Информационная безопасность: эволюция подхода

Илья Трифаленков
директор по технологиям и
решениям ЗАО "РНТ", к.т.н.

Технологическая революция, связанная с широким применением информационных технологий для решения задач практически всех областей деятельности, продолжается уже более 15 лет. На этом временном отрезке поучительно посмотреть, как изменились подходы к информационной безопасности, чтобы понять, что нас ожидает в ближайшей перспективе.

Основная движущая сила информационной безопасности

В начале, когда информационные технологии касались прежде всего корпоративных коммуникаций и информирования, вопросы информационной безопасности были предметом деятельности узкого круга специалистов и решались, как правило, применением более или менее обоснованного набора средств защиты. Основной движущей силой для информационной безопасности являлись системные администраторы, а решения, которые они применяли, были оптимизированы прежде всего для них. Вот тогда-то и возникла точка зрения, что "безопасность всегда связана с определенными неудобствами для всех, кто не связан с ее организацией".

Сегодня зависимость деятельности любой организации от IТ достаточно велика, причем чем больше организация, тем теснее ее основные процессы деятельности сращиваются с IТ. При этом, с одной стороны, IТ-риски становятся критичными, с другой – их минимизация представляет собой сложную задачу. Проблема усугубляется еще и тем, что, по сути дела, большие информационные системы, как правило, собраны из нескольких систем, каждая из которых исторически создавалась в разных  условиях  и по различным требованиям. Кроме того, часть систем может иметь иного собственника и проводить собственную политику. Чтобы в таких условиях обеспечить требуемый доказательный уровень рисков или уровень защищенности, практически единственным способом является привязка рисков и мер противодействия им не к системам и ресурсам, а к процессам деятельности.

Оценка эффективности информационной безопасности

Действительно, именно знание процессов деятельности, их формализация позволяют понять риски, оценить их критичность, определить, насколько предлагаемые меры, с одной стороны, эффективны, с другой – обоснованны (в том числе финансово).

Такой подход существенно меняет роль и место информационной безопасности. Она становится одним из инструментов формирования и оптимизации основных процессов деятельности организации.

Сегодня такой подход с точки зрения реализации базируется, с одной стороны, на наборе международных стандартов семейства ISO27000, с другой – на сквозных механизмах обеспечения безопасности, таких как управление инцидентами, управление идентификацией, управление непрерывностью функционирования. В этом же ряду стоят такие механизмы, как предотвращение утечек информации (DLP), борьба с мошенничеством (Fraud-management) и т.д.

Роль традиционных средств защиты в этой ситуации становится обеспечивающей  и,  по сути дела, гарантирующей работу сквозных механизмов, связанных с процессами деятельности.

Необходимо также отметить, что вопросы безопасности в сегодняшнем понимании ставятся существенно шире, захватывая смежные области, такие как управление операционными рисками, обеспечение непрерывности деятельности, управление информационными услугами.

Таким образом, информационная безопасность претерпела в процессе развития коренные изменения. И нелегкая задача соответствовать этим изменениям является серьезным вызовом для всех, кто связан с обеспечением информационной безопасности, – для руководства организаций, служб безопасности и IТ-служб, бизнес-подразделений и регуляторов – словом, для всех и каждого.