Project

General

Profile

Безопасность и стоимость

Поговорим о безопасности. По ходу работы с проектом постоянно приходится сталкиваться с мнением - «бесплатное не может быть безопасным». Участие же в одном из семинаров по проблемам внедрения документооборота показало, что пора как-то сформулировать мысли на этот счёт. Замечание: статья «научно-популярная», так что просьба к профи — не придирайтесь к деталям. Замечания по сути можно присылать на —

Начнём сразу с тезиса и постараемся потом его обосновать. Итак:

  • Если человек однозначно увязывает стоимость программного обеспечения с его безопасностью, то знайте — перед Вами либо дилетант, либо обманщик.

Возможен, конечно, еще вариант «рекламный агент», квинтэссенция (основная сущность) которого — продать любым способом то, в чём он не очень то понимает. Ну, может что-то слышал. Извините, если обидел кого, политкорректная формулировка без потери смысла не получается. Итак, давайте разбираться. Отбросим то, чем обычно занимается служба безопасности (СБ) и заострим внимание на информационной безопасности. Что понимают под термином «информационная безопасность»? Упрощенно, вот это:

  • Конфиденциальность: информация доступна только строго определенному кругу лиц
  • Целостность: обеспечивается полнота и достоверность. Причем не только самой информации, но и методов работы с ней.
  • Доступность: если мне разрешено, то я должен получить доступ к информации.

Замечание: информационная безопасность «шире», чем работа с компьютерами и программами, но мы смело отбросим и эту часть. Иначе совсем утонем в ньюансах.

Теперь посмотрим, а где у нас находится (хранится, обрабатывается,...) наша информация. Информационная система (ИС) — платная, бесплатная, либо ещё какая, не важно — не может существовать в вакууме. Ей для работы нужно много чего. Где хранить информацию? В базе данных. Как передать информацию на компьютер пользователя? По компьютерной сети (ну, или через Интернет). И так далее. В результате, нам надо рассматривать не отдельную программу, а комплекс программных и аппаратных (сервера, сети, и т.д.) средств. Как минимум:

  • база данных — место хранения информации. Возможно и существуют системы, которые используют свою собственную базу данных. Но, это такая экзотика... Обычно, в качестве хранилища информации используют стандартные системы управления базами данных СУБД — Oracle, PostgreSQL, MySQL, Domino и т.д.
  • резервная копия базы данных - ну, сломается наше хранилище и что? Потеряем всю информацию.
  • информационная система (ИС) — а вот, собственно, та система, которую мы хотим внедрять (нам рекламируют)
  • персональный компьютер — компьютер пользователя, включая операционную систему, антивирусы, офисы и прочие полезные и нужные программки
  • сеть — локальная сеть предприятия, Интернет.
  • печать — об этом часто забывают, но сколько было напечатано документов не на тех принтерах... Совершенно эпические истории про печать конфиденциальных документов на принтер в удаленном офисе, в другом городе...
  • и так далее, список не полон. И зависит от конкретной организации.

Обратите внимание, что круг людей, которые находятся «рядом» с нашей информацией и могут как-то на неё повлиять получается достаточно широк. В первую очередь, это ИТ-шники (иногда, по старинке, именуемые программистами). Администратор базы данных, «сетевик», поддержка пользователей...

Зарисовки:
  • Информация в базе хранится в шифрованном виде? А полнотекстовый поиск как будет работать? Что, система умеет сама расшифровывать все документы для индексации? Значит, админ системы имеет доступ ко всем документам (есть теоретические варианты как этого избежать, но на практике...).
  • Резервная копия шифруется? А шифровальный ключ этой копии у кого? А конкурентам не продаст?
  • Кто имеет право удалить информацию? Админ? И он может вот просто так взять и удалить?

Чувствуете? Нам рекламный агент говорил, что его система «обеспечивает безопасность», а тут такое... В чем дело? А в том, что безопасность это процесс. Подчёркиваем, процесс. Например, для информационной безопасности: это процесс обеспечения конфиденциальности, целостности и доступности информации. И никакая, даже самая крутая программа, не может сама по себе его обеспечить. И рассматривать этот процесс надо в комплексе: компьютеры, серверы, сети, программы, люди и правила работы (регламенты).

Вернемся к стоимости программного обеспечения. А это что такое? А это часть бизнес-модели той или иной компании. Способ получения дохода. Зарабатывать ведь можно по-разному:
  • продавать собственно программу
  • предоставлять программу бесплатно, а брать деньги за внедрение, техническое обслуживание
  • ...

Так какая связь между ценой программы и безопасностью? Правильно, никакой.

P.S. Будут вопросы, замечания — будем корректировать, дополнять. А пока так.