Попробуйте ответить или, как сегодня модно говорить, определить цену вопроса: «Хорошо ли построена система информационной безопасности вашего предприятия?». Для простоты предложим три варианта ответа. Первый. Да, отлично, потому что система построена с учетом всех необходимых стандартов и последних достижений ИТ-индустрии. Второй. Скорее, да, т.к. группе разработчиков был очень интересен сам процесс создания устойчивой к атакам конфигурации, созданной с использованием оригинальных и хитроумных решений. Третий. Да, наверное, однако главное — бизнес, а решение задачи обеспечения информационной безопасности не должно отвлекать ресурсы от выполнения более важных проблем.
Читатели, выбравшие первый вариант, наверное, вышли из ИТ-среды и оказывают сегодня непосредственное влияние на бизнес. Тем, кому ближе второй ответ, скорее всего, сотрудники ИТ-подразделения, слабо связанного с основным бизнесом предприятия. Третий вариант ответа, наверняка, выбрали бы руководители компаний, считающие разговоры об информационной безопасности не более чем страшилками, распространяемыми поставщиками соответствующих решений. Правомерность такого деления подтверждают, кстати, и аналитики IDC, исследовавшие текущее состояние дел в области информационной безопасности. Во-первых, решения по безопасности предлагаются сегодня на рынке как часть ИТ-решения, а не как необходимый компонент успешного ведения бизнеса. Во-вторых, рынок решений по информационной безопасности еще очень фрагментарен — здесь много белых пятен и до сих пор нет целостного решения, закрывающего все аспекты обеспечения безопасности. Кроме этого, нет явного лидера, способного предложить интегральное решение по защите, поэтому следует очень осторожно относиться к тем, кто сегодня думает, будто знает дорогу. В-третьих, игроки рынка услуг и продуктов в области информационной безопасности придерживаются сейчас тактики запугивания потенциальных пользователей («сутки простоя — огромные убытки»), спекулируя на неуверенности и сомнениях пользователей, а между тем, методика количественной оценки рисков и стоимости простоев ближе пока к мистике, чем к взвешенному научному анализу — предлагаются слишком разные и неинформативные метрики.
Как бы то ни было, каждый, открывший журнал, должен получить свою толику информации, поэтому в данном номере, посвященном информационной безопасности, мы постарались учесть интересы всех групп читателей.
Для первой группы была бы интересна, например, статья по спектру решений eTrust. Несмотря на то что многие компании используют в своей работе различные ИТ-решения, не надо забывать, что, как правило, строились они без учета требований к информационной защите. Многие нынешние системы выросли из программ, предназначенных для автономных компьютеров, которые впоследствии были собраны в сеть, а затем подключены к Internet — на первом этапе компьютеризации мало кто задумывался о сетевой безопасности, но дожившие до сегодняшнего дня решения часто являются источником проблем с безопасностью.
Следующей группе читателей, несомненно, будут интересны статьи о квантовой криптографии и ловушках для хакеров. Есть мнение, что именно квантовая криптография может стать первым практическим результатом применения технологий наступившего века и, так же как весь двадцатый век, прошедший под знаком электродинамики, основы которой были сформулированы еще в веке девятнадцатом, нынешний будет пользоваться плодами исследований в области квантовой механики, зародившейся в веке прошлом. Цель инициативы Honeynet Project («сеть-приманка») — найти ответы на вопросы типа: Чем хакеры угрожают компьютерным сетям? Кто и как реализует эти угрозы? Это осуществляется путем «заманивания» хакеров, анализа их действий и последующего распространения полученной информации. До сих пор характер атаки выясняли, анализируя программы, использованные для взлома, однако после того, как инцидент произошел, единственные данные, которыми располагают специалисты, — это «следы» хакера, остававшиеся во взломанной системе, но этого слишком мало, чтобы судить об угрозе в целом.
Читателям, отнесенным к третьей группе, будут интересны, например, статьи по оценке эффективности защиты информации и безопасности систем с открытым кодом. На практике организация защиты происходит обычно в условиях случайного воздействия различных факторов, одни из которых систематизированы в стандартах, а другие заранее неизвестны и способны снизить эффективность или даже скомпрометировать предусмотренные меры информационной безопасности, поэтому для оценки эффективности защиты можно использовать системный подход, включая методы системотехники.
Споры о том, приводит ли открытие кода к усилению или ослаблению безопасности, длятся годами — свободно распространяемое программное обеспечение открывает широкие возможности и перед хакерами, и перед специалистами по безопасности. С одной стороны, свободно распространяемые программы по своей природе более защищены, чем системы с недоступными исходными текстами, а с другой, это не совсем так — по сути, речь идет о двух сторонах одной медали. Однако если специалисты по безопасности не будут ничего предпринимать для защиты своих систем, хакеры окажутся в выигрыше. Тем не менее, открытые коды дают немалые преимущества по защите, поскольку позволяют использовать методы, как правило, неприменимые к коммерческим программным продуктам.
Словом, в этом и в симметричном номере за прошлый год, мы постарались аккумулировать почти все, что позволяет наиболее выпукло представить проблему обеспечения информационной безопасности и оценить цену вопроса ее решения.