Проект "ИТ-Защита"

Рассматривая в предыдущем разделе нормотворческую деятельность уполномоченных органов (регуляторов) РФ в сфере ИБ АСУ ТП КВО подспудно возникал вопрос оценки этой самой безопасности. Чем руководствоваться разработчику, заказчику или аудитору таких сложных инфраструктур как КВО при оценке безопасности их автоматизированных систем на всех этапах жизненного цикла. Существует два подхода к проблеме оценки ИБ – это использование собственных национальных нормативных правовых методик и рекомендаций и использование мирового опыта на основе международных стандартов.

Тема защиты критически важных объектов сейчас особенно популярна и многие производители решений по обеспечению информационной безопасности начинают предлагать специальные решения для защиты промышленных сетей, модернизируя свои продукты или разрабатывая новые, а порой, к сожалению, просто добавляют к названию «SCADA edition». Для того, чтобы не стать жертвой маркетинговой рекламы производителей/вендоров и суметь выбрать решения, которые действительно будут работать в рамках жёстких требований, предъявляемых к продуктам и системам информационных технологий (ИТ) критически важных объектов (КВО), и в эффективности которых можно быть уверенным, нужно обладать практическими знаниями в этой предметной области, восполнить которые мы постараемся в рамках настоящей статьи.

В последнее время наметилась тенденция по ограничению приватности в сети Интернет. Это связано с ограничениями, которое налагает на пользователя государственное регулирование сети Интернет. Государственное регулирование Интернет существует во многих странах (Китай, Россия, Беларусь и т.д.) Отметим также, что целый ряд крупных он-лайн сервисов собирает информацию о пользователях для использования в коммерческих целях (показ таргетированной Интернет-рекламы, предложения он-лайн покупок и т.д.). Крупные спец. службы собирают информацию о наиболее широком круге пользователей сети и хранят ее для использования в собственных целях. Это стало известно благодаря «разоблачениям Э. Сноудена». Хакерские группировки и компьютерные злоумышленники тоже собирают данные про пользователей сети, с целью получить доступ к информационным и финансовым активам (кредитным картам, системам он-лайн платежей, электронным кошелькам граждан и т.д.). В сфере бизнеса сбор информации о субъекте предпринимательской деятельности ведется специалистами по конкурентной разведке (КР) . Как защититься от «тотального контроля» и «слежки» в сети? Как сохранить свою приватность и конфиденциальность информационных активов? Перечислим и опишем несколько популярных программно-технических методов для сохранения приватности в сети Интернет:

Новые вызовы и угрозы ХХI века

Человечество вступило в ХХI век – век информационный, т.е. век информации и информационных технологий. Все мы живём в некотором виртуальном мире компьютерных систем и Глобальной паутины – Интернета, т.е. в так называемом киберпостранстве.

Киберпространство (англ. Cyberspace) – термин, введенный Уильямом Гибсоном (William Gibson) в своем романе Neuromancer (Нейромант) для обозначения цифрового мира компьютерных сетей.

Если рассматривать историю человечества как историю войн и выживаемости, то основная парадигма развития цивилизации состоит в обеспечении безопасности жизни и здоровья как отдельного индивида, так и всего человечества в целом. При этом подходы к обеспечению безопасности определяются максимально достижимым результатом и делятся на:

Консервативный или рыночный подход «от угроз». Цель – построение и постоянная модернизация максимального количества заградительных систем с целью извлечения прибыли игроками рынка безопасности. Максимальное достижение – подземный железобетонный бункер с автономными системами жизнеобеспечения, наружного (поверхностного) видеонаблюдения и периметровой (сейсмической) сигнализации для каждого отдельного человека. В этом случае обеспечивается полная защита от всех существующих и ещё не открытых видов угроз. Размещение в бункере более одного человека – это уже угроза социальных отношений, в замкнутом пространстве способных закончиться конфликтом.

Либеральный или подход от обеспечения возможности реализации интересов человека. Цель – построение открытого общества, в котором человек наделён достаточной свободой, чтобы самостоятельно выбрать и реализовать свои цели. Максимальное достижение – возможность выбора видов угроз, которым человек хотел бы сам себя подвергнуть для наполнения своей жизни новым содержанием. Например, при походе в горы, плавании под водой или полёте на лёгком летательном аппарате. И несовместимость достижения целей отдельного человека с возможностью создания угроз по отношению к другим людям.

В век информации и информационных технологий (ИТ), появление новых ИТ, их технологическая и коммерческая конкуренция носит повсеместный характер и зачастую приводит к достаточно парадоксальным результатам их жизнедеятельности. Вспомним хотя бы о таких сетевых информационно – телекоммуникационных технологиях (ИКТ) как Х.25, Х.75 и ISDN, доминировавших в конце прошлого века или бурно анонсируемые технологии АТМ и Frame Relay в начале нынешнего века. Сейчас они перешли в разряд устаревших и/или мало используемых ИТ. В месте с тем, достаточно старая ИТ – Ethernet, которая разрабатывалась компанией Xerox исключительно для создания локальных сетей, благодаря появлению новых технологий в области физической среды передачи данных – волоконно-оптические линии связи (ВОЛС), стала доминирующей в области построения региональных и городских сетей передачи данных – технология ЕТТН (Ethernet to the Home). Да, ещё использование стека протоколов TCP/IP (достаточно старого и много критикуемого, в том числе и в части безопасности ИТ) в качестве базовой платформы в Internet вносит пикантность в существующую ситуацию с ИКТ. Или взять хотя бы последний тренд – DLP-системы. Сколько на различных форумах идёт дискуссия в достоинствах и недостатках этих систем. Есть ли какая то логика или тенденция в непредсказуемости появления и забвения ИТ/ИКТ?

Безопасность системы – это такое состояние сложной системы, когда действие внешних и внутренних факторов не приводит к ухудшению системы или к невозможности её функционирования и развития.