|
|
  |
Главная страница / Архитектура отрасли Вначале было словоСегодня во всех статьях и выступлениях по тематике ИT или информационной безопасности звучит немало слов о комплексном подходе к решению тех или иных проблем. Но, к сожалению, нередко это является лишь красивой преамбулой к банальному предложению приобрести какое-то новое средство или воспользоваться оказываемой услугой. В подавляющем большинстве компании информационной безопасностью занимаются урывками, решая лишь самые острые проблемы или выполняя нечто «общепринятое». Такой подход оправдан только до тех пор, пока деятельность компании слабо зависит от уровня обеспечения ИБ, а руководство отпускает бюджеты на ИБ, не особо спрашивая о том, насколько эффективно они тратятся. Настоящая комплексность, в отличие от напускной, заключается в том, что проблема решается не путем преодоления последствий, а в результате анализа проблемы, формулировки желаемых целей, тщательного сравнения и выбора оптимального варианта выполнения задач. Причем, если говорить о технических и организационных мерах защиты, то организационные меры играют более важную роль. Эффективность любых, пусть даже самых совершенных и дорогостоящих средств защиты, может быть сведена к нулю в случае их неправильного администрирования или игнорирования пользователями элементарных правил безопасности. Кроме того, при решении, казалось бы, достаточно частных задач, специалисты по безопасности нередко наталкиваются на отсутствие нормативной «подложки». Так, например, при внедрении системы контроля электронной почты прежде всего возникают такие вопросы: а что именно в организации относится к конфиденциальной информации, обращение какого рода информации следует контролировать? В основе организационных мер защиты информации лежит документ, называемый политикой безопасности организации. Обычно организационные меры ассоциируются с бумажной работой. В наши дни, когда с бумагой и излишней бюрократией стараются распрощаться, это кажется каким-то атавизмом. Однако спешить с выводами не стоит. Так, на одном из «круглых столов», посвященных тематике информационной безопасности, присутствующие убедились, как при отсутствии сформулированных положений разные категории людей по-разному понимают цели и задачи обеспечения безопасности. Специалисты по безопасности говорили о том, что каждый раз при переходе на новое место работы они вынуждены заниматься одним и тем же: разбираться практически с нуля с тем, что происходит в новой организации, что нужно защищать и т. п. Подобное «погружение» в проблемы им приходилось совершать, несмотря на то что определенная работа по защите информации проводилась и до их появления в компании. Много было сказано и о технических средствах, которые они внедряют незамедлительно, приходя на новое место. Подход к безопасности был сформулирован по классическому принципу: наша задача – обеспечение конфиденциальности, целостности и доступности информации. Владельцы бизнеса и менеджеры сосредоточились на обсуждении экономической целесообразности затрат на безопасность. На прямой вопрос о том, что из составляющих защиты информации – конфиденциальность, целостность или доступность – им необходимо, они отвечали исходя из потребностей именно своего бизнеса. Так, например, представитель страховой компании заявил, что конфиденциальность и доступность его почти не интересуют, а вот целостность позволит снизить риски от возможного мошенничества с отчетными данными. Таким образом, можно сделать вывод, что в организации необходим некоторый документ как минимум: для синхронизации целей руководства и специалистов по безопасности; для обеспечения преемственности тех работ, которые будут выполняться в организации по обеспечению информационной безопасности, пусть даже и разными людьми в разное время; для возможности сверки каждого нового действия организации с утвержденными целями. Главная страница / Архитектура отрасли |