Ну во-первых, это сильно еще недооцененная область IT-сферы. Отделы по ИБ на предприятиях если и создаются вообще, то как правило состоят из одного человека и по мнению руководства "ни за что получают свою зарплату". И никто не задумывается, что финансовые и имиджевые потери для компании, когда очередной "недооцененный" сотрудник очередного отдела увольняется с работы прихватив с собой базу клиентов или финансовую отчетность, несоизмеримы с любой зарплатой сотрудника отдела ИБ. А после совершения кражы уже поздно разводить руками, потому что оказывается, что сотрудник и не подписывал никакого "соглашения о конфиденциальности", да и имел доступ к этой информации, хотя по должностной инструкции ему информация и не нужна, просто администратору было лень разграничить права, а руководству не до того. И приходит каждый день рассылка о той или иной утечке на столько то миллиардов долларов (из опыта США). Что касается России, а в частности Красноярского края, то тут вообще все глухо. Своей информационной безопасностью озабочены крупные корпорации, а мелкому и среднему бизнесу совсем не до того, хотя и они чаще всего работают с конфиденциальной и персональной информацией не только своих сотрудников, но и клиентов.
Во-вторых, ИБ - это не только набор бумаг, регулирующих информационный обмен, и правил работы с той или иной информацией. ИБ компании должна состоять из целого комплекса мер, как организационных, так и практических, иначе это будет не система, а ширма, которая действительно съест свой бюджет и не принесет реальной защиты. Вот например, обеспокоилась компания своей физической безопасностью, понаставили везде видеокамер, электронных замков с etocken-ами, выдали ключи только тем людям, которым это действительно необходимо, а в итоге? Электронные замки отключаются, так как нерадивый сотрудник забыл дома ключ и ему надо попасть на рабочее место. А главный бухгалтер "расшаривает" папку с финансовой отчетностью в общий доступ, чтобы руководство могло в любой момент посмотреть ее. А когда встает вопрос о привлечении этих нерадивых сотрудников к ответственности, то получается, что "а на основании чего собственно, где это все оговаривается, что я не могу "случайно" забыть ключ дома?". Или так, понаписали бумаг, регулирующих все процессы взаимодейсвтия с информацией, до "параноидального" состояния все запретили, в офисе стало невозможно работать с информацией, т.к. процесс получения доступа к информации занимает недели и даже месяцы, а в это время "уборщица тетя маша" имеет физический доступ к серверу с важнейшими данными, и даже уже несколько раз "случайно" задела сетевой кабель и из-за этого весь офис не смог выполнять свою профессиональную деятельность часа 2, пока администратор восстанавливал доступ. Т.е. информационная безопасность - это обязательно комплекс мер и "золотая середина" между "паранойей" и "удобством".
Что же качается информационной безопасности в области телекоммуникаций, то это вообще отдельная большая область. Ведь не даром говорят, что самый безопасный компьютер (хотя он не полностью защищен) - это компьютер без каких либо средств ввода информации, т.е. компьютер в первую очередь не подключенный к сети и не имеющий различного рода дисководов и интерфейсов(USB например). И где-то такой метод защиты практикуется, НО тогда как же работать с информацией, которая храниться на такой машине?
На сегодняшний день локальные вычислительные сети стали неотъемлемой частью любого, даже самого маленького офиса, а развитие сети Интернет идет семимильными шагами даже в малых города (таких как Назарово, например). И обезопасить информацию на всех уровнях, т.е. обеспечить ее целостность и доступность, становится все сложнее.
Еще сложнее задача обстоит с поставщиками услуг доступа к сети Интернет. Если взять типового провайдера, то он в-первую очередь должен заботится о сохранности не только своих данных но и информации(очень часто подпадающей под уровень персональной) своих клиентов, например их данных в системе расчетов и на бумажных носителях в виде договоров.
Кроме того, очень часто действия рядового пользователя сети или недобросовестного администратора могут привести не только к простою в работе сети передачи данных провайдера, но и в работе сети Интернет в целом. Например, в одной из статей в Интернете была приведена статистика как неоднократно неверные действия администраторов сетей в настройке маршрутной информации по протоколу BGP приводили к тому, что целый сегмент сети Интернет "лежал и не вставал". Или пользователь, выдающий себя за сетевой шлюз (подменив MAC) нарушает работоспособность всей сети, и что самое интересное этот пользователь чаще всего и понятия не имеет о последствиях своих действий.
Еще одним немаловажным вопросом в сфере телекоммуникационных услуг составляет вопрос обеспечения нерушимости авторского права производителей контента, при этом провайдер чаще всего выбирает возможно в какой-то степени допустимую, НО не всегда правильную политику "сетевого нейтралитета", что в самом серьезном случае приводит к отзыву лицензии у такого провайдера (и такой случай уже был в США, сейчас не вспомню название, но где-то на просторах Интернета мелькало). Кроме того, чаще всего целые сети становятся участниками какой-нибудь глобальной "зомби-сети" в реализации очередной DDoS-атаки.
Вопросов в области телекоммуникаций очень много, и приведенный мной список угроз отражает лишь малую долю всего, что может навредить информации. И я не утверждаю, что с данными упущениями никто не борется, только борьба эта получается какая-то разрозненная и в конечном итоге очень плохо помогает.
На мой взгляд, не хватает именно комплексности в подходе. А область крайне интересная, и очень много еще вопросов остается не закрытыми, а проектов не реализованными. Значит информационному обществу есть куда стремиться и развиваться. В этом и хочется принять участие.
Вот как-то так, возможно несколько не связано и сумбурно и не совсем про то, но это мои мысли.
Комментариев нет:
Отправить комментарий