Управление информационной безопасностью на каждом отдельном предприятии должно осуществляться в контексте его общей хозяйственной деятельности: с учетом характера деятельности компании (технологии производства, специфики рынков сбыта и т.п.), а также фактически складывающейся ситуации в рыночной конкурентной борьбе, государственной политике, развития правовой и правоохранительной системы, уровня развития отдельных используемых информационных и телекоммуникационных технологий и других факторов, формирующих общие условия текущей деятельности.
Формальным основанием (предпосылкой) для осуществления целенаправленной деятельности в сфере защиты информации, помимо общегосударственных требований к защите информации, составляющей государственную, военную, врачебную и банковскую тайну, также является перечень сведений, составляющих коммерческую тайну предприятия, который определяется предприятием самостоятельно с учетом требований действующего законодательства.
Кроме того, необходимость разработки и внедрения политики информационной безопасности может быть обусловлена такими обстоятельствами, как:
- необходимость уменьшения стоимости страхования информационных рисков или определенных бизнес-рисков;
- необходимость внедрения международных стандартов, таких как ISO 17799 или BS 7799.
Рисунок 1. Предпосылки разработки политики безопасности предприятия
Необходимо разделять несколько относительно самостоятельных организационных уровней, характеризующихся специфическими задачами, подходами к решению этих задач и используемыми организационными методами.
- Уровень международных профессиональных объединений (как правило, неправительственных и некоммерческих), так или иначе связанных со сферой информационных технологий, телекоммуникаций и информационной безопасности.
- Уровень крупных компаний, работающих в сфере информационных технологий и в значительной мере определяющих (прямо или косвенно) состояние информационной безопасности в сообществе пользователей информационных систем, а также влияющих на безопасность различных элементов информационной инфраструктуры.
- Государственный уровень – уровень государственных и межправительственных организаций, так или иначе влияющих на жизнь общества, состояние правовой системы, развитие экономики и технологий.
- Уровень отдельных компаний (предприятий и организаций) – сообщество пользователей информационных систем, так или иначе заинтересованных в собственной информационной безопасности и обеспечивающих защиту имеющихся у них информационных ресурсов собственными силами.
· Также отдельно можно выделить дополнительный промежуточный уровень, включающий в себя консалтинговые и внедренческие компании, учебные центры (включая также сообщество специалистов, занимающихся консультациями, внедрениями и обучением в индивидуальном порядке), работающие в сфере информационной безопасности и действующие как связующее звено между различными организационными уровнями, а также представляющие интересы различных участников информационного взаимодействия.
Все эти составляющие образуют своеобразную организационную иерархию, представленную на рисунке 2:
Рисунок 2. Иерархия уровней организационной работы в сфере информационной безопасности
