Обзор подготовлен

Защита информации: "железо" и софт - не главное

При создании и внедрении на предприятии системы информационной безопасности (ИБ) определяющую роль играет организационное обеспечение. Ведь даже самые лучшие технические и программные средства не смогут гарантировать защиту информации, если сотрудники будут их использовать некорректно или не использовать вовсе.

Профиль защиты информации содержит требования к мерам и средствам программно-технической ИБ и, как правило, разрабатывается на основе стандарта ГОСТ ИСО/МЭК. Такой профиль устанавливает корпоративный стандарт в области применения программно-аппаратных средств защиты, в том числе встроенных в системное программное обеспечение. Он определяет не только действия подразделений компании, отвечающих за приобретение (разработку), установку и настройку средств программно-технической защиты сведений, но и организаций, осуществляющих разработку и внедрение информационных систем по заказу компании.

На нижнем уровне политика обеспечения ИБ отражается в наборе должностных и технологических инструкций, положений, а также документации средств активной и пассивной защиты. Документы этого уровня определяют состав и функции подразделения, отвечающего за ИБ, а также требования к его сотрудникам, порядок их приёма на работу и увольнения, порядок отнесения объектов защиты к той или иной категории, регламент установки, настройки и технического обслуживания аппаратного и программного обеспечения, порядок работы с паролями, открытыми и закрытыми ключами (выдачи, установления сроков действия, обновления), инструкции по антивирусной защите и пр. Этот уровень политики безопасности напрямую связан с практической реализацией системы обеспечения ИБ и непосредственно воспринимается сотрудниками компании.

Практика внедрения

Однако разработка политики обеспечения защиты информации это лишь полдела. Необходимо осуществить её эффективное внедрение. В данном случае службе обеспечения ИБ приходится напрямую сталкиваться с пресловутым человеческим фактором. В первую очередь, любые меры в этой сфере создают лишние неудобства для сотрудников компании, что не придаёт им энтузиазма в плане соблюдения указанных мер. В этом плане все меры в рамках политики обеспечения ИБ должны поддерживаться и осознаваться руководством, носить обязательный характер (быть оформленными в виде приказа) и, что не менее важно, минимально влиять на нормальное протекание бизнес-процессов. В противном случае, эти меры так и останутся на бумаге. Характерный - и забавный - случай описан в книге Д. Сяо, Д. Керр, С. Мэдник "Защита ЭВМ". Там приводится пример медицинского учреждения, в котором сотрудники после внедрения системы с принудительной генерацией паролей стали просто приклеивать к монитору стикер с записанным на нём кодом доступа, так как сгенерированный пароль было невозможно запомнить.

 Кроме того, трудности при выполнении сотрудниками их прямых обязанностей приводит к снижению производительности труда, а, следовательно, к потерям компании. Также очень важно проводить обучение работе с системами защиты объяснять важность их использования для компании и создавать мотивацию для перехода сотрудников на работу в защищённых системах. Это же относится и к случаям модернизации систем защиты информации.

Для уменьшения негативного влияния внедряемой политики ИБ и для обеспечения более лёгкого её внедрения необходимо привлекать заинтересованных лиц к её разработке. Это могут быть руководители подразделений, их ведущие или рядовые сотрудники. В этом случае разрыв между теорией (созданной политикой) и практикой (её применением на местах) будет минимальным. Кроме этого в этой сфере, как, впрочем, и везде, необходим диалектический подход — защиту информации необходимо воспринимать как постоянно развивающийся процесс. Именно по этой причине необходимо регулярно проводить аудит безопасности, проверять адекватность действующей политики современным условиям и при необходимости вносить в неё коррективы.

В целом, проблемы внедрения политик безопасности незначительно отличаются от сложностей, возникающих в процессе реинжиниринга бизнес-процессов или внедрения корпоративных систем управления. И успешно решив их однажды, можно решать их снова и снова, хотя оптимальным выходом, конечно, будет совмещение внедрения политики ИБ с внедрением информационной системы или её модернизацией.

Сергей Середа / CNews

Денис Зенкин: Рынок систем защиты от утечки, уничтожения и искажения конфиденциальных данных только начинает формироваться

О возможностях российских и иностранных средств защиты от утечки конфиденциальной информации рассказал Денис Зенкин, директор по маркетингу компании InfoWatch

CNews: Насколько большое внимание, на ваш взгляд, уделяется сегодня вопросам информационной безопасности при построении сетевой инфраструктуры?

Денис Зенкин: Сегодня вопрос безопасности информационной системы возникает непосредственно в точке старта каждого проекта. Наряду с проблемами эффективности, прозрачности, масштабируемости ИТ-специалисты с самого начала тщательно прорабатывают аспект защищенности. Это вполне логично, поскольку от уровня ИТ-безопасности зависит не только банальная устойчивость того или иного приложения или проекта, но и безопасность организации в целом. Речь идет не о непрерывности отдельных процессов, но о защите данных заказчика в комплексе. И только комплексный подход к решению вопроса, учет всех возможных рисков может гарантировать настоящую эффективность ИТ-решения.

По данным исследовательских организаций ИТ-безопасность сегодня является самой динамично развивающейся областью информационных технологий как в мире, так и в России. Динамика роста этой отрасли составляет от 20% до 40% в год. Несмотря на это, российским предприятиям еще есть над чем подумать.

Прежде всего, проблема защиты данных пропорционально возрастает при уменьшении размеров организации. Чем меньше заказчик, тем больше ощущается дефицит кадров, опыта и вообще культуры внедрения ИТ-проектов. Крупные корпоративные заказчики относятся к вопросу намного более серьезно и профессионально. Я считаю, что рано или поздно такой подход станет преобладающим не только в этом сегменте, но будет возведен на уровень стандарта де-факто.

Полный текст интервью