Андрей Васильков
http://www.computerra.ru/
Профессия — защита информации
Обеспечение должного уровня информационной безопасности (далее — ИБ) — главная задача практически любой современной организации. До тех пор, пока проблема безопасности не решена, невозможна долгосрочная устойчивая работа. Ключевые данные могут быть внезапно уничтожены или злонамеренно модифицированы; они могут попасть в руки тех, кто не должен знакомиться с их содержанием. Бремя защиты ложится на специалистов по ИБ, о которых и пойдет речь в этой статье.
Кто не со Мною, тот против Меня; и кто
не собирает со Мною, тот расточает.
Матф. 12: 30
В ТО ВРЕМЯ как большинство информационно-технологических (ИТ) профессий получили общепринятые названия, экспертов по информационной безопасности именуют как кому вздумается. Такое положение возникло из-за относительной новизны специальности. Она сформировалась в последние годы, включив часть обязанностей сисадмина (системного администратора), сотрудника службы безопасности, CIO (Chief Information Officer — заместителя директора по ИТ) и даже психолога, соединив эти составляющие в качественно новую профессию.
Первое, с чего стоит начать, устроившись на работу, — выяснить круг своих обязанностей и четко описать их в трудовом договоре. Специалист по ИБ ни в коем случае не должен выполнять функции сисадмина. Хотя бы потому, что в кризисных ситуациях возникнет конфликт расстановки приоритетов решения проблем. Например, атака на сеть предприятия привела к выходу из строя почтового сервера. За какое дело хвататься быстрее: «поднимать» сервер или предотвращать вторжение? Когда этим занимаются два разных человека, такой дилеммы не возникает.
|
Совет безопасности им. Митника
ХАКЕР с мировым именем Кевин Митник в своей новой книге «Art of Deception» («Искусство обмана») описывает множество способов получения паролей доступа и другой конфиденциальной информации методами социального инжиниринга. Суть сводится к тому, что использование изощренных сетевых атак зачастую является экономически невыгодным. Гораздо проще получить желаемые данные, покопавшись в бумажном мусоре, подслушав разговор сотрудников во время перерыва или даже разыграв телефонный мини-спектакль по сценарию «ах, я забыл свой пароль». |
С чего начать
После трудоустройства необходимо сразу же решить целый ряд вопросов:
выявить источники потенциальных угроз. Это могут быть не только классические уязвимости локальных вычислительных сетей (ЛВС), но и беззащитные телефонные кабели, беспроводные клавиатуры, мониторы, развернутые к окну, болтливые, халатные или просто глупые работники. Принципиально важно понять, от кого, от чего и на каком уровне вы собираетесь защитить свою сеть. У каждого типа организации тут своя специфика;
согласовать с руководителем объем финансирования, оценить убытки от возможного несанкционированного доступа к информации или ее нежелательной модификации. Исходя из этого, надо затем обозначить контролируемые объекты и ресурсы сети. Защитить каждый узел порой бывает невозможно, да и не требуется. Однако вы должны осознавать, что общая степень защищенности равна степени защиты самого слабого участка системы (сети);
установить рабочие группы пользователей и набор минимально необходимых прав для каждой из них. Идеальный вариант: изначально на программно-аппаратном уровне запрещается вообще все. Затем, по мере необходимости, отдельные действия разрешаются. Тогда вы будете уверены, что никакие неиспользуемые порты не открыты, никакие лишние службы и программы не работают;
определить действия сотрудников во время возникновения нештатных ситуаций. Самый простой принцип — «руки прочь от клавиатуры»: лучшая помощь — это когда не мешают.
Люди
Один в поле не воин. Даже целый отдел по информационной безопасности может не справиться со своими задачами, если ему не будут помогать (или, как минимум, не мешать) остальные работники предприятия. Поэтому разработка административно-правовых мер политики безопасности является третьей главной задачей специалиста по ИБ, которую он осуществляет совместно с руководителем, сисадмином и CIO. Это — основа всей защиты. Политика безопасности должна быть четко прописана в руководящих документах, соответствовать современному уровню, быть обязательной для исполнения и предусматривать серьезные взыскания за нарушения установленных правил. «Человеческий фактор» всегда один из самых весомых и трудно контролируемых. Вот почему крайне важно объяснить каждому сотруднику, что и почему он не должен делать.
Железо
Выбор, установка и настройка программно-аппаратного комплекса специальных средств защиты и поддержание его на необходимом уровне тоже являются одной из главных задач специалиста по информационной безопасности. Стоит напомнить, что безопасность — это процесс. Система защиты без постоянной модернизации устаревает с момента установки и сама становится источником угрозы. Иллюзия защиты даже хуже ее полного отсутствия.
Образование
Сам специалист тоже должен все время совершенствовать навыки и приобретать новые. Помимо факультетов с направлением «информационная безопасность», на базе вузов и фирм, специализирующихся в области ИТ-безопасности, стали создаваться курсы повышения квалификации. Однако стоит обратить внимание на наличие лицензии и на то, какой документ выдается по окончании обучения. Это может быть свидетельство как государственного, так и международного образца. Узнайте, кто ведет занятия, есть ли в программе практическая часть, попросите предоставить статистику последующего трудоустройства слушателей. Словом, проявите инициативу, чтобы не выбрасывать деньги на ветер. Только такой заинтересованный подход гарантирует вам не просто возврат, а прибыль от инвестиций в свое образование.
ПО МНЕНИЮ аналитической компании ЮС, рынок межсетевых экранов, средств криптографической защиты, идентификации, авторизации, управления безопасностью, антивирусных средств ежегодно вырастает примерно на 20 %.
Российский рынок ИБ (кстати, как и рынок компьютеров) сегодня составляет примерно один процент мирового рынка. Эксперты компании «Элвис+» оценивают его объем в 2002 году в 40–80 млн. долларов, на 2003 год прогнозируют 47,6–95,2 млн., на 2005 год — 140–220 млн. долларов.
Интерес к сфере ИБ порождает не только фирмы соответствующей направленности, но и некоммерческие организации. Именно благодаря последним пользователи получают возможность независимой оценки ситуации, получения бесплатных консультаций. Обычно работа в таких проектах является первым шагом на пути профессиональной карьеры в области информационной безопасности. Сейчас активны следующие сайты: «Центр исследования проблем компьютерной преступности» (www.Crime-Research.org), «Security Lab» ( http://SecurityLab.ru), Angstroem Society (http://Angstroem.t-k.ru). Некогда мощный портал Stop Hack (http://StopHack.ru) сейчас несколько снизил темп развития. Будем надеяться, что это временно.