26.10.2007

Ремонт квартиры и информационная безопасность: что общего?

image

Алексей Лукацкий нас уже радовал аналогиями информационной безопасности с футболом, медициной и фауной. Теперь пришла пора квартирного ремонта. Посмотрим же, что общего между этими, казалось бы несовместимыми процессами

Построение системы информационной безопасности очень похоже на капитальный ремонт квартиры. Я могу говорить об этом достаточно уверенно, т.к. и безопасностью я занимаюсь не первый год, и совсем недавно закончил ремонт в своей квартире. Так что я могу сравнивать эти два направления, имея опыт в них обоих.

Первое с чего начинается обычно ремонт – формирование жилища своей мечты. Иными словами, вы формируете список своих пожеланий – коммуникации, освещение, наличие бойлера, материал полов и стен и т.д. Т.е. вы формируете список требований к своему будущему или обновленному дому. От этого зависит, кто, как, как долго и за сколько будет делать ремонт. Аналогичная ситуация и в информационной безопасности. Либо строя систему защиты с нуля, либо обновляя уже существующую, вы составляете список требований, которым она должна удовлетворять. Без этого сложно переходить к последующим этапам, т.к. не видя своей цели, вы не сможете понять, достигли ли вы ее.

Итак, у вас на руках требования к объекту вашей мечты. Теперь вы должны получить представление о том, где эта мечта будет воплощаться. Т.е. вам необходимо оценить имеющееся в вашем распоряжении помещение. Вы будете вычислять его размеры, места и пути прохождения различных коммуникаций (если они проведены) и т.п. Для этих целей вы можете вызвать обмерщика, а можете выполнить все это самостоятельно. Часто кажется, что, измерив длину одной стены, длина противоположной окажется такой же. Однако, теория теорией, но реальная жизнь вносит свои коррективы – и размеры могут не совпадать, и углы между стенами будут непрямыми… Т.е. задача эта требует немало времени для своего выполнения. И хотя она выглядит совершенно нетворческой, от ее выполнения зависят все дальнейшие шаги. В ИБ ситуация аналогичная – чтобы понять, что в защищаемой сети есть и как оно работает, необходимо провести аудит, который также может осуществляться как внешней консалтинговой компанией, так и силами собственных специалистов. У каждой из этих альтернатив есть свои плюсы и минусы и конечное решение всегда остается за защищающейся стороной. В первом случае вы получаете непредвзятый взгляд со стороны на ситуацию с безопасностью в компании, а также снимаете с себя всю рутинную работу по аудиту всех закоулков своей сети. Во втором случае вы не выносите сор из избы и можете существенно сэкономить на этих услугах. Результатом данного этапа является «карта слабых мест» и понимание того, как эти дыры затыкать. Отказываясь от этого шага, мы становимся похожи на героя русской сказки, который «шел, не зная куда, и искал то, не знамо что».

После изучения текущей ситуации начинается творческий процесс составления дизайн-проекта нового облика жилища. Иными словами мы переходим от мечтаний первого этапа к конкретной их реализации… но с учетом имеющихся особенностей и слабых мест, полученных на втором шаге. Этой цели также можно достичь двумя путями. Можно пригласить архитектора и дизайнера, которые выполнят проект по вашим требованиям, не забыв при этом соблюсти все законы и распоряжения, действующие в этой сфере. Это сэкономит ваше время и нервы, но потребует определенных финансовых вложений (зачастую немалых). Если же вы считаете себя прирожденным дизайнером и так и «сыпете» идеями, то логичным развитием событий будет самостоятельное создание проекта жилища вашей мечты. На этом пути вас будут подстерегать различные подводные камни, но если вы чувствуете в себе силы и уверены в своей компетенции, то можно пойти и поэтому пути. При проектировании защищенной ИТ-инфраструктуры ситуация аналогичная – вы можете привлечь консультантов или воспользоваться своим знанием и опытом, создав защищенную сеть с минимумом затрат. Можно пойти и по промежуточному пути – используя различные программные продукты, «берующие на себя» роль аналитиков-консультантов и позволяющие вам построить защищенные схемы вашей сети. Такого рода решения существуют как в виде онлайн-инструментария в Интернете (например, Cisco Secure Business Advisor), так и в виде отдельных программных продуктов (например, Digital Security Office).

После создания проекта, который показывает, как воплотить в реальности мечты, начинается его реализация, т.е. закупка стройматериалов и мебели и строительство из этих «кирпичиков» красивого дома-крепости. Тут также путей развития событий больше одного. Вы можете сделать это сами (сразу скажу, что это не лучший вариант). Вы можете пригласить бригаду-гастарбайтеров из стран ближнего зарубежья и за небольшие деньги сделать «красиво». А можете обратиться в фирму «с именем», которая сделает так, чтобы у вас не было проблем на ближайшие годы. Разумеется, это будет стоить дороже, но зато вам не придется через полгода после ремонта заново перекладывать коммуникации, переставлять входную дверь, затыкать течь из трубы и т.д. Хотя возможен и промежуточный вариант, когда ремонт осуществляется своими силами, а для контроля его правильности осуществляется авторский надзор со стороны грамотного архитектора. И вновь мы сталкиваемся с тем, что в области защиты информации ситуация идентичная. «Стройматериалами» в этом случае являются средства защиты, российские или зарубежные, «самопальные» или фирменные, а «строителями» - либо вы сами, либо никому неизвестная фирма, либо именитая компания, возможно даже зарубежная. Надо понимать, что для выполнения строительных работ необходимо наличие лицензии. Это правило без исключений действует в обоих рассматриваемых сегментах нашей жизни. А вот со строительными материалами ситуация не так очевидна – какие-то из них требуют сертификата соответствия, а какие-то продаются просто так.

