Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите демоверсию и консультацию

+7(495) 221-24-31
или

Узнайте стоимость


Вернуться к списку

Суть компьютерной безопасности – не в софте и «железе»

Ключевые факторы для создания работающей системы информационной безопасности –хорошо обученный персонал и эффективные регламенты, в то время как роль оборудования и программного обеспечения вторична. Однако среди ИТ-сообщества широко распространено заблуждение, что чем больше закупается соответствующих программно-аппаратных средств, те больше безопасности. Если бы всё было так просто!

Выпущенный компанией Gartner в марте 2005 года исследовательский отчёт «Лучшие поставщики продуктов для обеспечения безопасности и защиты персональных данных» (Cool Vendors in Security and Privacy) хорошо иллюстрирует подобное отношение к информационной безопасности. В отчёте 14 ветеранов-аналитиков Gartner отобрали 15, с их точки зрения, лучших программных средств обеспечения безопасности. Проблема в том, что Gartner сильно переоценивает пользу от программного обеспечения, пренебрегая той важной ролью, которую играют персонал, обучение и регламенты.

Для Gartner, как и для всей индустрии средств безопасности,  безопасность = программное обеспечение + оборудование. Нигде в отчёте нет упоминания о том, что все эти продукты работают только тогда, когда применяются в рамках эффективной архитектуры и методологии системы безопасности. Говоря по-простому, ни одно, даже самое замечательное средство обеспечения безопасности, никогда не решило само по себе ни единой проблемы в этой области.

В своей основе, проблема обеспечения безопасности – это вопрос о том, как управлять и контролировать сложность системы. Если у организации уже не получается управление сложностью, то добавление в её инфраструктуру дополнительных элементов (IDS, VPN, разных популярных продуктов и т.д.), - это самый неправильный путь, поскольку новые продукты увеличивают сложность инфраструктуры, а сложность – враг безопасности.

Трёхэтапный метод построения эффективной системы информационной безопасности

Следует понять, что бездумная закупка всё новых и новых средств обеспечения безопасности (неважно, плохих или хороших), не решает имеющихся проблем. С тем, чтобы приступить к построению действительно эффективной системы, требуется новый подход, избавляющий организацию от «привязанности» к «техническим» средствам.

Я предлагаю трехэтапный метод, позволяющей организации создать работающую инфраструктуру информационной безопасности и позволяющий ей вырваться из порочного круга ненужных закупок средств обеспечения безопасности.

Этап 1: Годичный мораторий на закупки средств безопасности

Годичный мораторий на закупки позволит разорвать порочный круг приобретения средств безопасности единственной по той причине, что они кажутся «славными» (cool). Приостановление закупок даст организациям время на то, чтобы сфокусироваться на коренных проблемах в области безопасности и отбросить ту видимость безопасности, которую возникает в процессе приобретения всё новых и новых продуктов.

Когда организация более не сможет приобретать новые продукты, ей придётся столкнуться с проблемой информационной безопасность лицом к лицу, и провести необходимые изменения в инфраструктуре, обеспечивающие безопасность корпоративных информационных ресурсов. Кроме того, как часто трудности сваливаются на то, что «продукт не работает»! Если убрать из этого «уравнения» продукт, руководству уже не удастся во всём обвинить средства обеспечения безопасности, и ему придётся обратить внимание на истинные причины проблем.

Отчасти необходимость временно приостановить закупки средств безопасности связана не с тем, что эти средства не работают, а с тем, что их развёртывание идёт вне какой-либо управленческой концепции или методологии. Прекращение закупок позволяет выбросить эти дорогостоящие костыли, которые слишком долго мешали организациям идти вперёд.

Если выяснится, что имеется неотложная нужда в каком-либо средстве обеспечения безопасности, его нужно покупать только после того, как разработаны соответствующие регламенты и процедуры по его использованию. В них должно быть чётко зафиксировано, кто будет «владельцем» этого средства, кто будет контролировать его работу, как поступающая информация будет распространяться и т.д. Такой подход следует применять и по окончании годичного моратория на закупки.

Этап 2: Планируйте свои сети так, как если бы брандмауэров не существовало

Брандмауэры (firewalls) в своей первоначальной конфигурации обычно «чисты и незапятнанны», но с течением времени начинают пропускать слишком много протоколов и трафика. Кроме того, руководство часто излишне полагается на надёжность брандмауэров.

Сегодняшний брандмауэр – это уже не только и не столько средство сетевой защиты. В нём столько дополнительных функций и служб, что он скорее является сервером приложений с некоторой дополнительной функциональностью по обеспечению безопасности.

Следует пересмотреть структуру сетей, считая, что на «внешнем периметре» как бы вообще нет защищающих сеть брандмауэров. Даже полное отсутствие брандмауэров не означает отсутствие безопасности в сети – рутеры, переключатели, файл-сервера и сетевые приложения, все они  имеют определенные функции для обеспечения безопасности. Если организация правильно использует эти функциональные возможности, то уровень безопасности может быть гораздо выше, чем при применении плохо сконфигурированного брандмауэра.

Наконец, думая об «укреплении» структуры сети, важно обеспечить разделение сети на сегменты, с тем, чтобы критически-важные сегменты были изолированы от менее важных путём установки тщательно сконфигурированных сетевых экранов. Это, заметим, может быть сделано только после полного пересмотра регламента и изменения структуры сети. Сегментация сети работает эффективно только тогда, когда имеется глубокое понимание своей инфраструктуры. Не ищите удобные программные средства, которые бы вам в этом помогли – их нет!

Этап 3: Обучение, распространение понимания проблем, и регламенты

Каждый доллар, потраченный на обучение персонала, на осознание сотрудниками важности информационной безопасности, и на разработку внутренних нормативных документов (три столпа информационной безопасности) даёт гораздо большую отдачу, чем доллар, потраченный на закупку программно-технических средств.  Особенно важно обучение – скажем, программисты, приученные использовать «безопасные» приёмы кодирования, с гораздо меньшей вероятностью напишут программы, уязвимые к атакам типа «переполнение буфера» и им подобным. Пользователи – «чума» систем безопасности – навредят гораздо меньше, если их обучать и проводить регулярную переподготовку по ключевым вопросам информационной безопасности.

С юридической и практической точек зрения, эффективные и продуманные регламенты обеспечения информационной безопасности при использовании информационных систем создают ту основу, на которой строится и поддерживается безопасность организации.

Наконец, важно понять, что все средства, сэкономленные на первом этапе, нужно направить на обучение персонала. Уходя от зависимости от программно-технических средств, организация получит гораздо лучшее представление о том, что на деле происходит в её сетях. А чем лучше будет понимание и контроль за функционированием сетей, тем надёжнее будет безопасность.

Выводы

Поскольку отсутствуют прямая связь между закупками средств обеспечения безопасности и созданием эффективной системы информационной безопасности, то организациям следует разорвать порочный круг постоянного приобретения всё новых программно-технических средств. Сложность заключается в том, что для отказа от привычного стиля работы нужна немалая храбрость.

Бен Ротке


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

19сентября

Конференция CNews «ИКТ в госсекторе 2018: цифровое будущее»

Узнать больше

19сентября

Конференция TAdviser «СЭД и ECM Day 2018»

Узнать больше

12сентября

Russian Enterprise Content Summit 2018

Узнать больше
Все мероприятия

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