Слово не воробей
Асель Асхатова
Как обеспечить свою информационную безопасность
Некоторое время назад с нами случилась одна неприятность. Зай-дя на собственный «эксклюзивовский» сайт в Интернете, мы обнаружили вместо главной страницы изображение окровавленного монитора с надписью «Game over». Все остальные страницы и вовсе отсутствовали. То есть сайт был кем-то взломан и, попросту говоря, испорчен. Всегда неприятно публично признавать, что тебя кто-то облапошил. Но это как раз тот случай, когда облапошить могут каждого, и информация о том, как попытаться этого избежать, может быть полезной для всех.
Кажется, что «информационная безопасность» и «информационные технологии» — понятия одного порядка и одной эпохи. На самом деле о защите информации человек задумался сразу, как только научился говорить и писать. Задолго до появления первых технических средств по передаче голоса и данных им были сформулированы такие постулаты информационной безопасности, как «слово не воробей – вылетит, не поймаешь», «язык твой – враг твой», «что написано пером – не вырубишь топором» и прочие. Просто задача усложнилась, когда разговор и переписка стали делом техники.
Государственный подход
Сегодня понятие информационной безопасности стало совершенно необъятным и включает в себя множество разных сфер и направлений. Это нашло отражение в Концепции информационной безопасности Республики Казахстан, принятой в конце прошлого года. В ней определено – что (какую информацию), от чего и какими методами надо защищать. И как сделать, чтобы это было без ущерба для общества, которое имеет право на «свободное создание, поиск, получение и распространение информации любым законным способом».
Пока уровень всеобщей информационной безопасности «не соответствует потребностям человека, общества и государства», самые продвинутые частные компании давно уже позаботились о сохранности своих секретов. Правда, распространяться об этом они не спешат. Рынок услуг по обеспечению информационной безопасности остается таким же информационно закрытым, как и подавляющее большинство рынков товаров и услуг в РК. Банально все сравнивать с Россией, но трудно удержаться, видя, сколько интересного есть в рунете на эту тему. В РФ существуют и активно действующие профессиональные ассоциации специалистов по информационной безопасности, и специализированные периодические издания, и куча литературы на этот счет. Проводятся социологические опросы относительно основных информационных угроз и т. д. У нас пока каждая компания действует сама по себе, а если между специалистами и есть обмен мнениями и информацией, то происходит это в основном на личностном уровне. Поэтому какую-либо статистику относительно объемов рынка услуг по обеспечению информационной безопасности и его структуру сегодня, пожалуй, не знает никто. Можно лишь попытаться обозначить основные черты этого рынка. По словам директора департамента безопасности мегацентра «Алма-Ата» Игоря Кощеева, казахстанский рынок ИБ имеет две специфические особенности. Во-первых, это наш человеческий фактор (о нем же шла речь и в концепции), который в данном случае заключается в массовом непонимании и несоблюдении мер информационной защиты. Во-вторых, низкая степень проникновения информационных технологий. Сейчас происходит прорыв в этой области. Но вслед за развитием IT должно идти и развитие информационной безопасности. Однако пока, к сожалению, мы этого не наблюдаем. По уровню обеспечения ИБ компании можно условно разделить на три группы. Это те, кто имеет собственные службы информационной безопасности, те, кто пользуется услугами аутсорсинговых служб, и те, кто в вопросах защиты информации обходится силами своего системного администратора. К первым относятся в основном банки и крупные компании, коммерческие тайны которых дорогого стоят. Как правило, в таких организациях работают не менее 100 человек, и у них есть филиалы, соединенные крупными корпоративными сетями. Вторая группа пока немногочисленна в силу опять-таки отечественной ментальности, настороженности, боязни доверить свои конфиденциальные данные сторонним людям, диктуемой сложившимся жизненным опытом. В третьей категории остаются, как правило, малые и средние предприятия, у большинства из которых и секреты невелики, и отдельный квалифицированный специалист по информационной безопасности им не по карману. Они ограничиваются установкой антивирусных программ, простеньких паролей доступа к информации и физической охраной своих баз данных. Бойцы невидимого фронта, специалисты по информационной защите выходят чаще всего из системных администраторов. Но, что отличает обычного сисадмина от специалиста по ИБ, это то, что последний работает не только и не столько с «железом» и программами, сколько с людьми. Большинство угроз информационной безопасности в компании – внутренние, считает Игорь Кощеев. Поэтому в сфере ИБ большую роль играет организационно-правовой аспект. То есть разработка внутренних нормативных документов и контроль за их соблюдением. От этого на 80% зависит эффективность выстраиваемой системы защиты. Еще один «источник питания» специалистами по информбезопасности – спецслужбы и правоохранительные органы. Со стороны порой кажется, что их видение угроз граничит с паранойей, но знающие люди говорят, что это суровая необходимость, проверенная опытом и временем. Как правило, службы ИБ входят в состав подразделений по внутренней безопасности компаний и работают в тесном контакте с IT-департаментами. Универсальных специалистов, которые являются профессионалами одновременно и в информационных технологиях, и в информационной безопасности, очень мало, и их знания и опыт ценятся очень высоко. Хороший специалист должен уметь обосновать руководству компании экономическую целесообразность инвестиций в информационную безопасность. Поскольку даже те продвинутые шефы, которые нанимают таких специалистов, экономят на превентивных мерах защиты данных. О сумме инвестиций эксперты говорить не любят. Мол, все зависит от величины компании, уровня развития информационных технологий в ней и множества других факторов. Тем более что часто бывает трудно разделить расходы на собственно ИБ и IT-оборудование. Но, по оценкам г-на Кощеева, стоимость обеспечения информационной безопасности крупной корпоративной сети может составлять до 10% от стоимости самой сети. Скажем, если крупный банк или компания, в филиалах которой по всей стране работают 500 – 700 человек, затратит порядка $1,5 млн. на создание внутренней сети, то системная защита этой сети обойдется как минимум в $100-120 тыс. Кстати, для определения степени защищенности своих данных компания может провести внешний аудит информационной безопасности. На нашем рынке существует несколько фирм, которые на этом специализируются. Их услуги стоят в среднем $5 тыс. — $10 тыс. Аудиторы выявляют слабые места в корпоративных системах и дают рекомендации по их укреплению. Главный аргумент в пользу того, что дело стоит этих денег – расчет потерь, которые компания понесет в случае утечки, искажения или несвоевременного поступления данных. Для этого вся информация категорируется по степени важности. Например, в первую категорию входят сверхсекретные данные, доступ к которым посторонних лиц (конкурентов, СМИ, хакеров и т. д.) может привести если не к краху компании, то, по крайней мере, к очень большим убыткам. Во вторую — сведения, нарушение целостности или конфиденциальности которых нежелательно. И в третью – данные, с которыми, даже если что-то случится, большой беды для компании не будет. Соответственно выстраивается и система защиты. Несмотря на то что наш рынок ИБ сильно отстает от российского по количественным показателям и уровню организации, технологически, по свидетельству специалистов, он ни в чем не уступает ему. Уровень доходов крупнейших казахстанских компаний и степень закрытости многих из них диктуют возможность и необходимость приобретения новейших технологий по защите информации. А в некоторых наших корпорациях установлены такие системы безопасности, которых в России еще ни у кого нет. Теперь дело за средними компаниями, которые выходят на новый уровень информатизации и рано или поздно придут к пониманию необходимости обеспечения своей информационной безопасности.
Комментариев пока нет