Когда мы говорим об обеспечении информационной безопасности, то часто не задумываемся, что решить такую задачу отнюдь не просто. Дело в том, что данные — это не драгоценное ожерелье, которое можно надежно спрятать от посторонних глаз где-нибудь подальше, да еще и за семью замками. Однако сразу задаешься вопросом: а как же тогда полюбоваться украшениями? Ведь для этого придется потрудиться, хотя бы открывая те самые 7 замков. С информацией подобная ситуация. Она обязана работать, так как является инструментом в руках тех, кто ею владеет. Другое дело, что доступ к данным должны иметь только уполномоченные на это лица. Иначе злоумышленники или недоброжелатели быстро выведают чужую тайну либо найдут компрометирующую информацию. Или того хуже: просто уничтожают важные для вас данные, что в нынешнее время иногда страшнее всего.
Поэтому информационная безопасность должна обеспечиваться разумно и рационально. Но в то же время предпринятые меры призваны гарантировать конфиденциальность данных и защиту от несанкционированного использования. К тому же важно сохранить и обеспечить доступ ко всей информации, а не ее части. Целостность позволяет сделать правильные выводы, а ее нарушение приводит к ошибкам. Например, если вы узнаете только о жизни Гитлера в молодые годы и его неудачных попытках поступить учиться на художника в так называемый «венский период», то подумаете, что речь идет об очередном творце, непризнанном современниками. Но, получив информацию о более поздних «деяниях» фюрера, будете поражены, насколько же ужасающе неверными были ваши первоначальные выводы.
Так что без следования основным принципам обеспечения информационной безопасности никак не обойтись. Давайте же узнаем, о чем речь, тем более, что завесу таинственности, на самом деле, мы уже приоткрыли.
Информационная безопасность: впускаем кого надо, не допускаем кого не надо
Вынесенная в подзаголовок фраза при всей ее корявости точно отражает задачу обеспечения информационной безопасности любой организации, компании или даже целого государства. Те, кому это положено, должны иметь возможность легко и быстро получить доступ к данным. При этом ко всем, а не так, как в описанном примере о несостоявшемся австрийском художнике. Ну, а перед теми субъектами, которые являются нежелательными гостями, должен быть поставлен надежный шлагбаум.
Вот мы и подошли разгадке тайны об основных принципах информационной безопасности. Почему тайне? Так ведь они известны под недвусмысленным названием «триада ЦРУ» — сами понимаете, откуда «растут ноги». Да, такие правила используют в работе сотрудники американской разведки, обеспечивающие национальную безопасность США. Так что уровень действительно настолько высокий, что не поверить в действенность их применения просто глупо.
Итак, вот они три задачи, решив которые можно с уверенностью сказать, что у вас с информацией все ОК — важно обеспечить ее:
- Доступность.
- Конфиденциальность.
- Целостность.
И всех делов! Но сделать это, на самом деле, не так просто.
Взаимосвязанность как основа для сбалансированного решения
Важно совместить использование трех основополагающих принципов информационной безопасности. Иначе результат не оправдает ожидания. Конфиденциальность должна сочетаться с доступностью, иначе, с данными будет неудобно работать тем, кому они необходимы. А целостность не должна мешать реализации двух других принципов. Например, можно, конечно, при входе в банк вывесить все пароли доступа к сейфам и полные инструкции по их вводу, чтобы сотрудники могли быстро воспользоваться ими и открыть нужное хранилище. Но, сами понимаете, конфиденциальностью в таком решении даже не пахнет.
Вот почему представители бизнеса и государственные структуры доверяют обеспечение информационной безопасности опытным профессионалам из сторонних ИТ-компаний, занимающихся решением подобных задач не один год.