НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Как строить безопасную СЭД я так и не понял…

Андрей Колесов
13.07.2012 10:09:31

Вчера у меня опубликовалась статья Как построить безопасную СЭД? Только вместе!.
Заголовок бодрый, но на самом деле настроение от самой публикации у меня не столь бодрое. То, что "вместе" – это "да, конечно". Но что же мы собираемся стоить, зачем и как – вот тут все в тумане…

Итак, в конце июня прошла очередная мини-конференция "ИнтерТраст" по теме "Строим вместе безопасную СЭД"… Там был доклад и общая дискуссия (круглый стол с участием всем пришедших).



В плане "разминки" к теме я написал предварительный пост Новый раунд разговоров "вообще" – "что такое безопасная СЭД?"
Потом по горячим следам, сразу после еще один Вот такая у нас безопасность… Кажется, и СЭД-безопасность тоже…

А вчера еще и "итоговая" статья. Теперь нужно еще и итоговый пост написать…

Говоря о теме безопасности, у меня почему-то возникает ассоциация с онкологием. Тема ИБ пронизывает всю тематику ИТ как метастазы, на нее наталкиваешься на каждом шагу. Но при этом никто не знает ни природу этого процесса, ни как с ним бороться… Порой создается такое впечатление, что любой нормальный АйТишник (и пользователь тоже!) в тайне мечтает вообще забыть про эту ИБ, как о ночных кошмарах, постоянно преследующих его. Но публично он этого не может сделать, сказав "отстаньте от меня со своей ИБ", поскольку это примерно, как доброму католику усомниться в том, что браки совершаются на небесах, а потому развод невозможен…

Типа, вы приходите на работу – а на каждой стене развешаны плакаты "враг подслушивает". Вечером пришел домой, а вместо зеркала – "А ты записался…?"

Короче говоря, я не могу назвать себя совсем новичком в теме. Слово безопасность у меня встречается в моих публикациях. Было довольно много статей, в том числе больших обзоров по разным аспектам (даже список тем большой, статей еще больше).

В общем, все это я к тому, что я не очень понял, какая проблема обсуждалась на этом мероприятии. При этом это даже не упрек организаторам. Как говорится "они сделали, что могли" (возможно и не все, но явно старались). Наверное, тема такая – не подъемная. А может быть, даже и не нужная.

"Как защищаться от внешних угроз" – это понятная тема. Как бороться с "внутренними утечками" – тоже понятно. Как построить процесс разработки ПО, что получился "хороший код" (в том числе "без дыр") – то же понятно. Как применять ЭЦП и нужно ли это делать, - понятно. Как получить нужные сертификата – тоже…

А что такое "безопасная СЭД", как ее строить и для чего – не понимал и не понял….

Определения, звучавшие и в выступлениях типа "безопасная система – это та, которая снабжена средствами защиты" или "БС – это та, которая отвечает требования по безопасности" – это из области тавтологии.
Ну, я уже не говорю, что совершенно непонятно, в чем же является специфика СЭД (речь там шла об ИТ-системах вообще).

У нас тут вчера в другом блоге состоялся обмен мнениями по ИБ (вообще, не СЭД) Чего боятся интернет-пользователи

Я там высказал такое мнение
Такое впечатление, что ИБишники 90% своего рабочего времени занимают созданием и распространением страшилок, мало имеющих отношение к реальной жизни

Я вполне допускаю, что я не очень прав или даже не прав вовсе. Но пока продолжаю оставаться при этом же мнении.

Вообще, основной целью визита на то мероприятие у меня было узнать мнение на этот счет аудитории. Не получилось… Может быть, и потому, что мнения нет как такового…

Комментариев: 1

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

13.07.2012 12:56:10

На Фейсбуке получил комментарий от Станислава Макарова

Цитата
Стас написал: На мой взгляд с "безопасной СЭД" все просто. Формально СЭД ничем не отличается от любой другой АС (автоматизированной системы в терминах ГОСТ). И безопасники так и подходят к оценке и сертификации СЭД с общих позиций.
Однако, в СЭД имеются специфические информационные объекты - документы, папки, поручения и проч., у которых сложная внутренняя структура - карточка, файлы, версии и прочие компоненты в зависимости от фантазии разработчика.
Поэтому типовые подходы к оценке безопасности СЭД надо доработать с учетом этой специфики, начиная с модели угроз и модели нарушителя и заканчивая методами тестирования.
Тогда и будет однозначное толкование и понимание, что такое Безопасная СЭД.


Я ответил
Цитата
Комментарий показывает, что все как раз не очень просто. Это видно и по тому, что в такой постановке вопрос на мероприятии не присутствовал