Затрагивая такую технологическую тему, как защита информации, наше издание все равно должно искать какие-то тропинки, выводящие пользователя от рассмотрения бизнес-задачи, к тому или иному набору программно-аппаратных решений. В рамках опубликованного в текущем номере круглого стола нам отчасти удалось определить общий вектор мнений, оставив в то же время некоторые нюансы в качестве неопределенных моментов. Так, например, бесспорно появился акцент на организационных мероприятиях в сфере ИБ, связанных, в свою очередь, с важностью наличия у отечественных компаний политики с данной области. В то же время вопрос ассоциации самой политики ИБ со специализированной информационной поддержкой данного процесса не был решен единогласно. Не слишком понятно, насколько связаны пресловутые организационные меры с техническим обеспечением информационной защиты.
К организационным требованиям и бизнес-процессам
В настоящее время все специалисты сходятся на том, что война профессионалов с пользователями-злоумышленниками в сфере ИБ может быть выиграна только с применением организационных приемов. "Организационная составляющая всегда была и остается ключевой частью системы информационной безопасности. Сама же система ИБ - важная компонента обеспечения устойчивости бизнеса, а выражением понимания данного тезиса как раз и является политика информационной безопасности", - утверждает руководитель направления информационной безопасности компании "АМТ Груп" Олег Самарин. Устойчивость бизнеса, как известно, - категория, во многом связанная с риск-менеджментом, а следовательно, и с современными принципами управления. Еще одним катализатором сопряжения организационных и технологических решений, по всей видимости, следует назвать тенденцию смещения акцентов ИБ в сторону большего внимания внутренним угрозам. Специалисты компании "ИВК" считают, что проблема борьбы с "внутренним врагом" не может быть решена на уровне ИТ и требования к системе безопасности должны в обязательном порядке формулироваться на организационном уровне. Вспомним также один из тезисов круглого стола, согласно которому целенаправленная деятельность в области информационной безопасности является частью ИТ настолько, насколько само ИТ-направление является частью бизнес-процессов организации.
Все это наталкивает на мысль, что три ключевых понятия: "политика информационной безопасности", "организационные меры в области защиты" и "бизнес-процессы компании" оказываются на сегодняшний момент очень тесно связанными. Остается выяснить, какова роль в этой ситуации традиционного программно-технического инструментария ИБ. Ведь большинство соответствующих средств традиционно рассматривались как системное ПО, имеющее мало отношения к самому процессу управления.
Бизнес-ориентированная защита информации
Существует ли информационная поддержка решения проблем защиты информации на уровне реализации политики информационной безопасности? Этот вопрос можно обсуждать по-разному, в том числе с точки зрения использования на предприятии систем того или иного класса. Можно начать конкретный разговор с одной из таковых, реализующих концепцию управления идентификационными параметрами личности (Identity Management). Данная категория решений, как известно, предполагает четкую идентификацию каждого сотрудника в электронной системе и последующее управление доступом с его стороны к различным ИТ-ресурсам на основе прав, ограничений и ролей. Несмотря на свою формальную принадлежность продуктов данного класса к категории средств информационной безопасности (в отличие, скажем от антивирусных программ или межсетевых экранов) в контексте разговоров об информационной защите речь о них пока заходит не часто. Во всяком случае, технические решения в них тесно переплетаются с организационными, и отчасти по этой причине они действительно стоит несколько особняком от иных программных средств ИБ. "Система класса Identity Management может быть внедрена на конкретном предприятии только при наличии четко сформулированной и утвержденной руководством политики информационной безопасности, - говорит руководитель департамента по работе с клиентами компании Novell Андрей Жерлицын, - Система же электронных каталогов e-Directory, на базе которой строятся решения по управлению идентификацией личности нашей компании, одновременно является своего рода электронным "слепком" организационной модели предприятия".
Несколько отвлекаясь от собственно вопросов безопасности, можно отметить, что Identity Management предполагает наличие строгой упорядоченности в учете и планировании по крайней мере одного из трех определяющих развитие бизнеса ресурсов - человеческого. Кроме того, далеко не последнюю роль в данном случае играет то, насколько быстро и качественно могут быть локализованы все бизнес-процессы, в которых задействован тот или иной пользователь (то есть насколько полно они описаны и насколько технологично осуществляется доступ к ним), кто является владельцем и кто -пользователем той или иной информации. А, как известно, такие вопросы как раз и находят отражение в политике информационной безопасности.
