`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Владимир Безмалый

Состояние информационной безопасности на Украине или почему пациент скорее мертв, чем жив?

+59
голосов

Грустно осознавать, что положение дел в области информационной безопасности весьма далеко от идеала и удовлетворительным его может считать лишь тот, кто никогда не работал в этой отрасли.

Хозяева компаний если и уделяют время и ресурсы этому вопросу, то только после очередного скандала или напоминания зарубежных инвесторов. Выделенные подразделения практически отсутствуют, специалистов, действительно специалистов можно пересчитать по пальцам, на серьезных мероприятиях из года в год встречаешь одни и те же лица. А выехав за пределы киевской окружной дороги, понимаешь, что все куда хуже, чем раньше себе представлял. Фактически ИБ так и осталась уделом крупных банков и ограниченного числа компаний. Фактически какого-то прорыва в массы, прорыва сознания не происходит.

Почему? На мой взгляд, на то есть несколько причин. Попробуем их рассмотреть.

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

  • законодательного;
  • административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
  • процедурного (меры безопасности, ориентированные на людей);
  • программно-технического.

Законодательный уровень

На данном уровне все весьма и весьма запутанно. Законов существует масса, причем весьма часто закон А противоречит закону Б. Какой из них применять – не известно скорее всего и самим законодателям.

Примеров можно привести массу. Однако остановимся всего на двух. Уже не первый год в Уголовном Кодексе Украины есть статьи, относящиеся к преступлениям в сфере ИТ. Однако если вчитаться внимательно, то выясняется, что судить по ним можно любого из нас, ведь текст написан крайне обтекаемо. Хорошо, скажете вы, это ведь Кодекс. Но беда-то в том, что разъяснений к этим статьям я так и не нашел. Нет их, как впрочем и практически нет документов по компьютерной безопасности в нормативных документах по ИБ бывшего ДСТСЗИ СБУ. Количество подобных документов составляет, на мой взгляд, порядка 5% от существующих. Если не меньше. Нет украинского стандарта в области информационной безопасности. А если и есть, то широкому кругу профессионалов просто не доведен. Нет методических рекомендаций для негосударственных компаний. Того, чего нет, на самом деле, можно перечислять очень долго.

Другой пример.

Большинство из нас использует на работе и дома ОС семейства Windows от Microsoft. А теперь вопрос. Я так и не смог разобраться до конца в вопросе. Могу ли я на предприятии или дома использовать встроенное шифрование BitLocker из состава Windows Vista или Windows 7?

С одной стороны – нет. По закону предприятие должно иметь лицензию на право использования криптографической защиты. А сама система защиты должна быть сертифицирована и использовать сертифицированные алгоритмы.

С другой – да. Ведь я законный покупатель и заплатив за Windows Vista Ultimate (Enterprise) или соответственно Windows 7 Ultimate (Enterprise) я уже купил себе право использовать все что включено в  систему, а шифрование BitLocker составная часть операционной системы.

В соответствующих госорганах я так и не получил ответ на свой вопрос.

Административный уровень

Пожалуй самый важный уровень. Почему? Да просто потому что без поддержки руководства компании все ваши инициативы в области ИБ – пустой звук и не более того. Нет поддерки руководства – значит нет и безопасности! И не будет!

Здесь тоже не все так просто. Приказы на предприятиях (не на всех, как я уже говорил) есть. Однако далеко не у всех поддерживается, а вернее наведен, элементарнейший порядок. Т.е. существует список задач, с которыми работают пользователи, определены уровни конфиденциальности, целостности и доступности информации и т.д.

А ведь безопасность это, прежде всего, порядок, организованность и однозначность в проведении тех или иных мероприятий!

Далеко не всегда руководство понимает, собственно, а чего же оно само хочет? И в таком случае говорить о безопасности просто не имеет смысла!

Процедурный уровень

О необходимости доведения процедур в области ИБ до каждого сотрудника сказано не мало. А доведены ли? И до всех ли? Не слышали ли вы о том, что VIP-сотрудники зачастую просят себе привилегии, которые им совершенно не нужны для работы. И что делает ИБ? Выполняет приказ руководства и дает им эти права. Верно? Увы, да.

Программно-технический уровень

На данном уровне тоже не все так просто. Основная причина – общая незрелость ИТ на предприятиях. Сегодня на очень многих предприятиях все еще используется ворованное ПО. Можно сказать, денег нет, кризис. Но используя подобное ПО большинство не осознает тот уровень угроз, которые при этом появляются. И речь не идет об угрозе лицензионной чистоты.

