информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Атака на InternetГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Уголовное дело против Nginx 
 Microsoft сообщила о 44 миллионах... 
 Множественные уязвимости в VNC 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / разное
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон



Paragon Partition Manager 7.0

Играя в безопасность, или что общего между футболом и защитой информации
Алексей Леонов
Опубликовано: dl, 19.04.04 17:43

"Вынесенное в заглавие статьи утверждение - полный абсурд и использовано автором только для привлечения внимания", - скажете вы и будете неправы. Между футболом и защитой информации очень много общего, куда больше, чем кажется на первый взгляд. Более того. Я заявляю, что футбол и защита информации - это близнецы-братья. Именно это я и попытаюсь вам доказать в своей статье.

Обеспечение информационной безопасности, как и любой другой безопасности (физической, экономической, радиационной и других), - не более чем игра, в которой есть свои игроки, свои судьи, свои правила, свой инвентарь и много чего другого, что можно найти в любой игре. И победа в этой игре зависит от того, как вы будете играть со своими соперниками. При этом надо четко понимать, что безопасность - это не вещь в себе. Она не висит в воздухе - она зависит от множества факторов, квалификации игроков, непредвзятости судей, поведения болельщиков и т.д.

"Брось трепаться!" - скажете вы. "Доказывай, что защита информации и футбол - это близнецы-братья". Ну что ж. Начнем.

Футбол профессиональный и дворовый

Прежде чем я перейду к доказательству, хочу сделать небольшое отступление, которое, однако, прямо касается темы статьи. Речь идет о двух видах футбола - дворовом и профессиональном. Первый знаком всем по своему детству. В дворовый футбол играли (а многие играют до сих пор) все; на заброшенных пустырях, на хоккейных коробках, на пятачках перед подъездом и в других не менее "удобных" и приспособленных местах. Не всегда у нас был хороший футбольный мяч и другой спортинвентарь - бутсы, униформа и другие необходимые вещи. Не было у нас и судьи, или его роль выполнял один из игроков. Часто игра шла при полном отсутствии болельщиков, что не мешало нам получать от игры удовольствие. Я до пор наблюдаю, как под моими окнами здоровенные лбы лет под тридцать гоняют по выходным мяч, а в перерывах между матчами трескают пиво и наблюдают за гуляющими рядом с площадкой детьми.

В профессиональном футболе все не так. Тут вам и размеченное поле, "неподкупные" судьи, дорогой спортинвентарь, многомиллионная армия болельщиков и фанатов, трансляции по телевизору, большие гонорары за игру, тотализатор и т.д.

В защите информации все то же самое. Есть два подхода к обеспечению информационной безопасности - любительский и профессиональный. Первый подходит для небольших компаний, руководство которых недооценивает всей серьезности проблемы и не готово выделять достаточных средств на защиту своей информационной системы. Поэтому все делается по любительски - команда профессионалов не сформирована и совместные действия не отработаны, средства защиты свободно распространяемые (т.е. футболисты одеты все кое-как), что защищать неизвестно (границы поля не очерчены) и т.д. Я не беду рассматривать любительскую защиту, сосредоточив внимание на профессиональном подходе. Однако аналогичные рассуждения можно применить и к "дворовой" безопасности.

Игроки

В отличие от разгадывания кроссворда или собирания кубика Рубика (хотя и по этим видам игр проводятся международные турниры с множеством участников и борьбой за серьезные призы), безопасность - это игра не "в одни ворота". В ней вы состязаетесь со своими соперниками. Ведь не будете же вы утверждать, что безопасность затрагивает только вас. В данной игре присутствуют следующие игроки:

