Конвергенция технологий безопасности

Аналитики крупнейших аналитических компаний, таких как Gartner и Frost & Sullivan, прогнозируют активное сближение сфер физической и информационной безопасности, которое тем не менее не произойдет в одночасье. В частности, согласно недавнему исследованию Frost & Sullivan, переход к полностью интегрированным системам безопасности ожидается лишь после 2020 г., и тогда организации получат комплексные решения, связывающие системы контроля доступа с системами цифрового видеонаблюдения, противопожарными системами и сигнализацией, а также с программными системами управления кадрами, учета времени присутствия сотрудников на работе и защиты критически важных данных. По мнению генерала Джеймса Клеппера (James Clapper), директора Национальной разведки США, «феномен конвергенции означает, что одни и те же сети и устройства обрабатывают полный спектр данных и приложений от банковских до социальных сетей, от управления цепочками поставок до медицинских записей».
Ключевыми технологиями, которые позволят совершить необходимые шаги в отношении конвергенции безопасности, называются PSIM (Physical Security Information Management), или информационное управление физической безопасностью, и SaaS (Security / Software as a Service), или безопасность / программное обеспечение как услуга.
Истоки конвергенции
Впервые о необходимости конвергенции технологий безопасности заговорили после событий 11 сентября 2001 г. Незнание того, что именно делали пожарные, полицейские и спасатели, кто и какими навыками обладал, и где их следовало искать в разгар кризисной ситуации, было серьезной проблемой: как во время атак на Всемирный торговый центр, так и позднее, при ликвидации в 2005 г. последствий урагана Катрина.
В ответ на острые проблемы взаимодействия в критических условиях в 2004 г. Джорджем Бушем была издана Президентская директива о национальной безопасности (HSPD-12), призванная обеспечить контроль над физическим и логическим доступом ко всем федеральным системам и зданиям. Год спустя, в результате работы NIST над переводом HSPD-12 на язык конкретных технологических спецификаций, появилась программа FIPS 201 – стандарт, определяющий архитектуру и технические условия общего формата идентификации федеральных служащих.
Потребность в конвергенции назрела не только на государственном, но и на коммерческом уровне. Так, в 2003 г. корпорация Computer Associates присоединилась к ряду компаний и отраслевых организаций, призывающих использовать открытые стандарты в области безопасности, и объявила о создании группы Open Security Exchange (OSE), ставящей целью внедрение лучших методов организации работ и не зависящих от производителей спецификаций на интеграцию физических и технологических способов защиты на предприятиях.
Стандарты и инициативы
Результатом работы OSE стал выпуск стандарта PHYSBITS (Physical Security Bridge to IT Security) так называемого «моста» между физической и информационной безопасностью, в котором предлагается модель структурирования информации в части управления доступом: описываются взаимоотношения различных процессов и объектов, в том числе персонала, фото- и видеоконтента, мест, ролей, прав, политик, событий. Фактически стандарт PHYSBITS раскрывает особенности управления взаимодействием служб физической и информационной безопасности.
PHYSBITS – не единственный стандарт, определяющий слияние физической и информационной безопасности. Международный консорциум OASIS (Organization for the Advancement of Structured Information Standards), управляющий разработкой, конвергенцией и принятием стандартов электронной коммерции и веб-сервисов, выпустил в 2006 г. стандарт oBIX (Open Building Information Exchange), в котором определяется протокол веб-сервисов для обмена информацией между корпоративными приложениями и техническим оборудованием зданий: системами вентиляции и обогрева, кондиционирования воздуха, лифтами, системами безопасности и т.п. В стандарте oBIX решаются задачи поддержки способности к взаимодействию обычных устройств технического обслуживания.
Большое значение проблемам конвергенции физической и информационной безопасности придают и отраслевые объединения. Так, 1nService – группа системных интеграторов в сфере ИТ, и PSA Security Network – сообщество компаний, занимающихся обеспечением отрасли физической безопасности, стремятся слить воедино пока еще сильно разобщенные каналы продвижения тех и других решений, чтобы сформировать новый интегрированный рынок товаров и услуг по обеспечению комплексной безопасности предприятия. Причем объем этого рынка, по оценкам аналитиков, составляет 7 млрд долл.
От теории к практике
Поставщики решений и компании, являющиеся их потребителями, по-разному относятся к конвергенции. Зачастую внутри организаций возникает борьба за влияние между отделами информационной и физической безопасности, в то время как для успешной реализации проектов интеграции между ними должна существовать определенная солидарность. Поэтому, по мнению Стива Ханта (Steve Hunt), бывшего главы отдела исследований в области безопасности Forrester Research, самые успешные проекты конвергенции позволяют отделам физической и информационной безопасности сохранить свою автономию.
Согласно недавно опубликованному отчету InformationWeek в половине организаций, участвовавших в исследовании, отделы физической и информационной безопасности не только не интегрированы, но и вообще отсутствуют планы по их слиянию.
Конвергенция и не нужна абсолютно всем организациям. Только крупные предприятия с высокими расходами на поддержание систем безопасности получат ощутимую выгоду, причем целесообразно осуществлять проекты интеграции в компаниях, где правила и требования контроля доступа строго регламентированы. Представитель компании Cryptography Research Бенджамин Джун (Benjamin Jun) считает, что в организациях должны хорошо осознавать, какие данные нужно защищать, иначе инициативы по контролю доступа рискуют обернуться «потемкинскими деревнями».
Что касается вендоров, то все большее число компаний признает неизбежность конвергенции технологий безопасности и начинают проявлять интерес в отношении смежных сегментов рынка. Так, в начале этого года компания Cisco, успешно действовавшая на рынке ИТ, объявила о своей стратегии в отношении рынка физической безопасности, при этом особый интерес компании привлекают сектора здравоохранения, энергетики, образования и государственных структур. Крупные системные интеграторы, такие как Accenture, SAIC, Unisys, тесно сотрудничают с производителями ИТ и рассматривают конвергенцию информационной и физической безопасности как основную задачу своей практической деятельности.
Еще одной иллюстрацией процессов конвергенции являются альянсы с компаниями из других отраслей, например, объявленное недавно стратегическое партнерство между британскими компаниями CNL и ESRI, первая из которых поставляет программное обеспечение по управлению информацией в физической безопасности (PSIM-cистемы), а вторая – является разработчиком софтверных решений, обеспечивающих инфраструктуру для геоинформационных систем и пространственного анализа. От этого технологического альянса выиграют клиенты обеих компаний, получив возможность объединить охранные решения на своих объектах по всему земному шару в единую глобальную систему.
Не только продукты
Организациям, задумывающимся о внедрении принципов конвергенции технологий безопасности, следует не забывать, что конвергенция – это не только продукты. Руководитель программы Сравнительных медиаисследований при Массачусетском технологическом институте Генри Дженкинс (Henry Jenkins) возражает против идеи, что конвергенция должна пониматься прежде всего как технологический процесс.
Не меньшее значение для реализации комплексных подходов к обеспечению безопасности играют кадры и, как следствие, повышение информированности и подготовки сотрудников. Все служащие организации должны иметь четкое представление об угрозах и правилах реагирования на чрезвычайные ситуации, знать о правилах безопасного обращения с документами и данными, быть знакомыми с политикой безопасности и др. Яркой иллюстрацией важности вклада каждого сотрудника в общую систему безопасности является широко известный факт, когда на одном американском заводе по производству опасных веществ на форме каждого рабочего была размещена предупреждающая надпись: «Think about safety» (Думай о безопасности).