Безопасность и Internet - статьи



         

Необходимость создания политики безопасности - часть 3


7. Демонстрация заинтересованности руководства компании

Вовлечение руководства в организацию режима информационной безопасности компании значительно увеличивает приоритет безопасности, что положительно сказывается на общем уровне безопасности компании. Без демонстрации заинтересованности руководства компании сотрудники не станут воспринимать политику информационной безопасности всерьез. Цель политики безопасности - разъяснение и доведение позиции руководства по обеспечению информационной безопасности в соответствии с принципами безопасности и бизнес целями компании.

8. Создание корпоративной культуры безопасности

"Образно организацию режима информационной безопасности можно сравнить с цепью: рвется там где самое тонкое звено цепи"( Б. Шнайер). Сотрудники являются как самым сильным, так одновременно и самым слабым звеном в обеспечении информационной безопасности. Необходимо донести до сотрудников мысль о том, что "обеспечение информационной безопасности - обязанность всех сотрудников". Это достигается путем введения процедуры ознакомления с требованиями политики безопасности и подписания соответствующего документа о том, что сотрудник ознакомлен, ему понятны все требования политики и он обязуется их выполнять. Политика позволяет ввести требования по поддержанию необходимого уровня безопасности в перечень обязанностей каждого сотрудника. В процессе выполнения ими трудовых обязанностей для сотрудников необходимо периодически проводить ознакомление и обучение вопросам обеспечения информационной безопасности. Критически важным условием для успеха в области обеспечения информационной безопасности компании становится создание в компании атмосферы, благоприятной для создания и поддержания высокого приоритета информационной безопасности. Чем крупнее компания, тем более важной становится информационная поддержка сотрудников по вопросам безопасности.

9. Уменьшение стоимости страхования

Страхование - важная составляющая управления информационными рисками. Наличие политики информационной безопасности является необходимым и обязательным условием страхования. В России уже появились фирмы предлагающие страховать информационные риски, например "Ингосстрах" и "РОСНО". Стоимость страхования страховая компания определяет путем проведения аудита информационной безопасности независимой компанией, специализирующейся в этой области. Например, компания Центр финансовых технологий (интернет-проект Faktura.ru) заключила договор комплексного страхования информационных рисков с "Ингосстрахом". Сумма ответственности составила $500 000. Аудит проводила компания OАO "Элвис-Плюс".




Содержание  Назад  Вперед