Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

ПРОСТРАНСТВО ДОВЕРИЯ

– Прежде чем начать разговор о рынке СЗИ, предлагаю определиться с кругом понятий. Информационная безопасность и защита информации – это одно и то же?

Нет, это разные понятия. Сегодня под защитой информации понимается в общем случае некий определенный набор организационных и технических мер по обеспечению доступности, целостности и конфиденциальности информации, циркулирующей в рамках корпоративной информационной системы (ИС).

Информационная безопасность представляет собой широкий комплекс мер, включающий в том числе защиту информации. Она преследует более глобальную цель: обеспечить в рамках компании некую доверенную информационную среду или, как сейчас модно говорить, единое информационное пространство, которое позволит компании успешно работать в сложившихся условиях. Под последними

могут пониматься как

банальные перебои с электропитанием, так и активное информационное противодействие со стороны конкурентов.

Таким образом, можно сказать, что защита информации – это обеспечение информационной безопасности компании на уровне ИС.

– Можно ли каким-то образом квалифицировать системы защиты информации?

Насколько мне известно, предпринималась попытка квалифицировать ИС как защищенные, надежно защищенные и гарантированно защищенные. Считаю, что подобно булгаковской "осетрине второй свежести" ИС предприятия является либо защищенной, либо нет. Может быть, имеет смысл проводить квалификацию СЗИ с технологической или организационной точек зрения. В таком случае, на мой взгляд, можно выделить четыре основных типа или, точнее, этапа развития систем.

• Однокомпонентные системы, которые строятся на базе одного, как правило, узкоспециализированного продукта по защите информации.

• Многокомпонентные системы, строящиеся на базе нескольких продуктов, каждый из которых решает свою конкретную задачу. При этом используемые в многокомпонентной СЗИ продукты и технологии по защите информации никак не связаны между собой (ни технологически, ни организационно).

• Комплексные системы защиты, представляющие собой дальнейшее развитие многокомпонентных СЗИ, где используемые продукты, технологии и решения объединяются на организационном уровне, с тем чтобы обеспечить максимальную степень защищенности корпоративной ИС в целом. Очевидно, что при этом надежность всего комплекса эквивалентна стойкости самого слабого его звена.

• Интегрированные СЗИ, в которых все элементы защиты объединяются (интегрируются) не только на организационном, но и на техническом и даже технологическом уровнях. В таком случае компрометация одного из элементов

защиты должна надежно компенсироваться противодействием других ее элементов.

На мой взгляд, построение по-настоящему интегрированных СЗИ сегодня пока еще невозможно по техническим причинам. Стало быть, оптимальным решением можно считать построение комплексных СЗИ.

– Чем определяется надежность (эффективность) СЗИ? Существует ли методика оценки ее эффективности оценки эффективности СЗИ, основанные на анализе архитектуры системы, прогнозе финансовых рисков и т. п. Но это отдельная тема.

В двух словах я бы ответил на вопрос так: эффективность корпоративной СЗИ заключается в том, чтобы ...компания не замечала ее эффективности. СЗИ должна работать максимально "прозрачно" для компании и при этом обеспечивать наивысший уровень защиты информации. Другими словами, эффективная СЗИ не должна "напоминать" о своем существовании: пользователям – какими-то неудобствами в работе; руководству – фактами утечки конфиденциальной информации. На мой взгляд, этого можно добиться только в том случае, если СЗИ достаточно плотно технологически интегрирована в корпоративную ИС, а организационно – в структуру рабочих процессов компании.

– Получается, что решение по обеспечению информационной безопасности предприятия неразрывно связано с процессами автоматизации?

Совершенно верно. Невозможно заниматься организацией или оптимизацией бизнес-процессов, затем отдельно их автоматизировать, а потом еще и "защищать". Поступить таким образом, конечно, можно (так, к сожалению, в большинстве случаев и бывает), но положительного результата достичь при этом, как правило, не удается – система, как мы говорим, "расходится". На практике это означает, что сначала ИС не "уживается" с рабочими

процессами, а затем еще и СЗИ постоянно "вмешивается" в работу.

В итоге снижается эффективность компании, несмотря на полную автоматизацию и защиту.

Приведу простой пример. Одной из задач, решаемых при создании СЗИ, является классификация корпоративной информации по категориям и разграничение прав доступа к ней различных сотрудников компании. Очевидно, что ИС должна изначально строиться с учетом требований. Но такая информация сама по себе не появится до анализа и "настройки" рабочих процессов.

К сожалению, очень часто бизнес-процессы в компании организованы не самым оптимальным образом, вследствие чего через какую-то точку в структуре компании проходит информация, которая именно здесь совершенно не нужна для работы. Или, что еще хуже, в данной точке смешиваются потоки разных уровней конфиденциальности. ИС повторяет эту ошибку, в результате чего создается уязвимость, справиться с которой возможно только путем снижения эффективности СЗИ или чрезмерного увеличения ее стоимости. С уверенностью можно сказать, что информационная безопасность начинается на уровне бизнес-процессов.

– Есть ли различия между российским подходом к проблеме защиты информации и методами, используемыми в США и Европе?

Вопрос сложный. Основное различие заключается в некоторой "самостийности" российского рынка защиты информации.

Первое проявление этой самой "самостийности" касается, например, подхода к разработке средств защиты информации. Запад уже давно понял, что всеобщая (и добровольная!) стандартизация в области информационных технологий обеспечивает более высокую надежность ИС, преемственность платформ, совместимду выбора и, самое главное, способствует сохранению инвестиций. Открытый стандарт, в том числе в области защиты информации, для западного менталитета означает, что над ним потрудились лучшие специалисты, он всесторонне протестирован, своевременно дополняется и

совершенствуется. То есть на сегодняшний день он идеально соответствует потребностям рынка. В России такого доверия открытым стандартам и продуктам на их базе пока нет, хотя опыт последних двадцати лет, думается, не оставил альтернатив открытым стандартам.

Второе проявление более серьезно и заключается, на мой взгляд, в излишней законодательной "зарегулированности" российского рынка защиты информации, которая тем не менее не дает четкой и целостной правовой картины относительно того, что "можно", а что "нельзя". В результате получается парадокс: защищать свою конфиденциальную информацию обязаны все, но построить нормально работающую СЗИ в рамках правового поля практически невозможно. Одним из ключевых вопросов по-прежнему остается криптография. Ведь сегодня фактически каждый IT-продукт в той или иной форме содержит криптографию, в большинстве случаев она жестко встроена в продукт. Поэтому пользователь по существу стоит перед альтернативой: либо работать на уровне DOS, либо нарушать закон.

Главная страница / Архитектура отрасли