Основные проблемы создания и использования информационных систем (информационных ресурсов) организации

К настоящему времени в нашей стране еще не сложился стандартный подход к оценке эффективности работы подразделений информационной безопасности и определенный взгляд на роль факторов, оказывающих влияние на уровень интегральной безопасности организации. Регулирующие ведомства пока не подают признаков того, что они готовы трансформировать свои взгляды в сторону более реального учета проблем и потребностей гражданского сектора. Все это, несомненно, влияет на выработку политики безопасности информационных систем организации и ведет к необходимости учета следующих факторов:

• определения целей защиты;
• определения объекта защиты;
• определения актуальных угроз, субъектов этих угроз, выбора профилей защиты;
• разработки методов определения качества защиты или выбора уже существующих систем критериальных оценок;
• получения гарантий защищенности системы.

В условиях сложившейся неопределенности достаточно распространена ситуация, когда организация, заказывая услуги в сфере безопасности информационных систем, плохо представляет себе роль и место конкретной услуги, равно как и ее вклад в интегральный уровень безопасности. Как следствие, резко увеличиваются затраты на обеспечение безопасности при практической неопределенности в оценке достигнутого эффекта. При этом парадокс состоит в том, что при дальнейших вложениях неопределенность оценок практически не снижается, а сложность реализации мер безопасности растет.

В практической работе по организации и поддержанию уровня безопасности адекватного потребностям организации (защищенности, сохранности) информационных ресурсов при разработке политики безопасности в условиях неопределенности и неоднозначности действующей в стране концептуальной, законодательной и нормативной базы волей-неволей приходится сталкиваться с весьма разноплановыми факторами, влияющими на формирование этой политики.

Следует также отметить, что любой заказчик услуг безопасности находится под сильным интеллектуальным давлением поставщиков таких услуг, и в первую очередь, поставщиков оборудования и программных средств безопасности, а эти средства ориентированы на самую распространенную модель угроз — модель НСД. В результате, при отсутствии собственной адекватной реалиям политики безопасности заказчик приобретает те услуги, которые предлагают поставщики, а не те, которые необходимы самой организации. Между тем, уровень многих фирм, даже владеющих всеми необходимыми лицензиями, далек от совершенства. Необходимо понять комплекс упомянутых проблем, выстроить эффективную политику безопасности организации, а также политику работы с поставщиками услуг, помогает многоуровневая модель структуризации объектов информационной безопасности, суть которой состоит в следующем.

Необходимо понять комплекс упомянутых проблем, выстроить эффективную политику безопасности организации, а также политику работы с поставщиками услуг, помогает многоуровневая модель структуризации объектов информационной безопасности, суть которой состоит в следующем.

Анализ ИТ-инфраструктуры организации позволяет выделить семь уровней технологий и реализуемых ими процессов, для которых принципиально различаются актуальные угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности и, наконец, терминология (см. рис. 1).

Эта модель несколько условна. Не во всех случаях наличествуют не все обозначенные уровни, однако в большой организации, владеющей собственной корпоративной сетью, все уровни прослеживаются совершенно определенно.

Как правило, предложения по очень хорошим, эффективным и сертифицированным средствам обеспечения безопасности не выходят за III уровень и защищают от угроз, исходящих от субъекта НСД.

Однако парадокс ситуации заключается в том, что наиболее опасным субъектом угроз в организации является легальный пользователь, допущенный к ее ресурсам. (В частности, это подтверждает статистика по преступлениям в банковской сфере.) Значение субъекта легального доступа резко возрастает от III к VI уровню — именно там, где практически нет специальных средств защиты и вся безопасность базируется на настройках систем управления доступом, аудита, обеспечения целостности программ и штатности выполняемых бизнес-процессов.

На устойчивость обеспечивающих безопасность настроек влияет их доступность большому числу администраторов систем и программистов. Так как степеней свободы у специалистов данной категории много, а мониторинг их деятельности, как правило, весьма слаб, в этой зоне налицо отсутствие «прозрачности» и высокая степень риска. Иными словами, на этих уровнях резко возрастает роль «человеческого фактора», самой нестабильной и изменчивой составляющей во всей совокупности проблем, влияющих на безопасность.

Еще тяжелее ситуация на VII уровне. Здесь царит так называемый «пользователь», т. е. тот самый «субъект легального доступа», о котором так много говорилось в этой статье. Для него компьютер — не более чем вспомогательный инструмент на его рабочем столе, со средствами НСД он сталкивается только при наборе пароля на вход и при его замене, в чужие каталоги не лазает, о проблемах настроек маршрутизаторов сети и сетевой безопасности понятия не имеет. Кроме того, как правило, он располагает разнообразными средствами коммуникаций (факс, телефон, электронную почту, Internet) и, само собой, может скопировать данные на отчуждаемый носитель. ИТ-служба постоянно заботится о том, чтобы предоставить ему еще больше услуг, больше удобств. Совсем иная картина в сфере безопасности. Подразделение безопасность информационных систем доступные ему инструменты уже применило; все остальное, как правило, формально не подпадает под его компетенцию. В компетенцию какой службы попадает проблема злоупотребления легальным доступом? Тут нет готовых решений. К сожалению, тут можно дать рекомендации лишь общего характера [4].

 

Используемые источники:

 

1     2

К списку эссе   На главную