logo
Информационные технологии в управлении

Кто и как должен заниматься организацией защиты?

Вопросы определения стратегии разработки, приобретения и внедрения средств защиты информации, определение круга первоочередных задач и формирование политики информационной безопасности являются прерогативой высшего руководства компании. Вопросы реализации и обеспечения ИБ прямо входят в сферу ответственности руководителя ИТ-департамента (если компания крупная) или ИТ-отдела или ИТ-службы. Доказывать кому-то, что корпоративную информацию и данные нужно тщательно защищать, нет необходимости. Однако те, кому приходилось на практике заниматься вопросами защиты данных и обеспечения информационной безопасности в автоматизированных системах, отмечают следующую особенность - реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, и всеобщий энтузиазм довольно быстро сменяются на резкое неприятие на уровне подразделений, отвечающих за работоспособность ИС организации.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются: принятие только самых общих организационных мер обеспечения безопасности информации в ИС, использование только простых дополнительных средств защиты информации (СЗИ).

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы, на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как показывает опыт, не выполняются.

Во втором случае приобретаются и устанавливаются дополнительные средства защиты. Применение СЗИ без соответствующей организационной поддержки и планового обучения также неэффективно в связи с тем, что без установленных жестких правил обработки информации в ИС и доступа к данным использование любых СЗИ только усиливает существующий беспорядок.

Как показывает опыт практической работы, для эффективной защиты автоматизированной системы организации необходимо решить ряд организационных задач:

При создании подразделения информационной безопасности надо учитывать, что для эксплуатации простых средств защиты нужен минимальный штат сотрудников, осуществляющих поддержку функционирования СЗИ. В то же время разработка и внедрение технологии обеспечения информационной безопасности требует значительно большего времени, больших трудозатрат и привлечения квалифицированных специалистов, потребность в которых после ее внедрения в эксплуатацию отпадает. Кроме того, разработка и внедрение такой технологии должны проводиться в сжатые сроки, чтобы не отстать от развития самой корпоративной информационной системы организации.

Применение дополнительных средств защиты информации затрагивает интересы многих структурных подразделений организации - не столько тех, в которых работают конечные пользователи информационной системы, сколько подразделений, отвечающих за разработку, внедрение и сопровождение прикладных задач, за обслуживание и эксплуатацию средств вычислительной техники.

Для минимизации расходов на разработку и эффективное внедрение технологии обеспечения информационной безопасности целесообразно привлекать сторонних специалистов, имеющих опыт в проведении подобного рода работ. При этом, в любом случае, ответственность за разработку, внедрение и эффективность работы защитных систем несет высшее руководство компании!

Разрабатываемая технология информационной безопасности должна обеспечивать:

Надо совершенно четко понимать, что соблюдение необходимых требований по защите информации, препятствующих осуществлению несанкционированных изменений в системе, неизбежно приводит к усложнению процедуры правомочной модификации ИС. В этом состоит одно из наиболее остро проявляющихся противоречий между обеспечением безопасности и развитием и совершенствованием автоматизированной системы. Технология обеспечения информационной безопасности должна быть достаточно гибкой и предусматривать особые случаи экстренного внесения изменений в программно-аппаратные средства защищаемой ИС.