Карьера в информационной безопасности

Константин Михайлович Саматов

Эта книга о карьере в информационной безопасности, о месте информационной безопасности в безопасности бизнеса и не только.Книга предназначена прежде всего для тех, кто начинает свой путь в информационной безопасности – обучается на соответствующих специальностях в средних и высших учебных заведениях.Книга может быть полезна руководителям и специалистам по работе с персоналом, т.к. в ней изложен опыт автора по адаптации работников в подразделении информационной безопасности.

Глава 1. Что такое информационная безопасность?

Не сильно углубляясь в теорию, можно определить «информационную безопасность», как одно из направлений корпоративной безопасности (по сути, одну из составляющих), связанную с обеспечением состояния защищенности информации, т.е. таких ее свойств как конфиденциальность, целостность и доступность (рисунок 1).

В свою очередь «корпоративная безопасность» — комплекс мер, направленных на обеспечение информационной, инженерно-технической, экономической, кадровой и юридической безопасности организации, направленных на сохранение и обеспечение нормального осуществления всех процессов (деловых процессов) ее жизнедеятельности.

Рисунок 1. — Свойства информации

Таким образом, следует понимать (и это очень важно), что информационная безопасность является составной частью всей безопасности компании (элементом системы) и рассматривать ее изолированно, по мнению автора, не правильно. Информационная безопасность должна рассматриваться в контексте с другими элементами системы безопасности компании и наиболее тесно с кадровой безопасностью, инженерно-технической и юридической, а если брать тенденции последних лет, связанные с переходом активов компаний в электронный вид (т.н. «цифру»), то, пожалуй, еще и с экономической безопасностью.

Важно затронуть и еще одно понятие, тесно связанное с информационной безопасностью и, нередко, используемое в качестве синонима — это «защита информации». Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности и доступности информации. Иными словами, защита информации — это процесс, направленный на достижение состояния информационной безопасности.

Таким образом, синонимом понятия «защита информации» будет являться не безопасность информации (информационная безопасность), а «обеспечение информационной безопасности».

С точки зрения Российского права (ст. 16 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации») защита информации (обеспечение информационной безопасности) представляет собой обеспечение конфиденциальности, целостности и доступности путем принятия:

— правовых мер — разработка норм права направленных на регулирование отношений в сфере информационной безопасности;

— организационных мер — организация деловых процессов¹ обработки информации;

— технических мер — применение технических средств для защиты информации и информационных активов².

По мнению автора, данная классификация может быть дополнена еще т.н. «морально-этическими мерами», заключающимися в работе с людьми (персоналом) и направленными на минимизацию совершения ошибок в процессах обработки информации, а также на недопущение умышленных действий, влекущих нарушение правил информационной безопасности.

Важность понимания указанной классификации вызвана следующим: очень часто, на практике, автору приходилось сталкиваться с мнением о том, что информационная безопасность — это деятельность, связанная исключительно с техническими аспектами защиты информации и информационных активов. На самом деле, на практике это совершенно не так.

Что же представляет собой информационная безопасность на практике?

Примечания

1

Процесс — совокупность последовательных действий для достижения какого-либо результата (например, процесс ввода информации, процесс обращения бумажных документов в организации, процесс допуска работника на территорию организации и т.п.).

2

Информационный актив — информационный ресурс или средство обработки информации (например, база данных, архив бумажных документов, персональный компьютер, сервер и т.п.).