На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 2 март-апрель 2008 г.
Тема номера:
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


ОБЗОР ИСБ. ПРОБЛЕМЫ ИНТЕГРАЦИИ И КОМПЛЕКСИРОВАНИЯ

Н. В. Петров, к. т. н., руководитель направления проектирования СФЗ ООО «Эдванс»


Предыдущая статьяСледующая статья

В последние годы развитие рынка систем безопасности получило взрывообразный характер. Количество фирм, работающих в сфере безопасности, только по Северо-Западному региону составляет не одну сотню. Специалисты по разработке ПО, работающие в области безопасности, создают различные варианты систем безопасности, предназначенных для малых, средних и больших объектов. Российский рынок насыщен системами безопасности различного назначения как отечественного, так и зарубежного производства. В связи с этим настало время провести обзор, сравнительную оценку базовых направлений для проектирования систем безопасности и предложить рекомендации по их выбору.

Краткий обзор российского рынка

Многообразие систем, инструменты их рекламирования зачастую ставят заказчика перед проблемой выбора. Понятно, что у заказчика, не обладающего информацией о сравнительных оценках систем, голова идет кругом – все предложения хороши, одно лучше другого.

Решающую роль при принятии решения об установке той или иной системы играет маркетинг компании-поставщика. От того, насколько умело последняя представляет свой продукт, убеждает потенциального заказчика в том, что именно ее продукт наилучшим образом поможет решить проблемы заказчика, зависит продвижение ее продукта. Согласно исследованиям, примерно 50 % новых программных продуктов или программно-аппаратных комплексов (ПАК) не востребовано на рынке и не приносит прибыли разработчику. Поэтому разработку таких систем и продвижение их на рынке могут позволить себе достаточно богатые фирмы.

Крупные предприятия, желающие себя обезопасить и имеющие необходимые для этого средства, уже создали свои службы безопасности, подобрали в их состав квалифицированных специалистов и практически не нуждаются в услугах компаний-производителей интегрированных систем безопасности (ИСБ). Работа проводится только в направлении модернизации или развития периферии.

Вместе с тем, продолжающиеся террористические атаки расширяют список объектов и регионов, требующих защиты. Может быть, это звучит несколько неестественно, но тенденция расширения фронта террористических атак стимулирует развитие сферы услуг по инсталляции систем безопасности различного масштаба и назначения. В России имеются государственные и ведомственные документы, которые устанавливают требования как к безопасности объектов, так и к тактико-техническим характеристикам систем безопасности.

На российском рынке имеется достаточно ИСБ как отечественного, так и зарубежного производства. Каждый производитель предлагает системы с определенными функциональными возможностями, их установку и сервисное обслуживание. Потребитель, в свою очередь, выбирает аппаратные и программные средства, которые, на его взгляд, наи-более адекватно решают стоящие перед ним задачи, и пытается оптимизировать затраты на их приобретение, установку и эксплуатацию.

К сожалению, менеджеры по продажам этих систем часто завышают возможности предлагаемых продуктов и не договаривают их недостатки. А о таких вопросах, как стоимость эксплуатации, при предложении говорится не конкретно и мало («самые низкие эксплуатационные расходы», «система требует минимальных затрат при эксплуатации» и т. п.).

В своем большинстве ИСБ, представленные на рынке РФ, ориентированы на большие объекты, имеют практически не ограниченные возможности развития, но заказчикам средних и малых объектов они, в общем-то, не нужны. Практика показывает, что большинство интегрированных систем, установленных на объектах, не используют и 20 % своих потенциальных возможностей. Эффективность их применения сравнима с эффективностью использования компьютера в качестве пишущей машинки. Не всякий заказчик решается на такие издержки.

Другой аспект предлагаемых интегрированных систем безопасности: большинство производителей пытаются «блеснуть» мастерством программистов, но все они так или иначе ориентированы на программную оболочку Windows и используют сетевые решения Интернет. В связи с этим, принципиального различия, какую систему установить, нет.

Кроме того, неограниченность возможностей подключения периферии приводит к программной избыточности и, как следствие, к усложнению ПО. То есть появляется уникальность ПО, что влечет за собой увеличение зависимости защищенности объекта от искусства программиста. При этом базирование систем на известных программных платформах и использование стандартных интернет-протоколов повышает их уязвимость от атак хакеров.

Следует добавить, что на уязвимость объекта начинает влиять надежность стандартных программно-аппаратных средств. Не секрет, что сбой прикладного или стандартного ПО приводит к потере контроля состояния системы. Конечно, этого можно избежать, если применять аппаратное или информационное резервирование, защиту по питанию и т. п. Но в этом случае появляется такая избыточность системы, что заказчик начинает сравнивать ее стоимость с вероятными потерями. Мировая практика свидетельствует: если стоимость системы более чем на 15 % превосходит стоимость возможных потерь, установка такой системы, как правило, не целесообразна. А если учесть, что на обеспечение безопасности работает только 5–10 % вычислительных ресурсов системы, то говорить об ИСБ заказчик дипломатично отказывается и объявляется тендер.

ИСБ подобна айсбергу – при ее установке изначально видна только верхушка проблемы. Как будет вести себя система, кто будет управлять ею, как это будет стыковаться с рабочим процессом предприятия и т. п.?

Обычно в техническое задание записывается множество функций, подробно расписывается интерфейс пользователя, сервис, предоставляемый системой, и масса других вещей. Программисты и инсталляторы тратят много времени на реализацию пунктов ТЗ, но при установке системы появляются замечания и неточности, начинается процесс согласования. Зачастую поначалу заказчик увлекается возможностями системы, система начинает походить на увлекательную игрушку. Расходы увеличиваются, заказчик начинает нервничать. Он готов отказаться от системы, но деньги уже вложены, а конца не видно. В конце концов, в процессе инсталляции системы возникает ситуация, когда вместо того, что нужно, стороны приходят к консенсусу: «Пусть будет, что получится».

А получается, как правило, «тяжелый» интерфейс, который увеличивает время принятия решения на применение сил реагирования. Эффективность системы защиты падает, но об этом уже никто не хочет слышать, на начальника СБ администрация смотрит, как на врага, который вверг фирму в неоправданные затраты – как финансовые, так и временные.

Да, такие ситуации не повсеместны, но они типичны и могут проявляться в различных своих вариантах.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100