BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/misc/football.html

Играя в безопасность, или что общего между футболом и защитой информации
Алексей Леонов
Опубликовано: dl, 19.04.04 17:43

"Вынесенное в заглавие статьи утверждение - полный абсурд и использовано автором только для привлечения внимания", - скажете вы и будете неправы. Между футболом и защитой информации очень много общего, куда больше, чем кажется на первый взгляд. Более того. Я заявляю, что футбол и защита информации - это близнецы-братья. Именно это я и попытаюсь вам доказать в своей статье.

Обеспечение информационной безопасности, как и любой другой безопасности (физической, экономической, радиационной и других), - не более чем игра, в которой есть свои игроки, свои судьи, свои правила, свой инвентарь и много чего другого, что можно найти в любой игре. И победа в этой игре зависит от того, как вы будете играть со своими соперниками. При этом надо четко понимать, что безопасность - это не вещь в себе. Она не висит в воздухе - она зависит от множества факторов, квалификации игроков, непредвзятости судей, поведения болельщиков и т.д.

"Брось трепаться!" - скажете вы. "Доказывай, что защита информации и футбол - это близнецы-братья". Ну что ж. Начнем.

Футбол профессиональный и дворовый

Прежде чем я перейду к доказательству, хочу сделать небольшое отступление, которое, однако, прямо касается темы статьи. Речь идет о двух видах футбола - дворовом и профессиональном. Первый знаком всем по своему детству. В дворовый футбол играли (а многие играют до сих пор) все; на заброшенных пустырях, на хоккейных коробках, на пятачках перед подъездом и в других не менее "удобных" и приспособленных местах. Не всегда у нас был хороший футбольный мяч и другой спортинвентарь - бутсы, униформа и другие необходимые вещи. Не было у нас и судьи, или его роль выполнял один из игроков. Часто игра шла при полном отсутствии болельщиков, что не мешало нам получать от игры удовольствие. Я до пор наблюдаю, как под моими окнами здоровенные лбы лет под тридцать гоняют по выходным мяч, а в перерывах между матчами трескают пиво и наблюдают за гуляющими рядом с площадкой детьми.

В профессиональном футболе все не так. Тут вам и размеченное поле, "неподкупные" судьи, дорогой спортинвентарь, многомиллионная армия болельщиков и фанатов, трансляции по телевизору, большие гонорары за игру, тотализатор и т.д.

В защите информации все то же самое. Есть два подхода к обеспечению информационной безопасности - любительский и профессиональный. Первый подходит для небольших компаний, руководство которых недооценивает всей серьезности проблемы и не готово выделять достаточных средств на защиту своей информационной системы. Поэтому все делается по любительски - команда профессионалов не сформирована и совместные действия не отработаны, средства защиты свободно распространяемые (т.е. футболисты одеты все кое-как), что защищать неизвестно (границы поля не очерчены) и т.д. Я не беду рассматривать любительскую защиту, сосредоточив внимание на профессиональном подходе. Однако аналогичные рассуждения можно применить и к "дворовой" безопасности.

Игроки

В отличие от разгадывания кроссворда или собирания кубика Рубика (хотя и по этим видам игр проводятся международные турниры с множеством участников и борьбой за серьезные призы), безопасность - это игра не "в одни ворота". В ней вы состязаетесь со своими соперниками. Ведь не будете же вы утверждать, что безопасность затрагивает только вас. В данной игре присутствуют следующие игроки:

Все эти игроки (могут появляться и другие, например, девушки-cheerleaders, медицинские работники и т.п.) появляются на игровом поле в разное время и в разной ипостаси. Но, как минимум, таких игроков двое - вы, как лицо, отвечающее за безопасность, и ваш противник - будь-то хакер, информационный вор или обычный вандал.

Очевидно, что чем больше участников в игре, тем сложнее в нее играть и выиграть. Сравните хотя бы обычный матч в шахматы и сеанс одновременной игры с 4-мя и более противниками. Чем больше против вас играет противников, тем больше умения вам потребуется, чтобы отразить все их атаки. Одному справиться с множеством противников становится затруднительным и возникает необходимость в помощниках, объединенных одной целью и живущих по одним правилам. Иными словами встает насущная потребность в формировании отдела защиты информации.

Правила игры

Я уже упоминал какие-то правила игры, без которых невозможно ни одно состязание. Даже в "боях без правил" существует одно правило - победить. В безопасности тоже самое. И, к сожалению, побеждает не самый сильнейший. Вспомните психически неуравновешенного вандала, уничтожившего "Данаю" Рубенса или Герострата, сжегшего Александрийскую библиотеку - одно из семи чудес света. Здесь уместна еще одна аналогия - с айкидо. В этом виде боевых искусств побеждает не самый сильный, а тот, кто смог применить свое умение в правильное время в правильном месте. Поэтому даже хакер-одиночка может нанести немалый ущерб вашей компании.

Ваша победа зависит от того, по каким правилам вы играете. Иными словами, правилами игры является политика безопасности, которая не просто описывает ваши требования по безопасности, но и внедрена во всех подразделениях компании и доведена до всех, имеющих отношение к вашей информационной системе, в т.ч. и до ваших партнеров, клиентов, аудиторов и других категорий людей, которые волею судеб получают доступ к вашим ресурсам.

