Информационная безопасность в РФ

Автор: Алексей Ендовский

Не секрет что информационные технологии совершили гигантский шаг вперед за последние годы, и теперь уже сложно найти то, что не имеет своего отражения в мировой паутине Интернета. Бизнес процессы организаций протекают в корпоративных информационных системах, а почти у каждого из нас есть ряд мобильных устройств начиная от телефона и заканчивая портативным компьютером. Таким образом область оборота информации увеличилась в огромное количество раз.

Но при этом резком скачке вперед, барьеры, которые были поставлены между конфиденциальной информацией и открытым информационным пространством попросту не справились со своей задачей, и как результат, огромное количество сведений конфиденциального характера можно найти в открытых источниках.

Со стороны законодателя предпринимаются меры правового характера: создается нормативная база в области защиты коммерческой тайны и персональных данных. Разработаны отраслевые стандарты для банковской (СТО БР ИББС, PCI DSS) и других сфер деятельности. Применение же большинства из них на практике обусловлено как правило не собственным пониманием необходимости защиты информационных активов со стороны организаций, а строгим требованием регуляторов по соответствию нормативам. Если же организация не внедрит ту или иную норму соответствия, то в адрес бизнеса будут применены штрафные санкции, вплоть до отзыва права на осуществление деятельности.

Cпустя месяц примененные технические и организационные меры уже никем не соблюдаются

В связи с чем бизнесу приходится подчиниться требованиям законодателя и регуляторов. При данном обстоятельстве дел, компании выполняют требования, но лишь формально, при этом затратив немалое количество сил и финансовых ресурсов на получение документа, свидетельствующего о соответствии. К сожалению на этом всё и заканчивается, спустя месяц примененные технические и организационные меры уже никем не соблюдаются, а спустя 3 месяца ситуация в компании будет такой, как будто никаких работ по обеспечению информационной безопасности и вовсе не проводилось.

Таким образом следует понимать, что полученный когда-то статус соответствия не гарантирует защищенности информационных активов. Единственный способ гарантированного обеспечения информационной безопасности - это постоянная поддержка в актуальном состоянии технических средств и систем защиты информации, контроль за исполнением организационных мер, а так же актуализация внедренных режимов (коммерческой тайны) и проверки на предмет соответствия национальным и международным стандартам в области информационной безопасности.