Система защиты информации должна быть "незаметна" пользователям. Интервью с В. Цибиным

УП: Каковы основные факторы риска внедрения систем защиты информации на отечественном предприятии?

– Как известно информация – это товар, а товар стоит денег. Риски, связанные с утратой, искажением, модификацией информации, помимо экономических затрат, могут повлечь утраты политические, моральные, этические и т.д.

Внедрение систем защиты информации в организации и на предприятиях неразрывно связано с необходимостью выполнения определенных правил или регламентов. Причем выполнение этих правил обязательно для всех категорий сотрудников – от генерального директора до курьера.

Безусловно, любые правила могут на каком-то этапе «конфликтовать» с принятой на предприятии технологией проведения работ. Чтобы процесс внедрения систем защиты информации был менее безболезненным, необходимо выполнение некоторых условий. Во-первых, это грамотно разработанная политика безопасности предприятия, учитывающая все особенности технологического процесса, а также угрозы, возникающие при его реализации. Во-вторых, это наличие подготовленного и обученного персонала, непосредственно реализующего политику безопасности. В-третьих, это соответствие созданной системы защиты информации требованиям политики безопасности и, самое главное, решаемым предприятием функциональным задачам. Выполнение этих условий можно обеспечить, на наш взгляд, только с привлечением профессиональных специалистов и организаций, оказывающих услуги по защите информации.

УП: Что меняется на предприятии с ее внедрением?

– Оптимально внедренная система защиты информации на объекте должна быть «незаметна» пользователям и не создавать им неудобств. Определенные правила и связанные с их реализацией процедуры, безусловно, придется выполнять. Например, для информационно-телекоммуникационных систем – это выполнение правил подтверждения полномочий пользователей (введение паролей или использование персональных идентификаторов), ограничение прав пользователей по доступу к отдельным базам данных или ресурсам сети. В целом реализация политики безопасности должна привести к упорядочиванию работы персонала, экономии трафика, а следовательно, затрат на эксплуатацию системы, снижению или полному исключению возможности поражения сетей вредоносными вирусами и спамом.

УП: Каковы основные тенденции на рынке информационных систем?

– В условиях продолжающегося бурного развития информационных систем все в большей степени встают вопросы обеспечения их безопасности, в первую очередь таких аспектов безопасности, как конфиденциальность, целостность, доступность. Особую озабоченность вызывают проблемы защиты информации в так называемых ключевых системах информационной инфраструктуры. К ним относятся, прежде всего, системы, управляющие экологически-опасными процессами топливно-энергетического комплекса; системы финансово-кредитной сферы; системы управления движением различного назначения и др. Весь спектр проблем, связанных с защитой информации в таких системах, требует детальной и серьезной проработки, особенно в условиях угрозы террористических воздействий.

УП: Насколько доступны эти системы по стоимости? Может ли средняя или небольшая компания рассчитывать на их приобретение?

– Уже отмечалось, что информация – это товар, стоимость безопасности которой должна быть соизмерима со стоимостью ущерба от ее утраты, модификации, искажения, уничтожения. По нашим оценкам, затраты на защиту систем, обрабатывающих конфиденциальную информацию или содержащую коммерческую тайну, должны составлять до 10% от стоимости самой системы. Для систем, обрабатывающих сведения, составляющие государственную тайну, – от 15 до 35%. Очевидно, компании любого уровня, в том числе средние или небольшие, смогут изыскать средства для защиты своих интересов.

УП: Как быть компаниям, которые уже вложили достаточные средства и не получили ожидаемого эффекта?

– Для тех же компаний, которые уже вложили значительные средства в защиту информации и не получили ожидаемого эффекта, можно посоветовать обратиться в специализированную организацию для проведения независимого аудита и, с максимальным использованием уже сделанного, довести систему защиты «до ума».

Продолжение читайте в печатной версии журнала