развития отечественных компаний и предприятий (см. рис. 1.14).
Рис. 1.14. Текущие проблемы развития информационных технологий
Как эффективно подойти к решению проблемы защиты информации? По-видимому, сначала необходимо разработать действенную политику информационной безопасности компании.
1.3. Основные причины создания политик безопасности
Любую отечественную компанию можно сравнить с небольшим государством. И если в каждом государстве существует законодательство, регламентирующее деятельность граждан, то в компании роль законов выполняют политики безопасности. За нарушение законов государства граждане несут ответственность, нарушение политик безопасности сотрудниками компании также влечет за собой ответственность.
Политики информационной безопасности определяют стратегию и тактику построения корпоративной системы защиты информации. В российской терминологии документ, определяющий стратегию, часто называют концепцией, а документ определяющий тактику, – политикой. На Западе принято создавать единый документ, включающий в себя стратегию и тактику защиты. Политики безопасности компании являются основой для разработки целого ряда документов по обеспечению безопасности: стандартов, руководств, процедур, практик, регламентов, должностных инструкций и пр.
Что должно мотивировать отечественные предприятия и компании разрабатывать политики информационной безопасности? К таким мотивам относятся:
выполнение требований руководства компании;
Как правило, руководство компании проявляет внимание к проблемам информационной безопасности под воздействием «фактора страха» или после нескольких серьезных инцидентов, повлекших за собой остановку или замедление работы компании. Например, в результате вирусной атаки или атаки «отказ в обслуживании», разглашения конфиденциальной информации или кражи компьютеров с ценной информацией.
выполнение требований российской нормативной базы в области защиты информации;
Каждая компания обладает информацией, представляющей некоторую ценность, и по понятным причинам она не желала бы ее разглашения. Политики информационной безопасности позволяют определить правила, в соответствии с которыми информация будет отнесена к категории коммерческой или служебной тайны. Это позволит компании юридически защитить информацию (ст. 139 Гражданского кодекса и Закон о коммерческой тайне). В зависимости от сферы действия компании она должна выполнять требования существующего законодательства, применимого к ее отрасли. Например, банки в соответствии со ст. 857 Гражданского кодекса должны гарантировать защиту банковской тайны клиентов. Страховые компании должны защищать тайну страхования (ст. 946 Гражданского кодекса) и т. д. Кроме этого, в соответствии с Указом
Президента РФ № 188 от 06.03.97 «Об утверждении перечня сведений конфиденциального характера» компании должны обеспечивать защиту персональных данных сотрудников.
В целом автоматизированные системы
