Средства защиты информации или организационные меры

У многих возникает вопрос: можно ли обойтись без применения специализированных программных или программно-аппаратных средств защиты информации? Специалисты Москвы и Московской области, работающие в области информационной безопасности, считают, что в некоторых случаях можно использовать и традиционные средства защиты или компенсировать отсутствие специализированных решений дополнительными техническими и организационными мерами, которые помогут соблюсти законодательство в области защиты информации и защиты персональных данных.

Примером служат виртуальные машины, на которых могут применяться антивирусные средства, которые уже используются на предприятии. В этом случае очень важно тщательно подойти к составлению расписания, по которому будет происходить проверка виртуальных машин. Таким образом, можно избежать критической загрузки виртуальных серверов.

Еще один момент, на который стоит обратить внимание — это профессиональная и грамотная настройка средств от несанкционированного доступа. У большинства организаций возникают проблемы в этой области из-за невыполнения рекомендаций разработчиков средств защиты. Часть из них выпущена самими производителями, часть – экспертными сообществами. Например, подобные руководства предостерегают от использования встроенных «по умолчанию» в платформу ролей.

Перед началом работы необходимо составить матрицу доступа и уже по ней сформировать требуемые для работы с инфраструктурой роли. В большинстве организаций просто нет таких сотрудников, которые имели бы опыт настройки таких программных и программно-аппаратных решений. В этом случае, во избежание серьезных последствий, необходимо обращаться в организации, профессионально занимающиеся информационной безопасностью.

Что касается организационных мер, то во многих случаях покупка дорогостоящих решений является излишней тратой денег и не соответствует реальной потребности предприятия в этих средствах. Решение о применении таких средств защиты информации принимается, исходя из критериев важности обрабатываемой информации и актуальности угроз для каждой конкретной организации. «Избыточное» использование специализированных средств может повлечь за собой дополнительные риски, связанные с человеческим фактором, необходимостью увеличения количества требуемых ресурсов и проблемы с совместимостью.