Итак, проблема информационной безопасности у многих отождествляется с телекоммуникационными системами, а ее решение сводится к внедрению соответствующих технических средств. В этом контексте показательным является пример Великобритании, поскольку британский национальный стандарт BS 7799 по организации информационной безопасности был взят за основу при разработке международного стандарта ISO/IEC 17799. Возможно, причиной столь серьезного отношения к данной проблеме стало то, что Великобритания по численности компьютерных атак, предпринятых против организаций из конкретной страны, занимает третье место в мире (лидируют в рейтинге предпочтений злоумышленников, конечно же, США).
Министерство торговли и промышленности Великобритании совместно с Pricewaterhouse-Coopers периодически готовит и публикует обзоры, касающиеся состояния информационной безопасности в стране. По данным недавнего обзора International Security Breaches Survey 2004, за последние два года более 74%британских организаций пострадали от нарушения безопасности. В обзоре 2002 года их число составляло немногим более 60%, а рост объясняется увеличением числа угроз.
Вместе с тем только 30%от общей численности рассмотренных британских организаций имеют надлежащим образом разработанную и действенную политику информационной безопасности. В обзоре 2002 года таких организаций насчитывалось около 27%.
У 56%организаций отсутствуют задокументированные процедуры защиты данных. По сравнению с ситуацией двухгодичной давности этот показатель вырос всего на 4%. И это все несмотря на то, что потери, которые наносит наиболее ощутимый инцидент, связанный с нарушением безопасности, в среднем по стране составляют не менее 7 тыс. фунтов стерлингов ($12, 6 тыс. )на организацию, включая компании с численностью до 49 человек. На преодоление последствий расходуется от двух до четырех человеко-дней. Данные анализа для крупных предприятий (свыше 250 сотрудников) свидетельствуют о том, что в случае наиболее ощутимого инцидента усредненный показатель минимального уровня потерь доходит уже до 65 тыс.
фунтов. Средние трудозатраты на преодоление последствий инцидентов в таких компаниях составляют от десяти до двадцати человеко-дней. Но и у 35%крупных компаний в Великобритании нет действенной политики безопасности, а у 20%как следует не задокументированы процедуры по защите данных.
Такая ситуация является характерной для любой страны. Предприятия всего мира тратятогромные средства на внедрение самых современных технологий защиты информации, но приэтом остается без внимания необходимость информирования служащих о культуре безопасности внутри предприятия. Ведь даже самые передовые технические средства не смогут обеспечить полноценную защиту, если не определены правила и процедуры по обеспечению безопасности, а сами пользователи или не знают, или попросту не соблюдают корпоративных норм и обязанностей, относящихся к сфере безопасности.
Единственная возможность надолго обезопасить свое предприятие – внедрить систему управления информационной безопасностью.
Эта система представляет собой постоянно совершенствующийся набор правил и процедур, направленных на поддержание безопасности организации. Система управления информационной безопасностью предусматривает тренинги персонала, процесс выбора и внедрения специальных комплексов контроля, периодические проверки их эффективности, а также модернизацию этих комплексов.