Лекция #16: Заключение
Глава 4. Заключение
Цель мероприятий в области информационной безопасности - защитить интересы субъектов информационных отношений. Интересы эти многочисленны и многообразны и это - первая причина сложности проблематики ИБ, но все они концентрируются вокруг трех основных аспектов:
· доступность;
· целостность;
· конфиденциальность.
Первый шаг при построении системы ИБ организации - ранжирование и детализация этих аспектов.
Важность проблематики ИБ объясняется двумя основными причинами:
· ценностью накопленных информационных ресурсов;
· критической зависимостью от информационных технологий.
Разрушение важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа - все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.
Современные информационные системы сложны и, значит, опасны сами по себе, даже без учета злоумышленной активности. Постоянно обнаруживаются новые серьезные уязвимости в программном обеспечении. Это - вторая причина сложности проблематики ИБ. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.
|
|
Меняются принципы построения корпоративных ИС. Используются многочисленные внешние информационные сервисы; предоставляются вовне собственные; получило широкое распространение явление, обозначаемое исконно русским словом аутсорсинг, когда часть функций корпоративной ИС передается внешним организациям. Развивается программирование с активными агентами. Налицо еще один источник сложности - размытость границы между своим и чужим, минимизация числа доверенных составляющих.
Подтверждением сложности проблематики ИБ является параллельный (и довольно быстрый) рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения. (Последнее обстоятельство - еще один довод в пользу важности ИБ.)
Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней:
· законодательного;
· административного;
· процедурного;
· программно-технического.
Проблема ИБ - не только (и не столько) техническая; без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить ее невозможно. Комплексность также усложняет проблематику ИБ; требуется взаимодействие специалистов разных специальностей.
|
|
В качестве основного инструмента борьбы со сложностью предлагается объектно-ориентированный подход. Инкапсуляция, наследование, полиморфизм, выделение граней объектов, варьирование уровня детализации - все это универсальные понятия, владение которыми необходимо всем специалистам по информационной безопасности.