- •Подразделение защиты информации организации
- •Тема 1. Основы организации подразделения по защите информации в организации
- •Вопрос 1. Стратегии обеспечения защиты информации в организации 4
- •Вопрос 2. Подразделение защиты информации организации: понятие, подходы к созданию 12
- •Введение
- •Вопрос 1. Стратегии обеспечения защиты информации в организации
- •Стратегия упреждающего противодействия угрозам безопасности информации
- •Стратегия пассивной зашиты от угроз безопасности информации
- •Стратегия адекватного ответа на угрозы безопасности информации
- •Вопрос 2. Подразделение защиты информации организации: понятие, подходы к созданию
- •Подход 1. Ориентация на создание подразделения зи, полноценной по исполняемым функциям
- •Подход 2. Ориентация на создание подразделения безопасности, минимизированной по исполняемым функциям
- •Подход 3. Ориентация на создание подразделения безопасности с ограниченными функциями
Стратегия упреждающего противодействия угрозам безопасности информации
В основе данной стратегии лежит ориентация руководства организации (предприятия) на максимально жесткое противодействие возможным угрозам безопасности информации путем:
выраженного приоритета профилактических методов противодействия возможным угрозам;
возможности применения для профилактики и отражения возможных угроз не в полной мере легитимных методов.
Выраженный приоритет профилактических методов противодействия возможным угрозам заключается в обеспечении таких условий функционирования организации, при которых угрозы безопасности информации не смогут возникнуть вообще или будут пресечены на стадии их подготовки.
Возможность применения для профилактики и отражения возможных угроз не в полной мере легитимных методов заключается в том, что выбирая между легитимностью и эффективностью того или иного метода, руководители организации отдают предпочтение именно эффективности, несмотря на связанные с этим риски. В этих условиях важной задачей является четкое определение границы между «полулегитимными» и «нелегитимными методами». Пересечение такой границы автоматически выводит организацию из числа законопослушных хозяйствующих субъектов и грозит применением к ней предусмотренных законом санкций.
Преимущества стратегии. Из всех стратегий обеспечения безопасности информации рассматриваемая стратегия является наиболее эффективной, поскольку позволяет организации своевременно предупреждать возможные угрозы или пресекать их практически сразу после возникновения. В результате риски имущественных или неимущественных потерь организации, связанные с деятельностью, сводятся к минимуму.
Дополнительным преимуществом стратегии служит возможность обеспечения поддержки других направлений. В процессе исполнения своих функций в рамках рассматриваемой стратегии, подразделение ЗИ прямо или косвенно содействует руководителям структурных подразделений в решении поставленных перед ними задач. Это позитивно отражается на конечной эффективности не только управления персоналом, но и всей системы внутрифирменного менеджмента.
Недостатки стратегии. Главным недостатком здесь выступает высокая вероятность конфликтов с действующим законодательством и собственными сотрудниками. Они возникают в организации (на предприятии), которые, как уже ранее отмечалось, пересекли границу между полулегитимными и откровенно нелегитимными методами. При выявлении сотрудниками фактов прослушивания их телефонных разговоров, скрытого видеонаблюдения (без письменного предупреждения со стороны администрации), принудительного склонения к проверкам на полиграфе (детекторе лжи) становится возможным возбуждение индивидуальных и коллективных (от имени профсоюза) исков к организации. Даже в случае их отклонения судебными инстанциями имиджу организации может быть нанесен ощутимый ущерб, например, путем подключения средств массовой информации. Не менее серьезный ущерб организация может понести в случае инициативного увольнения ценного для нее специалиста, обиженного на использование в отношении него специальных мероприятий по контролю потенциальной лояльности.
Вторым, чисто «техническим» недостатком является необходимость дорогостоящей ресурсной поддержки процесса реализации данной стратегии — финансовой, кадровой, материально-технической, а также высокая трудоемкость осуществляемых в соответствии с ней управленческих процедур.
Рекомендации по применению. Учитывая последний его недостаток, практическая реализация рассматриваемого варианта доступна только для следующих типов современных организаций:
крупных корпораций, бюджет которых позволяет без особого напряжения профинансировать масштабные расходы на развитие любых направлений защиты информации;
любых высокорентабельных организаций, работающих в условиях жесткого прессинга со стороны конкурентов и вынужденных, в качестве одного из условий собственного выживания, обеспечивать безопасность наиболее эффективными методами.