Попытаемся рассмотреть с точки зрения некоторой организации кто заинтересован в повышении или понижении ее гипотетического уровня информационной безопасности.
Понятно, что существуют организации с различным размером, уровнем развития, культурой и спецификой, которые формируют IT-спрос в области информационной безопасности, и, соответственно, существует целый спектр компаний IT-предложения. Поэтому необходимо понимать субъективность данной попытки ответа :)
Итак, все эти организации "варятся в одной каше" - для обеспечения информационной безопасности. Определим следующих заинтересованных лиц:
- Администраторы безопасности организации
- Системные и сетевые администраторы организации
- Пользователи информационных систем организации
- Руководство организации
- Компании IT-предложения – разработчики, поставщики оборудования и программного обеспечения, компании-интеграторы
- Компании IT-предложения в области ИБ
- Вышестоящие и государственные регуляторы в области ИБ
- Конкуренты
- Все остальные
Администраторы безопасности это те, кого в первую очередь не удовлетворяет текущий уровень безопасности, обеспечиваемый существующей системой информационной безопасности в организации. Им с каждым днем становится все труднее контролировать безопасность, так как появляются все более сложные информационные системы, и все более сложные по реализации атаки на эти информационные системы. Отсутствие понимания и поддержки со стороны администраторов, пользователей и руководства порождают дополнительный виток проблем. Администраторы безопасности являются «заложниками» некоторых эксплуатируемых информационных систем, из-за их недоработок в области ИБ.
Системные и сетевые администраторы заинтересованы лишь в том, чтобы их системы "работали". Повышение уровня безопасности для них лишь означает дополнительную нагрузку – управление правами доступа, ведение справочников, слежение за активностью пользователей и работоспособностью систем, бюрократия и т.д.
Пользователи информационных систем заинтересованы в том, чтобы информационные системы, услугами которых они пользуются, предоставляли актуальную и достоверную информацию, работали без задержек, были удобными в работе. Для них повышение уровня безопасности означает также дополнительную нагрузку – запоминание паролей, соблюдение правил безопасной работы и т.д. Кроме того, ими будет потеряна некоторая степень свободы – возможно, действия, которые раньше для них были возможными, станут запрещены. Например, установка произвольного программного обеспечения.
Руководство организации как собственник или владелец информационных ресурсов, информационных систем и поддерживающей инфраструктуры заинтересовано в том, чтобы информационные системы бесперебойно и эффективно решали поставленные задачи. При этом повышение уровня безопасности для руководства означает дополнительные финансовые затраты, которые должны экономически оправдываться.
Компании IT-предложения:
Разработчиков информационных систем интересует кратковременная выгода – быстрее сделать, быстрей сбыть. Функциональные требования для них имеют больший приоритет, чем требования безопасности. В результате, в информационных системах отсутствуют встроенные механизмы безопасности, на которые бы могло опереться подразделение безопасности, и механизмы становятся наложенными, имеющие низкую эффективность. Повышение уровня безопасности, для них означает учет требований безопасности на этапе проектирования, их тестирование на всех этапах разработки, и решение проблем безопасности на стадии эксплуатации. То есть время выпуска рабочей системы затягивается, кроме того, необходимо осуществлять постоянную поддержку выпущенного программного продукта, на что также необходимы дополнительные ресурсы.
Поставщики оборудования и программного обеспечения, компании-интеграторы занимаются сбытом и внедрением оборудования и программного обеспечения, осуществляют их поддержку. Для них повышение уровня безопасности означает, что на стадии внедрения необходимо учитывать требования безопасности в проектах по внедрению, производить оценку среды эксплуатации, осуществлять пилотные проекты. А на стадии поддержки необходимо быстрее реагировать на запросы по обслуживанию, т.е. более активно взаимодействовать с производителями.
Компании IT-предложения в области ИБ занимаются проектированием, разработкой и внедрением наложенных средств защиты, а также собственно оценкой уровня безопасности организации. Очевидно, что они заинтересованы в возмездной оценке уровня безопасности организации и его повышении. И чем выше этот уровень необходимо поднять, тем больше данные компании выигрывают (зарабатывают).
Вышестоящие и государственные регуляторы в области ИБ обычно занимаются разработкой требований, распоряжений, стандартов и т.п. в области ИБ, а также контролем за их исполнением. При этом государственные регуляторы предъявляют особые требования к государственным организациям, а также контролируют компании IT-предложения в области ИБ. Регуляторы заинтересованы в повышении общего уровня безопасности за счет предъявления требований к нижестоящим организациям. Теоретически, выполнение требований регуляторов по определению должно приводить к повышению уровня безопасности в организации, но на практике такой уровень безопасности часто является "виртуальным". Так как цель повышения уровня безопасности подменяется целью соответствия нормативам регуляторов. Например, регуляторы обязывают государственные организации использовать сертифицированные средства защиты. Но необходимо понимать, что сертифицированные, не есть лучшие или более эффективные.
Для организаций-
конкурентов повышение уровня безопасности означает уменьшение количества, либо пропускной способности разведывательных каналов информации, уменьшение ценности добытой информации. Для получения конкурентных преимуществ им потребуется больший объем ресурсов.
Всем остальным повышенный уровень безопасности создает дополнительные препятствия для его нарушения или требует дополнительных затрат для его поддержки.
Таким образом, повышение уровня безопасности привносит избыточность в работу заинтересованных лиц, тормозит их работу, заставляет нести дополнительные расходы и т.д., вследствие чего у всех них (кроме регуляторов и IT-предложения в сфере ИБ) складывается отношение сопротивления к повышению уровня безопасности, что создает значительные трудности в работе подразделений безопасности организации.