23 Июля, 2014

Без тебя, без тебя. Всё ненужным стало сразу без тебя

Ксения Шудрова
Здравствуй, дорогой читатель! Как много всего произошло за это лето (а ведь оно еще не закончилось), я поменяла место жительства, город, работу, только блог не изменился, ну ты и сам видишь. У нас стоит такая жара, которая совершенно не способствует рабочему настроению, но ведь работать с рабочим настроением может каждый дурак, а мы с тобой не такие. Раз мою страницу читают, (а я слежу за статистикой и знаю о чем говорю) значит, нужно писать, несмотря на загруженность, переезд, лень и все остальные отговорки. Как часто мое внутреннее Я выбирает поиграть с котом, а не писать статью! Приходится идти на компромиссы, пусть кот играет со мной, а я пока полежу с закрытыми глазами и подумаю о чем буду писать. 

Что происходит в твоей профессиональной жизни? Воспитание диктует мне спросить у собеседника о его делах. А я не хочу показаться невежливой. Закупки, формирование бюджета, повальные отпуска и невозможность собрать комиссию так, чтобы она не состояла из одних "и.о." - что беспокоит твой ум?

Когда становится прохладнее мне в голову приходят разные философские мысли, возникают вопросы - курица или яйцо (андроид или яблоко)? Один из таких вопросов-размышлений, беспокоящий меня в последнее время - "Что было бы с бизнесом без нас, простых ИБшников?"

Дорогой читатель, я понимаю, что мысль абсурдна и ты убежден, что небеса разверзнутся в тот же час, поглотив ОАО, ЗАО, ООО (нужное подчеркнуть), в котором ты трудишься. А если нет? Что будет без нас?
Помнишь, как в школе на олимпиаде нам задавали задание - "Представьте и опишите последствия исчезновения углекислого газа/кислорода/водорода не Земле". Вот что-то подобное я и обдумывала в последнее время. Только в нашей области. Пишу свои мысли и жду ответа по этому очень важному для меня вопросу.


Во-первых я сразу выделила для себя те отрасли, в которых без нас никуда. Это ИБ-компании. Тут уж извини, предельный случай, рассматривать нечего. А еще криптография!Организации, имеющие свой удостоверяющий центр никак не смогут обойтись без специалистов. Вспомним также про лицензируемый вид деятельности, про "не менее двух образованных (обученных) сотрудников"... То-то же, с УЦ без нас тоже никуда.

Если же удостоверяющего центра нет, то все, что касается ключей электронной подписи никак не контролируется без ИБ-шника. Возникают угрозы использования чужой подписи, хищения и подделки ключа, что может привести к значительному финансовому ущербу. Вот так вот, здесь мы, получается, незаменимы.

Тебе, наверное, приходилось ознакамливаться со своей должностной инструкцией и положением об отделе. Насколько размыты формулировки и большинство из них составлено таким образом, что понять какие задачи выполняет специалист практически невозможно: "обеспечивать комплексную информационную безопасность", "настраивать средства защиты информации", "поддерживать конфиденциальность информации". Получается, что отдел по защите информации создан для того, чтобы обеспечивать информационную безопасность. Логично! А зачем? Ну мы-то с тобой понимаем, что делаем что-то ОЧЕНЬ важное, но этого мало, нужно еще до других донести. 

Возьмем функцию аудита, вот это наше, исконное, это мы никому не отдадим, да никто и не попросит. Что же будет, если аудит не проводится? Утечки информации, материальный ущерб, потеря репутации, все компьютеры становятся ботами и шлют спам за границу, сотрудники сидят ТОЛЬКО на порно-сайтах, в онлайн-магазинах, а все служебные вопросы решаются с мейловских ящиков, эффективность труда падает, все плохо. Тут, как говорится, не поспоришь - атаки в сети ведутся постоянно и незащищенная сеть может стать легкой добычей, да и пользователи не станут соблюдать правила, если знают, что за этим никто не следит. Получается, здесь тоже все хорошо. Но с одним условием - сеть все-таки должна быть довольно большой. Маленькие компании вполне могут обойтись без нашего брата, толковый системный администратор, не чуждый философии безопасности, решит многие проблемы, а аудит вообще теряет смысл, когда все сидят в одном помещении друг у друга на виду. 

Кстати говоря, исторически функции ИБ-шников исполняли ИТ-подразделения, дыры находились и латались (может быть не все и не так тщательно, все-таки самоконтроль и внешний контроль отличаются разной степенью эффективности). Однако не стоит забывать о существенной разнице в мировоззрении специалиста по ИТ и по ИБ. Айтишник в большинстве своем хочет, чтобы все работало хорошо и быстро, а нам нужно, чтобы ресурсы были защищены, пусть даже и ценой быстродействия.

Еще одна типичная задача специалиста по ИБ - антивирусы. Никто не спорит, что антивирусное обеспечение - обязательная вещь в сети. Проблема в том, что мы здесь не являемся незаменимыми, настроить антивирус вполне может ИТ-отдел. Причем в маленьких организациях все этим и заканчивается - пароль на учетку и свежая база антивируса - вот и вся информационная безопасность, а для поддержания работы такой системы безопасник не нужен. Конечно, никто лучше нас не проследит, чтобы обновление происходило регулярно, а настройки были выставлены верно. Так что тут мы заменяемы, но с небольшой потерей в качестве оказания услуг.

Конечно, без нас с тобой никак нельзя во время проверок контролирующих органов, вероятность того, что организацию захочет посетить Роскомнадзор, достаточно велика. Неспециалистам избежать предписаний и вовремя устранить нарушения будет очень трудно. 

Чуть не забыла! Без нас нельзя обойтись при защите государственной тайны. Тут уж ничего не придумать. А вот защита коммерческой тайны и персональных данных в некоторых организациях поручена юристам и кадровикам. На каком-то уровне они с этой задачей справляются.

Последнее о чем хотелось бы упомянуть - это организация доступов. Разграничение прав пользователей - основа информационной безопасности (на мой субъективный взгляд). В отсутствие ИБшника доступами занимается отдел ИТ и настраивает их на свое усмотрение. В таких сетях может происходить все, что угодно. И, скорее всего, этим чем-то будут утечки информации.


Много чего написала, вышло достаточно сумбурно, но в общем вывод один напрашивается - мы нужны. Это хорошо. А с другой стороны, некоторые функции ведь легко может выполнять ИТ-отдел, юрист, кадровик. Нам следует быть очень осторожными! Еще не так давно были те времена, когда ИБ-шников можно было по пальцам пересчитать. Так что, я думаю, нам нужно браться за все, что только можно и доказывать свою эффективность. 


А как ты думаешь, дорогой читатель, смогут ли без нас?

С уважением, Ксения