Обеспечение ИБ в условиях экономического кризиса
Проблема обеспечения информационной безопасности (ИБ) в 2009 году в условиях ограничивающегося финансирования стоит на повестке дня большинства предприятий и компаний. В условиях финансового кризиса подразделения ИТ, как затратная часть любой компании, являются одним их первых пунктов резкого уменьшения бюджета и финансирования. Вследствие этого расходы на информационную безопасность также могут попасть под сокращение. В то же время, проблема ИБ существует всегда и независимо от финансовых условий и текущей экономической ситуации. Актуальные вопросы, которые решались службами безопасности, не исчезают, а только набирают новые обороты. Это обуславливается несколькими факторами.
Во-первых, это мировые тенденции интеграции бизнеса в сеть Интернет и распространение все большего числа угроз, вызванных сетью. Спам, Web-угрозы от посещения зараженных сайтов, атаки отказа в обслуживании на бизнес системы – все это только примет еще более изощренный характер в 2009 году в связи с ростом конкуренции на фоне обострения экономической ситуации.
Во-вторых, перед службами ИБ встают вопросы уменьшения затрат и оптимизации бизнес-процессов. Например, многие организации задумываются об использовании технологий VPN, в особенности связанных с организацией гибкого защищенного удаленного доступа для своих сотрудников. Сейчас это реальная возможность организации надомной работы, снижения затрат на аренду помещений, а также затрат, связанных с командировками сотрудников. Другой пример – использование технологий беспроводной связи, позволяющее достичь экономии за счет отказа прокладки структурированной кабельной системы для небольших и средних площадей. При этом с точки зрения защиты подключений – к wi-fi предъявляются повышенные требования по обеспечению безопасности.
И, наконец, в третьих, в 2009 году организациям придется столкнуться с выполнением требований закона "О защите персональных данных". Данные требования распространяются на большинство компаний–операторов персональных данных и носят обязательный характер к исполнению до 2010 года. Выполнение требований информационной безопасности в рамках закона и ведомственных документов ФСТЭК и ФСБ России - неизбежная статья затрат в бюджете на информационную безопасность.
Таким образом, очевидным является тот факт, что компании любого масштаба необходимо задуматься об эффективности использования средств на ИБ и выработать наиболее оптимальный вектор, который позволит гибко решить наиболее приоритетные вопросы – от наболевших проблем и угроз ИБ (спама, утечки данных, web-угроз, атак отказа в обслуживании) до выполнения требований законодательства. Возможных путей развития в данной ситуации может быть несколько. В первую очередь, это проведение профессионального аудита информационной безопасности, которые без значительных инвестиций позволят определить эффективность использования уже имеющихся средств защиты, выяснить уязвимые места, а также оценить соответствие информационной системы требованиям закона "О защите персональных данных". Результаты аудита позволят проводить мероприятия по классификации информационных систем и выработать план действий по внедрению минимально необходимых средств защиты для дальнейшей аттестации информационной системы.
С другой стороны, возможно, сейчас имеет смысл отказаться от широкомасштабных задач в области процессов управления ИБ, например, по стандартам ISO27001, ISO17799 и т.п., и внедрить точечные средства, которые решат конкретные, критичные для бизнеса вопросы, и станут средством оптимизации бизнес-процессов.
Значительный проектный опыт и высокая компетенция в области ИБ компании Step Logic, помогают заказчикам найти наиболее оптимальные подходы в решении сегодняшних задач, начиная от внедрения "точечных" решений по защите информационных активов и бизнес-процессов до аудита информационной безопасности и выполнения требований закона о защите персональных данных.
Во-первых, это мировые тенденции интеграции бизнеса в сеть Интернет и распространение все большего числа угроз, вызванных сетью. Спам, Web-угрозы от посещения зараженных сайтов, атаки отказа в обслуживании на бизнес системы – все это только примет еще более изощренный характер в 2009 году в связи с ростом конкуренции на фоне обострения экономической ситуации.
Во-вторых, перед службами ИБ встают вопросы уменьшения затрат и оптимизации бизнес-процессов. Например, многие организации задумываются об использовании технологий VPN, в особенности связанных с организацией гибкого защищенного удаленного доступа для своих сотрудников. Сейчас это реальная возможность организации надомной работы, снижения затрат на аренду помещений, а также затрат, связанных с командировками сотрудников. Другой пример – использование технологий беспроводной связи, позволяющее достичь экономии за счет отказа прокладки структурированной кабельной системы для небольших и средних площадей. При этом с точки зрения защиты подключений – к wi-fi предъявляются повышенные требования по обеспечению безопасности.
И, наконец, в третьих, в 2009 году организациям придется столкнуться с выполнением требований закона "О защите персональных данных". Данные требования распространяются на большинство компаний–операторов персональных данных и носят обязательный характер к исполнению до 2010 года. Выполнение требований информационной безопасности в рамках закона и ведомственных документов ФСТЭК и ФСБ России - неизбежная статья затрат в бюджете на информационную безопасность.
Таким образом, очевидным является тот факт, что компании любого масштаба необходимо задуматься об эффективности использования средств на ИБ и выработать наиболее оптимальный вектор, который позволит гибко решить наиболее приоритетные вопросы – от наболевших проблем и угроз ИБ (спама, утечки данных, web-угроз, атак отказа в обслуживании) до выполнения требований законодательства. Возможных путей развития в данной ситуации может быть несколько. В первую очередь, это проведение профессионального аудита информационной безопасности, которые без значительных инвестиций позволят определить эффективность использования уже имеющихся средств защиты, выяснить уязвимые места, а также оценить соответствие информационной системы требованиям закона "О защите персональных данных". Результаты аудита позволят проводить мероприятия по классификации информационных систем и выработать план действий по внедрению минимально необходимых средств защиты для дальнейшей аттестации информационной системы.
С другой стороны, возможно, сейчас имеет смысл отказаться от широкомасштабных задач в области процессов управления ИБ, например, по стандартам ISO27001, ISO17799 и т.п., и внедрить точечные средства, которые решат конкретные, критичные для бизнеса вопросы, и станут средством оптимизации бизнес-процессов.
Значительный проектный опыт и высокая компетенция в области ИБ компании Step Logic, помогают заказчикам найти наиболее оптимальные подходы в решении сегодняшних задач, начиная от внедрения "точечных" решений по защите информационных активов и бизнес-процессов до аудита информационной безопасности и выполнения требований закона о защите персональных данных.