Когда меня просят рассказать о безопасности, я первое время пребываю в затруднении. Не потому, что не понимаю чего-то, или понимаю настолько хорошо, что не в состоянии объяснить остальным людям, а потому, что существует большая разница между теоретической наукой и практическим применением.
Завтра мне нужно будет рассказать о своей работе и безопасности вообще студентам первого курса экономического факультета, которым с этой самой безопасностью придется иметь дело довольно опосредованно, по крайней мере, информационной. Однако, моя задача - именно рассказать. Сформировать правильное восприятие, возможно, заинтересовать. Привожу приблизительную стенограмму своего доклада-рассказа-выступления.
Прежде всего, стоит сказать сразу - я не компьютерщик! Я, несомненно, разбираюсь в компьютерной технике и программной среде, антивирусах, вордах и всем остальном, имею опыт работы с программами, даже умею их писать, даже достаточно прилично, для человека, не зарабатывающего этим свой основной доход. Но я не компьютерщик! Все эти знания являются практическим приложением, и не составляют основу науки обеспечения информационной безопасности.
Безопасность - это состояние объекта, при котором ему не грозит опасность. По сути, когда речь идет о информации, под ее безопасностью понимается состояние, в котором она не может быть уничтожена, похищена, модифицирована, ограничена от авторизованных лиц и т. п. Защита информации была всегда, и абсолютно не ограничивается исключительно компьютерной безопасностью, как это воспринимается большинством.
Обо всем по порядку. Необходимость защиты информации обусловлена тем, что информация, как объект материального мира, имеет крайне сложную природу и требует особого отношения. Если говорить о правовом аспекте, то крайне сложно отследить хищение информации, в отличии от, скажем, хищения сотового телефона или телевизора. При этом, наличие информации, в свою очередь, может дать преимущества, в первую очередь, финансовые, гораздо большие, чем те же сотовый телефон или телевизор. Поэтому защита информации есть задача высокого уровня приоритета. И люди понимали это всегда. Самые известные способы защиты информации - шифрограммы, тайнопись и прочее - были придуманы в глубокой древности, еще шумерами и египтянами. Собственно, поэтому за защитой информации и закрепилась прочная ассоциация с шифрованием. Свойство информации, обеспечиваемое методом шифрования, называется конфиденциальность. В современном мире защита информации не ограничивается только обеспечением конфиденциальности, есть еще такие свойства как доступность - возможность получения информации лицами, для которых она предназначена, - целостность, невозможность отказа от авторства и т. д. Все эти свойства информации обеспечивают ее безопасное состояние и способствуют, как минимум, снижению затрат, возможного ущерба и т. п.
Современная наука информационной безопасности черпает свои основы из приложений экономической теории, теории менеджмента (управления) рисков, теории процессов. Современная информационная безопасность реализуется в соответствии с процессами управления ПРПС (“Планирование - Реализация - Проверка - Совершенствование”), является по сути своей деятельностью скорее аналитической, чем технической. Техническая деятельность по защите информации - это скорее практика, практическое приложение науки, настолько разностороннее, что пытаться обобщить или как-то описать это множество практически нереально. В качестве примеров можно привести совершенно обыденные и привычные вещи, такие как антивирусная защита, защита сайтов от взломов, резервное копирование данных. Даже установка источников бесперебойного питания для компьютеров - это защита информации, если быть конкретным - обеспечение свойства доступности и, в некоторой степени, целостности.
Конкретно я, в рамках обеспечения информационной безопасности, занимаюсь именно высокоуровневыми мероприятиями в рамках управления информационной безопасностью, анализом, консультированием и обследованием. Применение каких-либо защитных мер - это следствие сделанных мной выводов, результаты проведенных обследований. Хотя ничто не мешает мне заняться реализацией каких-либо технических мер, как и любому разработчику, скажем, средства шифрования, ничто не мешает проанализировать объект защиты и принять решения относительно его защиты. В общем и целом это значит, что наука информационной безопасности имеет очень широкие и достаточно размытые границы. Разделить информационную, финансовую, техническую или даже личную безопасность крайне тяжело, да и делать это, наверное, не нужно. Факт, что природа вещей в мире приблизительно одинакова. Информационная безопасность - это один из способов использовать эту природу для весьма ограниченного числа объектов.