Однако главной причиной, на мой взгляд, является абсолютно наплевательское отношение к законам. Увы, но мы не приучены действовать по закону. Мы делаем так, как нам удобно.

Еще одной немаловажной причиной является низкий уровень специалистов. Сегодня количество людей с дипломами ИБ превышает все разумные пределы. А вот специалистов как не было, так и нет! И это факт!

Ну ладно, все плохо, а что делать, чтобы ИБ стала востребованной?

1.       Необходима законодательная поддержка и стабильность в обществе. Безопасность нельзя учредить или ввести приказом. Ее нужно строить, долго, дорого, упорно.
2.       Необходимо дальнейшее развитие ИТ и плавный переход к следующему уровню зрелости компаний. Я понимаю, что это процесс весьма и весьма длительный. Но он должен быть пройден в весьма сжатые сроки.
3.       Повышение качества преподавания в ВУЗах, что должно повлечь за собой повышение уровня специалистов не только в Харькове, Донецке или Киеве, а по всей Украине
4.       Развитие украинского ИТ-сообщества и дальнейшая пропаганда средств и методов ИБ. Ведь ограничения, накладываемые для обеспечения ИБ должны выполняться осознанно!

Кое-кто, прочитав все это, решит, что автор слишком многого хочет. Да! Автор хочет многого! А вы?

+59
голосов

Напечатать Отправить другу

Читайте также

Грусть вызывает только "Законодательный уровень". Потому как не подвластен влиянию руководителя который бы захотел навести у себя порядок. "Кушайте, что подают".

Остальные пункты - решаемы. Было бы желание... и деньги.
Другое дело, что зачастую решение ИБ стОит дороже той информации, которую необходимо защитить.
Вот поэтому, в т.ч., так плачевно у нас с ИБ.

//Одесский ИТ-Клуб

Вполне согласен. Самое печальное - что ничего не меняется. Или меняется в худшую сторону

Microsoft Security Trusted Adviser
MVP Consumer Security

а может быть дело в известном "яка страна, такi й теракты"?
т.е. имеются для украинских компаний и более серьезные угрозы?

Что вы имеете ввиду под более серьезными угрозами? Угроза остаться без денег - серьезна?

Microsoft Security Trusted Adviser
MVP Consumer Security

именно что остаться без денег можно различным способами :)
и высокотехнологичные у нас далеко не на первом месте.

Поверьте, высокотехнологичными способами можно остаться без куда бОльших денег. Главное что вернуть их практически невозможно
Microsoft Security Trusted Adviser
MVP Consumer Security

ниже Юрий Жуковский высказал примерно ту же мысль без экивоков :)

Простите, а не то же самое сказано у меня. Пока не Законов, нет и безопасности!
Microsoft Security Trusted Adviser
MVP Consumer Security

Владимир, интересно Ваше мнение по:
"УКАЗ ПРЕЗИДЕНТА УКРАЇНИ № 514/2009
Про Доктрину інформаційної безпеки України"
http://www.president.gov.ua/documents/9570.html

//Одесский ИТ-Клуб

Виктор у меня может быть частное мнение.
Данный Указ мог бы быть интересен лет 15 назад. В нем говорится о многом и ни о чем. Сегодня, на мой взгляд нужны куда более практичные документы

Microsoft Security Trusted Adviser
MVP Consumer Security

Как мне кажется, до тех пор, пока любой вопрос можно эффективно решить, отнеся "пакуночок" в нужный кабинет, ценность информации как таковой в Украине будет оставаться низкой. На таком же уровне будет и ИБ.

Юра, тут сложно и бессмысленно возражать. Потому не буду

Microsoft Security Trusted Adviser
MVP Consumer Security

Колеги, ви вибачте, скільки можна нити?

Можливо просто пора почати щось робити на своєму робочому місці? Якщо в одній компанії все буде побудоване правильно, то значить і в масштабах країни ситуація трохи покращиться. А якщо казати, що всюди пагано, тому і я нічого не роблю, то тоді дійсно нічого ніколи не зміниться.

Тут є аналогія зі станом справ на духовній ниві. Порада отців ревнителям чистоти церкви наступна: спасися сам і тисячі навколо тебе спасуться.

Сійте зерна розумності, практичності, професійності і рано чи пізно вони дадуть свої плоди.

