Блог

Уровни информационной безопасности: важность методологии для практики

Информационная безопасность с точки зрения методологии – это глубоко изученный процесс, который принято подразделять на несколько уровней. От глобальных основ к частным практикам, которые приняты в конкретной компании.
Уровни информационной безопасности – это методологическая основа, на которой базируется реализация информационной защиты организации. Без знания этих основ и их особенностей невозможно эффективно внедрить защитные механизмы в инфраструктуру компании.

Существуют как глобальные проблемы, затрагивающие несколько «пластов» ИБ, так и локальные, характерные для конкретного уровня. В этой статье мы разберем проблематику реализации программ информационной безопасности и основные трудности, с которыми сталкиваются компании.

1 уровень защиты информации

Это уровень правовых основ. Главным инициатором, в лице своих законодательных органов и профильных ведомств, выступает государство,. На правовом уровне формируются регламенты и минимальные требования, которым должны соответствовать те или иные компании.
Уровень требований во многом определяется спецификой субъекта правоприменения. Это могут быть объекты критической информационной инфраструктуры, операторы данных, государственные предприятия или другие субъекты.

[...]

2 уровень защиты информации

Это уровень управленческих решений. Основные инициаторы на административном уровне – это топ-менеджмент компании. В рамках этого уровня формируются должностные инструкции, назначаются ответственные лица и составляются регламенты реагирования, обучения персонала и внедрения других защитных механизмов.
Как и на предыдущем уровне, главной проблемой здесь остается формализм: политики могут быть скачаны из интернета ради прикрытия юридических дыр. В таком случае, протоколы безопасности становятся формальными и не несут никакой практической пользы, поскольку не исполняются должным образом.

[...]

Дмитрий Пудов, генеральный директор NGR Softlab:

Мне сложно поверить, что многие организации столкнулись с информационной безопасностью впервые. Сейчас многие компании готовы перейти к более осознанному управлению рисками информационной безопасности, отдавая себе отчет, что игнорировать их нельзя.

Если в организации вопросы ИБ вышли на стратегический уровень, то необходимо создавать и развивать это направление. С точки зрения методологии, информационная безопасность – достаточно зрелая область знаний, на рынке достаточно профессиональных компаний, которые смогут помочь сформировать стратегию ИБ и реализовать ее, учитывая все тонкости и нюансы законодательства, ИТ-ландшафта, финансовых возможностей организации и особенностей ее бизнес-процессов.

Сейчас на рынке уже есть ряд компаний, которые готовы предоставлять некоторые услуги безопасности по сервисной модели. Если организация в начале пути, то важно постараться работать с профессионалами и помнить о правиле Парето: 20% мероприятий дадут 80% результата.

Подробнее на сайте издания по ссылке.