Парадоксы информзащиты
Автор
Игорь Мялковский
Каталогов услуг информационной безопасности по ITSM\ITIL не принято создавать в компаниях, даже когда имеется каталог услуг ИТ
Начитавшись большого коичества литературы об ИТ и защите информации, каждому хочется сформировать собственное системное мнение по данной теме. Как и по любой другой. Потому что только системное знание может жить самостоятельно и быть ценным для любого из нас. Пусть не верное, пусть начальное, дилетантское, но свое. А как иначе? Важно самоутвердиться, самореализоваться, выдвинуться... Возможно, что-то еще. Есть же для человека нечто очень существенное, такое, что должно быть для него самостоятельно выработанным для себя лично — своя точка зрения. С ней можно спорить, можно доказывать, можно умереть... Важно суметь не потратить свою жизнь на неинтересные вещи. Чтобы ты кто-то когда-нибудь услышал!
Парадокс Бринэльфсена
В 1996 года в сентябрьском выпуске научного журнала “Information System Researh” Эрик Бринэльфсен (Eric Brinjolfsen) опубликовал статью, название которой можно вольно перевести как «Вклад ИТ в рост благосостояния потребителей», и вполне обоснованно показал, что не существует метода, позволяющего напрямую посчитать выгоды от внедрения ИТ. Добавим: и тем более решения проблем информационной безопасности. Заявление Эрика назвали парадоксом Бринэльфсена. Если конкретизировать, суть парадокса такова: нет метода дать точную оценку влияния ИТ на рост благосостояния потребителей. Есть очень веские основания подозревать, что именно из-за существования данного малоизвестного, почти не замеченного ИТ-общественностью, но важнейшего парадокса теперь обсуждается вопрос второго десятилетия XXI века: что нужно бизнесу от ИТ?
Парадокс Солоу
Роберт Солоу, нобелевский лауреат 2012 года, в своем докладе при присуждениии ему Нобелевской премии сказал: «Статистически значимого вклада ИТ в производительность компаний не видно либо она очень слаба. Вы можете видеть компьютерный век где угродно, кроме статистики производительности компаний». Иными словами, все стали безоговорочно и безусловно (и, получается, что ошибочно) верить в то, что ИТ полезны, повернут мир, повысят эффективность компании. Естественно, по показателям их производительности, работоспособности сотрудников (мечты собственника) и, хочется добавить, «по показателю благосостояния работников» (мечты работника). Для чего трудимся? Затраты на ИТ и ИБ бывают разные. Например, мы же все понимаем, что долгожданное положительное решение важнейшей и дорогостоящей задачи России об установке чипов на государственные регистрационные номера призвано кардинально решить и проблемы благополучия российских граждан. Для большинства населения, конечно, нет. Но для меньшинства, точно решит... Может быть, следует задуматься? Стоит ли отдать несколько десятков или сотен тысяч долларов (стоимость корпоративной ИТ-инфраструктуры) за возможность красиво распечатать накладную или получить отчет о работе фирмы за определенный период? Нет ли здесь какой-то придирки к ИТ? Да, мы не можем без них жить и все такое. Но то же самое можно сказать об эффективности системы защиты информации. С ней еще хуже, если учесть поправку на среднее полугодовое отставание от ИТ. Будем здесь считать ее разновидностью системы, созданной на принципах ИТ и под воздействием достижений такой же технологии. А потому страдающей похожей проблемой оценки ее эффективности.
Нужны ли формальные услуги ИБ?
Можно потратить на безопасность столько, сколько исключаете возможным потерять. Можно рассчитать допустимые вложения в безопасность на основании значений вероятностно-временных опережающих параметров функциональных подсистем. Можно оценивать эффективность вложений в безопасность с использованием нечетких множеств и лингвистических переменных. Наверное, можно еще что-то придумать. Однако нужно остановиться и решить: кому, зачем и когда это нужно?
Каталогов услуг информационной безопасности по ITSM\ITIL не принято создавать в компаниях, даже когда имеется каталог услуг ИТ. В банках прописаны четкие регламенты для каждой возможной угрозы безопасности. Типовые действия банковского полководца: «Если варяги станут наступать с севера, найдите на третьей полке слева в первом ряду вторую закладку и отдайте соответствующие указания войскам, а я пока посплю». Если стратег спит, он работает хорошо. Именно такие «банковские закладки» могут использоваться в качестве образцов SLA. Но сегодня они представляют собой ноу-хау каждого банка и в обобщенном виде не распространяются. Трудозатратное моделирование угроз с расписыванием по весу вероятного негативного воздействия не решает проблемы, потому что методика моделирования в значительной степени зависит от субъективных требований регуляторов, может меняться и меняется, как любое российское законодательство. Куда потом эти модели?.. Терять их, правда, тоже не следует.
