Политики безопасности компании при работе в Интернет. Сергей Александрович Петренко. Читать онлайн. Newlib. NEWLIB.NET

Автор: Сергей Александрович Петренко
Издательство:
Серия:
Жанр произведения: Компьютеры: прочее
Год издания: 2006
isbn: 5-98453-024-4
Скачать книгу
аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, помогут определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе связанный с разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.

      В соответствии со ст. 20 Федерального закона «Об информации, информатизации и защите информации» целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

      Поэтому главной целью политик безопасности отечественных компаний является обеспечение устойчивого функционирования предприятия: предотвращение угроз его безопасности, защита законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ[4], обеспечение нормальной производственной деятельности всех подразделений объекта. Другая задача политик безопасности сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов[5].

      Для этого необходимо:

      • отнести информацию к категории ограниченного доступа (коммерческой тайне)[6];

      • прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению нормального функционирования и развития ресурсов[7];

      • создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба[8];

      • создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании АС, а также пресечения посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности[9];

      • создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц и тем самым ослабить негативное влияние последствий нарушения информационной безопасности[10].

      При разработке политики безопасности можно использовать следующую модель (рис. 1.20), основанную на адаптации Общих критериев (ISO 15408) и проведении анализа риска


<p>4</p>

УК РФ, 1996 г., ст. 183, 272–274.

<p>5</p>

Румянцев О.Г., Додонов В.Н. Юридический энциклопедический словарь. М.: ИНФРА-М, 1997.

<p>6</p>

Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»; Постановление Правительства РСФСР от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну».

<p>7</p>

См. сноски 1, 2.

<p>8</p>

Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995, ст. 2.

<p>9</p>

Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995, ст. 2; Конституция Российской Федерации, ст. 23.

<p>10</p>

Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995, ст. 2; Конституция Российской Федерации, ст. 23., Гражданский кодекс РФ, часть I, ст. 139, 128.