ментів, що регламентують дії всіх учасників створення, обробки, зберігання і знищення інформації.
В даний час ринок пропонує велику кількість різних рішень в області антивірусного захисту, контролю доступу та ін. У міру розвитку інформаційної системи, істотного збільшення числа користувачів і обсягів оброблюваної інформації ускладнюються і проблеми побудови узгодженої системи інформаційної безпеки. Доводиться змінювати звичні уявлення про об'єкти захисту. Наприклад, часто буває непросто визначити сам периметр об'єкта, що захищається. Враховуючи наявність численних зв'язків між вашою інформаційною системою і зовнішніми інформаційними системами, виникає питання про поділ зон відповідальності.
У зв'язку з викладеним однією з домінуючих тенденцій в даний час стає побудова комплексних інтегрованих систем інформаційної безпеки, що включають в себе узгоджені між собою всі необхідні технічні пристрої. Це так звані коробкові рішення, коли користувач купує окремий (наприклад, антивірусний) комплекс і самостійно встановлює його, все більше стають долею індивідуальних або дуже малих інформаційних систем. Створення згаданих комплексних систем передбачає всебічне обстеження всієї існуючої інформаційної структури, внесення до неї змін, необхідних для ефективного функціонування засобів захисту, подальше вбудовування додаткових пристроїв і програмних комплексів.
При цьому, по-перше, необхідно забезпечити саме тісну взаємодію між розробниками, інформатізаторамі та фахівцями підрозділу інформаційної безпеки, з тим щоб розроблена і побудована система повною мірою відповідала потребам даної конкретної організації і строго вирішувала саме поставлені завдання.
По-друге, необхідно оцінювати економічну доцільність пропонованої розробниками системи, і не тільки з точки зору фінансових наслідків помилкової тривоги і залишення непоміченим значимого з точки зору безпеки події. Будь-який новий елемент, будучи внесеним в інформаційну структуру, завжди ускладнює її, збільшує ймовірність збоїв, навантаження на комунікаційні пристрої та ін., Отже, вимагає установки більш досконалого і продуктивного, тобто дорогого устаткування.
Більш того, виникає необхідність утримання окремої групи працівників, вирішальних тільки проблеми інформаційної безпеки.
Не випадково в статтях і виступах, присвячених даній проблемі, багато уваги приділяється взаємодії підрозділів інформатизації та інформаційної безпеки. Перш за все, обидві ці служби нерозривно пов'язані єдиною сферою діяльності. Разом з цим їх бюджетів істотно різняться. В якості зразка, до якого бажано прагнути, нерідко наводять цифру, досягнуту у великих компаніях США, - 5% від IT-бюджету там виділяється на вирішення проблем інформаційної безпеки. Природно, помітно відрізняються і чисельності цих підрозділів.
При цьому, як було зазначено вище, роль співробітників, які забезпечують інформаційну безпеку у формуванні кінцевого продукту, досить велика. Більше того, із зростанням загроз і витонченості зловмисників, ускладненням інформаційної структури організації вельми істотно зростає і їх відповідальність, швидко збільшується кількість вирішуваних завдань.
Не тільки в нинішніх кризових умовах, але і в періоди відносного благополуччя стратегія розширення підрозділів інформаційної безпеки слідом за виникненням нових проблем у даній сфері є тупиковою. Екстенсивний підхід не виправданий ні з економічної, ні з організаційної точки зору. Тим більше що існує істотна нестача фахівців в області інформаційної безпеки. Так, згідно з результатами спільного дослідження компанії Perimetrix і спільноти ABISS 86,1% опитаних банків мали відкриті вакансії технічних фахівців з інформаційної безпеки, а 75,7% - менеджерів з інформаційної безпеки. Причина кадрового голоду - Низькі зарплати, а не слабка робота вузів.
Єдиний прийнятний шлях виходу з цієї ситуації - автоматизація реалізованих підрозділами інформаційної безпеки процесів, побудова автоматизованої системи управління інформаційною безпекою.
Взаємне положення підрозділів інформатизації та інформаційної безпеки в загальній організаційній структурі редакцій, їх ставлення до існуючої інформаційної структурі визначають виникнення об'єктивних протиріч між ними.
Перші зацікавлені в тому, щоб обслуговувати ними структура працювала безперебійно, щоб у ній не було нічого зайвого (який не забезпечує безпосередньо функціонування системи).
Другі більшою мірою зацікавлені в тому, щоб кожен елемент структури був максимально захищений і забезпечений додатковими засобами контролю. Вони постійно втручаються в роботу системи і т.д.
Результати недавнього дослідження корпорації IDC показують, що компаніям насилу вдається знайти збал...