Если таких правил нет, то вы не можете определить не только, чего же вам ждать от своих визави, но и что им противопоставить. В противном случае (т.е. когда правила существуют) он будет играть по вашим правилам, и либо будет вынужден искать лазейки в вашей безопасности, на что уйдет время, деньги и другие ресурсы, либо просто откажется от соперничества с более сильным (речь конечно идет не о грубой физической силе) противником и вы выиграете этот раунд (а может и всю схватку), после которого обязательно начнутся другие. И так до бесконечности, ведь обеспечение безопасности - это процесс бесконечный, не прекращающийся ни на минуту.

Здесь необходимо сделать небольшое лирическое отступление. Если вы хотя бы иногда, опасаясь пробок, пересаживаетесь со своего железного коня на городской наземный транспорт, то обратите внимание на некоторые окружающие вас детали. Например, в московском троллейбусе 18-го маршрута можно увидеть огнетушитель, запертый на висячий замок, а в 12-м автобусе рядом с надписью "в случае аварии разбейте стекло молотком" находится пустое место, в котором этот молоток должен был находиться. Также и с безопасностью - необходимо не только разработать правила безопасности, но и сделать их выполнимыми. Но правила сами по себе не выполняются, нужны игроки, их соблюдающие, и различный спортивный инвентарь, делающий эти правила выполнимыми. Иными словами, далее речь пойдет о средствах обеспечения информационной безопасности.

Футбольный мяч и другой спортинвентарь

Чтобы выиграть в футбольном матче, достаточно знать правила и пользоваться услугами хорошего наставника. Однако если у вас будет еще и замечательный инвентарь, то ваши шансы на успех существенно повышаются. Одно дело играть в китайских кедах "Два мяча" и совсем другое - бегать по полю, как на крыльях, в бутцах фирмы Reebok или Adidas. Несмотря на то, что мяч - это обычный шар, они тоже бывают разными - от тряпичной поделки овальной формы за нескольких десятков рублей до кожаного изделия идеальной формы, сделанного вручную и стоящего не одну сотню условных единиц. Однако еще раз подчеркну, что не надо концентрировать все свои усилия на инвентаре. Если вы забыли про остальные элементы игры (тренер, правила, слаженная игра и т.д.), то даже самой лучший и дорогостоящий инвентарь не принесет вам победы.

В информационной безопасности все абсолютно идентично. Вы можете использовать свободно-распространяемое обеспечение, а можете потратиться на решения известных фирм - Check Point, Cisco, ISS, Symantec, КриптоПро, Информзащита, ЛАН Крипто, Лаборатория Касперского и т.д. И спектр предлагаемого "инвентаря" тоже широк - от межсетевых экранов и систем обнаружения вторжений до систем криптографической защиты и персональных антивирусов. Ведь и в футболе мяч сам по себе не гарантирует победы. Существует целый набор спортивных снарядов и инвентаря (гантели, турники, эспандеры, бутцы, униформа и т.п.), только комплексное использование которых (каждый из предметов имеет свою область применения и свои ограничения) приводит к победе.

Игровое поле

Где происходит игра? На игровом поле, которое имеет четко очерченные границы и каждый игрок знает свое место и возможные пути движения соперников. В защите информации тоже надо знать свои владения, в которых и происходит борьба с нарушителями политики безопасности. В противном случае злоумышленники смогут атаковать ваши ресурсы через несанкционированно установленные модемы, резервные каналы выхода в Интернет и другие точки проникновения и даже не быть обнаруженными какими-либо средствами защиты.

Призы

Ради чего футболисты играют круглый год, не взирая на климатические условия? Любовь к искусству и самосовершенствование стоят далеко не на первом месте. Это не дворовый футбол, в который вы играете в свободное от основной работы время и гоняете мяч ради удовольствия. Ведь всем известно - "Люди гибнут за металл". Футбол не исключение. Иными словами все бьются ради призов, в качестве которых могут выступать:

В информационной безопасность тоже есть такие призы. Самый главный из них - власть над компьютерами. Хакеры стремятся получить власть над вашей сетью, а вы - не допустить этого. Причем ваша цель состоит даже не в том, чтобы выиграть, а в том, чтобы не проиграть, в то время, как вашим оппонентам в большинстве случаев не важен результат игры (если конечно речь не идет о целенаправленной атаке).

Если вы проиграете, то вы лишаетесь много:

И наоборот, если вас не взломали, то все перечисленные выше призы становятся вашей полноправной наградой. Ведь не случайно многие компании с таким упорством пытаются получить заветный сертификат соответствия стандарту ISO 17799, CoBIT, SysTrust или WebTrust и т.п. Заветная бумажка позволяет им привлечь новых клиентов, уверенных в том, что их секреты не будут получены хакерами и другими информационными воришками.

Финал

Вот мы и подошли к финалу статьи, в которой я попытался доказать, что обеспечение информационной безопасности - это игра со своими правилами, игроками, инвентарем и т.д. Возможно в данной статье я не смог полностью раскрыть все возможные стороны этой игры. Например, в стороне остались различные запрещенные методы игры (а где их нет?), подкуп судей и игроков и другие вопросы, объять которые в одной статье нереально. Возможно когда-то из этой статьи родится книга, кто знает... А пока первый тайм игры подошел к концу, игроки уходят на перерыв; уходим с ними и мы - до новых встреч на игровом поле.

обсудить  |  все отзывы (5)  

[18210; 23; 4.86]


  Copyright © 2001-2019 Dmitry Leonov Design: Vadim Derkach