Состояние информационной безопасности на Украине или почему пациент скорее мертв, чем жив?

Грустно осознавать, что положение дел в области информационной безопасности весьма далеко от идеала и удовлетворительным его может считать лишь тот, кто никогда не работал в этой отрасли.

Хозяева компаний если и уделяют время и ресурсы этому вопросу, то только после очередного скандала или напоминания зарубежных инвесторов. Выделенные подразделения практически отсутствуют, специалистов, действительно специалистов можно пересчитать по пальцам, на серьезных мероприятиях из года в год встречаешь одни и те же лица. А выехав за пределы киевской окружной дороги, понимаешь, что все куда хуже, чем раньше себе представлял. Фактически ИБ так и осталась уделом крупных банков и ограниченного числа компаний. Фактически какого-то прорыва в массы, прорыва сознания не происходит.

Почему? На мой взгляд, на то есть несколько причин. Попробуем их рассмотреть.

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

• законодательного;
• административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
• процедурного (меры безопасности, ориентированные на людей);
• программно-технического.

Законодательный уровень

На данном уровне все весьма и весьма запутанно. Законов существует масса, причем весьма часто закон А противоречит закону Б. Какой из них применять – не известно скорее всего и самим законодателям.

Примеров можно привести массу. Однако остановимся всего на двух. Уже не первый год в Уголовном Кодексе Украины есть статьи, относящиеся к преступлениям в сфере ИТ. Однако если вчитаться внимательно, то выясняется, что судить по ним можно любого из нас, ведь текст написан крайне обтекаемо. Хорошо, скажете вы, это ведь Кодекс. Но беда-то в том, что разъяснений к этим статьям я так и не нашел. Нет их, как впрочем и практически нет документов по компьютерной безопасности в нормативных документах по ИБ бывшего ДСТСЗИ СБУ. Количество подобных документов составляет, на мой взгляд, порядка 5% от существующих. Если не меньше. Нет украинского стандарта в области информационной безопасности. А если и есть, то широкому кругу профессионалов просто не доведен. Нет методических рекомендаций для негосударственных компаний. Того, чего нет, на самом деле, можно перечислять очень долго.

Другой пример.

Большинство из нас использует на работе и дома ОС семейства Windows от Microsoft. А теперь вопрос. Я так и не смог разобраться до конца в вопросе. Могу ли я на предприятии или дома использовать встроенное шифрование BitLocker из состава Windows Vista или Windows 7?

С одной стороны – нет. По закону предприятие должно иметь лицензию на право использования криптографической защиты. А сама система защиты должна быть сертифицирована и использовать сертифицированные алгоритмы.

С другой – да. Ведь я законный покупатель и заплатив за Windows Vista Ultimate (Enterprise) или соответственно Windows 7 Ultimate (Enterprise) я уже купил себе право использовать все что включено в  систему, а шифрование BitLocker составная часть операционной системы.

В соответствующих госорганах я так и не получил ответ на свой вопрос.

Административный уровень

Пожалуй самый важный уровень. Почему? Да просто потому что без поддержки руководства компании все ваши инициативы в области ИБ – пустой звук и не более того. Нет поддерки руководства – значит нет и безопасности! И не будет!

Здесь тоже не все так просто. Приказы на предприятиях (не на всех, как я уже говорил) есть. Однако далеко не у всех поддерживается, а вернее наведен, элементарнейший порядок. Т.е. существует список задач, с которыми работают пользователи, определены уровни конфиденциальности, целостности и доступности информации и т.д.

А ведь безопасность это, прежде всего, порядок, организованность и однозначность в проведении тех или иных мероприятий!

Далеко не всегда руководство понимает, собственно, а чего же оно само хочет? И в таком случае говорить о безопасности просто не имеет смысла!

Процедурный уровень

О необходимости доведения процедур в области ИБ до каждого сотрудника сказано не мало. А доведены ли? И до всех ли? Не слышали ли вы о том, что VIP-сотрудники зачастую просят себе привилегии, которые им совершенно не нужны для работы. И что делает ИБ? Выполняет приказ руководства и дает им эти права. Верно? Увы, да.

Программно-технический уровень

На данном уровне тоже не все так просто. Основная причина – общая незрелость ИТ на предприятиях. Сегодня на очень многих предприятиях все еще используется ворованное ПО. Можно сказать, денег нет, кризис. Но используя подобное ПО большинство не осознает тот уровень угроз, которые при этом появляются. И речь не идет об угрозе лицензионной чистоты.

Однако главной причиной, на мой взгляд, является абсолютно наплевательское отношение к законам. Увы, но мы не приучены действовать по закону. Мы делаем так, как нам удобно.

Еще одной немаловажной причиной является низкий уровень специалистов. Сегодня количество людей с дипломами ИБ превышает все разумные пределы. А вот специалистов как не было, так и нет! И это факт!

Ну ладно, все плохо, а что делать, чтобы ИБ стала востребованной?

Кое-кто, прочитав все это, решит, что автор слишком многого хочет. Да! Автор хочет многого! А вы?