Необходимость компромисса между безопасностью и производительностью уже давно не новость, и даже не свежая идея. Безопасность, превращающая систему в фортифицированного бегемота, не способного обработать запрос пользователя за приемлемый промежуток времени, вряд ли нужна коммерческой компании, сражающейся за каждого клиента. С другой стороны, системного администратора, не обновляющего программное обеспечение исправлениями уязвимостей (а вдруг сломается!..) и отключающего журналирование событий во имя прироста производительности, от неизбежного взлома или вирусной эпидемии отделяет только время.
Но давайте по-порядку. С одной стороны, поддержка ПО в актуальном состоянии, безопасная настройка, логирование событий безопасности и прочие меры предосторожности -- это, несомненно, дань безопасности. А поддержка сервиса на уровне, достаточном для непрерывного выполнения бизнес функции, разве нет? Почему же, ведь по определению, доступность (availability), наряду с целостностью и конфиденциальностью (integrity & confidentiality) как раз и составляют понятие информационной безопасности.
Тем не менее, в дикой природенередко приходится наблюдать за спором между айтишниками и безопасниками на тему: включать или не включать в системе очередной контроль безопасности. Аргументы сторон обычно выглядят следующим образом. Айтишники во всю уверяют, что новый контроль всячески вредит и никого не украшает. Что, мол, и производительность упадет, и стабильность понизится, и вообще, контроль не сертифицирован вендором. Безопасники же, в свою очередь, обычно настаивают на том, что контроль этот общепринят, рекомендован авторитетными институтами (NIST / ISO / ISACA / ISS) в международных стандартах (27k / CobiT / SP800-*). А также, стыд и позор айтишникам, что они до сих пор контроль не включили, и вообще, удивительно, как бизнес без этого контроля прожил так долго.
Причин для подобных пререканий я определяю две. Первая заключается в массовой безграмотности айтишников в вопросах безопасности. Очень редко выпадает удача встретить человека, который имеет внушительные познания в сфере ИБ и при этом работает в ИТ. Как правило, айтишники этим не заморачиваются. В моем личном соц опросе явления типа "прочитал GAISP, CobiT, ISO27002, NIST Handbook" или что-то в этом роде встречается среди айтишников крайне редко. Почему так происходит, мне не совсем понятно. Вероятно от того, что ИТ-безопасность до сих пор считается айтишниками темой узкой специализации, поэтому им пока не до нее - есть для этого безопасники. Хотя все вокруг твердит об обратном - начиная с массовых слияний ИТ и ИБ вендоров и заканчивая позиционированием супердержавами ИБ как приоритетного направления государственной политики. Но это все где-то там, за океаном, не у нас. У нас же ИТ-персонал черпает информацию о безопасности из новостей, Хабра, Хакер.ру и прочей желтой прессы - и это в лучшем случае. В худшем же, знания поступают из материалов маркетинговых конференций, так что лучше бы они не приходили вовсе. О каком уровне восприятия высоких идей мирового господстваИБ можно говорить в такихусловиях?
Вторая причина - нежелание безопасников объяснять суть предлагаемых изменений на языке, доступном айтишникам. Правильная коммуникация идей очень важна, особенно тогда, когда собеседнику сложно понять о чем речь (как в нашем случае, помните о безграмотности). Объяснять нужно доступно и подробно, монотонно и по нескольку раз, настойчиво и подкрепляя сказанное примерами. Нельзя забывать о ловушке банальности - то, что для безопасника очевидно, для айтишника - дремучий лес. Не переоценивайте людей, всем нам есть чему учиться. И главное - старайтесь выдавать аргументы в пользу обеспечения именно той составляющей ИБ, которая так дорога сердцу каждого айтишника - производительности, то есть доступности (availability).
Как следствие второй причины, обычно рождается такое явление, как давление на "лучшие практики" (best practice) и "соответствие" (compliance). Это когда ИБ бегает по ИТ-департаменту, размахивая над головой томами международных стандартов типа PCI:DSS. Но это уже другая история.
