Большую роль в продвижении технологий безопасности играют российские системные интеграторы, в задачи которых входит создание комплексных информационных систем поддержки бизнеса и разработка технических и организационно-режимных мероприятий для повышения их безопасности. Государство, требующее от определенных организаций ответственного подхода к хранению и передаче информации, также стимулирует развитие данной области. В частности, Президент РФ своим указом[12] предложил Центральному банку (ЦБ) принять меры по отношению к коммерческим банкам, уклоняющимся от обязательного использования «защищенных технических средств хранения, обработки и передачи информации при их информационном взаимодействии с подразделениями ЦБ».
ИС должна обеспечивать: функционирование корпоративных приложений в соответствии с заданными режимами, восстановление корпоративных приложений в случае сбоя в сроки, не нарушающие нормального ритма деятельности предприятия, гарантированную сохранность критически важных данных. На работоспособность систем может повлиять множество событий. Некоторые из этих инцидентов вызываются внешними источниками, в то время как причина возникновения других лежит внутри самой сети. Работоспособность ИС предприятия является определяющим фактором эффективности его деятельности, что диктует необходимость построения таких систем, которые основаны на современных технологиях и обеспечивают характеристики известные, как «RAS» (Reliability, Availability, Serviceability — Надежность, Готовность, Удобство обслуживания).[13] Эти характеристики являются традиционными для современных ИС. Чаще всего для описания устойчивости ИС используется термин «доступность», который и включает указанные характеристики. Надежность — свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, хранения и транспортирования. Примечание: надежность является комплексным свойством, которое в зависимости от назначения объекта и условий его применения может включать безотказность, долговечность, ремонтопригодность и сохраняемость или определенные комбинации этих свойств. Безотказность — свойство объекта непрерывно сохранять работоспособное состояние в течение некоторого времени или наработки. Долговечность — свойство объекта сохранять работоспособное состояние до наступления предельного состояния при установленной системе технического обслуживания и ремонта. Ремонтопригодность — свойство объекта, заключающееся в приспособленности к поддержанию и восстановлению работоспособного состояния путем технического обслуживания и ремонта. Сохраняемость — свойство объекта сохранять в заданных пределах значения параметров, характеризующих способности объекта выполнять требуемые функции, в течение и после хранения и (или) транспортировки. Под надежностью будем понимать минимизацию вероятности возникновения отказа или сбоя в работе ИС и возможность дальнейшего функционирования системы при возникновении неисправности каких-либо компонентов. Анализируя факторы, влияющие на надежность информационных систем можно выделить два основных принципа организации информационных систем. Во-первых, это комплексный подход к построению системы, охватывающий как применение специальных аппаратных и программных средств, так и проведение организационно-режимных мероприятий. Во-вторых, высокие требования к квалификации обслуживающего персонала. Глобальными факторами, влияющими на эффективность функционирования системы и сохранность данных, являются: случайный отказ или разрушение ее отдельных компонентов и несанкционированный доступ к системе. Поскольку первые два фактора не связаны с прямой атакой на содержимое информационной системы, их можно объединить термином «внезапный отказ». Внезапные отказы могут быть вызваны неисправностями оборудования, сбоями в работе программного обеспечения (ПО), ошибками обслуживающего персонала, а также внешними воздействиями — природными (землетрясения, ураганы, наводнения и т.п.), техногенными (пожары, перебои с энергоснабжением, прорывы водопровода и Л канализации и т. п.) и социальными (террористические акты, беспорядки, военные действия и т.д.). Российская действительность такова, что отечественные компании подвержены воздействию всех этих факторов (возможно, не считая природных катаклизмов) в значительно большей степени, чем фирмы из экономически развитых стран. На надежности систем отрицательно сказываются и наличие большого количества устройств, собранных из комплектующих низкого качества, и нередкое использование нелицензионного ПО. Аппаратное и программное обеспечение зачастую не отвечает требованиям совместимости, а «прописанная» в соответствующих файлах конфигурация систем — имеющимся аппаратным ресурсам. Виной тому может стать недостаточная компьютерная грамотность ответственных за поддержание компьютерной системы сотрудников. Обобщая, можно сказать, что чрезмерная экономия средств (на обучение персонала, закупку лицензионного ПО и качественного оборудования) приводит к уменьшению времени безотказной работы и значительным затратам на последующее восстановление системы.[14] Рассматривая внешние воздействия на информационную систему, следует отметить, что вероятность ураганов, цунами и землетрясений на большей части Российской федерации незначительная, а вероятности аварии на городских электросетях или прорыва канализации — значительные. Это усугубляет рискованность бизнеса, поскольку подобные события, как правило, не относятся к разряду форс-мажорных обстоятельств, а, соответственно, компания не освобождается от штрафов в случае невыполнения обязательств. В комплекс мероприятий по защите информационной системы от внезапных отказов специалисты компаний, занимающихся системной интеграцией, включают целый ряд действий, направленных на предотвращение внештатной ситуации. Выбор надежного оборудования и ПО позволяет до определенной степени предотвратить сбой информационной системы. Однако встречаются и неподвластные системному администратору ситуации, влекущие за собой уничтожение информационной системы или какой-либо ее части. В условиях сложных деловых связей «падение» одной компании, ставит под удар функционирование многих ее партнеров. Поэтому задача руководства компании — заранее определить ряд мероприятий, которые позволяют свести к минимуму потери информации и время простоя системы. Основу мероприятий, повышающих стойкость системы к событиям подобного рода, составляют различные формы резервирования и мультиплексирования оборудования и коммуникаций, принадлежащих к информационной системе. Уровень защищенности ИС от различного рода угроз, приводящих к утрате данных и полному или частичному прекращению ее работы, зависит от степени важности ИС для функционирования предприятия. Затраты на повышение надежности должны быть адекватны прогнозируемым убыткам.
Практика показывает, что 72% времени простоя обусловлено несистемными факторами, такими как плановое техническое обслуживание, сбои приложений и ошибки операторов. Для защиты от этих факторов предлагается рассматривать концепцию «трех П» — пользователи, процессы, продукты.
Пользователи: подготовленность, документация, ответственность, авторизация.
Процессы: резервное копирование/восстановление, управление изменениями, производительностью и решением возникающих проблем, обеспечение безопасности, контроль/наблюдение.
Продукты: приложение, выбор платформы, архитектура, промежуточное ПО высокой готовности.
Таким образом, говоря о проблемах обеспечения высокой готовности, не следует забывать и о таких факторах, как сами пользователи и процессы, протекающие в системе.[15] Последствия аппаратных сбоев устраняются с помощью резервирования компонентов, которое осуществляется как на уровне вычислительных систем, так и их отдельных устройств. Принцип устранения сбоя такой: когда один из компонентов выходит из строя, вместо него включается резервный. Проблемы, связанные с программным обеспечением, решаются посредством «перепоручения» исполнения задачи другой машине. Что же касается ошибок пользователей, то их вероятность снижается при высоком уровне подготовки персонала и организации эффективной поддержки со стороны компании-производителя или поставщика вычислительных средств.