Здравствуйте,при покупке печатной формы сертификата,будут ли выданы обе печатные сторны? |
Менеджмент информационной безопасности на уровне предприятия: основные направления и структура политики безопасности
Предпосылки развития менеджмента в сфере информационной безопасности на уровне предприятий
Обеспечение собственной информационной безопасности на предприятиях1Здесь и в дальнейшем под "Предприятием" мы будем понимать любую фирму, компанию, организацию, учреждение (в том числе и государственное), имеющее определенную свободу и самостоятельность в распоряжении имеющимися финансовыми ресурсами, определении собственной организационно-штатной структуры и приоритетов в текущей деятельности. , как правило, является неотъемлемой частью общей системы управления, необходимой для достижения уставных целей и задач. Значимость систематической целенаправленной деятельности по обеспечению информационной безопасности становится тем более высокой, чем выше степень автоматизации бизнес-процессов предприятия и чем больше "интеллектуальная составляющая" в его конечном продукте, т.е. чем в большей степени успешность деятельности зависит от наличия и сохранения определенной информации (технологий, ноу-хау, коммерческих баз данных, маркетинговой информации, результатов научных исследований и т.п.), обеспечения ее конфиденциальности и доступности для владельцев и пользователей. Роль информации и, в частности, т.н. "знаниевых активов" в деятельности предприятий возрастает по мере либерализации мировых рынков, когда материальные активы во все меньшей степени являются источниками конкурентных преимуществ в силу значительного уменьшения торговых барьеров. Нематериальные активы, существующие обычно в виде информации2На практике, очевидно, не все нематериальные ("знаниевые") активы существуют в виде информации. К числу таких активов относится также, например, деловая репутация, имидж и т.п. , в этих условиях начинают играть роль одной из ведущих основ для повышения конкурентоспособности и развития бизнеса.
Обеспечение информационной безопасности также, как правило, имеет большое значение не только для стратегического развития предприятия и создания основного продукта, но и для отдельных (иногда вспомогательных) направлений деятельности и бизнес-процессов, таких как коммерческие переговоры и условия контрактов, ценовая политика и т.п.
Кроме того, значимость обеспечения информационной безопасности в некоторых случаях может определяться наличием в общей системе информационных потоков предприятия сведений, составляющих не только коммерческую, но и государственную тайну, а также другие виды конфиденциальной информации (сведения, составляющие банковскую тайну, врачебную тайну, интеллектуальную собственность компаний-партнеров и т.п.). Обеспечение информационной безопасности в этой сфере и, в частности, основные требования, организационные правила и процедуры непосредственно регламентируются федеральным законодательством, и надзор за выполнением требований осуществляется федеральными органами власти.
- Для сведений, составляющих государственную тайну – Федеральный закон РФ от 21 июля 1993 года №5485-1 "О государственной тайне" и связанные с ним подзаконные акты.
- Для сведений, составляющих банковскую тайну – Федеральный закон "О банках и банковской деятельности" и связанные с ним смежные законы и подзаконные акты.
- Для сведений, составляющих врачебную тайну – Основы законодательства РФ "Об охране здоровья граждан" (ст.61) и Закон РФ "О трансплантации органов и (или) тканей человека" (ст.14);
а также для сведений, относящихся к некоторым другим видам тайны, таких как военная тайна, нотариальная тайна, адвокатская тайна, тайна страхования, тайна усыновления, налоговая тайна, тайна следствия и судопроизводства и другие. Соответственно, лица, нарушающие требования информационной безопасности, могут быть не только подвергнуты дисциплинарным взысканиям, но и подлежат уголовному и административному преследованию.
