Какими должны быть средства защиты информации?На сегодняшний день уже мало кто представляет себе возможность компьютерной обработки информации без ее защиты. Но вот как защищать информацию, какие для этого использовать средства защиты, что же такое эффективное средство защиты информации? Альтернативные области приложений средств защиты информации. Говоря о построении, либо об использовании средства защиты информации, прежде всего, необходимо определиться с областью его практического применения (для чего оно создано, как следствие, чем определяется его потребительская стоимость), т.к. именно область практического использования и диктует те требования к любому системному средству, которые должны быть реализованы разработчиком, дабы повысить потребительскую стоимость данного средства. К сожалению, данный очевидный посыл не всегда учитывается и разработчиками, и потребителями средств защиты. Вместе с тем, достаточно просто показать, что требования к средствам защиты для различных областей их практического использования очень сильно различаются, а подчас, и противоречат друг другу, что не позволяет создать единого средства защиты «на все случаи жизни». Другими словами, нельзя говорить об эффективности абстрактного средства защиты, можно вести разговор об эффективности средства, созданного для конкретных приложений. Попробуем обосновать сказанное. Когда речь заходит об информационных технологиях, можно выделить два их основных приложения – это личное использование компьютера в домашних условиях и корпоративное использование – на предприятии. Если задуматься, то разница требований, в том числе, и к средствам защиты, в данных приложениях огромна. В чем же она состоит. Когда речь идет о личном использовании компьютера в домашних условиях, мы сразу же начинаем задумываться о предоставляемых системным средством сервисах – это максимально возможное использование устройств, универсальность приложений, мечтаем о всевозможных играх, проигрывателях, графике и т.д. и т.п. Важнейшими же отличиями использования средства защиты в данных приложениях является следующее: - По большому счету, отсутствие какой-либо конфиденциальности (по крайней мере, формализуемой) информации, требующей защиты. Информация является собственностью пользователя;
- Отсутствие критичности конфиденциальности (по крайней мере, формализуемой) не только в части хищения обрабатываемой информации, но и в части ее несанкционированной модификации, либо уничтожения. Не так критичны в этих приложениях и атаки на системные ресурсы, в большой мере, они связаны лишь с неудобством для пользователя;
- Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и естественное нежелание заниматься этими вопросами (защищать-то нечего);
- Отсутствие какого-либо внешнего администрирования системного средства, в том числе, в части настройки механизмов защиты – все задачи администрирования решаются непосредственно пользователем – собственно пользователь должен самостоятельно решать все вопросы, связанные с безопасностью. Другими словами, пользователь и есть администратор – сам себе и защитник, и безопасник (именно он и защищает свою собственную информацию);
- Отсутствие какого-либо недоверия к пользователю – пользователь сам обрабатывает собственную информацию (он же владелец компьютера, он же владелец информации – может не доверять лишь себе), вместе с тем, по этой же причине, недоверие со стороны пользователя к какому-либо проявлению внешнего администрирования;
- В большинстве своем, обработка информации пользователем осуществляется на одном компьютере, локально.
Если же мы начинаем говорить о корпоративных приложениях, то здесь, как условия использования системные средств, так и требования к средству защиты не то, чтобы были кардинально иные, они прямо противоположны. В частности, здесь уже нет необходимости в большой номенклатуре устройств, приложений, игрушки и прочее являются отвлекающим от служебной деятельности фактором, возможность их запуска в принципе желательно предотвратить, и т.д. и т.п. Важнейшими отличиями использования средств защиты в данных приложениях является следующее: - В данных приложениях априори присутствует конфиденциальная информация, требующая квалифицированной защиты. Данная информация не является собственностью пользователя и предоставлена ему во временное использование для выполнение своих служебных обязанностей, что обусловливает возможность ее хищения пользователем;
- Критичным является не только факт хищения обрабатываемой информации, но и возможность ее несанкционированной модификации, либо уничтожения. Критичным в этих приложениях также становится вывод из строя системных средств на продолжительное время, т.е. важнейшими объектами защиты становятся не только информационные, но и системные ресурсы;
- Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (у него иные обязанности, связанные с обработкой информации), и вместе с тем, наличие администратора безопасности, основной служебной обязанностью которого является защита информации, т.е. именно для решения этой задачи он и принят на работу, который априори должен обладать высокой квалификацией, т.к., в противном случае, о какой-либо эффективной защите конфиденциальной информации в современных условиях говорить не приходится;
- Все задачи администрирования средств защиты должны решаться непосредственно администратором, пользователь должен быть исключен из схемы администрирования во всех их проявлениях, т.к. только в этих условиях администратор может нести ответственность за защиту информации;
- Недоверие к пользователю – пользователь обрабатывает не собственную, а корпоративную, либо иную конфиденциальную информацию, которая потенциально является «товаром», как следствие, пользователь должен рассматриваться в качестве потенциального злоумышленника (в последнее время, даже появилось такое понятие, как инсайдер, а внутренняя ИТ-угроза – угроза хищения информации санкционированным пользователем, некоторыми потребителями и производителями средств защиты позиционируется, как одна из доминирующих угроз, что не лишено оснований);
- В большинстве своем, обработка конфиденциальной информации осуществляется в корпоративной сети, причем, не всегда в локальной – это обусловливает невозможность эффективного решения задачи администрирования безопасности локально на каждом компьютере - без соответствующего инструментария (АРМа администратора в сети).
Ответьте на вопрос: может ли одно и то же средство защиты одновременно удовлетворять обеим группам данных противоречивых условий использования, т.е. быть эффективным в альтернативных приложениях? Естественно, что нет! Но тогда очевидно, что для альтернативных областей приложений, в основу построения средств защиты должны закладываться и альтернативные принципы.
|