ШИРОКИМ СПЕКТРОМ
В своей книге "Практика работы с Unix и безопасность Интернета" профессор Джин Спаффорд из Университета Пэдью так формулирует основной принцип администрирования систем безопасности: "Если вы отвечаете за безопасность в своей организации, но не полномочны устанавливать правила или наказывать нарушителей, то постоянно будете козлом отпущения при любых инцидентах".
Принцип Спафа является суровой реальностью, с которой сталкиваются многие из тех, кто несет ответственность за информационную безопасность. К ним постоянно предъявляет требования начальство, но их заботы абсолютно не волнуют рядовых работников организаций.
Самым ярким примером действия закона Спафа является случай с Амитом Йораном. Пробыв год на посту директора отдела национальной кибербезопасности Министерства национальной безопасности США (DHS), Йоран 1 октября с горькими чувствами подал в отставку. Ему не хватало как должного уважения к его должности со стороны окружающих, так и реальных полномочий - а в правительстве это самое важное.
По словам Йорана, он покинул этот пост, сделав все, что было в его силах при ограниченных ресурсах. Во многом это так. В принципе, Йоран действительно сделал все что мог. Но его возможности были жестко ограничены. Он работал со связанными руками.
Столь очевидные мотивы отставки Йорана побудили Палату представителей откорректировать законопроект о реорганизации разведывательных служб, переложив ответственность за кибербезопасность с DHS на Административно-бюджетное управление. Подобное повышение статуса директора предоставило бы ему необходимые полномочия, чтобы инициировать изменения в правительстве.
А глава DHS Том Ридж под влиянием тех же мотивов предложил поднять статус ответственного за кибербезопасность до уровня заместителя министра. Лично я искренне надеюсь, что так и будет. Однако этому могут помешать реалии политики Вашингтона.
В том, что произошло с Йораном, нет ничего необычного. Многие организации любят заявлять на публике, что информационная безопасность - их приоритет номер один, но в действительности не желают думать о его материальном подкреплении.
Начальство часто издает приказы типа: "Любыми средствами навести порядок в системах!" Но когда тем же менеджерам даются рекомендации о приоритетных мерах для обеспечения безопасности, заведующим ИТ-отделами зачастую приходится слышать: "Бюджет на текущий квартал исчерпан. Давайте об этом поговорим в следующий раз".
Информационная безопасность - сложная область, требующая организационного и технологического обеспечения. Но, к сожалению, тем, кто несет за нее ответственность, обычно не дается ни полномочий, ни денег для выполнения своей миссии.
Йоран знает, к чему все это ведет. Когда нет средств для реальной работы, выиграть войну за безопасность практически невозможно.
Бен Ротке, сертифицированный специалист по безопасности информационных систем, работает в Нью-Йорке консультантом фирмы ThruPoint. Недавно издательство McGraw-Hill опубликовало его книгу "Компьютерная безопасность: 20 вещей, которые следует знать каждому работнику".
Связаться с Ротке можно по адресу: brothke@thrupoint.net.
