З. В. ПОПОВА: «?Узких мест? в системе ИБ ведомственных сетей довольно много» |
УЧЕБНЫЙ центр «Информзащита» стал организатором Первого IT-Security-форума, который состоится во время выставки ВКСС 2003. Это один из результатов просветительской работы УЦ «Информзащита». За пятилетнюю историю УЦ в нем прошли подготовку и переквалификацию около 4 тыс. специалистов из 950 государственных и коммерческих структур.
На прошлогодней выставке ВКСС 2002 УЦ «Информзащита» провел однодневный семинар по проблемам безопасности ведомственных сетей связи, который посетили почти 200 специалистов. В этом году было решено закрепить успех начатого дела. Директор УЦ «Информзащита» Зоя Владиславовна Попова отвечает на вопросы «Вестника ВКСС».
Как вы оцениваете общий уровень защищенности ведомственных и корпоративных сетей связи по сравнению с уровнем безопасности сетей связи общего пользования?
К сожалению, говорить о защищенности сетей связи общего пользования (ССОП) очень трудно. Фактически, это совокупность каналообразующей аппаратуры и каналов связи, которые доступны для подключения любому оператору, имеющему соответствующую лицензию. В этих условиях защищенность зависит от понимания проблемы конкретным оператором, ответственным за тот или иной сегмент ССОП. Поэтому крайне важное значение имеет принятие проекта Концепции информационной безопасности ССОП, разработанного Минсвязи России. В этом документе определены механизмы сетевой защиты и ответственность операторов связи.
Что же касается ведомственных и корпоративных сетей, там состояние дел очень разное. Есть сети с очень высоким уровнем защиты, но есть и такие, которые ничем не отличаются от ССОП.
Что традиционно является «узким местом» системы ИБ выделенных и наложенных ведомственных сетей?
«Узких мест» в системе ИБ ведомственных сетей довольно много.
Во-первых, это проектирование сетей без учета требований ИБ и последующее «встраивание» в них средств защиты. Это вызывает сложности с сопряжением оборудования, дает дополнительную нагрузку на сеть, не заложенную в первоначальном проекте.
Во-вторых, очень важна степень понимания топ-менеджментом проблем ИБ. Из этого следует, какое место занимает система ИБ в информационно-коммуникационной среде конкретной организации.
В-третьих, далеко не всегда совпадают желание и возможности вкладывать деньги в защиту сети. Финансирование таких работ — весьма затратный процесс, поэтому порой желание-то у руководства есть, а возможностей нет.
В-четвертых, для российских проектов в области ИБ характерны слабость или полное отсутствие организационной составляющей, то есть политики безопасности. В большинстве случаев, если работы по обеспечению ИБ и ведутся, то преимущественно на техническом уровне, без четкого понимания того, «как должно быть».
В-пятых, стоит упомянуть отсутствие квалифицированных специалистов, способных поставить специализированным организациям четкую задачу по обеспечению безопасности сложной гетерогенной сети.
Какого рода знания наиболее востребованы сотрудниками служб ИБ ведомственных и корпоративных сетей связи?
Здесь можно выделить два направления. В первое входят знания по технологии управления ИБ на предприятии (в том числе организационные, методологические и правовые вопросы проектирования), по внедрению и эффективному применению комплексной системы обеспечения компьютерной безопасности, по регламентации действий и процессов, по методологии категорирования ресурсов ИС, дифференцированному подходу к определению перечня мер и средств защиты конкретных подсистем и ИТ-ресурсов.
Ко второму относятся предельно детализированные знания и практические навыки эффективного использования имеющихся в организациях штатных и дополнительных средств защиты в конкретных условиях работы систем и сетей.