Главная страница
Форум
Промиздат
Опережения рынка
Архитектура отрасли
Формирование
Тенденции
Промстроительство
Нефть и песок
О стали
Компрессор - подбор и ошибки
Из истории стандартизации резьб
Соперник ксерокса - гектограф
Новые технологии производства стали
Экспорт проволоки из России
Прогрессивная технологическая оснастка
Цитадель сварки с полувековой историей
Упрочнение пружин
Способы обогрева
Назначение, структура, характеристики анализаторов
Промышленные пылесосы
Штампованные гайки из пружинной стали
Консервация САУ
Стандарты и качество
Технология производства
Водород
Выбор материала для крепежных деталей
Токарный резец в миниатюре
Производство проволоки
Адгезия резины к металлокорду
Электролитическое фосфатирование проволоки
Восстановление корпусных деталей двигателей
Новая бескислотная технология производства проката
Синие кристаллы
Автоклав
Нормирование шумов связи
Газосварочный аппарат для тугоплавких припоев
|
Главная страница / Архитектура отрасли Служба информационной безопасности: формальность или объективная потребность? Провокационное название статьи вызвано стремлением привлечь внимание к проблеме «беспомощности» служб информационной безопасности. Как правило, такие службы создаются с целью обеспечения защиты информационных активов предприятий от внешних и внутренних угроз, в том числе защиты информации, обрабатываемой в автоматизированных системах (АС), которые внедряются и эксплуатируются в организации. Однако разработка информационных автоматизированных систем часто выполняется без учета разделения задач и ответственности службы информатизации и службы защиты информации. А ведь нередко эти две службы находятся в состоянии «рабочего конфликта» и имеют противоположные задачи. Кроме того, многие организации внедряют промышленные информационные системы, функционал которых заранее определен. При этом разделение обязанностей и зон ответственности служб информатизации и информационной безопасности реализуется за счет организационных мер, и основной функционал АС, в том числе по обеспечению информационной безопасности, остается в ведении ИТ-службы. В результате у службы информационной безопасности не остается механизмов управления и контроля состояния информационной безопасности (ИБ), а оценка состояния и анализ событий ИБ (в том числе инцидентов ИБ) осуществляется на основе данных, подконтрольных ИТ-службе. Другой аспект обозначенной проблемы – отсутствие в службе безопасности технических средств управления ИБ. Это зачастую обусловлено как отсутствием технической возможности раздельного управления функциями системы, в том числе по защите информации, так и отсутствием в штате службы безопасности технических специалистов, эксплуатирующих средства защиты информации. Из желания «сэкономить» функции по управлению техническими средствами в организации передаются в службу информатизации. В таких условиях служба информационной безопасности выступает как подразделение, выполняющее в основном функции нормативно-методического обеспечения по вопросам информационной безопасности. При этом она лишена действенных средств объективной оценки состояния ИБ и возможности влияния на уровень информационной безопасности сопровождаемых автоматизированных систем и организации в целом. У любой проблемы есть два способа решения – либо найти возможность изменить ситуацию, либо принять ее как данность и попытаться адаптироваться к ней. Во вновь разрабатываемых системах наиболее целесообразным видится первый способ. А вот как адаптироваться к существующим и в широком масштабе распространяемым системам? Здесь возникает два вопроса: как быть, если приходится отдавать функции по управлению средствами защиты информации службе информатизации и как обеспечить эффективный независимый контроль состояния автоматизированной системы в части событий ИБ? Вряд ли в рамках одной статьи можно дать универсальный развернутый ответ, но освещенные в ней проблемы актуальны для тех, кто заинтересован в создании эффективных систем защиты информации. Главная страница / Архитектура отрасли |