Алексей Лукацкий нас уже радовал аналогиями информационной безопасности с футболом, медициной и фауной. Теперь пришла пора квартирного ремонта. Посмотрим же, что общего между этими, казалось бы несовместимыми процессами
Построение системы информационной безопасности очень похоже на капитальный ремонт квартиры. Я могу говорить об этом достаточно уверенно, т.к. и безопасностью я занимаюсь не первый год, и совсем недавно закончил ремонт в своей квартире. Так что я могу сравнивать эти два направления, имея опыт в них обоих.
Первое с чего начинается обычно ремонт – формирование жилища своей мечты. Иными словами, вы формируете список своих пожеланий – коммуникации, освещение, наличие бойлера, материал полов и стен и т.д. Т.е. вы формируете список требований к своему будущему или обновленному дому. От этого зависит, кто, как, как долго и за сколько будет делать ремонт. Аналогичная ситуация и в информационной безопасности. Либо строя систему защиты с нуля, либо обновляя уже существующую, вы составляете список требований, которым она должна удовлетворять. Без этого сложно переходить к последующим этапам, т.к. не видя своей цели, вы не сможете понять, достигли ли вы ее.
Итак, у вас на руках требования к объекту вашей мечты. Теперь вы должны получить представление о том, где эта мечта будет воплощаться. Т.е. вам необходимо оценить имеющееся в вашем распоряжении помещение. Вы будете вычислять его размеры, места и пути прохождения различных коммуникаций (если они проведены) и т.п. Для этих целей вы можете вызвать обмерщика, а можете выполнить все это самостоятельно. Часто кажется, что, измерив длину одной стены, длина противоположной окажется такой же. Однако, теория теорией, но реальная жизнь вносит свои коррективы – и размеры могут не совпадать, и углы между стенами будут непрямыми… Т.е. задача эта требует немало времени для своего выполнения. И хотя она выглядит совершенно нетворческой, от ее выполнения зависят все дальнейшие шаги. В ИБ ситуация аналогичная – чтобы понять, что в защищаемой сети есть и как оно работает, необходимо провести аудит, который также может осуществляться как внешней консалтинговой компанией, так и силами собственных специалистов. У каждой из этих альтернатив есть свои плюсы и минусы и конечное решение всегда остается за защищающейся стороной. В первом случае вы получаете непредвзятый взгляд со стороны на ситуацию с безопасностью в компании, а также снимаете с себя всю рутинную работу по аудиту всех закоулков своей сети. Во втором случае вы не выносите сор из избы и можете существенно сэкономить на этих услугах. Результатом данного этапа является «карта слабых мест» и понимание того, как эти дыры затыкать. Отказываясь от этого шага, мы становимся похожи на героя русской сказки, который «шел, не зная куда, и искал то, не знамо что».
После изучения текущей ситуации начинается творческий процесс составления дизайн-проекта нового облика жилища. Иными словами мы переходим от мечтаний первого этапа к конкретной их реализации… но с учетом имеющихся особенностей и слабых мест, полученных на втором шаге. Этой цели также можно достичь двумя путями. Можно пригласить архитектора и дизайнера, которые выполнят проект по вашим требованиям, не забыв при этом соблюсти все законы и распоряжения, действующие в этой сфере. Это сэкономит ваше время и нервы, но потребует определенных финансовых вложений (зачастую немалых). Если же вы считаете себя прирожденным дизайнером и так и «сыпете» идеями, то логичным развитием событий будет самостоятельное создание проекта жилища вашей мечты. На этом пути вас будут подстерегать различные подводные камни, но если вы чувствуете в себе силы и уверены в своей компетенции, то можно пойти и поэтому пути. При проектировании защищенной ИТ-инфраструктуры ситуация аналогичная – вы можете привлечь консультантов или воспользоваться своим знанием и опытом, создав защищенную сеть с минимумом затрат. Можно пойти и по промежуточному пути – используя различные программные продукты, «берующие на себя» роль аналитиков-консультантов и позволяющие вам построить защищенные схемы вашей сети. Такого рода решения существуют как в виде онлайн-инструментария в Интернете (например, Cisco Secure Business Advisor), так и в виде отдельных программных продуктов (например, Digital Security Office).
