Все новости от 17 июня 2003 г. Проблема № 1. Разговор на разных языках
Часть законодательных требований к обеспечению информационной безопасности организаций излагается с помощью терминов и понятий, возникших в ту эпоху, когда большинство данных еще не хранилось в компьютерах и задача пресечения их утечки через сети не стояла.
В итоге возникает несоответствие в уровне абстракции понятий безопасности и управления ПО.
Например, законодатель говорит, что нужно разделять абонентов по уровню допуска. А на уровне конкретной ОС можно разрешить доступ только к файлам и папкам или IP-адресу по каким-то портам.
Ответственность за трансляцию в настройки ОС этих бизнес-требований ложится на администратора сети — ему они спускаются “сверху”, ведь он подотчетен должностному лицу, отвечающему за безопасность в целом, в том числе пропускной режим, физическую охрану и т. п.
Понятно, что эта сложная работа, требующая сочетания профессиональных знаний в двух непересекающихся областях, чревата ошибками.
Кроме того, появляется слой специалистов, обладающих такими качествами, к которым перемещается власть по установке прав доступа конкретных пользователей. Ответственность за безопасность очевидно размывается.
Данная проблема характерна для организаций всех типов, но особенно остра для государственных учреждений или фирм, занимающихся их обслуживанием, деятельность которых в существенно большей степени регулируется законодательно.
|