Что такое законодательный уровень информационной безопасности и почему он важен
Сегодня без использования информационных систем невозможно представить деятельность любой современной организации. В связи с этим, вопросы обеспечения безопасности при обработке информации, являющейся собственностью организации, государства или его граждан, приобретают с каждым днем все большую актуальность. При построении системы информационной безопасности важно определить:
- Периметр ИТ-инфраструктуры, которую необходимо защищать
- Выделить информационные ресурсы в организации, которые являются наиболее критичными в отношении тех или иных угроз
- Критерии, которыми следует руководствоваться при оценке защищенности и состояния системы управления информационной безопасностью
- Учесть все угрозы и определить величину связанных с ними рисков
- Определить, как будет происходить управление рисками
- Оценить существующий уровень защищенности информационной системы организации и его достаточность
Для того, чтобы обеспечить адекватный уровень безопасности информационных ресурсов организации, необходим целый комплекс согласованных процессов организационного и технического характера. В целях управления этими процессами в организации должна быть построена и внедрена система управления информационной безопасностью (СУИБ). СУИБ является той необходимой основой, которая позволит повысить уровень информационной безопасности организации в целом и минимизировать риски и - в случае возникновения - возможный ущерб от возникновения компьютерных инцидентов.
Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
- законодательного;
- административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
- процедурного (меры безопасности, ориентированные на людей);
- программно-технического. Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.
Мы будем различать на законодательном уровне две группы мер:
- меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);
- направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).
На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.
Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
Работы, представленные на сайте http://taketop.ru, предназначено исключительно для ознакомления. Все права в отношении работ и/или содержимого работ, представленных на сайте http://taketop.ru, принадлежат их законным правообладателям. Администрация сайта не несет ответственности за возможный вред и/или убытки, возникшие или полученные в связи с использованием работ и/или содержимого работ, представленных на сайте http://taketop.ru
.png)