Разруха в головах
Термин «защита персональных данных» в Законе 152-ФЗ не определен. Есть ссылки на защиту прав, свобод, требования к защите. Безопасность информации не процесс, а конечное состояние. Безопасность либо обеспечена, либо нет. Определение объекта как безопасного лишено смысла, поскольку не передает никакой существенной информации о нем. Для описания признака лучше выбрать «объект защищен» и в идеальном варианте на столько-то процентов. Защитой следует заниматься на промежуточных этапах к конечному состоянию. Потому требования Федерального закона 152-ФЗ не могут быть выражены в терминах ни процесса, ни конечного состояния, которое нужно оценить и проверить. Кроме того, Закон 152-ФЗ почти не увязан с защитой конфиденциальной информации, что вынуждает планировать по два затратных проекта ИБ, пытаясь как-то рационально распределить расходы хотя бы во времени.
Следствием разрухи в головах могут служить такие примеры: чего только не предлагается защищать в проектах персональных данных — «ИСПДн, периметр, физических лиц, автоматизированные системы, информационные системы, информационный объект, каналы связи, даже саму систему защиты информации». Систему защиты предлагают строить комплексно — в виде совокупности информационных средств и автоматизированных средств защиты информации. Отметим попытки сгладить: «интегрировать комплекс средств защиты в ИСПДн». Бумага и Интернет выдерживают «комплексную интеграцию ИСПДн и ПДн», «рациональные подходы к защите информационных систем», а также другие различные «инновации». Творчество надо поощрять... Про защиту данных временно не вспоминаем!
Неважно, что все эти «защиты» стоят денег. И неважно, что, например, периметра в связи с массовым потоком мобильных устройств в офисы уже нет. А строить его опоздали: можно наступить на права людей в режиме BYOD. И кто вспоминает о том, что созданную систему защиты нужно поддерживать? И как? Раз в три года по Постановлению Правительства РФ № 1119, достаточно? Кто это измерил? И почему требование о повторных аудитах появилось только на 13-м году жизни законодательства о персональных данных, хотя десятилетия успешно существует в международных стандартах информбезопасности?
Правда о неверных идеях
Важность слов для общественной жизни легко продемонстрировать известным примером. Главным печатным органом большевиков была «Правда» — выигрышная позиция всех времен и народов. Позднее «Правда» перестала соответствовать содержанию. Просто потому, что говорить всегда одну лишь правду невозможно, нельзя и не стоит. Позиция перешла в оппозицию. Неверные «правды» — идеи о защите чего угодно, кроме информации, как и идеи о комплексной безопасности без системного подхода к системе защиты и без учета людей в автоматизированной системе, без процессного подхода к сопровождению созданной на каждом объекте системы безопасности информации стали общепринятыми, потому что они похожи на другие, как верные, так и не верные идеи. Они удобны в использовании и наукообразны; не проверяемы на эффективность непосредственно какими-то инструментами по критерию «безопасность конфиденциальной информации», за исключением прямой инструментальной проверки побочных излучений и тестирования на несанкционированный доступ, что в действующих автоматизированных системах проблематично, отменено регуляторами и не нужно.
ИТ и информбезопасность подчиняются общим правилам чего угодно. Поэтому согласно закону Теодора Старджона, девяносто процентов ИТ, как и информбезопасности, — полная чушь. Однако среди оставшихся десяти процентов есть десятки, тысячи, даже, наверное, миллионы умных, хорошо образованных специалистов, проектов, идей.
Правда должна подаваться в нужное время и в нужном ассортименте. Несвоевременная правда может быть вредна или неудобна. Историческая правда политична: чем ближе мы к историческому событию, тем увереннее можем утверждать, что все написанное о нем было не так. Неверная идея, как неправда, способна проникать в жизнь незаметно. Но вреда наносит достаточно: материал усвоился, был выведен в подсознание и оттуда влияет. Особенно тогда, когда вред посчитать невозможно. Какая правда получится в вашем случае, покажет ваше время проекта.
Опубликовано 02.12.2013
Похожие статьи