Основные проблемы информационной безопасности
Смысл информационной безопасности сводится к двум основным положениям: информация должна быть сохранна, достоверна и доступна тем, кому она предназначена; информация должна быть защищена от несанкционированного просмотра, изменения и удаления.
Где же здесь место «компьютерной безопасности»? Надежность любой системы определяется самым слабым ее звеном. Жизнь доказывает, что почти в любой организации таким звеном выступает человек. Из всех проблем безопасности бизнеса на долю того, что можно хоть как-то отнести к «компьютерным проблемам», приходится совсем немного.
Это только в фильмах конкуренты или недоброжелатели зовут хакера, он что-то куда-то подключает, пару секунд щелкает клавишами и получает полный контроль (непонятно только, над чем). В нашей действительности все прозаичнее. Чаще всего предприятия страдают от нелояльности собственных сотрудников, болтовни и банального воровства. К компьютерам это ни малейшего отношения не имеет.
Более того, технические средства почти не способны предотвратить такие угрозы. «Человеческим фактором» научились управлять задолго до нас. Если игнорировать простые и эффективные «дедовские» методы, любые пароли, шифрование и прочие цифровые премудрости создают только иллюзию безопасности.
В разделе «Хранение информации» мы выяснили, как обеспечить формальную сохранность информации. Там же мы предложили оценивать данные «от противного»: каковы возможные убытки в случае их утраты?
Аналогично любую информацию можно оценить на предмет ее конфиденциальности. Что произойдет, если какой-то документ или база данных попадут к постороннему человеку? При этом учтите, что утечка документа вовсе не обязательно влечет за собой утечку знания. Например, текст договора или коммерческого предложения никоим образом не дает понять, к кому, как и с чем нужно подойти для успешного заключения сделки. Это, скажем так, неформальная сторона вопроса — вряд ли кто-то в здравом уме станет ее где-то фиксировать. Вспомним, что тендеры проводятся открыто, но победитель их часто бывает известен заранее!
«Классический» подход к компьютерной безопасности предполагает, что все узлы сети защищены паролями, используется шифрование данных, а каждому из сотрудников дан строго определенный набор прав на доступ к тем или иным ресурсам, включая его рабочий компьютер. Ограничения доступа накладываются на нескольких уровнях: пароли на BIOS компьютера, пароли к учетным записям пользователей ОС, разрешения на уровне файловой системы и сетевого доступа, локальные политики безопасности, настройки брандмауэра.
Такая организация иногда встречается там, где есть обученные системные администраторы, и работают они в полном согласии с руководством. Не случайно шутят, что паранойя — нормальное состояние специалиста по безопасности!
«Классический подход» хорош в тех случаях, когда за каждым закреплен свой узенький участок работы, все роли и функции жестко распределены и неизменны. Однако нужно понимать: чем строже ограничения, тем хуже обстоит дело с «usability». Необходимость помнить и часто вводить пароли устраивает далеко не всех.
Полная противоположность — отсутствие каких-либо ограничений, когда дело пущено на самотек. Все открыто для всех, если без паролей никак не обойтись (учетная запись почты, например), то они написаны на бумажках, прилепленных к монитору, брандмауэры отключены, антивирусы не установлены и т. д. В маленькой фирме можно порекомендовать «практический подход»: некоторые ограничения нужны, но без фанатизма. Оцените реальные угрозы и защитите лишь то, что действительно важно. Какие проблемы действительно серьезны и вероятны?