-
Запись понравилась
-
0
Процитировали
-
0
Сохранили
-
Пятница, 22 Марта 2013 г. 00:52
+ в цитатник
Законы активно влияют на отрасль информационной безопасности, однако ситуация с ней улучшается медленно. Многим кажется, что вообще ни как - законы лишь порождают новую отрасль, которая обеспечивает безопасность только на бумаге. Им, видимо, хочется, чтобы простым введением в действие закона можно было бы сразу решить все проблемы информационной безопасности. На самом деле роль законотворчества в это сфере несколько другая - оно изменяет отношение руководства компаний и ИТ-подразделений к проблемам информационной безопасности. Во всяком случае в компаниях появляются люди, которые за безопасность отвечают - и это хорошо.
Как известно, самым слабым звеном любой защиты является человек. Будь продукт самым совершенным, эффективным и обеспечивающим защиту от всех угроз, неправильная его эксплуатация всё-равно сведёт все положительные качества на нет. Поэтому законодательные инициативы в основном сфокусированы не на технической стороне информационной безопасности, но на организационной. Именно назначения ответственных за ИБ, обучения специалистов и сотрудников, а также организация процессов по обеспечению защиты в основном требуют законы и стандарты. А было бы лучше, если бы в законах содержались технические требования?
Именно поэтому на уровне организации процессов и организационных мер защиты сейчас сконцентрировались законодатели и стандартизирующие организации. И требуют они не поиска XSS-уязвимостей на сайтах, а наличия службы, которая могла бы принимать сведения о найденных уязвимостях и фактах мошенничества, расследовать инциденты и совершенствовать систему защиты. Компания самостоятельно решает как именно такая служба будет работать и что именно оно будет делать в первую очередь. Именно настройкой этих организационных процессов и занимаются специалисты, к которым почему-то прилепили ярлык "бумажные безопасники". Они занимаются наиболее сложной частью защиты - организационными мерами и работе с людьми.