Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Служба информационной безопасности: формальность или объективная потребность?

Провокационное название статьи вызвано стремлением привлечь внимание к проблеме «беспомощности» служб информационной безопасности. Как правило, такие службы создаются с целью обеспечения защиты информационных активов предприятий от внешних и внутренних угроз, в том числе защиты информации, обрабатываемой в автоматизированных системах (АС), которые внедряются и эксплуатируются в организации. Однако разработка информационных автоматизированных систем часто выполняется без учета разделения задач и ответственности службы информатизации и службы защиты информации. А ведь нередко эти две службы находятся в состоянии «рабочего конфликта» и имеют противоположные задачи. Кроме того, многие организации внедряют промышленные информационные системы, функционал которых заранее определен. При этом разделение обязанностей и зон ответственности служб информатизации и информационной безопасности реализуется за счет организационных мер, и основной функционал АС, в том числе по обеспечению информационной безопасности, остается в ведении ИТ-службы. В результате у службы информационной безопасности не остается механизмов управления и контроля состояния информационной безопасности (ИБ), а оценка состояния и анализ событий ИБ (в том числе инцидентов ИБ) осуществляется на основе данных, подконтрольных ИТ-службе.

Другой аспект обозначенной проблемы – отсутствие в службе безопасности технических средств управления ИБ. Это зачастую обусловлено как отсутствием технической возможности раздельного управления функциями системы, в том числе по защите информации, так и отсутствием в штате службы безопасности технических специалистов, эксплуатирующих средства защиты информации. Из желания «сэкономить» функции по управлению техническими средствами в организации передаются в службу информатизации.

В таких условиях служба информационной безопасности выступает как подразделение, выполняющее в основном функции нормативно-методического обеспечения по вопросам информационной безопасности. При этом она лишена действенных средств объективной оценки состояния ИБ и возможности влияния на уровень информационной безопасности сопровождаемых автоматизированных систем и организации в целом.

У любой проблемы есть два способа решения – либо найти возможность изменить ситуацию, либо принять ее как данность и попытаться адаптироваться к ней. Во вновь разрабатываемых системах наиболее целесообразным видится первый способ. А вот как адаптироваться к существующим и в широком масштабе распространяемым системам?

Здесь возникает два вопроса: как быть, если приходится отдавать функции по управлению средствами защиты информации службе информатизации и как обеспечить эффективный независимый контроль состояния автоматизированной системы в части событий ИБ? Вряд ли в рамках одной статьи можно дать универсальный развернутый ответ, но освещенные в ней проблемы актуальны для тех, кто заинтересован в создании эффективных систем защиты информации.

Главная страница / Архитектура отрасли