Безопасность

1   Не секрет, что дела с обеспечением информационной безопасностью (ИБ) в большинстве российских компаний обстоят не лучшим образом. Общение со специалистами и результаты статистических исследований только укрепляют это мнение. Большинство организаций регулярно терпят убытки, связанные с нарушением ИБ, не способны оценить ущерб или хотя бы обнаружить многие из этих нарушений. Тем более не идет речь о реализации в современных российских организациях полноценной процедуры управления рисками ИБ. Большинство специалистов-практиков даже не берутся за эту «непосильную» задачу, предпочитая руководствоваться при решении проблем ИБ исключительно собственным опытом и интуицией. Убытки от нарушений ИБ могут выражаться в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак и т.п. Убытки могут также выражаться и вполне конкретными «круглыми суммами», например, когда речь идет о мошенничестве в финансовой сфере с использованием компьютерных систем.

  Инвестиции, сделанные организациями в обеспечение ИБ, в виде приобретаемых средств защиты информации, оплаты труда специалистов, затрат на проведение внешнего аудита ИБ и т.п., которые неуклонно растут из года в год, зачастую не окупаются. Происходит это главным образом потому, что большинство организаций продолжают придерживаться фрагментарного подхода к решению проблем ИБ, который оправдывает себя только при условии слабой зависимости организации от ИТ и низкого уровня рисков ИБ. Не является открытием тот факт, что адекватный уровень ИБ в организации может быть обеспечен только на основе комплексного подхода, предполагающего планомерное использование как программно-технических, так и организационных мер защиты на единой концептуальной основе. Причем организационные меры играют существенно более важную роль и в среднем должны составлять более 60% усилий в этом направлении. Эффективность любых самых сложных и дорогостоящих программно-технических механизмов защиты может быть сведена к нулю, в случае игнорирования пользователями ИС элементарных правил парольной политики или нарушения сетевыми администраторами установленных процедур предоставления доступа к ресурсам корпоративной сети.

  Какие бывают случаи: 

Кража оборудования;

Утечка информации;

потеря данных и оборудования;

  Вредоносные программы и последствия их деятельности (трояны, черви и т. п.);

Атаки из сети Интернет.