Ситуация с обеспечением безопасности осложняется тем, что бизнес становится все более зависимым от информационных технологий.
Фото PetraSoft
По экспертным оценкам, за последние три года число только официально зарегистрированных компьютерных преступлений возросло в 3 раза. Методы атак на информационные и коммуникационные системы постоянно совершенствуются. Меняется и социально-психологический портрет нарушителей: чисто интеллектуальный интерес к атакам на информационные системы, своего рода «игра ума», уступает место корыстному интересу. Растет внимание криминальных структур (нередко интернациональных) к информационным технологиям.
Показательный пример – недавний случай несанкционированного копирования информации о банковских проводках расчетно-кассовых центров Центрального банка РФ. Ситуация осложняется тем, что бизнес в целом становится все более зависимым от информационных технологий (ИТ), от стабильной и защищенной работы систем IP-телефонии, электронной коммерции, электронной почты, ERP-систем и т.д. Таким образом, меры обеспечения информационной безопасности должны носить комплексный и превентивный характер.
В России подход к решению вопросов информационной безопасности обладает своей спецификой. Если на Западе традиционно первоочередное внимание уделялось вопросам упорядочивания процессов и управления, то у нас основная ставка делалась на технические средства защиты. Вместе с тем, по существующей статистике, до 87% инцидентов нарушения информационной безопасности связано с действиями сотрудников организации, совершенными со злым умыслом («проблема инсайдеров») или непреднамеренно (ошибки, небрежность и т.д.). Поэтому эффективная защита должна основываться в первую очередь на организационных мерах. И уже после этого решаются технические вопросы. Не случайно на Западе получили развитие методики построения систем управления информационной безопасностью. В России же это направление до сих пор остается относительно мало используемым.
Вторая отечественная особенность – недооценка значимости информации как актива, который имеет собственную ценность и влияет на успех деятельности компании или организации. Часто отсутствует формализованная классификация информации и, как следствие, нет представления о том, сколько стоит информация и какой ущерб может быть нанесен компании при ее раскрытии, искажении или удалении. Оценить важность той или иной информации и создать адекватную целостную картину информационных активов компании помогают методы анализа информационных рисков. Технологии анализа и управления рисками позволяют не только оценивать и классифицировать информационные ресурсы, но и принимать обоснованные решения при построении новых или модернизации существующих систем защиты.
Характерно для отечественных компаний и отсутствие превентивных мер информационной безопасности. Типична ситуация, когда этими вопросами начинают заниматься уже после того, как информационная система спроектирована, внедрена, начала эксплуатироваться и возникли первые инциденты. Нужно помнить, что информационные системы должны быть защищены изначально, а это достигается грамотным проектированием, реализацией системы информационной безопасности и ее эффективным управлением на всех этапах жизненного цикла системы.
Еще один немаловажный аспект – достижение баланса между функциональностью информационной системы (как инструмент бизнеса она призвана в конечном итоге приносить деньги компании) и информационной безопасностью (это всегда дополнительные расходы, призванные снизить риски существенных потерь компании). В российских компаниях нередко наблюдается своего рода противостояние отдела эксплуатации систем и отдела безопасности, в результате возникает «перекос» в ту или иную сторону, баланс нарушается, что неизбежно ведет к потерям. Существует несколько точек зрения на эти вопросы, но большинство специалистов полагают, что службы информационной безопасности должны подчиняться непосредственно руководству компании и иметь прямое финансирование.
Эффективному планированию и управлению информационной безопасностью мешает отсутствие национальных стандартов в этих областях. Своего рода прорывом в этой области стало принятие лучших международных стандартов, как, например, стандарта ISO 15408, введенного в России как ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий». Постепенно усиливаются законодательные требования, появляются новые государственные и отраслевые стандарты в области управления информационной безопасностью. В качестве примеров можно привести принятый в декабре прошлого года стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Он носит рекомендательный характер для всех организаций кредитно-финансовой сферы. Введение международного стандарта ISO/IEC 17799 «Практические правила обеспечения информационной безопасности» планируется в ближайшем будущем.