І більше оптимізму, бо песимізму і так багато ;)

Простите, вы сможете построить в рамках одной компании правильно, если ошибка изначально лежит в законодательстве? Поделитесь опытом!
PS
Если нужно - укажу типовую ситуацию
Microsoft Security Trusted Adviser
MVP Consumer Security

Боюсь пока зерна дадут плоды... Этого могу не увидеть не только я но и многие вокруг!
Microsoft Security Trusted Adviser
MVP Consumer Security

Боюсь пока зерна дадут плоды... Этого могу не увидеть не только я но и многие вокруг!
Microsoft Security Trusted Adviser
MVP Consumer Security

Наше законодавство в поточному стані, наприклад, офіційно дозволяє вбивство ще ненароджених дітей. Чи означає це, що всі мають так робити, як дозволено в законах? Якщо закони не регулють в силу своєї недосконалості якусь діяльність, то її регулює щось інше, в ІТ - це доцільність, в бізнесі - вигода, тощо.

Наскільки я бачу той короткий відрізок розвитку ІТ, то закони завжди "підтягуються" під реальність, а не навпаки. Наприклад, спочатку з"явилися інтернет ЗМІ, і лише потім в деяких країнах виникли закони, що регулють їх діяльність. Це нормально, бо навіть ідеальна державна машина ніколи не буде встигати за бізнесом.

Можливо в держ. стру-рах закони мають зобов"язуючі вимоги в побудові ІТ. В бізнесі такого я не зустрічав. Хоча брав участь і в проектах для корп. замовників і для великих держ. підприємств. Так, приклади були б цікаві. Будьласка опишіть їх.

Так само цікаво було б почути від інших колег, як саме закони завадили вам побудувати частину, чи всю ІТ інфраструктуру для певної компанії.

Дякую за дискусію!

Итак, что первое можно вспомнить.
Периодически руководство ставит задачу службе безопасности (службе ИБ) просматривать электронную почту того или иного сотрудника. Задача реальна, не так ли?
Однако далеко не все руководители СБ понимают что в этом случае они нарушают Конституцию Украины, гарантирующую тайну переписки. И в случае "грамотного" сотрудника фирме угрожает неприятный судебный процесс, а так как Конституция - закон прямого действия, то результат вполне предсказуем!

Microsoft Security Trusted Adviser
MVP Consumer Security

Бізнес-листування і особисте листування це різні речі. Перше належить компанії і є частиною документообігу, а другим на роботі не займаються.

Як це робиться на практиці. При прийомі на роботу людина підписує відповідні папери в яких зобов"язується не використовувати пошту в особистих цілях і дозволяє проглядати свою пошту, прослуховувати розмови з робочого телефону.

Доречі, так само, як дозволяє видавати зарплату на кредитну картку, а не готівкою. Хоча перше без дозволу людини заборонено.

Прежде чем писать такое, я все же рекомендую заглядывать в Конституцию, хотя бы иногда!
В Конституции гарантирована тайна переписки! Нигде не сказано слово ЛИЧНОЙ! Так что ваши пояснения в данном случае бессмысленны. Рекомендую обратиться к юристу и тогда вы поймете сами.
Человек может подписывать что он разрешает, однако эта бумага не отменяет Конституцию на отдельно взятом предприятии. Это так, кстати. А вообще, рекомендую почаще заглядывать в законодательство. Если вы работаете в сфере ИБ это очень полезно!

Microsoft Security Trusted Adviser
MVP Consumer Security

Ну, навіщо так багато емоцій? Здається ви прагнете ідеалу, там де його апріорі бути не може.

Наша задача допомогти замовнику в вирішення його проблем, варіант як це може бути практично зроблено я написав. Конфлікт інтересів бути при будь-якому рішенні, і це теж нормально.

Можна звичайно прагнути досягти при цьому всесвітньої гармонії, але це не можливо силами однієї людини, і це вже не ІТ, і, здається, не бізнес.

Вибачте, якщо я вас чимось образив.

В данном случае я просто показываю, что внедрять что-либо можно и нужно, но нужно заранее продумывать что может произойти.
Меня вы не обидели. Чем? Тем что законы не работают? Или тем что мы должны думать как выпутаться из законодательного беспредела?
Увы, мы живем здесь а значит нам здесь и работать! Всего наилдучшего!
Microsoft Security Trusted Adviser
MVP Consumer Security

Доречі зараз сижу в одному з навчальних центрів. Одна з тем, що розглядаються - управління ризиками. І підняте вами питання - це типовий приклад. Просто, мабуть, більшість босів реагує на ці ризики не лобіюванням змінами в законодавстві, а чимось іншим.

Віктор, дозвольте звернути Вашу увагу на статтю Володимира http://ko-online.com.ua/node/44675, де він як раз і говорив на тему, що саме і в якій послідовності є сенс робити.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT