 |
 |
№ 1 январь-февраль 2009 г.
Тема номера:
ТЕХНИЧЕСКИЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ИБ
|
|
ДА КОМУ НУЖНЫ ЭТИ ФАЙЛЫ?!
В. В. Артюхин, к. э. н., доцент,
системный аналитик компании «MIIT-Expert»,
член Экспертного совета МОО ВПП ЮНЕСКО «Информация для всех» |
|
  |
 Введение
Информационная безопасность – это состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие в организации, предприятии. Соответственно, защита информации – это процесс, направленный на достижения безопасного состояния информационной среды. В качестве стандартной модели безопасности часто приводят модель из трех категорий:
- конфиденциальность (англ. confidentiality);
- целостность (integrity);
- доступность (availability).
Под конфиденциальностью понимается доступность информации только определенному кругу лиц, под целостностью – гарантия существования информации в исходном виде, под доступностью – возможность получения информации авторизованным пользователем в нужное для него время.
На самом деле определений понятия «информационная безопасность» множество и приведенное ничем не хуже других. Тем паче, что у каждого пользователя, вне зависимости от его компетенции, существует собственное интуитивное, неполное, но в целом верное представление о ней.
В октябре 2008 года мне на глаза попал документ Европейского агентства по безопасности сетей и информационной безопасности (ENISA) под названием «Руководство для ИТ-специалистов по обоснованию необходимости расходов на безопасность». В своем комментарии к нему я отметил, что организациям и компаниям наряду с заботой о работе ИТ-специалистов стоило бы уделять более пристальное внимание пропаганде и обучению рядовых пользователей компьютеров (которые составляют подавляющее большинство всех пользователей вообще) в области информационной безопасности. Самим же пользователям я позволил себе порекомендовать почитать на эту тему что-нибудь популярное, например одну из книг Кевина Митника.
Не прошло и двух недель, как вышеупомянутое агентство ENISA выпустило еще один документ – «Социальная инженерия: эксплуатация наиболее слабого звена», включающий, помимо прочего, интервью с вышеупомянутым Митником.
Конечно, между этими двумя событиями (моим комментарием и выходом нового документа) нет никакой связи, кроме разве что кармической, однако приятно почувствовать себя провидцем, хотя бы на секунду, и отметить, что между моими частными соображениями и выводами ENISA наблюдается определенная корреляция.
Впрочем, довольно скоро стало понятно, что с последним выводом я погорячился, и вот почему. Термин «социальная инженерия» определяет технику использования человеческих слабостей и манипулирования людьми с целью заставить их нарушить принятые процедуры, связанные с информационной безопасностью. Рассмотрим это определение подробнее.
- Фрагмент «…использования человеческих слабостей и манипулирования людьми…» однозначно предполагает наличие злого умысла, однако многие «неправильные» вещи очень часто делаются или случаются при его отсутствии: по недосмотру, забывчивости, рассеянности или из-за какой-нибудь другой безобидной особенности, совокупность которых делает нас людьми.
- Сочетание слов «…нарушить… процедуры…» должно означать, что в обычных обстоятельствах эти процедуры всегда соблюдаются, но это не так, и даже наоборот – с течением времени при работе без происшествий наблюдается тенденция к снижению бдительности пользователей (ведь если на ваш почтовый ящик в течение полугода не приходило ни одного спамерского письма, вы станете более доверчивы к почте, чем в случае, если вас ежедневно бомбардируют письмами со ссылками на зараженные файлы, чьи-то частные фотосессии и страницы компаний, обещающих перевезти вашу мебель в целости и сохранности куда душе угодно).
- Наконец, выражение «принятые процедуры» наводит на мысль о том, что такие процедуры существуют и они приняты, хотя во многих компаниях никто понятия не имеет о значении термина «политика информационной безопасности», если же она существует, то часто как бы отдельно от пользователей, а с паролями типа «123456» даже в крупных организациях мне приходилось сталкиваться в своей практике значительно чаще, чем с составленными из бессмысленной последовательности букв и цифр.
Защититься от злоумышленника, безусловно, важно, однако если пользователь не знает, в чем заключаются упомянутые выше процедуры, связанные с защитой информации, то он может 24 часа в сутки бдительно озираться в поисках врага и просыпаться по ночам в холодном поту, но все равно не узнает, не поймет и не запомнит, когда и где он совершил прокол.
Не менее значимы и технические средства защиты, однако они значительно менее полезны, если пользователь не подозревает, от чего они его защищают, а от чего – нет. В таком случае они дают ложное чувство уверенности в абсолютной защищенности «от всего».
Наиболее важно на сегодняшний день хотя бы ознакомить пользователя с тем, чего ему вообще следует опасаться в стране битов и байтов (впрочем, сегодня это уже ГИГАбиты и ТЕРАбайты).
Некоторое время тому назад я удивился, отметив, что на пленарном заседании Слушаний по вопросам развития информационного общества в Общественной палате РФ проблемы, связанные с информационной безопасностью, затрагивались лишь вскользь. Поразмыслив, я понял, что иначе и быть не могло: задачей Общественной палаты является донесение социальных заказов до власти, а социального заказа на обеспечение информационной безопасности в ее широком, общественном смысле нет, потому что в самом обществе нет достаточно ясного понимания ее назначения и связанных с ее нарушением угроз.
В такой ситуации у рядового пользователя реже возникает вопрос о том, как защитить свои данные, и чаще тот, который вынесен в заглавие статьи. Это логично, поскольку, даже чтобы задать первый вопрос, необходимо сначала как-то ответить на второй, что я и пытаюсь сделать в этой работе.
< ... >
| |
 |
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|