Очень спорно выглядит ситуация с самопальными стройматериалами или мебелью. Кто-то категорически против их использования в своем жилище и таких большинство, но есть отдельные мастера, которые своими руками делают просто произведения искусства. В пример могу привести своего отца, который более двадцати лет назад своими руками сделал книжные стеллажи, вместившие всю нашу библиотеку. До сих пор эти полки стоят не шелохнувшись, не покоробившись. Они и сейчас выглядят современно. В безопасности тоже есть апологеты решений с открытым кодом, которые можно дописывать самостоятельно и даже переделывать по своему желанию. Хватало бы времени и соответствующей квалификации.

Итак, ремонт окончен, и система безопасности построена. Заканчивается ли на этом наша забота об интересующем нас объекте? Конечно же нет. Во время строительства свои законы, но по его завершении начинается эксплуатация, которая диктует свои законы. Обслуживание квартиры может осуществляться своими силами, силами ДЭЗа или силами управляющей компании, которая от имени жильцов заключает договора с ресурсо-снабжающими организациями и перепродает их услуги владельцам квартир. Какие-то небольшие задачи можно решить самостоятельно, но на все собственных сил не хватит. Более того, для большинства из нас эти задачи непрофильны по определению. Мы работаем, учимся, зарабатываем себе на жизнь совершенно другими методами. Но главное – мы не профессионалы в области жилищно-коммунальных услуг. Поэтому логично, что большинство задач мы поручаем специалистам – сантехникам, электрикам, связистам и т.п. Тоже самое и в безопасности. Сейчас начинают развиваться услуги аутсорсинга, т.е. передачи управления системами защиты команде профессионалов, которые могут это делать круглосуточно и с должным качеством. А вот критерии оценки этого качества определяем мы, как жильцы и владельцы квартир. Собственно многое из того что было описано выше – обмер, дизайн, ремонт, выбор и закупка мебели, отданные на откуп внешним организациям или людям, и есть пример аутсорсинга.

Ну вот мы и подошли к концу повествования. Многие считают информационную безопасность наукой сложной и непонятной, которая требует долгих лет изучения и обучения в специализированных учетных центрах или институтах. На самом деле это не так. Ничего сложного в информационной безопасности нет. Все основные «вехи» и подходы нам уже давно известны по «смежным» областям – медицине, автомобильной отрасли, футболу и, наконец, ремонту своих собственных жилищ. Достаточно только проявить смекалку и обнаружить такое сходство. А дальше дело остается за малым – применить имеющиеся и известные навыки в новой области.

Алексей Лукацкий

или введите имя

CAPTCHA
Страницы: 1  2  3  
26-10-2007 17:37:11
Мне показалось или вся статья сводится к тому, что бы переложить все свои проблемы по обеспечению безпасности на других людей(есстественно не за бесплатно)? Да проще можно было написать так: За Ваши деньги - любые капризы © Есстественно что за деньги Вам помогут, но помоему очень важно понимать суть проблемы, в не перекладывать их на людей. Единственное допустимо с моей точки зрение, так это нанять людей которые проверят Вашу безопасность и укажут возможные бреши в ней. А вот закрывать эти бреши, надо самому. P.S личное моё мнение
0 |
26-10-2007 22:12:58
Не, статья к этому не сводится ;-( Идея другая. Точнее 2. Одна - сложные темы можно описывать "по аналогии". Вторая - дело должны делать профессионалы. Если сам профессионал, то делай сам. Если нет, то лучше доверить профессионалам. Иначе получить дольше, хуже и вдвое дороже.
0 |
26-10-2007 18:46:19
Предыдуший коментатор верно подытожил статью? Если да то можно было как-то быстрее и без описания жилищных проблем. Те люди среди которых не помешала бы идея, что аутсорсинг в безопасности это круто не найдется ни одного, осилившего такой длинный текст. Руководители же, надо кратко...
0 |
Не задан ID пользователя.

26-10-2007 20:18:24
Попробуйте провести аналогию между безопасностью дорожного движения и ИБ. Будет сложнее,но куда более реалистично.
0 |
26-10-2007 22:09:19
Это неинтересно Проводить параллели между безопасностью и безопасностью... У меня на очереди аналогия с автомобилем
0 |
26-10-2007 20:46:03
я чувствую ремонт квартиры у тебя оставил неизгладимое впечатление а про ДЕЗы Куркинские я уже в прошлой статье читал
0 |
26-10-2007 22:06:38
Да уж Но зато какой опыт получен А Куркинский ДЭЗ - это нечто. А уж как мы с ним в суде столкнулись уже пару раз. Я ему на закон киваю, а он меня словесной казуистикой пытается завалить. И еще проблема - суд у нас "продажный". Что районный, что мосгорсуд. В первом случае явная заинтересованность судьи (наряду с юридической неграмотностью), а во втором - явный заказ сверху (суд на нашей стороне, но решение выносит нелогичное и в пользу ДЭЗа). Но к безопасности это не относится ;-(
0 |
27-10-2007 08:19:09
>Не, статья к этому не сводится ;-( Идея другая. Точнее 2. Одна - сложные темы можно описывать "по аналогии". Вторая - дело должны делать профессионалы. Если сам профессионал, то делай сам. Если нет, то лучше доверить профессионалам. Иначе получить дольше, хуже и вдвое дороже. Спасибо за ответ С первой идеей я полностью согласен. Это интересно и понятно. Только вот надо выбирать с чем сравнивать(к этой статье это отношение не имеет и к предыдущим тоже). Со второй идеей я не полностью согласен. В первом коментарии я привёл то что допустимо с моей точки зрения
0 |
Страницы: 1  2  3