Когда в начале и
середине 90-х я начинал изучать информационную безопасность вопрос
человеческого фактора в комплексной системе информационной безопасности не
рассматривался в принципе. В какие-то
моменты времени складывалось впечатление, средства защиты информации развились
настолько, что стало дешевле купить человека, чем преодолевать механизмы
защиты.
После этого появился ряд международных стандартов уделявших
особое внимание работе с персоналом. И слова с которых начинались выступления
на конференциях в начале 90-х: «проблема безопасности требует комплексных
решений» стали воплощаться в жизнь, в начале в виде непонятной многим «политики
безопасности», а потом на основе полученного опыта в виде системы
регламентирующих документов.
Очевидно, что неизбежно разделение на практиков и
теоретиков. Это естественный процесс. Но необходимо понимание, что безопасность
так и осталась комплексной проблемой требующей соответствующего решения.
Думаю, что специалист по информационной безопасности 10-х
годов XXI века должен демонстрировать хорошие компетенции на стыке IT, права и
психологии. В реальной жизни на объекте пользы мало от чистого «теоретика» и
чистого хакера. Это при разговоре с потенциальным заказчиком демонстрация
уязвимости его системы хороша. Но хакер бесполезен, когда отдел маркетинга при
планировании PR акций сливает всю конфиденциальную информацию, включая know-how подрядчику. Так же
как бесполезны тонны инструкций, если ядром сети управляет нечистый на руку оутсорсер
или на систему не ставятся критические update.