Информационная безопасность

В современных условиях информации присущи все свой­ства товара и собственности, которые являются основными компонентами экономики, что делает информацию объектом интересов самого различного характера (коммерческого, социального, криминального и пр.).

В настоящее время имеется большое количество работ, посвященных защите компьютерной информации, но боль­шинство работ требуют для понимания глубоких и очень специальных знаний в области математики, радиоизмере­ний, программирования. Вместе с тем, у будущих экономис­тов и менеджеров должна быть четкая и целостная картина подхода к информационной безопасности в их будущей сфе­ре деятельности.

Под информационной безопасностью (Information Secu­rity) понимается защищенность ресурсов информационной системы (ИС) от факторов, представляющих угрозу для конфиденциальности, целостности и доступности информации.

Интегрированной характеристикой защищаемой ИС яв­ляется политика безопасности - качественная или количест­венная характеристика свойств защищенности в терминах, представляющих систему.

Руководство каждой организации должно осознать необ­ходимость поддержания режима безопасности и выделения на это значительных ресурсов. Главная задача, которую необ­ходимо решить на управленческом уровне - сформулировать политику безопасности.

Затраты на обеспечение информационной безопасности не должны превышать потенциальный урон от утечки защи­щаемых данных. Однако представляется неясным, как мож­но подсчитать суммарный урон от нее, включив в него не только очевидные выплаты по результатам происшествия, но и ущерб для репутации, упущенную выгоду и т.д.

Есть и другие ограничения, в числе которых - удобство пользователей. Если сервис не относится к числу корпора­тивных, где сотрудников можно обязать пользоваться безо­пасным, но неудобным механизмом, то придется иметь в виду, что пользователи не любят ситуации, вызывающие затрудне­ния в работе - запоминать лишние пароли и использовать их и т.д. А это значит, что рост уровня безопасности с какого-то момента может уменьшить оборот сервиса.

Именно этот баланс призвана поддерживать политика безопасности, разрабатываемая IT-директором каждой организации.

Политика безопасности - совокупность документирован­ных управленческих решений, направленных на защиту ин­формации и ассоциированных с ней ресурсов. Политика бе­зопасности должна отражать подход организации к защите своих информационных активов. С практической точки зрения политику безопасности можно подразделить на три уровня.

К верхнему уровню можно отнести решения, затрагиваю­щие организацию в целом (вопросы использования компью­терной техники и информационных систем).

Средний уровень касается отдельных важных вопросов (например, доступ к Интернету или использование домаш­них компьютеров на рабочем месте).

Политика безопасности нижнего уровня относится к кон­кретным сервисам и описывает цели и правила их достиже­ния, поэтому ее порой трудно отделить от вопросов реализа­ции. Вместе с тем решения, относящиеся к безопасности информационных сервисов, должны приниматься на управ­ленческом, а не на техническом уровне.

Ссылка на использованный материал:

1) Информационные технологии в менеджменте (управлении): учебник и практикум / под общ. ред. Ю.Д. Романовой.- М.: Издательство Юрайт, 2014.- 478с.-Серия: Бакалавр. Базовый курс.