Информационная безопасность, пожалуй, одна из наиболее стандартизуемых сфер как с управленческой, так и с технологической точек зрения. Причем в последнее время наблюдается тенденция к унификации стандартов на международном уровне.
«Из российских нормативно-правовых документов по ИБ я бы обратил внимание на Федеральные законы «Об информации, информационных технологиях и о защите информации», «О персональных данных», «О коммерческой тайне». Также существуют государственные и отраслевые стандарты (например, стандарт Банка России СТО БР ИББС 1.0) и другие специализированные документы, такие как требования ФСБ РФ и ФСТЭК (Федеральной службы по техническому и экспортному контролю)».
«Существует большое количество современных стандартов в области ИБ, разработанных международными организациями, - институтами, форумами и ассоциациями. Практически по каждому стандарту имеется богатый опыт применения, опробованные на практике руководства и методологии внедрения, а также интернет-ресурсы. Можно даже сказать, что стандартизация в данной области развивается быстрее, чем где бы то ни было. Постепенно современные стандарты будут адаптированы и для России. Определенное движение в этом направлении есть не только со стороны Банка России, но также со стороны ФСТЭК, ФАТРМ и других ведомств. Одной из приоритетных является задача скорейшей адаптации международных стандартов для русскоязычного сообщества».Где утечка?
Один из наиболее значимых рисков ИБ – утечка информации. По результатам исследования аналитического центра InfoWatch, наибольшее количество утечек (50%) происходит с помощью мобильных устройств – ноутбуков, КПК, flash-накопителей.
Помимо очевидных преимуществ, компактность мобильных устройств является и не менее заметным недостатком с точки зрения защиты информации. Будь то ноутбук, КПК или флеш-карта, это устройство очень легко потерять или спрятать. Непреднамеренная утеря носителя информации приведет к тому, что конфиденциальные данные попадут к неизвестным лицам, которые распорядятся ими по своему усмотрению. В то же время внутренние нарушители легко могут спрятать маленький носитель и вынести данные с рабочего места. Второй по распространенности канал утечек – это интернет (12%). Он не так популярен, поскольку не позволяет быстро передавать данные в объемах, доступных мобильным носителям. Кроме того, с помощью сетевой фильтрации достаточно легко найти источник утечки. Причиной 5% инцидентов послужили неправильно утилизованные или утерянные резервные носители, по 3% пришлось на электронную почту и факсы. 17% утечек внутренней информации происходит иными способами, например, в результате передачи бизнес-процессов на аутсорсинг. В 10% случаев выяснить, каким образом была украдена информация, не удалось.