Практикум по информационной безопасности: Учебно-методическое пособие, страница 8


конфиденциальной информации, не затрагивающей интересы государства), и установлена вина владельца, то он понесет административное наказание, вплоть до увольнения или еще более строгое (привлечение к судебной ответственности со стороны собственника), согласно установленным в компании правилам и действующему законодательству.

Пользователь- сотрудник компании, который использует информацию для выполнения своих должностных обязанностей. Он тоже может пострадать в результате нарушений ИБ. Например, при подготовке отчета для представления в налоговую службу сотруднику не удалось его вовремя оформить, поскольку в течение длительном) времени не было доступно устройство печати. Сотрудник получил выговор. Впоследствии выговор был снят, поскольку было установлено, что вины сотрудника в срыве сроков не было. С точки зрения ИБ пользователь также должен участвовать в соблюдении установленного режима информационной безопасности в рамках того функционала, который прописан в его должностных обязанностях. При таком подходе проще вынести взыскание за нарушение установленного режима ИБ, адекватное допущенному проступку.

Внешние партнеры.Последствия нарушения ИБ в той или иной области информационных рисков могут привести к негативным последствиям для партнеров по бизнесу, клиентов компании, поставщиков услуг, оборудования и других субъектов, сотрудничающих с компанией. Например, разглашение конфиденциальных сведений о финансовых и других условиях поставки оборудования, происшедшее по вине компании, может сорвать сделку поставщика с очередным его заказчиком, и поставщик потребует компенсации убытков, а при отказе обратится в суд. Следовательно, при решении вопросов, связанных с обеспечением информационной безопасности в компании, необходимо учитывать интересы в этой области сотрудничающих с компанией субъектов.

Третьей стороной информационных отношений являются государственные структуры.В результате нарушения ИБ в компании и они могут понести ущерб (например, при разглашении конфиденциальной информации, переданной в компанию с целью выявления источника информации, наносящего вред государству) и привлечь компанию к ответственное. Компания должна быть готова к тому. чтобы представить по требованию органов власти регионального или федерального уровня определенные виды информации, согласно действующему законодательству. Определяя ценность информационных активов, решая вопрос о мерах по защите той или    иной   информации,   находящейся    в   распоряжении    компании,    необходимо


внимательно     изучить     требования              правовых     документов,     регулирующих информационные отношения на государственном уровне. Это позволит, в частности, избавиться от напрасной траты средств на защиту той информации, которая в этом не нуждается по определению, или, напротив, принять дополнительные меры защиты информационного актива, который не должен стать достоянием гласности согласно требованию властей.

1.4   Информационная безопасность как система

Информационная безопасность - защищенность информации и поддерживающей ИТ инфраструктурыот случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб собственнику, владельцам и пользователям информации другим субъектам информационных отношений.

Следует обратить внимание на то, что ИБ должна обеспечивать не только защищенность собственно информации, по и той ИТ инфраструктуры, которая реализует в корпоративной сети информационные процессы. Состояние, в котором информационные активы и поддерживающая ИТ инфраструктура находятся на требуемом уровне защищенности, достигается созданием системы информационной безопасности.

Система ИБ- комплекс организационно-административных, технологических, технических и физических средств обеспечения безопасности информации и поддерживающей ИТ инфраструктуры, предназначенный для защиты от нарушения:

•  конфиденциальности (защищенный и управляемый доступ к информации)

•  целостности (санкционированные изменения информации)

•  доступности (предоставление информации в требуемый момент времени). Организационно-административные средстваИБ могут рассматриваться как своего рода фундамент системы безопасности. Прежде всего, они включают ряд документов, которые определяют стратегические положения ИБ. которым компания намеревается следовать в защите информации (Политика ИБ). Политика ИБ детализируется и уточняется в документах, которые на основе общих положений первого документа, формулируют правила и положения ИБ при использовании различных ресурсов, обеспечивающих деятельность компании: политика использования Интернет, политика применения антивирусных средств, политика использования электронной почты и др.