2. Фундаментальные основы
В основе информационной безопасности лежат две вещи: безопасность и информация. Как ни странно. И если с безопасностью все более-менее понятно, это роднит нас безопасносниками в широком смысле слова (даже экологической безопасностью и охраной труда), то вторая составляющая уводит нас в какие-то неведомые дали, где темный лес и партизаны.
Разумеется, как и любая отрасль, возникшая на стыке двух отраслей (безопасность и работа с информацией), вбирает все самое лучшее и худшее от своих родителей, и, в результате синергии, порождает новые плюшки и проблемы.
И первую мину нам подкладывает информация. Каждый безопасник с младых лет знает, что информация правит миром. Знаешь, что не знают другие – красавчик. Враги узнали, что у нас решетки в канализации сгнили – ты в шоколаде, но не во вкусном. Пока все четко, и соотносится с окружающей действительностью.
В какой-то момент стали развиваться способы обработки информации. Стала развиваться безопасность (см. легендарную эпоху). Особо секретные послания стали шифровать, а прото-хакеры стали эти шифры ломать (проблема конфиденциальности). Ввиду слабости бумаги, как носителя, к огню и другим деструктивным воздействиям решались проблемы целостности и доступности.
Когда от бумаги шагнули к компьютерам, в принципе все осталось, как и есть, изменившись внешне. Все те же самые угрозы, но реализуемые с помощью компьютера. Где-то тут организуется отрасль информационной безопасности. Вдруг. Взяла и появилась.
Возникает вопрос – а когда информация была на бумаге, что не надо было ее защищать? Нет, защищать надо было. Может что-нибудь принципиально поменялось в обработке и передаче информации? Нет, не поменялось. Не суть важно, хранится ли секретное письмо на флешке или распечатанное в сейфе. Атаки на каналы передачи даже не изменились. Курьера все также можно перехватить, обмануть, напоить, подменить и прочее.
Т.е. по сути безопасники всю жизнь занимались защитой этой самой информации, но как-то не додумались называться информационными безопасниками. Напрашивается простое следствие, информационные безопасники в текущем своем виде защищают не информацию, а средства обработки и передачи оной.
Поэтому какую именно информацию защищать нам говорят сторонние люди. Владельцы информации. Почитайте любой стандарт.
Именно поэтому информационные безопасники почти не касаются защиты информации, обрабатываемой не на компьютере.
Информационный безопасник должен защитить компьютер, сеть передачи, но не определяет, какую информацию он должен защищать. Безопасник же должен быть как юрист, знать, что, как и почему. ИБ не знает почему.
Есть такой очень показательный пример, иллюстрирующий проблему. Крупный рейтел проходит пилотирование DLP очень известного вендора. Выявляют портал, смотрящий в интернет. А там… мамочки родные, вся информация о планируемой через месяц акции, цены, позиции и все-все-все. Разумеется, в открытом доступе и без паролей.
Любому информационному безопаснику понятно, что это зашквар высшей пробы. Информация о ценах и планируемой акции (до кучи были добавлены в список КТ), в открытую сеть, да без паролей, да неограниченному кругу лиц. Любой более-менее опытный безопасник на данном прецеденте развернет обоснование системы защиты и будет еще лет 5 вспоминать.
Все это красиво пишется в отчет и отсылается руководству. Руководство кладет болт. Проекта не получилось, систему не купили, даже не наказали никого.
Оказалось, все довольно просто: этот отчет он попал к безопасникам, которые именно что определяют риски для бизнеса. И оказалось, сюрприз-сюрприз, просто ритейл не конкурирует между собой по цене. А список КТ откуда-то скопипастили, так туда цены и попали. Список-то ибешники делали.
Понятно, что из одного примера не надо делать далеко идущих выводов. Но посмотрите с другой стороны. Вся информация, которую мы защищаем – это либо защищаемая законом, либо что-то абстрактное в виде ноу-хау и конфиденциальной информации.
Да, и есть проблемы с самой информацией. Почему на ИБ не выделяют денег (во всяком случае, как на другую безопасность или ИТ)? Потому что в 90% случаев ущерб минимальный. В подавляющем большинстве случаев критичная и важная информация обрабатывается дедовскими способами. Ключевое ноу-хау — оно не в документе, оно в голове ключевого человека или группы.
Из общеупотребимых видов информации реальный ущерб есть только в персональных данных. В коммерческой тайне разве что у банков и трейдеров, да и то срок критичности иногда измеряется часами или минутами.
Вот что коммерчески критичного можно узнать об обычном ООО, чтобы потом использовать? Да. Да, дорогой друг. Мало узнать информацию, надо ее еще использовать. Помню, когда утекли в сеть исходники Windows 2000, какой хай стоял. У меня даже где-то лежат до сих пор. И что?
С персональными данными понятно: их разглашение нанесет ущерб широкому кругу лиц. А остальное?
Вот и получается, что, не смотря на громкое звание информационных безопасников – мы сами себя загнали в настройщики компьютеров со специфическим уклоном. Именно поэтому периодически возникают разговоры ИБ – должна подчиняться ИТ или блоку безопасности? Почему-то у пожарной безопасности не ведется речи, что они должны подчиняться районной пожарной части.
Уведомление: Хайпожор: Обоснование затрат на информационную безопасность | Дудко Дмитрий - ddudko.ru