  • Администраторы безопасности и иные сотрудники, на чьи плечи тяжким грузом ложится защита корпоративных ресурсов. В футболе - это игроки, только умелая игра которых может привести команду к победе. Кстати, такая аналогия очень ясно доказывает необходимость обучения по вопросам информационной безопасности. Вы видели как играет дворовая команда, чьи действия никак и никем не скоординированы? А как играет команда профессиональных футболистов? Небо и земля. Только четкое знание того, что, как и когда делать, позволит добиться победы.
  • Рядовые сотрудники компании, соблюдающие или не соблюдающие политику безопасности (любой безопасности - пожарной, экономической, кадровой и, конечно же, информационной). В футболе - это болельщики, которые не могут повлиять на выигрыш команды, да и в игре они никакого участия не принимают. Однако некорректное поведение этой категории участников игры может привести к дисквалификации команды или начислению ей штрафных очков. Тоже и в безопасности. Ошибки или злоумышленные действия рядовых сотрудников могут привести к проникновению в сеть вредоносных программ, взломам системы и других неприятным последствиям, т.е. иными словами к проигрышу в этой игре.
  • Кто дает указание игрокам футбольной команды и направляет их действия? Правильно, тренер. В информационной безопасности тоже есть такой наставник. Это руководители управлений безопасности (в т.ч. и отделов защиты информации) и информатизации, определяющие политику безопасности компании, в т.ч. и действия своих подчиненных в различных ситуациях. В зависимости от знаний этого "игрока" и, главное, от его опыта, зависит игра и ее результат. Опытный тренер практически всегда приводит свою команду к выигрышу, в то время, как слабый наставник не сможет сделать ничего (даже при хороших игроках основной команды). Футбол наводит нас и еще на одну интересную мысль. Результат игры в большей степени зависит от мастерства тренера и, как следствие, мастерства команды, чем от качества инвентаря. И в информационной безопасности тоже все решают люди, а не средства защиты.
  • Помимо тренера в футбольном клубе существует еще одна важная персона, которая, не принимая участия ни в игре, ни в тренировках, влияет на всю футбольную активность клуба. Это владелец клуба, а в информационной безопасности - руководство компании, определяющие миссию компании и выделяющие финансы на безопасность своей собственности (ведь информация та же собственность, только не всегда имеющая материальное воплощение). Именно от этого человека (или целой группы людей) зависит кто будет тренировать команду, сколько денег выделят на инвентарь и т.д.
  • Кто следит за правилами игры и наказывает за их нарушение? Судья. В информационной безопасности таким судьей или судьями выступают различные государственные ведомства и организации, контролирующие и регулирующие все вопросы защиты информации - Гостехкомиссия (на момент написания статьи перешедшая под крыло Министерства обороны), ФСБ, Министерство связи (слившееся с МинТранспорта) и т.д. Они не только устанавливают различные правила, которые обязательны к соблюдению (например, в области пожарной, экологической и информационной безопасности), но и ставят различные препоны (например, использовать только сертифицированные средства защиты). В случае нарушения установленных правил вас могут наказать "красной" или "желтой" карточкой - вплоть до полной дисквалификации. Иными словами вас могут оштрафовать (в КоАП предусмотрены отдельные карающие статьи за использование несертифицированных СЗИ или отсутствие лицензии на право ведения деятельности, связанной с защитой информации) или лишить лицензии на ту или иную деятельность. Не стоит забывать и про то, что в футболе нередки ситуации, когда судья не всегда играет честно, что тоже надо учитывать. Я встречался с ситуацией, когда сотрудники одного из вышеназванных ведомств служили пешкой (кстати, тоже игровая терминология) в конкурентной борьбе двух компаний.
  • Против кого играют футболисты? Против другой футбольной команды, которая стремится пробиться через все преграды и забить гол в ворота. В нашем случае это злоумышленники (хакеры, вандалы, вирусмейкеры и т.п.), борющиеся с вашей командой и наносящие ущерб компании. Самое интересное, что ваши противники тоже могут быть организованы в команду со своим тренером, инвентарем и другими признаками сформированной и четко действующей группировки. Например, ваш конкурент решил вас устранить со своего пути и одним из способов достижения этой задачи выбрал атаку на ваши ресурсы. Наняв хакеров он сразу выводит "игру" на качественно иной уровень. Он сразу превращается во владельца клуба, направляющего своих игроков (хакеров-легионеров) в нужное русло.

