У большинства российских компаний нет внятной стратегии...

26.09.2005  У большинства российских компаний нет внятной стратегии информационной безопасности

   Опрос руководителей ИТ-служб и других представителей компаний показал, что менеджеры в целом адекватно представляют себе риски, возникающие в сфере информационной безопасности. На первое место в списке угроз они ставят нарушения правил работы с электронной почтой, Интернетом и внутренними коммуникациями, правил доступа к информации и ее использования - в общем, все те обстоятельства, которые подпадают под понятие «человеческий фактор». Менее опасными, но весьма существенными менеджеры считают вирусные и хакерские атаки, а затем - технические сбои в работе системы. Однако даже при реалистичной оценке потенциальных проблем во многих случаях предприятию не удается сформировать действенную и непротиворечивую политику информационной защиты.
   Вопрос о том, существует ли на предприятии стратегия информационной безопасности и каково основное содержание этой стратегии, задавался представителям целого ряда компаний, но в большинстве случаев получили краткие и неинформативные ответы. Как правило, за планами нет осмысленной политики информационной безопасности, принимаемые меры не удается связать в систему. Подобный подход приводит, во-первых, к снижению эффективности защиты информационных ресурсов, а во-вторых, к необоснованным затратам.
   Такое положение дел - естественное следствие того, что руководство предприятия, с одной стороны, перекладывает решение вопросов информационной безопасности на ИТ-службу, а с другой - не предоставляет ее руководителю полномочий, достаточных для эффективного управления мерами защиты. Оставаясь на вторых или третьих ролях, ИТ-специалисты не могут не только сформировать продуманную политику информационной безопасности, но и повлиять на рядовых пользователей системы, заставить их выполнять все требования.
   Успех мероприятий по информационной безопасности возможен лишь тогда, когда ИТ-служба и менеджмент вместе работают над задачами и конкретными мерами защиты. При таком подходе вполне реально выстроить цельную стратегию информационной безопасности, но для этого руководство и сотрудники ИТ-службы должны наладить непрерывный диалог.