На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 1 январь-февраль 2009 г.
Тема номера:
ТЕХНИЧЕСКИЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ИБ


ДА КОМУ НУЖНЫ ЭТИ ФАЙЛЫ?!

В. В. Артюхин, к. э. н., доцент,
системный аналитик компании «MIIT-Expert»,
член Экспертного совета МОО ВПП ЮНЕСКО «Информация для всех»


Предыдущая статьяСледующая статья

КАТАЛОГ оборудования для противодействия экономическому шпионажуВведение

Информационная безопасность – это состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие в организации, предприятии. Соответственно, защита информации – это процесс, направленный на достижения безопасного состояния информационной среды. В качестве стандартной модели безопасности часто приводят модель из трех категорий:

  • конфиденциальность (англ. confidentiality);
  • целостность (integrity);
  • доступность (availability).

Под конфиденциальностью понимается доступность информации только определенному кругу лиц, под целостностью – гарантия существования информации в исходном виде, под доступностью – возможность получения информации авторизованным пользователем в нужное для него время.

На самом деле определений понятия «информационная безопасность» множество и приведенное ничем не хуже других. Тем паче, что у каждого пользователя, вне зависимости от его компетенции, существует собственное интуитивное, неполное, но в целом верное представление о ней.

В октябре 2008 года мне на глаза попал документ Европейского агентства по безопасности сетей и информационной безопасности (ENISA) под названием «Руководство для ИТ-специалистов по обоснованию необходимости расходов на безопасность». В своем комментарии к нему я отметил, что организациям и компаниям наряду с заботой о работе ИТ-специалистов стоило бы уделять более пристальное внимание пропаганде и обучению рядовых пользователей компьютеров (которые составляют подавляющее большинство всех пользователей вообще) в области информационной безопасности. Самим же пользователям я позволил себе порекомендовать почитать на эту тему что-нибудь популярное, например одну из книг Кевина Митника.

Не прошло и двух недель, как вышеупомянутое агентство ENISA выпустило еще один документ – «Социальная инженерия: эксплуатация наиболее слабого звена», включающий, помимо прочего, интервью с вышеупомянутым Митником.

Конечно, между этими двумя событиями (моим комментарием и выходом нового документа) нет никакой связи, кроме разве что кармической, однако приятно почувствовать себя провидцем, хотя бы на секунду, и отметить, что между моими частными соображениями и выводами ENISA наблюдается определенная корреляция.

Впрочем, довольно скоро стало понятно, что с последним выводом я погорячился, и вот почему. Термин «социальная инженерия» определяет технику использования человеческих слабостей и манипулирования людьми с целью заставить их нарушить принятые процедуры, связанные с информационной безопасностью. Рассмотрим это определение подробнее.

  • Фрагмент «…использования человеческих слабостей и манипулирования людьми…» однозначно предполагает наличие злого умысла, однако многие «неправильные» вещи очень часто делаются или случаются при его отсутствии: по недосмотру, забывчивости, рассеянности или из-за какой-нибудь другой безобидной особенности, совокупность которых делает нас людьми.
  • Сочетание слов «…нарушить… процедуры…» должно означать, что в обычных обстоятельствах эти процедуры всегда соблюдаются, но это не так, и даже наоборот – с течением времени при работе без происшествий наблюдается тенденция к снижению бдительности пользователей (ведь если на ваш почтовый ящик в течение полугода не приходило ни одного спамерского письма, вы станете более доверчивы к почте, чем в случае, если вас ежедневно бомбардируют письмами со ссылками на зараженные файлы, чьи-то частные фотосессии и страницы компаний, обещающих перевезти вашу мебель в целости и сохранности куда душе угодно).
  • Наконец, выражение «принятые процедуры» наводит на мысль о том, что такие процедуры существуют и они приняты, хотя во многих компаниях никто понятия не имеет о значении термина «политика информационной безопасности», если же она существует, то часто как бы отдельно от пользователей, а с паролями типа «123456» даже в крупных организациях мне приходилось сталкиваться в своей практике значительно чаще, чем с составленными из бессмысленной последовательности букв и цифр.

Защититься от злоумышленника, безусловно, важно, однако если пользователь не знает, в чем заключаются упомянутые выше процедуры, связанные с защитой информации, то он может 24 часа в сутки бдительно озираться в поисках врага и просыпаться по ночам в холодном поту, но все равно не узнает, не поймет и не запомнит, когда и где он совершил прокол.

Не менее значимы и технические средства защиты, однако они значительно менее полезны, если пользователь не подозревает, от чего они его защищают, а от чего – нет. В таком случае они дают ложное чувство уверенности в абсолютной защищенности «от всего».

Наиболее важно на сегодняшний день хотя бы ознакомить пользователя с тем, чего ему вообще следует опасаться в стране битов и байтов (впрочем, сегодня это уже ГИГАбиты и ТЕРАбайты).

Некоторое время тому назад я удивился, отметив, что на пленарном заседании Слушаний по вопросам развития информационного общества в Общественной палате РФ проблемы, связанные с информационной безопасностью, затрагивались лишь вскользь. Поразмыслив, я понял, что иначе и быть не могло: задачей Общественной палаты является донесение социальных заказов до власти, а социального заказа на обеспечение информационной безопасности в ее широком, общественном смысле нет, потому что в самом обществе нет достаточно ясного понимания ее назначения и связанных с ее нарушением угроз.

В такой ситуации у рядового пользователя реже возникает вопрос о том, как защитить свои данные, и чаще тот, который вынесен в заглавие статьи. Это логично, поскольку, даже чтобы задать первый вопрос, необходимо сначала как-то ответить на второй, что я и пытаюсь сделать в этой работе.

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100