Влияние правовых рисков на уровень информационной безопасности

Безусловно, необходимость управления правовыми рисками применительно к информационной безопасности действительно существует. Но наличие этой проблемы не ведет к снижению уровня ИБ.

Во-первых, в России уже достаточно давно существуют законодательные акты, непосредственно относящиеся к некоторым областям регулирования информационной безопасности. К ним относятся и требования по защите конфиденциальной информации, и сертификация средств защиты, и лицензирование отдельных видов деятельности, и аттестация объектов автоматизации, и регулирование взаимодействия с информационными системами органов государственной власти - перечень можно продолжить. К примеру, действующее законодательство в определенных случаях обязывает организации получать лицензии на деятельность, связанную с защитой информации или использовать только сертифицированные средства защиты. Кроме того, регулирующие или надзорные органы периодически выпускают свои рекомендации по организации информационной безопасности на предприятиях данной отрасли, например, для банковского сектора актуален стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».

Таким образом, необходимость взаимодействия юридического отдела с отделом информационной безопасности возникла не сегодня, а появление новых законодательных актов (например, федерального закона «О персональных данных»), только заставляет это взаимодействие быть более тесным. Развитие отрасли информационной безопасности, а также законодательной базы к ней привело к тому, что изменилось понятие «риск информационной безопасности». В настоящий момент к рискам ИБ следует относить не только риски, связанные с непосредственным нарушением информационной безопасности, но и правовые риски, связанные с законодательством в области ИБ. К правовым рискам, прежде всего, относятся возможность наступления ответственности за допущенную утечку информации или персональных данных, а также потенциальные проблемы с регулирующими или надзорными органами, которые могут возникнуть при невыполнении определенных требований действующего законодательства. Как и в любой другой отрасли, для управления совокупным риском информационной безопасности, как правило, оценивается вероятность наступления того или иного события и величина ущерба, который при наступлении этого события может возникнуть. На основании таких оценок и принимается решение о мероприятиях по снижению или принятию рисков, выделение и осваивание бюджетов, инвестирование, обучение специалистов и так далее. То есть маловероятны случаи, при которых происходит перекос бюджета, внимание руководства и усилий соответствующих отделов только потому, что это правовое поле, а не, допустим, технологическое. Поэтому, говорить о том, что принятие очередного касающегося ИБ закона ведет к снижению уровня ИБ, не вполне корректно - в организациях всегда присутствует компромисс, который необходим для нормальной работы.

Во-вторых, вполне вероятно, что выполнение требований законодательства наоборот приведет к увеличению общего уровня информационной безопасности, так как заставит обратить внимание на второстепенные проблемы, систематизирует знания и улучшит уровень взаимодействия между подразделениями.

Но я хотел бы обратить внимание на следующий момент. К сожалению, действующее законодательство в области информационной безопасности не совсем последовательное и допускает неоднозначные трактовки. Некоторые подзаконные акты не то что не дополняют, а даже противоречат друг другу. Для правильного и эффективного управления правовыми рисками в области информационной безопасности не всегда достаточно иметь юридическое образование. Специфика этой отрасли подразумевает, что юрист должен владеть терминологией, знать международные стандарты и требования, судебную практику в этой области, кроме того, крайне желательно иметь общее представление о процедурах и технологиях информационной безопасности. Особенно актуально этот вопрос возникает при желании организации выйти на международный уровень, где четкое выполнение требований международных стандартов играет огромную роль. Поэтому если говорить о попытке соблюдения законности в области ИБ не имея соответствующих знаний, опыта и кадров, то в этом случае может не только уменьшиться уровень информационной безопасности, но и снизиться общая эффективность организации в целом.

Блог автора



СОВИТ

Аналитика

Архив

Новости

Архив