Informācijas drošības nozīmes pieaugums

Informācijas drošība un aizsardzība 2010. gadā pateicoties vairākiem publiski apspriestiem informācijas noplūdes gadījumiem ieguva pastiprinātu sabiedrības uzmanību.

Tomēr neskatoties uz notikušiem informācijas drošības incidentiem arvien daudzas organizācijas informācijas aizsardzībai ikdienā pievērš nepietiekamu uzmanību. Daudzos gadījumos organizāciju vadības līmeņa pārstāvji uzskata, ka informācijas noplūdes vai iznīcināšanas gadījumi to pārvaldītajās organizācijās nav iespējami vai arī to atstātās sekas neradīs būtiskus zaudējumus. Līdz ar to organizācijas vadība nav gatava ieguldīt finanšu līdzekļus informācijas aizsardzības risinājumu ieviešanā.

Situācija lielākajā vairumā gadījumu būtiski mainās, kad organizācijas saskaras ar noteiktiem informācijas drošības incidentiem. Klasisks piemērs ar kuru ir saskārušās organizācijas un arī privātās personas, ir neatgriezeniski informācijas zudumi bojātu datoru cieto disku rezultātā, jo nav tikusi nodrošināta informācijas rezerves kopiju izveide. Iestājoties šādam vai jebkuram citam informācijas drošības incidentam ikviena persona vai organizācija pret informācijas drošības sāk izturēties ar daudz lielāku atbildību.

Arī Latvijas valdība pēc notikušajiem konfidenciālas informācijas noplūdes gadījumiem 2010. gadā ir pastiprinājusi uzmanību informācijas un ar tās uzglabāšanu un apriti saistīto informācijas tehnoloģiju un sistēmu drošībai.

Kā būtiskākais no valdības šobrīd spertajiem soļiem ir 2010. gada 28. oktobrī Latvijas Saeimas pieņemtais Informācijas tehnoloģiju drošības likums, kas stājas spēkā ar 2011. gada 1. februāri. Šīs likums nosaka informācijas tehnoloģiju drošības pārvaldību valstiskā līmenī, kā arī informācijas drošības incidentu pārvaldības kārtību.

Īpaša uzmanība ikvienai valsts vai pašvaldību institūcijai būtu jāpievērš šī likuma 8. pantam, kas nosaka, ka par  informācijas tehnoloģiju drošības pārvaldību atbildīgs ir katras institūcijas vadītājs, kurš šo pienākumu izpildei institūcijas ietvaros nozīmē atbildīgo personu. Tas nozīmē, ka katras valsts un pašvaldības institūcijas vadītāja pienākums šobrīd iespējami īsākā laika periodā ir noteikt atbildīgo personu par informācijas tehnoloģiju drošības pārvaldību, kura pienākums būs nodrošināt pietiekamu institūcijas darbības prasībām atbilstošu informācijas tehnoloģiju un pašas informācijas aizsardzības sistēmu, kuras pamatā ir trīs galvenie uzdevumi:

1. Informācijas drošības prasību definēšana;
2. Nepieciešamo tehnisko un kontroles mehānismu ieviešana informācijas drošības nodrošināšanai;
3. Ieviesto kontroles mehānismu darbības uzraudzība un nepilnību novēršana.

Ar rakstu sērijas starpniecību par informācijas drošību es un arī citi Agile & CO speciālisti centīsies sniegt padomus par informācijas un informācijas tehnoloģiju drošības pārvaldību organizāciju ietvaros, kā arī informēt par vispārējām informācijas drošības aktualitātēm pasaulē.