Используя системы ведения бизнеса или организационные с автоматизированной поддержкой процессов обработки информации для повышения эффективности их функционирования, мы сталкиваемся с серьезными проблемами — на эти системы воздействуют злоумышленники с помощью вредоносных программ и различных программно-аппаратных способов организации утечки информации. В то же время на ИТ-рынке в основном предлагаются программные про-дукты и технологии, реализующие способы борьбы с отдельными либо комплексными вредоносными воздействиями на системы и утечкой важной информации. Так, «Лаборатория Касперского», SYmantEc, Trend Micro, Eset, InfoWatch и другие ведущие компании на отечественном рынке решений по безопасности систем продают лишь коробочные программные продукты и технологии.
На прошедшем форуме независимых разработчиков программного обеспечения (ISDEF) нам удалось в ходе краткой беседы с Натальей Касперской и Дмитрием Харченко обменяться мнениями по поводу необходимости развития системного подхода к проблеме безопасности. Ведь принятое до сих пор понимание исходной системы на основе модели, определяемой программными представлениями об автоматизированной обработке информации, серьезно обедняет взгляд на безопасность системы. Дело в том, что при преимущественно бизнес-процессном подходе участию человека в функционировании исходной системы не уделяется должного внимания, прежде всего организационным формам такого участия. Так, не редкость, что при создании программных средств борьбы с вредоносным ПО во имя достижения скорейшего времени отклика на возникший инцидент разработчик предлагает проводить его рассмотрение без участия заинтересованного лица, а устранять это ПО после вынесения решения разработчиком. Разумеется, ущерб от такого воздействия целиком ложится на покупателя продукта. Заказчику трудно согласиться с такой позицией. Он хочет большего учета своих требований в реализуемой модели системы. В частности, в так называемых системах безопасности он желает видеть подсистему со значительно более активным участием человека (персонала системы) в управлении ее функционированием. Осуществляемое же на основе программных средств, оно недостаточно эффективно, потому что при этом используются заранее выбранные контрольные точки, что снижает гибкость управления. Например, управление доступом к информации со стороны администратора при значительном ее объеме может быть крайне затруднено на программном уровне. Оно обычно требует диалога, который трудно прописать алгоритмически в интерфейсных технологиях. В результате возникают серьезные конфликты между безопасностью и возможностью работы системы в целом.
На вопрос о необходимости перехода к разработке подсистем безопасности Н. Касперская и Д. Харченко разъяснили, что представляемые ими компании являются продуктовыми и такой переход для них неочевиден. Кроме того, он потребовал бы значительных средств, серьезных перемен в корпоративной специализации и необходимости решать трудные кадровые проблемы.
И все же рискнем заметить, какой в общем и целом нам видится подсистема безопасности (для определенности назовем ее службой). Реальные исходные системы, даже с весьма развитой ИТ-поддержкой, при их декомпозиции, т.е. представлении системы в виде частей, обязательно содержат организационный компонент, без которого система не может функционировать. Служба безопасности как раз и должна входить в этот компонент, но она обычно является его самостоятельной частью с обязательными возможностями участия в подготовке принятия решений, подготавливаемых во всех компонентах системы. В противном случае значительно возрастает вероятность нарушения системной безопасности.
Поэтому, чтобы обеспечить приемлемый переход системы из одного состояния в другое, необходимы оценка этой безопасности в зависимости от степени риска и контроль, если она высока. Оценка и контроль должны удовлетво-
рять значительной гибкости их функционирования, но решения, принимаемые при этом в автоматизированном режиме, в большой мере зависят от требуемого для проведения оценки и контроля времени, поэтому использование человека в подобных случаях неизбежно. Следовательно, основные компоненты службы безопасности — специалисты и программно-аппаратные средства, т.е. служба, — это человекомашинная подсистема. Поэтому, подытоживая сказанное: при проектировании службы безопасности не следует исходить только из продуктовых представлений о ней. Необходима концепция службы (как бы взгляд на нее сверху), которую можно наполнять не только подходящими программными, но и другими технологиями, поддерживающими безопасность обработки информации.