Rambler's Top100
Статьи ИКС № 06-07 2014
Владимир ПОИХАЛО  16 июня 2014

Безопасность начинается с головы

Справиться с угрозами информационной безопасности, порождаемыми «фактором Ч», можно только создав комплексную систему, в которой важное место отводится организационным мерам.

Владимир ПОИХАЛО, начальник Отдела информационной безопасности, Федеральный фонд обязательного медицинского страхования; канд. техн. наук«Человеческий фактор» – это действительно слабое звено в информационной безопасности любой компании. Анализируя статистику нарушений инфобезопасности, Gartner заключает, что порядка 60% таких нарушений происходят по вине персонала, причем 80% из них связаны с халатностью, недостаточной компетентностью и безответственностью работников. Аналогичные выводы делает аналитический центр InfoWatch: в 77% случаев основная причина утечек конфиденциальной информации – небрежность и безответственность сотрудников компаний. Работник может забыть ознакомиться с правилами информационной безопасности, недооценить, не понять, превратно истолковать, в силу разных причин игнорировать или даже сознательно нарушать установленные в организации требования. Причем такое поведение может быть обусловлено не тем, что он не хочет овладеть специальными знаниями и навыками, а неумением руководителей и сотрудников – специалистов в области информационной безопасности грамотно донести необходимые сведения до персонала. Приходится признать, что минус существующей системы подготовки специалистов по информационной безопасности – отсутствие адресности: готовить специалистов по ИБ следует целенаправленно для конкретных заказчиков с годовой или полугодовой практикой и ровно столько, сколько возьмут на работу.

Более того, по моему мнению, усложнение информационных технологий и, как следствие, технологий обеспечения ИБ может привести к тому, что затраты на повышение компетентности работников в вопросах инфобезопасности превысят некий разумный уровень и заставят работодателей использовать иные пути ее обеспечения. Такими путями могут стать, например, широкое использование аутсорсинга, страхование рисков и т.п. Следует заметить, до сих пор говорилось только о работниках организации, а ведь еще есть поставщики, клиенты, партнеры, целенаправленные злоумышленники, любопытные студенты и школьники, разного рода «доброжелатели» и прочие категории людей, которые также могут представлять значительную угрозу информационной безопасности.

Вместе с тем надежные комплексные системы инфобезопасности как для известных, так и для перспективных и еще не опробованных информационных технологий конструируют представители другого подмножества того же «человеческого фактора». От уровня их квалификации, интуиции, порядочности, работоспособности и множества иных обстоятельств зависит, будет ли разработанная ими комплексная система информационной безопасности жизнеспособной и надежной. Обеспечить эту надежность должны именно люди – руководители организации. Об этом говорит и национальный стандарт ГОСТ Р ИСО/МЭК 17799-2005, прямо возлагающий ответственность за ИБ на высшее руководство организации (п. 4.1.1), и международный стандарт ISO/IEC 27002:2005, который определяет (п. 6.1.1), что «руководству организации следует активно поддерживать информационную безопасность в организации посредством четких распоряжений, демонстрируемых обязательств, точного назначения и признания обязанностей в области защиты информации».

Для того чтобы реализовать эти функции, топ-менеджменту следует:

  • убедиться, что цели в области защиты информации определены, отвечают требованиям законодательства Российской Федерации по вопросам обеспечения инфобезопасности и встроены в значимые бизнес-процессы;

  • определить, регулярно пересматривать и утверждать политику информационной безопасности организации;

  • предоставить четкие указания и поддержку инициатив в области ИБ;

  • выделять необходимые ресурсы;

  • утвердить конкретные роли и ответственность за обеспечение информационной безопасности;

  • инициировать выполнение планов и программ по поддержанию осведомленности работников в вопросах ИБ;

  • убедиться, что механизмы контроля состояния инфобезопасности внедрены и их использование координируется во всей организации.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!