Статьи

Информационная безопасность

Что такое «информационная безопасность»? Вопрос сложный и слишком общий. Мало того, представление об этом понятии меняется со временем. Это напоминает вопрос «что такое – вкусный?». С одной стороны – для каждого свое, а с другой стороны – есть общие принципы и представления.

Я бы сказал, что «информационная безопасность» — это комплекс как технических, так и человеческих правил, методов и приемов, которые обеспечивают достаточно сложный доступ злоумышленникам к определенной информации в любой ее форме.

Наверное, требуются пояснения.

Итак, прежде всего, информационная безопасность не может быть реализована только техническими решениями. По той причине, что техника сама по себе не преследует никаких личных целей по отношению к управлению данными (Скайнет не появился, терминаторы с населением еще воюют). То есть, в конечном итоге, интерес к информации всегда имеет человек, а значит, именно человек является носителем ключей доступа к информации (в широком смысле слова «ключей»). То есть, какой бы совершенной системе ни была, если человек может легко потерять ключи, если ключи легко отделимы от собственника конфиденциальной информации, если не принимаются никакие меры по обеспечению культуры хранения информации, то защита не реализована.

Поэтому когда меня привлекают для аудита информационной безопасности, внутренним правилам работы сотрудников, должностным инструкциям и другим нетехническим вопросам уделяется не меньше внимания, чем техническим решениям.

Далее. Почему я говорю о «достаточно сложном доступе злоумышленникам». Потому, что 100% защищенных систем не бывает. Информация не может быть вообще недоступна, так как тогда они не имеет смысла, ее никто (даже владелец) не может использовать. Вообще, если подумать, информация возникает именно в процессе использования, а не в процесс хранения (это как что-то   из корпускулярно-волновой теории света, Эйнштейн бы одобрил). То есть, если есть диск с данными о всех тайнах вселенной, но мы не можем никак его прочитать, то это все равно, что такого диска и такой информации нет.

А раз так, то как бы ни была защищена наша информация, к ней все равно есть должен быть доступ, а значит, по определению, это не 100% защита. Поэтому защищать данные надо так, чтобы работа по их добыванию стоила злоумышленникам больше, чем те ожидания, которые они испытывают получить от доступа к данным.

Отдельно надо сказать о стоимости и ценности данных. Стоимость данных – это сколько данные стоят на рынке. Например, данные о клиентах торговой компании могут стоить на рынке 10 000 долларов. За такую сумму недобросовестные конкуренты готовы нанять хакера для получения этих данных. А вот, например, ваш личный домашний фотоархив имеет стоимость, стремящуюся к нулю (сели вы не звезда и не политик). Никто не будет платить за ваши детские фотографии. Стоимость равна нулю. Но вот ценность для вас велика, то есть, сумма, которую вы готовы заплатить, чтобы не потерять эти данные. Чувствуете разницу? В первом случае задачей информационной безопасности является задача защиты от несанкционированного доступа, чтения информации. А во втором – защита от уничтожения и потери данных. Поэтому для каждого типа данных в организации должны быть определены риски, стоимость и ценность информации и уже на базе этих представлений строится информационная безопасность.

Ну, и напоследок, нельзя не сказать о комплексности информационной безопасности. Какую бы системы вы ни поставили, она должна быть сбалансирована. Нет смысла ставить отличный сложный замок на дверь дома, где всегда открыты окна. К сожалению, мне часто приходится сталкиваться именно с несбалансированностью информационной защиты предприятий, когда частично внедрены отличные решения, но они не закрывают саму проблему. Проектирую информационную безопасность компании, надо обязательно обеспечить ее комплексность полноту.