Человек сегодня не может гарантировать сохранность данных даже о самом себе, несмотря на то что, как следует из статей этого выпуска журнала, посвященного безопасным архитектурам и средам разработки надежного программного обеспечения, соответствующих инструментов у него более чем достаточно. Происходит это потому, что в истории развития систем безопасности завершился период, когда вся защита сводилась к защите оборудования, используемого для хранения, передачи и обработки данных, – наступила иная эпоха, к которой большинство сотрудников компаний еще не готовы. Сегодня, как отмечает в своей статье Леонид Черняк, мы имеем дело с безопасностью, ориентированной на данные, – именно информация, а не аппаратные и программные системные компоненты стала объектом защиты. Такой подход подразумевает строгую регламентацию работы с данными и их обязательное повсеместное шифрование на всем протяжении жизненного цикла.
На первый взгляд во всем этом нет ничего нового – и шифрование, и правила, прописанные в политиках обеспечения корпоративной информационной безопасности, существовали давно, однако новая эпоха предполагает значительное увеличение числа людей, вовлеченных в процесс обеспечения безопасности, в то время как ранее этими вопросами занималась лишь небольшая группа ИТ-специалистов, отвечающих за поддержку систем безопасности. Ответственность за сохранность данных все чаще передается сотрудникам, непосредственно работающим с данными, а это предполагает, что средства по обеспечению безопасности должны быть понятны линейным работникам бизнес-подразделений. Подлежат пересмотру методы их работы, их представления о безопасности должны выйти на уровень подсознания, а установленные правила должны выполняться неукоснительно и без излишнего обдумывания.
Борьба с внутренними угрозами – одно из приоритетных направлений деятельности компаний и организаций различного уровня и масштаба, причем особую важность данному вопросу, особенно в России, придает тот факт, что меньше чем через год все информационные системы, содержащие личные данные, должны быть приведены в соответствие с требованиями федерального закона «О персональных данных».
Ошибки персонала могут сегодня стоить дороже, чем спланированные действия целой группы злоумышленников, но и это еще не все – компьютерное сообщество серьезно озабочено надежностью самого программного обеспечения, которое уже нельзя считать лишь приложением к повседневной жизни. Программы стали неотъемлемой частью существования общества – провал или успех наших повседневных дел фактически в той или иной степени определяется корректностью функционирования ПО, что ставит всех нас в зависимость от программных ошибок.
Программные ошибки сегодня не только дороги, но иногда и смертельно опасны – примеры, приведенные в этом номере, свидетельствуют о том, насколько сильно мы зависим от корректной работы программного обеспечения. Однако, несмотря на это, имеющиеся инструменты повышения качества и надежности ПО пока не находят широкого применения в отрасли. Согласно приближенным оценкам, отраслевые затраты на защиту программных активов составляют лишь в 0,2% оборота рынка программного обеспечения, что на порядок меньше, например, затрат на защиту сетевых активов, на которые приходится 2,3% оборота рынка сетевого оборудования. Правда, радует то, что рынок программных инструментальных средств и сервисов растет, и, например, в области средств статического анализа и тестирования темпы роста доходят до 80% в год. Какие конкретно инструменты тестирования представлены сегодня на рынке, можно узнать из статьи Петра Можаева. Алексей Ковязин акцентирует внимание на особенностях разработки не только надежных приложений, но и баз данных, в которых может храниться в том числе и конфиденциальная информация.
Реляционные базы данных проникли практически во все информационные системы, и, казалось бы, здесь все давно устоялось, однако реальное положение дел далеко от идеального. В разработке приложений для работы с базами данных имеется ряд проблем, без решения которых нельзя говорить о построении на предприятии безопасной архитектуры, обеспечивающей сохранность информационных ресурсов. Хаотическое проектирование баз данных, разобщенность кода, создание мультиплатформенных приложений баз данных и поддержка изменений в данных и схемах – вот неполный перечень основных проблем.
В современной индустрии разработки ПО устоялось мнение, что определить все требования перед началом проекта невозможно и разработка должна быть адаптирована к постоянно изменяющимся требованиям, однако фактически разработка баз данных сегодня ведется «заплаточным» методом – про модель забывают, производя изменения прямо в базе. Еще одной проблемой для разработчиков является создание приложений, способных работать с несколькими СУБД, – корректная миграция с одной базы на другую невозможна без верификации, но кто может гарантировать, что перенесенные данные действительно идентичны?
Человек не очень-то справляется с ролью гаранта качества, идет ли речь о безопасных архитектурах или о создании надежного программного обеспечения. Возможно, потому, что в массе своей люди большую часть времени сосредоточены на вещах, не имеющих значения.
Колонка главного редактора: www.osp.ru/os/list/2009/02/1072568.html