Журнал "Information Security/ Информационная безопасность" #4, 2018

Реальность глазами "типичного безопасника": админы ленивые, не устра- няют уязвимости на вон том старом сервере, не хотят нам включать полный аудит, сеть плоская, мы купили решение, которое приводит к отказу ключевой системы. Немного истории ИТ-безопасность как отдель- ное направление защиты информации начала оформ- ляться только в 1990-х гг., вме- сте с массовой цифровизацией почти всех технологий. Навер- ное, главной вехой стоит счи- тать начало разработки Com- mon Criteria for IT Security Eval- uation (свод общих критериев), который, в свою очередь, обоб- щил, упорядочил и обогатил опыт использования "Оранже- вой книги" АНБ США (Trusted Computer System Evaluation Cri- teria). Однако то, что сейчас принято называть системами ИТ-без- опасности, появилось намного раньше, чем были приняты все эти замечательные документы. Например, первые файрволы и антивирусы появились еще в 80-х гг., а прадедушка совре- менных SIEM – и того раньше, первые системы ADP известны с середины 1970-х гг. Курица или яйцо Как вы, наверное, уже поня- ли, до конца 1990-х ни о каких выделенных специалистах по ИT-безопасности в бизнесе и речи не было. Равно как и хакеры были всего лишь талантливыми программиста- ми, без современного злове- щего образа. Задачи современной ИТ-без- опасности с первых больших мейнфреймов и вплоть до появления доступных ПК реша- лись силами системных опера- торов, профессия которых со временем трансформировалась в современных системных адми- нистраторов и инженеров. К выделению ИТ-безопасно- сти как отдельного направления было множество предпосылок – технологии пошли в потреби- тельские массы, вычислитель- ные машины стали уже не толь- ко привилегией ученых и бан- ков, но и начали появляться в своем упрощенном виде в офи- сах и домах, а трансатлантиче- ский телефонный кабель стре- мительно эволюционировал в Интернет. В это же время про- изошла трансформация образа хакера из его положительного исследовательского значения в негативное, во многом благо- даря одноименному фильму. Страшилки пошли в массы, все больше ИТ-решений начали становиться решениями в обла- сти безопасности. Появившаяся индустрия по своей сути не была принципиально новой. Да и возникла она не самым логич- ным образом – действия на поводу у страха приводят к интересным (но, увы, не луч- шим) выводам на холодную голову. Да будет ИT-безопасность! Казалось бы, все логично, появилось новое направление, практики, отточенные на воен- ных технологиях, стали обще- доступными, бери и делай. Истории про злых хакеров, помноженные на "проблему 2000 года" (то, что в наши дни называется "хайп") давали должный уровень внимания и финансирования. Начали появляться профильные специ- альности в вузах и первые выпускники. Начали налажи- ваться первые процессы, стан- дарты в области безопасности пошли в ногу со временем, появился обновленный ISO/IEC 27001:2005, вместе с ним стали появляться и отраслевые стан- дарты вроде PCI DSS (Payment Card Industry Data Security Stan- dard – стандарт безопасности данных индустрии платежных карт). Появилась та самая без- опасность, которую мы видим сейчас и о которой говорят на несчетном количестве различ- ных конференций. Но вместе с этим началось и внутреннее разделение "безопасников" на более узкие профили в рамках тех же стандартов: инфраструк- тура, приложения, соответствие требованиям. Разделе- ние в основном было вызвано тем, что одно- временно качественно изучить новые аспекты один человек был физи- чески не в состоянии, а бизнесу тем временем продавали, а местами и насаживали требования соответствия новым реалиям. Не-ИТ-специализации в том или ином виде уже были задолго до массового распространения технологий: физический и эко- номический профиль, риски, непрерывность бизнеса. Новые стандарты лишь объединили эти разноплановые направле- ния воедино, дав нам процесс- ный подход и понимание, что обеспечение защиты информа- ции стало намного шире и слож- нее. Но вместе с этим начались проблемы совсем другого рода. Ожидание vs реальность Ожидание: мы внедрим стан- дарты и нас точно никто не поломает, все будут рады нам помочь. Реальность глазами "типич- ного безопасника": админы ленивые, не устраняют уязви- мости на вон том старом серве- ре, не хотят нам включать пол- ный аудит, сеть плоская, мы купили решение, которое при- водит к отказу ключевой систе- мы. Почему так вышло? Не все стандарты одинаково полезны, не всем пунктам можно (и нужно) дословно следовать. К сожале- нию, основная претензия со сто- роны ИТ к безопасности заклю- чается в том, что не всегда уро- вень технической компетенции последних успевает за техноло- гиями. К сожалению или к счастью, но факт: хороший спе- циалист по безопасности полу- чается из бывшего админа, про- граммиста или специалиста по тестированию. То есть из тех людей, которые могут не только сказать "надо сделать так", но и • 17 УПРАВЛЕНИЕ www.itsec.ru ИТ&ИБ: кто сверху? разу оговорюсь: речь в данной статье пойдет не о безопасности в целом, а об ИТ-направлении отрасли (оно же компьютерная безопасность или, в более широком плане, кибербезопасность). С Мона Архипова, эксперт по информационной безопасности