Информационная безопасность



              

Система управления безопасностью: простые рецепты - часть 2


Но если это так, почему большие усилия тратятся именно на защиту от внешних угроз? Есть несколько причин.

Строить систему защиты от внешнего врага гораздо проще. Это хорошо известный и уже проторенный путь. Любой из нас готов начать перечислять необходимые средства защиты. Кроме того, занимаясь построением этого рубежа обороны, мы не влияем на работоспособность нашей информационной системы. Все бизнес-приложения работают нормально, цена ошибки администрирования - по большому счету, лишь кратковременное отсутствие доступа в Интернет.

Защита от внутреннего врага сложнее и требует больших усилий. Она складывается из обеспечения безопасности самих приложений и грамотного администрирования, которое прежде всего подразумевает под собой наличие четких привилегий сотрудников компании на доступ к ресурсам информационной системы (в сформулированном виде - это политика безопасности).

Данные привилегии должны быть достаточны для обеспечения нормальной работы и в то же время минимальны с точки зрения доступа и возможности манипулирования информацией.

И зачастую при появлении подобной задачи, проблем видится больше, чем решений.

Перечислять их можно долго, проблемы цепляются друг за друга. Например, незащищенность ряда приложений вынуждает нас использовать дополнительные средства защиты. Однако эти средства нужно не только приобрести и правильно внедрить, но и сопровождать. И если с процессом внедрения обычно проблем не возникает (справляются либо штатные специалисты, либо нанятые консалтинговые компании), трудности появляются потом, в процессе администрирования системы. Ведь управление средствами защиты осуществляется зачастую отдельно от уже используемых в компании, в том числе и штатных механизмов. А это означает, что рано или поздно (в зависимости от масштаба информационной системы) наступает момент, когда настройки системы защиты и настройки штатных механизмов начинают расходиться.

Расхождение происходит еще и потому, что отсутствуют процедуры, регламентирующие внесение изменений в информационную систему и в настройки механизмов безопасности.А внести изменения в реальные настройки системы гораздо проще и быстрее, чем оформить их. Да и набрать номер администратора или забежать к нему по пути проще, чем написать заявку. В результате - в заданный момент времени практически невозможно воссоздать реальную картину происходящего, невозможно ответить на вопрос: "Почему к определенному ресурсу имеют доступ эти пользователи и группы пользователей?". Теряется история всех производимых изменений, и уже нельзя определить - правильно или неправильно сконфигурированы, пусть даже самые совершенные, механизмы защиты.

Цена ошибки за неправильное администрирование измеряется либо предоставлением пользователю необоснованно больших компетенций (а равно - созданием огромной уязвимости в информационной системе), либо ограничением необходимого ему в какой то момент доступа (при этом, возможно, срывается выполнение задач организации).

Кстати, среди этих вариантов невозможно выбрать предпочтительный…




Содержание  Назад  Вперед