После создания проекта, который показывает, как воплотить в реальности мечты, начинается его реализация, т.е. закупка стройматериалов и мебели и строительство из этих «кирпичиков» красивого дома-крепости. Тут также путей развития событий больше одного. Вы можете сделать это сами (сразу скажу, что это не лучший вариант). Вы можете пригласить бригаду-гастарбайтеров из стран ближнего зарубежья и за небольшие деньги сделать «красиво». А можете обратиться в фирму «с именем», которая сделает так, чтобы у вас не было проблем на ближайшие годы. Разумеется, это будет стоить дороже, но зато вам не придется через полгода после ремонта заново перекладывать коммуникации, переставлять входную дверь, затыкать течь из трубы и т.д. Хотя возможен и промежуточный вариант, когда ремонт осуществляется своими силами, а для контроля его правильности осуществляется авторский надзор со стороны грамотного архитектора. И вновь мы сталкиваемся с тем, что в области защиты информации ситуация идентичная. «Стройматериалами» в этом случае являются средства защиты, российские или зарубежные, «самопальные» или фирменные, а «строителями» - либо вы сами, либо никому неизвестная фирма, либо именитая компания, возможно даже зарубежная. Надо понимать, что для выполнения строительных работ необходимо наличие лицензии. Это правило без исключений действует в обоих рассматриваемых сегментах нашей жизни. А вот со строительными материалами ситуация не так очевидна – какие-то из них требуют сертификата соответствия, а какие-то продаются просто так.
Очень спорно выглядит ситуация с самопальными стройматериалами или мебелью. Кто-то категорически против их использования в своем жилище и таких большинство, но есть отдельные мастера, которые своими руками делают просто произведения искусства. В пример могу привести своего отца, который более двадцати лет назад своими руками сделал книжные стеллажи, вместившие всю нашу библиотеку. До сих пор эти полки стоят не шелохнувшись, не покоробившись. Они и сейчас выглядят современно. В безопасности тоже есть апологеты решений с открытым кодом, которые можно дописывать самостоятельно и даже переделывать по своему желанию. Хватало бы времени и соответствующей квалификации.
Итак, ремонт окончен, и система безопасности построена. Заканчивается ли на этом наша забота об интересующем нас объекте? Конечно же нет. Во время строительства свои законы, но по его завершении начинается эксплуатация, которая диктует свои законы. Обслуживание квартиры может осуществляться своими силами, силами ДЭЗа или силами управляющей компании, которая от имени жильцов заключает договора с ресурсо-снабжающими организациями и перепродает их услуги владельцам квартир. Какие-то небольшие задачи можно решить самостоятельно, но на все собственных сил не хватит. Более того, для большинства из нас эти задачи непрофильны по определению. Мы работаем, учимся, зарабатываем себе на жизнь совершенно другими методами. Но главное – мы не профессионалы в области жилищно-коммунальных услуг. Поэтому логично, что большинство задач мы поручаем специалистам – сантехникам, электрикам, связистам и т.п. Тоже самое и в безопасности. Сейчас начинают развиваться услуги аутсорсинга, т.е. передачи управления системами защиты команде профессионалов, которые могут это делать круглосуточно и с должным качеством. А вот критерии оценки этого качества определяем мы, как жильцы и владельцы квартир. Собственно многое из того что было описано выше – обмер, дизайн, ремонт, выбор и закупка мебели, отданные на откуп внешним организациям или людям, и есть пример аутсорсинга.
Ну вот мы и подошли к концу повествования. Многие считают информационную безопасность наукой сложной и непонятной, которая требует долгих лет изучения и обучения в специализированных учетных центрах или институтах. На самом деле это не так. Ничего сложного в информационной безопасности нет. Все основные «вехи» и подходы нам уже давно известны по «смежным» областям – медицине, автомобильной отрасли, футболу и, наконец, ремонту своих собственных жилищ. Достаточно только проявить смекалку и обнаружить такое сходство. А дальше дело остается за малым – применить имеющиеся и известные навыки в новой области.
Алексей Лукацкий