Так же как и на государственном уровне, управление информационной безопасностью на уровне предприятий направлено на нейтрализацию различных видов угроз:
- внешних, таких как неправомерные действия государственных органов (в том числе и зарубежных), противоправная деятельность преступников и преступных группировок, незаконные действия компаний-конкурентов и других хозяйствующих субъектов, недобросовестные действия компаний-партнеров, несоответствие действующей нормативно-правовой базы фактическому развитию технологий и общественных отношений, сбои и нарушения в работе глобальных информационных и телекоммуникационных систем и информационных систем компаний-партнеров (контрагентов) и др.;
- внутренних, таких как ошибки и халатность персонала предприятия, а также намеренно допускаемые нарушения, сбои и нарушения в работе собственных информационных систем и др.
Таким образом, управление информационной безопасностью на каждом отдельном предприятии должно осуществляться в контексте его общей хозяйственной деятельности: с учетом характера деятельности компании (технологии производства, специфики рынков сбыта и т.п.), а также фактически складывающейся ситуации в рыночной конкурентной борьбе, государственной политике, развития правовой и правоохранительной системы, уровня развития отдельных используемых информационных и телекоммуникационных технологий и других факторов, формирующих общие условия текущей деятельности.
Формальным основанием (предпосылкой) для осуществления целенаправленной деятельности в сфере защиты информации, помимо общегосударственных требований к защите информации, составляющей государственную, военную, врачебную и банковскую тайну, также является перечень сведений, составляющих коммерческую тайну предприятия, который определяется предприятием самостоятельно с учетом требований действующего законодательства.
Кроме того, необходимость разработки и внедрения политики информационной безопасности может быть обусловлена такими обстоятельствами, как:
- необходимость уменьшения стоимости страхования информационных рисков или определенных бизнес-рисков;
- необходимость внедрения международных стандартов, таких как ISO 17799 или BS 7799.
Общая структура управленческой работы по обеспечению информационной безопасности на уровне предприятия
Для нейтрализации существующих угроз и обеспечения информационной безопасности предприятия организуют систему менеджмента в сфере информационной безопасности, в рамках которой (системы) проводят работу по нескольким направлениям:
- формирование и практическая реализация комплексной многоуровневой политики информационной безопасности предприятия и системы внутренних требований, норм и правил;
- организация департамента (службы, отдела) информационной безопасности;
- разработка системы мер и действий на случай возникновения непредвиденных ситуаций ("Управление инцидентами");
- проведение аудитов (комплексных проверок) состояния информационной безопасности на предприятии.
увеличить изображение
Рис. 7.2. Структура организационной деятельности в сфере информационной безопасности на предприятии
Каждое из этих направлений организационной работы имеет свои особенности и должно реализовываться с использованием специфических методов менеджмента и в соответствии со своими правилами. Политики и правила информационной безопасности являются организационными документами, регулирующими деятельность всей организации или отдельных подразделений (категорий сотрудников) в части обращения с информационными системами и информационными потоками. Департамент информационной безопасности является узко специализированным подразделением, решающим специфические вопросы защиты информации. Система мер по реагированию на инциденты обеспечивает готовность всей организации (включая Департамент информационной безопасности) к осмысленным целенаправленным действиям в случае каких-либо происшествий, связанных с информационной безопасностью. Проведение внутренних аудитов информационной безопасности (периодических или связанных с определенными событиями) должно обеспечить контроль за текущим состоянием системы мер по защите информации и, в частности, независимую проверку соответствия реального положения дел установленным правилам и требованиям.
При этом каждое из направлений деятельности должно постоянно совершенствоваться по мере развития организации, а конкретные задачи должны постоянно уточняться в соответствии с изменением в организационной структуре, производственных процессах или внешней среде. Так, например, если предприятие начинает выпуск продукции военного назначения параллельно с выпуском гражданской продукции, то это может потребовать изменений всех основных направлений организационной работы в сфере обеспечения информационной безопасности:
- корректировки стратегии и основных положений политики информационной безопасности (на всех ее уровнях);
- изменения организационной структуры и функциональных задач департамента информационной безопасности;
- совершенствования системы реагирования на инциденты;
- использование более совершенных методик проведения аудитов информационной безопасности.