В наше время понятие Информационной безопасности так и остается неведомым для большей части организаций. Мнения во многом расходятся. Одни считают, что это турникеты и железные двери, другие убеждают, что это антивирусные программы и брандмауэры, третьи подразумевают защиту кабинетов от прослушивания. Законодательство же определяет более 60 видов тайн: от персональной до государственной, и самой противоречивой с точки зрения бизнеса — коммерческой тайны.
В последнее время на руководителей предприятий обрушивается поток слухов и новостей об угрозах, связанных с использованием компьютеров, компьютерных сетей, мобильных устройств, современных информационных технологий и интернета. Это создает у руководителей ощущение аморфности, неопределенности происходящего, а поэтому и боязни внедрения чего-то нового, к тому же сложного. Сложность эта связана в первую очередь с тем, что обеспечение безопасности информации безнадежно отстает от развития технологий.
Сегодня практически каждая организация имеет подключение к сети Интернет. Поэтому она сталкивается с вирусными атаками (через электронную почту, интернет-сайты, флэш-диски), рассылками спама, фишингом (выманиванием сведений), распространением вирусов через бреши в операционных системах и прикладном ПО, а также атаками злоумышленников и прослушиванием каналов связи. Доля внешних угроз в их общем числе достигает 70%.
В 45% организаций в мире (в России этот процент гораздо выше) политика безопасности информации регулярно нарушается собственными сотрудниками. Они незаконно и несанкционированно используют ПО, используют компьютеры для хранения личной информации и мультимедиа-файлов, похищают или раскрывают конфиденциальную информацию, подключают личные мобильные устройства.
До 15% проблем безопасности информации связано с неправильной эксплуатацией и использованием неисправного оборудования, сбоями в электроснабжении, ошибками в программном обеспечении, некачественными каналами связи.
Еще одна серьезная проблема: организации попросту теряют информацию в горах бумаги. Это происходит из-за неразвитости и неорганизованности информационных технологий и низкой квалификации пользователей.
По опыту, перечисленные угрозы наиболее ощутимы для организаций, так как чаще всего именно они способны помешать непрерывности бизнеса.
Решению этих проблем может служить только достижение комплексности, системности, разумной достаточности и соответствия закону мероприятий по обеспечению информационной безопасности. Для этого нужны люди, организационные решения, распорядительные документы, система обучения, программно-технические средства и средства физической безопасности.
Процесс выстраивания системы информационной безопасности индивидуален для каждой организации, но, в общем, состоит из следующих этапов:
- Построение перечня видов информации и определение мест её хранения.
- Идентификация угроз безопасности информации и определение вероятности их возникновения.
- Определение рисков потерь, связанных с реализацией угроз в будущем.
- Разработка системы защиты информации, включающей организационные, программно-технические мероприятия.
- Внедрение системы защиты информации.
- Эксплуатация системы защиты информации.
Данный процесс должен повторяться периодически с целью адекватного реагирования на возникающие вновь угрозы.
Осуществив комплекс этих мероприятий, предприятие получает такие преимущества:
- Снижение рисков утечки, искажения или потери информации.
- Повышение ответственности сотрудников.
- Повышение надежности работы информационной системы.
- Уверенность руководителя в непрерывности бизнеса.
Сергей Городилов, ведущий инженер отдела системных решений АСПЕКТ-СЕТИ
Источник: Информационный вестник, №10 (14), декабрь 2007 г.