Предпосылки развития менеджмента в сфере информационной безопасности на уровне предприятий

Управление информационной безопасностью на каждом отдельном предприятии должно осуществляться в контексте его общей хозяйственной деятельности: с учетом характера деятельности компании (технологии производства, специфики рынков сбыта и т.п.), а также фактически складывающейся ситуации в рыночной конкурентной борьбе, государственной политике, развития правовой и правоохранительной системы, уровня развития отдельных используемых информационных и телекоммуникационных технологий и других факторов, формирующих общие условия текущей деятельности.

Формальным основанием (предпосылкой) для осуществления целенаправленной деятельности в сфере защиты информации, помимо общегосударственных требований к защите информации, составляющей государственную, военную, врачебную и банковскую тайну, также является перечень сведений, составляющих коммерческую тайну предприятия, который определяется предприятием самостоятельно с учетом требований действующего законодательства.

Кроме того, необходимость разработки и внедрения политики информационной безопасности может быть обусловлена такими обстоятельствами, как:

  • необходимость уменьшения стоимости страхования информационных рисков или определенных бизнес-рисков;
  • необходимость внедрения международных стандартов, таких как ISO 17799 или BS 7799.

Рисунок 1. Предпосылки разработки политики безопасности предприятия

Необходимо разделять несколько относительно самостоятельных организационных уровней, характеризующихся специфическими задачами, подходами к решению этих задач и используемыми организационными методами.

  • Уровень международных профессиональных объединений (как правило, неправительственных и некоммерческих), так или иначе связанных со сферой информационных технологий, телекоммуникаций и информационной безопасности.
  • Уровень крупных компаний, работающих в сфере информационных технологий и в значительной мере определяющих (прямо или косвенно) состояние информационной безопасности в сообществе пользователей информационных систем, а также влияющих на безопасность различных элементов информационной инфраструктуры.
  • Государственный уровень – уровень государственных и межправительственных организаций, так или иначе влияющих на жизнь общества, состояние правовой системы, развитие экономики и технологий.
  • Уровень отдельных компаний (предприятий и организаций) – сообщество пользователей информационных систем, так или иначе заинтересованных в собственной информационной безопасности и обеспечивающих защиту имеющихся у них информационных ресурсов собственными силами.

· Также отдельно можно выделить дополнительный промежуточный уровень, включающий в себя консалтинговые и внедренческие компании, учебные центры (включая также сообщество специалистов, занимающихся консультациями, внедрениями и обучением в индивидуальном порядке), работающие в сфере информационной безопасности и действующие как связующее звено между различными организационными уровнями, а также представляющие интересы различных участников информационного взаимодействия.

Все эти составляющие образуют своеобразную организационную иерархию, представленную на рисунке 2:

Рисунок 2. Иерархия уровней организационной работы в сфере информационной безопасности