зарегулированности" российского рынка защиты информации, которая тем не менее не дает четкой и целостной правовой картины относительно того, что "можно", а что "нельзя". В результате получается парадокс: защищать свою конфиденциальную информацию обязаны все, но построить нормально работающую СЗИ в рамках правового поля практически невозможно. Одним из ключевых вопросов по-прежнему остается криптография. Ведь сегодня фактически каждый IT-продукт в той или иной форме содержит криптографию, в большинстве случаев она жестко встроена в продукт. Поэтому пользователь по существу стоит перед альтернативой: либо работать на уровне DOS, либо нарушать закон. Главная страница / Архитектура отрасли |