Когда в начале и середине 90-х я начинал изучать информационную безопасность вопрос человеческого фактора в комплексной системе информационной безопасности не рассматривался в принципе. В какие-то моменты времени складывалось впечатление, средства защиты информации развились настолько, что стало дешевле купить человека, чем преодолевать механизмы защиты.
После этого появился ряд международных стандартов уделявших особое внимание работе с персоналом. И слова с которых начинались выступления на конференциях в начале 90-х: «проблема безопасности требует комплексных решений» стали воплощаться в жизнь, в начале в виде непонятной многим «политики безопасности», а потом на основе полученного опыта в виде системы регламентирующих документов.
Очевидно, что неизбежно разделение на практиков и теоретиков. Это естественный процесс. Но необходимо понимание, что безопасность так и осталась комплексной проблемой требующей соответствующего решения.
Думаю, что специалист по информационной безопасности 10-х годов XXI века должен демонстрировать хорошие компетенции на стыке IT, права и психологии. В реальной жизни на объекте пользы мало от чистого «теоретика» и чистого хакера . Это при разговоре с потенциальным заказчиком демонстрация уязвимости его системы хороша. Но хакер бесполезен, когда отдел маркетинга при планировании PR акций сливает всю конфиденциальную информацию, включая know-how подрядчику. Так же как бесполезны тонны инструкций, если ядром сети управляет нечистый на руку оутсорсер или на систему не ставятся критические update.