Второй особенностью систем класса Identity Management, отличающей его от многих других продуктов в области защиты информации, является тесная связь с большинством подсистем ИТ-инфраструктуры, использующихся на предприятии для поддержки бизнес-функций. Существование единой "электронной копии" сотрудника в системе со всеми параметрами, определяющими возможные характеристики его отношения к корпоративным данным и приложениям, а также способность мгновенно изменять их конфигурацию при изменении статуса работника (переводе на другую должность, увольнении и т. д.) невозможны без тесной интеграции данного ПО с разнообразными продуктами автоматизации бизнеса. По словам Андрея Жерлицына, системы идентификации личности представляют собой скелет, на который "нанизывается" большое количество специализированных решений, что, в частности, и позволяет рассматривать задачи информационной безопасности в контексте проблематики бизнеса.
Несмотря на то, что Novell является, пожалуй, наиболее известным поставщиком систем Identity Management, есть и другие поставщики ПО данного класса, к примеру, Oracle. И характерно, что в этом сегменте действуют компании, не специализирующиеся исключительно на разработке средств защиты информации. Скорее их можно определить как крупных производителей инфраструктурного ПО для бизнеса.
Существует сложившееся понимание имплементации организационных мер в программные решения и у российских компаний. Как утверждают специалисты компании "ИВК", реально обеспечить отображение организационных требований безопасности на уровень информационных систем можно, только поместив средства защиты информации в ПО промежуточного слоя (middleware), которое бы скрывало и концептуальные, и межплатформенные различия.
На уровне же общих принципов никто особо не отрицает необходимость связывать решения по защите информации со всей инфраструктурой автоматизации предприятия. "Решения по ИБ, в том числе технические, тесным образом коррелируют с инфраструктурными решениями в информационных системах, и системный подход здесь - единственно разумная стратегия", - утверждает Олег Самарин.
Наряду с Identity Management стоит, по всей видимости, выделить еще одно направление ИБ, которое тоже сильнее, чем другие связано с политикой информационной безопасности, организационными процедурами, и необходимостью интеграции с бизнес-приложениями. Это так называемые интеллектуальные системы обеспечения ИБ (Intelligent Security), которым как отдельной категории ПО также вплоть до последнего времени в отечественной прессе уделялось куда меньше внимания. Одним из решений, явно позиционируемых в этом сегменте, является, к примеру, IT Security Management компании SAS Institute, которая давно на рынке. В одном из имеющихся определений этого нового термина говорится, что Intelligent Security призвана обеспечить проактивное выявление всех возможных уязвимостей и угроз, их анализ и доведение необходимых сведений в адекватной форме до технического и руководящего персонала.
И снова, как и в случае с Identyty Management, возникает необходимость интеграции с бизнес-системами. Только в данном случае речь больше идет об аналитическом инструментарии, хранилищах данных, средствах коллективной работы и генерации отчетов. Они могут быть встроены в интеллектуальные системы ИБ или представлять собой решения иных поставщиков. Указанный инструментарий (в особенности инструменты коллективного взаимодействия и репортинг) точно так же выводит нас на бизнес-процессы и организационные процедуры. И наконец, точно так же, как в случае с решениями по управлению идентификационными параметрами личности, продукты Intelligent Security ассоциируются с поставщиками средств корпоративной автоматизации широкого класса.
Иными словами, вполне можно говорить о том, что отдельные категории ПО, обеспечивающие информационную безопасность, оказываются очень тесно привязаны к бизнес-процессам компании и средствам автоматизации бизнеса. Конечно, применяются они в сочетании с иным ПО защиты данных, менее зависимым от бизнес-процессов. Но именно они наиболее прямо могут быть ассоциируемы с реализацией политики ИБ.
"Поддержка" со стороны бизнес-систем
Следует признать, что и сами средства автоматизации бизнеса, развиваясь, могут если не способствовать прямому исполнению тех или иных функций защиты корпоративных данных, то по крайней мере косвенно содействовать реализации политики ИБ. Явную ассоциацию с задачами информационной безопасности вызывает, например, технология управления жизненным циклом информации (Information Lifecycle Management ILM). При ее применении неизбежно встают вопросы количественного определения ценности тех или иных информационных ресурсов, четкой идентификации всех владельцев и пользователей информации, разграничения доступа и т. д. Подтверждением этому явился, кстати, недавно состоявшийся в Москве ILM-форум, организованный компаними EMC и "Документум Сервисиз СНГ". Только если на форуме все подобные вопросы ставились исходя из целей оптимизации использования информационных ресурсов в бизнесе, то в политике ИБ они же возникают в качестве необходимых условий для применения адекватных технологий их защиты.
В результате "взаимного пересечения" организационных и технологических приемов, используемых сегодня как в автоматизации бизнеса, так и в обеспечении его информационной защиты, становится возможна и некоторая параллельность тенденций. Так, например, при налаживании тесного информационного взаимодействия независимых предприятий по цепочке поставок становится вполне реальным и разумным согласование соответствующих политик ИБ равно как и технических решений в области защиты информации. Такого мнения придерживаются и Андрей Жерлицын, и Олег Самарин.