Все эти игроки (могут появляться и другие, например, девушки-cheerleaders, медицинские работники и т.п.) появляются на игровом поле в разное время и в разной ипостаси. Но, как минимум, таких игроков двое - вы, как лицо, отвечающее за безопасность, и ваш противник - будь-то хакер, информационный вор или обычный вандал.

Очевидно, что чем больше участников в игре, тем сложнее в нее играть и выиграть. Сравните хотя бы обычный матч в шахматы и сеанс одновременной игры с 4-мя и более противниками. Чем больше против вас играет противников, тем больше умения вам потребуется, чтобы отразить все их атаки. Одному справиться с множеством противников становится затруднительным и возникает необходимость в помощниках, объединенных одной целью и живущих по одним правилам. Иными словами встает насущная потребность в формировании отдела защиты информации.

Правила игры

Я уже упоминал какие-то правила игры, без которых невозможно ни одно состязание. Даже в "боях без правил" существует одно правило - победить. В безопасности тоже самое. И, к сожалению, побеждает не самый сильнейший. Вспомните психически неуравновешенного вандала, уничтожившего "Данаю" Рубенса или Герострата, сжегшего Александрийскую библиотеку - одно из семи чудес света. Здесь уместна еще одна аналогия - с айкидо. В этом виде боевых искусств побеждает не самый сильный, а тот, кто смог применить свое умение в правильное время в правильном месте. Поэтому даже хакер-одиночка может нанести немалый ущерб вашей компании.

Ваша победа зависит от того, по каким правилам вы играете. Иными словами, правилами игры является политика безопасности, которая не просто описывает ваши требования по безопасности, но и внедрена во всех подразделениях компании и доведена до всех, имеющих отношение к вашей информационной системе, в т.ч. и до ваших партнеров, клиентов, аудиторов и других категорий людей, которые волею судеб получают доступ к вашим ресурсам.

Если таких правил нет, то вы не можете определить не только, чего же вам ждать от своих визави, но и что им противопоставить. В противном случае (т.е. когда правила существуют) он будет играть по вашим правилам, и либо будет вынужден искать лазейки в вашей безопасности, на что уйдет время, деньги и другие ресурсы, либо просто откажется от соперничества с более сильным (речь конечно идет не о грубой физической силе) противником и вы выиграете этот раунд (а может и всю схватку), после которого обязательно начнутся другие. И так до бесконечности, ведь обеспечение безопасности - это процесс бесконечный, не прекращающийся ни на минуту.

Здесь необходимо сделать небольшое лирическое отступление. Если вы хотя бы иногда, опасаясь пробок, пересаживаетесь со своего железного коня на городской наземный транспорт, то обратите внимание на некоторые окружающие вас детали. Например, в московском троллейбусе 18-го маршрута можно увидеть огнетушитель, запертый на висячий замок, а в 12-м автобусе рядом с надписью "в случае аварии разбейте стекло молотком" находится пустое место, в котором этот молоток должен был находиться. Также и с безопасностью - необходимо не только разработать правила безопасности, но и сделать их выполнимыми. Но правила сами по себе не выполняются, нужны игроки, их соблюдающие, и различный спортивный инвентарь, делающий эти правила выполнимыми. Иными словами, далее речь пойдет о средствах обеспечения информационной безопасности.

Футбольный мяч и другой спортинвентарь

Чтобы выиграть в футбольном матче, достаточно знать правила и пользоваться услугами хорошего наставника. Однако если у вас будет еще и замечательный инвентарь, то ваши шансы на успех существенно повышаются. Одно дело играть в китайских кедах "Два мяча" и совсем другое - бегать по полю, как на крыльях, в бутцах фирмы Reebok или Adidas. Несмотря на то, что мяч - это обычный шар, они тоже бывают разными - от тряпичной поделки овальной формы за нескольких десятков рублей до кожаного изделия идеальной формы, сделанного вручную и стоящего не одну сотню условных единиц. Однако еще раз подчеркну, что не надо концентрировать все свои усилия на инвентаре. Если вы забыли про остальные элементы игры (тренер, правила, слаженная игра и т.д.), то даже самой лучший и дорогостоящий инвентарь не принесет вам победы.

