Государственная безопасность,

Экономическая безопасность,

Энергетическая безопасность,

Экологическая безопасность,

Пожарная безопасность,

Транспортная безопасность,

Банковская безопасность,

и другие.

Понятие информационной безопасности, включая в себя компьютерную безопасность в качестве неотъемлемой составной части. Кроме того, по своему содержанию информационная безопасность включает:

- компьютерную безопасность;

- безопасность информационных систем и процессов;

- безопасность среды для реализации информационных процессов.

Приведем здесь определение компьютерной безопасности из словаря Парфенова В.И. или из книги [Теоретические основы информатики и информационная безопасность. М.: Радио и связь, 2000.-468 с.]

Компьютерная безопасность - свойство компьютерной информации, ЭВМ, системы ЭВМ, сети ЭВМ, при котором с требуемой вероятностью обеспечивается защита компьютерной информации (данных) от утечки, хищения, утраты, несанкционированного доступа, уничтожения, искажения, модификации, копирования, блокирования, а также защита ЭВМ, системы ЭВМ, сети ЭВМ от неправомочного доступа, создания, использования и распространения вредоносных программ, нарушения правил эксплуатации, несанкционированной модификации программ и т.п..

Помимо системы обеспечения (информационной)безопасности важна система менеджмента информационной безопасности.

В частности для организаций банковской системы есть определение.

Система менеджмента (управления – в некоторых документах) информационной безопасности организации банковской системы Российской Федерации; СМИБ (СУИБ) – эточасть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности организации банковской системы Российской Федерации [ISO/IEC IS 27001].

Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.

Важнейшими исходными данными для эффективной деятельности служб ИБ являются информационные модели основной деятельности организации (описания бизнес-процессов, реализуемых технологий и т.п.). Данные модели определяют контекст и акценты внимания деятельности служб ИБ, так как они позволяют понять, где в структуре деятельности организации в части информатики имеются уязвимости для потенциальных злоумышленников и какие защитные меры могут потребоваться и какие из них могут быть наиболее эффективными.

Результатами (выходами) деятельности и процессов по обеспечению ИБ организации являются:

- документы (отчеты, предложения, внутренние нормативные документы);

- механизмы (средства) обеспечения ИБ и решения по их реконфигурации (совершенствованию);

- сигнал опасности для основной деятельности (бизнеса) организации.

Механизмы обеспечения ИБ, являющиеся результатом деятельности и процессов по ее обеспечению в организации, выступающие в качестве ресурсного обеспечения для основной деятельности организации, эксплуатируются службами ИБ, а в отдельных случаях и основными функциональными подразделениями организации. Информация контроля результатов применения и функционирования механизмов (защитных мер) поступает для анализа в службу информационной организации.

Остановимся подробнее на важном понятии «политика безопасности». Приведем несколько определений.

Политика безопасности организации – одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.

Далее появились разновидности этого определения. Например, такое.

Политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) (ICТ security policy): правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию. [ГОСТ Р 13335-1].

Нас будет в основном интересовать «политика информационной безопасности». Согласно [ГОСТ Р ИСО/МЭК 17799-2005]

Политика информационной безопасности должна быть утверждена высшим руководством, издана и доведена до сведения всех сотрудников и соответствующих внешних сторон.

Документ о политике информационной безопасности должен устанавливать ответственность руководства и излагать подход организации к управлению информационной безопасностью. Политика должна содержать следующие положения:

а) определение информационной безопасности, ее общих целей и сферы действия, а также упоминание значения безопасности как инструмента, обеспечивающего возможность совместного использования информации (см. Введение);

б) изложение намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;

в) основание для установки целей контроля и мер контроля, включая структуру оценки риска и менеджмент риска;

г) краткое изложение наиболее существенных для организации политик безопасности, принципов, стандартов и требований, включающее:

1) соответствие законодательным, регулятивным требованиям и договорным обязательствам;

2) требования в отношении обучения и осведомлённости в вопросах безопасности;

3) управление непрерывностью бизнеса;

4) ответственность за нарушения политики информационной безопасности;

д) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

е) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Такая политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в уместной, доступной и понятной форме.

Политика информационной безопасности может быть частью документа общей политики. Если политика информационной безопасности распространяется вне организации, то нужно обратить внимание на неразглашение секретной информации. Дополнительную информацию можно найти в ISO/IEC 13335-1:2004.

Политика информационной безопасности должна пересматриваться через запланированные промежутки времени или в случае появления существенных изменений в целях обеспечения её непрерывной стабильности, адекватности и эффективности

Политика информационной безопасности должна иметь владельца, который утвердил административную ответственность за развитие, пересмотр и оценку политики безопасности. Пересмотр должен включать возможности оценки для улучшения политики информационной безопасности организации и подход к управлению информационной безопасностью в ответ на изменения в организационной среде, деловой ситуации, юридических условиях или технической среде.

В стандарте Банка России понятие политики ИБ банковской системы приводится похожее на предыдущие определение.

Политика информационной безопасности организации банковской системы Российской Федерации: одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности.

Завершает раздел исходная концептуальная схема (парадигма) обеспечения информационной безопасности, которая обсуждается в работе [Курило и др]. Суть парадигмы ИБ — противоборство собственника и злоумышленника за права на информационные активы в целях последующего извлечения дохода.

На самом деле, цели злоумышленника могут быть и другие. Поэтому это понятие трактуется и конкретизируется в стандарте Банка России следующим образом.

В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника и злоумышленника за контроль над информационными активами. В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, может быть нанесен ущерб.