– Андрей, как вы считаете, в чем кроется «противоборство» ИБ и ИТ, в чем его причина?
– Да, «противоборство», увы, наблюдается. Причину я вижу в противоположном «векторе» отношения к субъекту – информационные технологии постоянно пытаются расширить возможности их пользователя, информационная же безопасность, напротив, старается эти возможности ограничить. Это базовые мотивы, от времени и уровня развития технологий зависят мало. И такое отношение объяснимо и с той, и с другой стороны.
Начальник управления системной аналитики ЭОС Андрей Шаров
– Где и в чем надо искать компромисс? Или, может быть, его искать и не надо, а есть определенные участки, где приоритет одного над другим не должен вызывать споров?
– Конечно, есть «приоритетные» участки, когда приоритет функциональности над безопасностью, или наоборот – безопасности над функциональностью, споров не вызывает. Вот, к примеру, в компьютерных играх можно пожертвовать безопасностью ради оснащения игрового процесса, а в охране государственной тайны явно приоритет у безопасности даже в ущерб функциональности. Но это крайности.
В большинстве же случаев нужен компромисс, а лучше – совместные усилия. И для этого есть точка соприкосновения – принцип необходимости и достаточности возможностей, который одинаково полезен и для ИТ в целом, и для ИБ в частности.
– На плечи каких специалистов ложится решение таких вопросов? Какие компетенции важны для грамотного их решения?
– На мой взгляд, основная нагрузка по решению ложится на плечи архитекторов информационных систем. Архитекторы могут оценить потребности с обеих точек зрения, использовать их преимущества и нивелировать недостатки на уровне принципиальной модели.
Что же до компетенций – основная, на мой взгляд, это системный подход к проектированию.
– Есть ли «примиряющие» технологии, модели взаимодействия?
– Да, конечно, причём - именно модели. Роль технологий, на мой взгляд, тут вторична, хотя её тоже нельзя сбрасывать со счетов. Тем не менее, технологии могут как облегчить жизнь потребителю, так и усложнить её в зависимости от того, в какой модели и как они применяются.
И если в модели реализован тот самый принцип необходимости и достаточности, то ИТ и ИБ часто встают на одну сторону баррикад.
– Ваши наблюдения, опыт Вашей компании, примеры из практики, где проблемы на стыке ИТ и ИБ были, но успешно решились. Или их и не возникало, тогда что позволило их избежать?
– Мы – разработчики СЭД, системы, которая изначально обязана сочетать в себе и широкие возможности, и достаточную безопасность. Этот баланс, можно сказать, у наших систем в крови. Поэтому, особо выделить какое-то одно решение, пожалуй, затруднюсь – много их.
Замечу лишь, что, реализуя «функциональную фокусировку» наших пользователей на оптимальных путях решения их рабочих задач, мы, во многом, исключаем противоречия между функциональностью и безопасностью – они начинают сотрудничать.
– Ваши прогнозы насчет дальнейшего развития отношений между ИТ и ИБ. От чего оно будет зависеть?
– На мой взгляд, всё будет так, как и раньше. Есть волнообразное развитие – то информационные технологии делают прорыв и начинают позволять очень много всего, что, в итоге, начинает вызывать проблемы, то информационная безопасность, решая возникшие проблемы, перетягивает одеяло на себя. Потом всё повторяется. А в промежутках между этими экстремумами и будет тот самый баланс с максимальной полезной отдачей.
– Большое спасибо за беседу!