В информационной безопасности все абсолютно идентично. Вы можете использовать свободно-распространяемое обеспечение, а можете потратиться на решения известных фирм - Check Point, Cisco, ISS, Symantec, КриптоПро, Информзащита, ЛАН Крипто, Лаборатория Касперского и т.д. И спектр предлагаемого "инвентаря" тоже широк - от межсетевых экранов и систем обнаружения вторжений до систем криптографической защиты и персональных антивирусов. Ведь и в футболе мяч сам по себе не гарантирует победы. Существует целый набор спортивных снарядов и инвентаря (гантели, турники, эспандеры, бутцы, униформа и т.п.), только комплексное использование которых (каждый из предметов имеет свою область применения и свои ограничения) приводит к победе.

Игровое поле

Где происходит игра? На игровом поле, которое имеет четко очерченные границы и каждый игрок знает свое место и возможные пути движения соперников. В защите информации тоже надо знать свои владения, в которых и происходит борьба с нарушителями политики безопасности. В противном случае злоумышленники смогут атаковать ваши ресурсы через несанкционированно установленные модемы, резервные каналы выхода в Интернет и другие точки проникновения и даже не быть обнаруженными какими-либо средствами защиты.

Призы

Ради чего футболисты играют круглый год, не взирая на климатические условия? Любовь к искусству и самосовершенствование стоят далеко не на первом месте. Это не дворовый футбол, в который вы играете в свободное от основной работы время и гоняете мяч ради удовольствия. Ведь всем известно - "Люди гибнут за металл". Футбол не исключение. Иными словами все бьются ради призов, в качестве которых могут выступать:

  • денежное вознаграждение
  • попадание в высшую лигу
  • приглашение в другую команду
  • повышение рейтинга
  • признание и слава

В информационной безопасность тоже есть такие призы. Самый главный из них - власть над компьютерами. Хакеры стремятся получить власть над вашей сетью, а вы - не допустить этого. Причем ваша цель состоит даже не в том, чтобы выиграть, а в том, чтобы не проиграть, в то время, как вашим оппонентам в большинстве случаев не важен результат игры (если конечно речь не идет о целенаправленной атаке).

Если вы проиграете, то вы лишаетесь много:

  • снижается ваш рейтинг (т.е. падают акции),
  • падает известность и слава (т.е. теряется имидж),
  • вы не попадаете в высшую лигу (т.е. вам не присваивают более высокий рейтинг надежности, позволяющий влиться в элиту бизнеса),
  • вас штрафуют (т.е. привлекают к уголовной ответственности за нарушение правил эксплуатации или неумышленное распространение вредоносных программ)
  • и т.д.

И наоборот, если вас не взломали, то все перечисленные выше призы становятся вашей полноправной наградой. Ведь не случайно многие компании с таким упорством пытаются получить заветный сертификат соответствия стандарту ISO 17799, CoBIT, SysTrust или WebTrust и т.п. Заветная бумажка позволяет им привлечь новых клиентов, уверенных в том, что их секреты не будут получены хакерами и другими информационными воришками.

Финал

Вот мы и подошли к финалу статьи, в которой я попытался доказать, что обеспечение информационной безопасности - это игра со своими правилами, игроками, инвентарем и т.д. Возможно в данной статье я не смог полностью раскрыть все возможные стороны этой игры. Например, в стороне остались различные запрещенные методы игры (а где их нет?), подкуп судей и игроков и другие вопросы, объять которые в одной статье нереально. Возможно когда-то из этой статьи родится книга, кто знает... А пока первый тайм игры подошел к концу, игроки уходят на перерыв; уходим с ними и мы - до новых встреч на игровом поле.

обсудить  |  все отзывы (5)  

[18217; 23; 4.86]




Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach