00:0024 ноября 201000:00
16просмотров
00:0024 ноября 2010
В мире миллиарды долларов расходуются на защиту информации. В ряде случаев средства расходуются впустую, если технические решения не подкреплены организационными мерами.
По данным исследования, проведенного компанией Kroll, 27% компаний заявляют о том, что столкнулись с фактами кражи информации в течение последнего года. Больше всего от утечек страдают финансовый сектор, отрасли профессиональных услуг, а также компании, занимающиеся телекоммуникациями и медиабизнесом.
Защита для галочки
В отношении кражи информации Россия не входит в тройку лидеров (ее составляют Китай, Колумбия и Бразилия). Однако есть у страны примечательная национальная особенность. «Если на Западе работа ведется в основном с целью защиты интересов бизнеса (его непрерывности, доступности), то в нашей стране часто построение систем защиты в первую очередь направлено на соответствие требованиям государственных регуляторов», -- подметил генеральный директор «Альтирикс системс» Александр Кузьмин на одном из последних семинаров, посвященных системам защиты персональных данных.
Согласно Федеральному закону №152 «О персональных данных», вышедшему в 2006 году, с 1 января 2011 года все предприятия должны соответствовать государственным требованиям относительно защиты персональных данных. Деятельность организаций, не выполнивших государственных предписаний (а следить за выполнения требований будут ФСТЭК, ФСБ и Роскомнадзор), будет приостановлена. Под действие закона подпадают примерно половина из 3 млн отечественных компаний и организаций.
Правда, закон должен был начать действовать уже с 1 января 2010 года, однако незадолго до этого момента сроки отодвинули на год. Не исключено, что ситуация повторится: как подтверждают эксперты, за минувший год отечественный бизнес слабо продвинулся в отношении IT-безопасности.
Настойчивости мало
Одна из расхожих истин специалистов по защите информации гласит: в любой системе главный фактор ненадежности -- человек. Правила должны четко регламентировать (что, кстати, соответствует и требованиям ФЗ №152), кто из сотрудников фирмы обладает доступом к тем или иным данным, в каком случае и с какой целью он может их использовать.
Согласно наблюдениям инструктора академии «БМС-Консалтинг» Алексея Зайончковского, хотя в большинстве серьезных компаний существует документ под названием «Политика информационной безопасности», в 90% случаев компаниям не хватает настойчивости потребовать от работников исполнения всех его пунктов.
Причем менее всего склонны следовать требованиям этой политики сами топ-менеджеры и сотрудники IT-отделов. В этой ситуации становится не очень важно, какие именно технические средства использует компания для защиты данных.
