|
|
  |
Главная страница / Архитектура отрасли Безопасность сегодня – не только ИТ-проблемаВ настоящее время большинство предприятий и компаний используют информационные системы как основное средство обеспечения своей ежедневной деятельности. Сбои в работе этих систем оказывают самое непосредственное влияние на работу компании и приводят к финансовым и временным потерям, уменьшению доли рынка, ущербу для репутации и т. д. Если проанализировать текущую ситуацию в области инцидентов ИТ-безопасности, то можно сделать следующий вывод: при возрастании сложности атак и средств защиты от них требования к знаниям и квалификации злоумышленников снижаются. Имея специальный инструментарий, информацией о котором изобилует Интернет, практически любой человек может стать «хакером». Те средства обеспечения безопасности, которые использовались в недавнем прошлом, не способны защитить корпоративные ресурсы в ближайшем будущем. Множество компаний, как в сегменте малого и среднего бизнеса, так и крупные корпорации, осознают эту проблему и рассматривают информационную безопасность как одну из приоритетных областей для инвестиций. В идеальном случае, функции обеспечения безопасности должны быть встроены в бизнес-процессы и информационные системы еще на этапе их проектирования. Однако в большинстве предприятий уже имеется множество пользователей, процессов и ресурсов, и внедрение систем безопасности может мешать их работе. Информационная безопасность как неотъемлемая часть любой информационной системы требует к себе повышенного внимания и особых подходов построения. Сегодня, с учетом постоянно повышающегося уровня информатизации и увеличивающегося количества угроз, невозможно говорить о безопасности системы, не обеспечив безопасность компонентов, из которых она состоит. Недостаточно выставить охрану по периметру, необходимо задействовать также механизмы безопасности самих объектов. Именно поэтому сейчас к построению систем информационной безопасности следует подходить уже даже не комплексно, а системно. При таком подходе комплексная система информационной безопасности включает системы мониторинга и управления информационной безопасностью, интегрированные с системами мониторинга и управления информационной системой. О том, что подобный подход является наиболее эффективным, свидетельствуют активные усилия в данном направлении ведущих производителей – IBM, Microsoft, SAP и других, а также развитие линеек взаимоувязанных продуктов комплексного обеспечения информационной безопасности компаний Symantec, ISS, IBM, Computer Associates и т. д. Международный стандарт ISO 17799 определяет информационную безопасность как: конфиденциальность – гарантия доступности информации только авторизованным субъектам; целостность – обеспечение точности и полноты информации и методов ее обработки; доступность – гарантия доступности информации и ресурсов для авторизованных пользователей в течение всего требуемого времени. До сих пор большинство специалистов по безопасности проповедуют исключительно технологический подход, а вопросам управления безопасностью уделяют минимум внимания. Однако у некоторых экспертов уже появилось осознание того, что подобный взгляд на проблему – путь в никуда. Обеспечение информационной безопасности – это прежде всего процесс управления. Принимая и осознавая этот факт, в конце 1999 г. эксперты международной организации по стандартизации ISO пришли к выводу, что в рамках существующих стандартов ISO отсутствует специализированный стандарт управления информационной безопасностью. В ISO было принято решение не заниматься разработкой нового стандарта, а по согласованию с Британским институтом стандартов, взяв за базу BS 7799-1, принять стандарт ISO 17799. Главная страница / Архитектура отрасли |