Все новости от 27 июня 2002 г. Безопасность информационных систем на основе метрик
Национальному агентству по аэронавтике и космическим исследованиям США вполне по силам отправить человека на Луну, поэтому кажется, что этой организации не составляет труда обеспечить безопасность своих информационных систем, от которых зависит вся ее деятельность.
Четыре года назад высшее руководство НАСА обнаружило, что это вовсе не так. Проверки систем защиты, проведенные генеральным инспектором этого ведомства и, независимо от него, Главным бюджетно-контрольным управлением США, вскрыли ряд опасных брешей. К ним, в частности, относятся устаревшие и далеко не совершенные планы защиты важнейших систем.
Для устранения недостатков НАСА избрало тот же путь, что и при разработке грандиозных космических проектов: вопросы безопасности стали рассматриваться как контролируемые процессы, успех которых поддается измерению и планированию на основе скрупулезного сбора и анализа метрик.
Детальный контроль за безопасностью и претворение в жизнь программ ее количественной оценки помогли менеджерам ИТ добиться значительного увеличения средств, выделяемых на защиту информации, что не замедлило принести свои плоды. Хотя потенциал для совершенствования здесь еще сохраняется, предпринятые усилия уже привели к заметному улучшению общей безопасности космической администрации.
“Между метрическими характеристиками и высоким уровнем безопасности имеется несомненная связь, — уверен Дэвид Нельсон, заместитель директора по информатизации НАСА, отвечающий за безопасность этой организации со штаб-квартирой в Вашингтоне. — Наше руководство сделало ставку на метрику. Мы изучаем данные на уровне исследовательских центров, и если поставленные цели не достигнуты, руководство центра немедленно переходит на форсажный режим”.
Недавний опрос исполнительных директоров и высшего корпоративного руководства, проведенный нью-йоркской фирмой KPMG LLP, показал: хотя многих руководителей (41%) и тревожат угрозы безопасности, однако большинство из них (59%) рассматривает обеспечение безопасности как чисто техническую задачу, а не проблему всего бизнеса. Именно это создает основную трудность для менеджеров ИТ, которые, не имея непосредственной поддержки со стороны высшего руководства, вынуждены вести непрерывную борьбу за финансирование таких программ и применять всю свою пробивную силу. Только так, считают эксперты, им удается обеспечивать высокую эффективность защиты в корпоративных масштабах.
Но есть и другой путь, уже опробованный сообразительными информационными менеджерами НАСА и некоторых частных компаний, например DuPont из г. Сан-Хосе (шт. Калифорния). Они обнаружили, что регулярный контроль на официальном уровне с применением метрических параметров помогает преодолеть возникающие проблемы с защитой информации. Такой подход позволяет говорить о безопасности на языке цифр и количественных показателей, хорошо понятных любому бизнесмену.
“Раньше вызывал исполнительный директор главного информатизатора и интересовался: “Мы в безопасности?”. Стоило тому ответить “да”, и разговор заканчивался, — говорит Марк Долл, национальный директор по обеспечению безопасности и техническим системам фирмы Ernst & Young LLP (Сан-Хосе, шт. Калифорния). — Теперь же исполнительный директор хочет знать, почему вы так уверены в безопасности, каким стандартам она отвечает и на каком уровне поддерживается”.
Но разработка надежных метрических показателей — дело нелегкое. Если правительственные организации наподобие НАСА могут опираться на федеральные законы и постановления, регламентирующие вопросы безопасности, то для частных компаний никаких стандартов по характеру такой информации и способам ее сбора просто не существует. Правда, они могут обратиться к услугам консультантов, многие из которых используют собственные методы аудита безопасности на основе метрик, но в большинстве случаев предприятию приходится самостоятельно определять, какие сведения нужно накапливать и включать в отчет.
С самого начала, как подчеркивают эксперты, важно наметить четкие задачи обеспечения безопасности и привлечь к их решению не только подразделение информационных технологий, но и производственных менеджеров вместе с высшим руководством компании.
|