Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

Защита информации 1

От простого к сложному

Проблема защиты информации возникла с появлением примитивных общественных отношений как вопрос выживания в жестких условиях окружающей среды. Развитие технологий полностью изменило нашу цивилизацию, но значение информационных ресурсов лишь возрастает с постоянным опережением понимания значения обеспечения их сохранности. Только самые отчаянные скептики утверждают, что их не касается эта проблема, а бизнес таков, что информация никому, кроме владельцев, не нужна и потеря информации не ведет к потере бизнеса, а ущерб измеряется лишь временем восстановления нарушенного бизнес-процесса. Отчасти они правы, но только до инцидента и вопрос защиты информации возникает при любом сбое информационной системы компании, будь то потеря части бухгалтерской информации или иных бизнес-данных. Любая информация имеет свою цену.

В иных условиях находятся компании, бизнес которых основан на сборе и обработке информации, потери которой могут привести к фатальным результатам. Вполне естественно, экономическая безопасность такого бизнеса в первую очередь определяется уровнем защиты информации, а требования к организации системы защиты информации закладываются на начальном этапе организации самого бизнеса.

В другую категорию входят компании, у которых требования защиты информации устанавливаются действующим законодательством. Бюджетная и социальная сферы, владеющие персональными данными, научные исследования, разработки военных технологий по понятным причинам исторически обязаны обеспечить информационную безопасность своих процессов, но стремительное развитие кредитно-финансовых и страховых институтов заметно опережает развитие нормативно-правовой базы их функционирования и, как показывает статистика, защита информации в этих структурах пока остается слабым звеном в системе защищенности такого бизнеса в целом.

Наиболее распространенные причины - нарушение работы корпоративной сети в результате внедрения вредоносного кода (трояна), выход из строя или кража технических средств, кража или разглашение конфиденциальной информации и намеренное уничтожение или модификация важных данных компании. Подавляющее большинство названных причин являются следствием деятельности сотрудников компаний, зачастую даже неумышленной. Недостаточная информированность персонала, слабая организационная постановка вопроса обеспечения безопасности, как и полное отсутствие инструкций, правил, регламентов работы с информацией, неизбежно приведут к реализации перечисленных угроз. Как и в статистике ГИБДД - практически все водители попадают в ДТП. Вывод очевиден - нужны превентивные меры для снижения потенциального ущерба.

Ключевой вопрос, как точка преткновения - финансы. Какие средства необходимы для обеспечения достаточного уровня информационной безопасности бизнеса? К счастью, и как показывает практика, не всем компаниям необходима сложная система организации защиты информации, вполне достаточно бюджетных мер, обеспечивающих непрерывность бизнеса. Вполне достаточно существующие элементы безопасности, к примеру, антивирусные программы, почтовые и контент-фильтры и прочие, объединить в комплексную систему защиты информации, правильно с точки зрения безопасности сконфигурировать программное обеспечения, дооснастить, при необходимости, дополнительными средствами и внедрить организационно-административные меры, регулирующие правила работы с информационными ресурсами и действия персонала в нештатных ситуациях. Перечисленные затраты ничтожны для обеспечения непрерывности бизнеса, а умышленное преодоление такой "эшелонированной" защиты станет неоправданно затратным и бессмысленным.

Однако не надо упрощать процедуру организации защиты в компаниях, где информационные технологии является основой бизнес-процессов и/или информация носит конфиденциальный характер. Достойную защиту можно обеспечить, опираясь на методологическую основу российских и международных стандартов и опыт специалистов по защите информации, причем организация информационной безопасности выстраивается не из частных решений, а носит характер постоянного процесса и является составной частью бизнеса, но это уже отдельный разговор.

В.Б.

© Центр Сетевой Безопасности Арнис, 2008
о компании | обратная связь | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница