Лекция VI. Информационная безопасность бизнеса

В современных условиях информации присущи все свойства товара и собственности, которые являются основными компонентами экономики, что делает информацию объектом интересов самого различного характера (коммерческого, социального, криминального и пр.).

В настоящее время имеется большое количество работ, посвященных защите компьютерной информации, но большинство работ требуют для понимания глубоких и очень специальных знаний в области математики, радиоизмерений, программирования. Вместе с тем, у будущих экономистов и менеджеров должна быть четкая и целостная картина подхода к информационной безопасности в их будущей сфере деятельности.

Под информационной безопасностью (Information Security) понимается защищенность ресурсов информационной системы (ИС) от факторов, представляющих угрозу для конфиденциальности, целостности и доступности информации.

Политика безопасности

Интегрированной характеристикой защищаемой ИС является политика безопасности – качественная или количественная характеристика свойств защищенности в терминах, представляющих систему.

Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на это значительных ресурсов. Главная задача, которую необходимо решить на управленческом уровне – сформулировать политику безопасности.

Затраты на обеспечение информационной безопасности не должны превышать потенциальный урон от утечки защищаемых данных. Однако представляется неясным, как можно подсчитать суммарный урон от нее, включив в него не только очевидные выплаты по результатам происшествия, но и ущерб для репутации, упущенную выгоду и т.д.

Есть и другие ограничения, в числе которых – удобство пользователей. Если сервис не относится к числу корпоративных, где сотрудников можно обязать пользоваться безопасным, но неудобным механизмом, то придется иметь в виду, что пользователи не любят ситуации, вызывающие затруднения в работе – запоминать лишние пароли и использовать их и т.д. А это значит, что рост уровня безопасности с какого-то момента может уменьшить оборот сервиса.

Именно этот баланс призвана поддерживать политика безопасности, разрабатываемая СIO^[1] каждой организации.

Политика безопасности – совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности должна отражать подход организации к защите своих информационных активов. С практической точки зрения политику безопасности можно подразделить на три уровня.

К верхнему уровню можно отнести решения, затрагивающие организацию в целом (вопросы использования компьютерной техники и информационных систем).

Средний уровень касается отдельных важных вопросов (например, доступ к Интернету или использование домашних компьютеров на рабочем месте).

Политика безопасности нижнего уровня относится к конкретным сервисам и описывает цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. Вместе с тем решения, относящиеся к безопасности информационных сервисов, должны приниматься на управленческом, а не на техническом уровне. Для надлежащего проведения политики безопасности следует знать виды угроз и методы защиты.