Задачи обеспечения безопасности сегодня во многом определяются задачами бизнеса, однако их решение имеет не только технические, но и разнообразные правовые аспекты, к тому же организационная составляющая часто превалирует. В условиях же недостатка специалистов по ИБ можно привлекать к построению систем безопасности специалистов по системам управления.
Дмитрий Ершов, заместитель директора УЦ «Информзащита», определяет обеспечение безопасности как непрерывный и бесконечный процесс управления рисками через управление людьми и средствами защиты. Цель такого процесса — максимальное снижение рисков или достижение приемлемого «уровня достаточности», для чего требуется четкая регламентация деятельности сотрудников, всех процессов и функций. Хорошей основой является стандарт ISO 17799 с его сводом правил по управлению ИБ. Как подчеркивает Дмитрий Ершов, технические средства защиты (аппаратные или программные) — всего лишь инструменты повышения надежности систем защиты, способствующие выполнению сотрудниками установленных правил. По мнению Андрея Дроздова, менеджера аудиторской компании КПМГ, информационная безопасность часто рассматривается исключительно в контексте ИТ, хотя в международных стандартах подчеркивается бизнес-ориентированный подход к управлению ИБ с учетом риска, а 80% ИБ — проблемы организационные. Отсюда он делает вывод, что задачи ИБ должны решаться на уровне приложений, бизнес-процессов и целей бизнеса.
Направление ИБ активно развивается в России на протяжении последних нескольких лет, однако окупаемость инвестиций не очевидна, так же как и инвестиции в страхование. Далеко не все готовы нести эти издержки. Несмотря на популярность антивирусных средств и межсетевых экранов, комплексные системы ИБ в большинстве компаний отсутствуют. Как отметил Евгений Якимович, начальник управления «К», в России увеличивается количество случаев неправомерного доступа к информационным ресурсам организаций, продолжает расти ущерб от преступности в сфере ИТ, что говорит о необходимости серьезного совершенствования законодательства.
Распространение ИТ и сетевых технологий в бизнесе ведет и к увеличению компьютерных преступлений. В стране за прошлый год реальное их число, по оценке УЦ «Информзащита», достигло 58 тыс., хотя официально зафиксировано лишь 50 компьютерных инцидентов. По словам директора УЦ «Информзащита» Зои Поповой, устойчивость технологий определяют люди. Важнейший фактор — осведомленность сотрудников в вопросах ИБ, поэтому необходима методика доведения правил безопасности до пользователей.