Большинство организаций используют сложные информационные системы (ИС), включающие в себя значительное количество серверов, клиентов и различные информационные технологии. Следовательно, чем сложнее эксплуатируемые системы, тем больше риск нарушения их нормального функционирования из-за ошибок в действиях обслуживающего персонала, а цена этих ошибок дороже.
Особенности построения современных информационных систем в организации:
• неоднородность построения и технической реализации информационных систем и их систем защиты;
• с одной стороны, внедрение новейших информационных технологий требует постоянного повышения квалификации обслуживающего персонала, с другой — простота эксплуатации новейших СВТ приводит к снижению требований в отношении средней квалификации пользователей;
• принципиально изменился количественный и качественный (с точки зрения ценности) состав информационных ресурсов, обрабатываемых и хранимых в ИС;
• поиск новых организационных мер защиты или применение дополнительных технических или программных средств защиты;
• необходимость постоянного и тщательного анализа источников угроз информационной безопасности (ИБ), анализ появляющихся уязвимостей в системе защиты ПО.
На основе этих принципов подразделением по защите информации, отвечающем за безопасность ИС, решаются следующие основные задачи:
• Организация непрерывного сбора информации о нарушениях информационной безопасности ИС.
• Выработка совместно со специалистами подразделения по информационным технологиям мер по устранению причин выявленных нарушений ИБ, внедрение их во все элементы ИС, в которых такие нарушения могут проявиться в дальнейшем.
• Организация постоянного процесса обучения и консультации сотрудников по вопросам защиты информации ограниченного доступа.
Трудности подготовки специалистов в области информационной безопасности обусловлены тем, что ряд принципиальных вопросов не решены полностью до настоящего времени.