Основные принципы построения системы обеспечения безопасности информации

Построение системы обеспечения безопасности информации ОАО «СИБИРЬТЕЛЕКОМ» и ее функционирование должны осуществляться в соответствии со следующими основными принципами.

Законность

Предполагает осуществление защитных мероприятий и разработку системы безопасности информации ОАО «СИБИРЬТЕЛЕКОМ» в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления. Защитные мероприятия осуществляются в пределах компетенции ОАО «СИБИРЬТЕЛЕКОМ», с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных систем.

Пользователи и обслуживающий персонал должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации (см. Приложение 1).

Системность

Системный подход к построению системы защиты информации предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации ОАО «СИБИРЬТЕЛЕКОМ».

При создании системы защиты должны учитываться все системы обработки информации, а также характер, возможные ресурсы и направления атак на информационные системы со стороны нарушителей, пути проникновения в распределенные системы.

Многоступенчатость

Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано, таким образом, чтобы выход из строя, приостановка по регламенту обслуживания и т.п. максимально перекрывались иными средствами или системами защиты. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС — это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

Непрерывность

Защита информации – не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный, целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ККС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.).

Своевременность

Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите ККС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки ККС в целом и ее системы защиты информации, в частности.

Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Разумная достаточность

Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.

Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Персональная ответственность

Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы:

  • имелся сотрудник, ответственный за защиту той или иной конфиденциальной информации и информации, составляющей коммерческую тайну, и владеющий перечнем лиц, или должностей, к ней допущенных;
  • в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
Принцип минимизации полномочий

Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае, если это необходимо сотруднику для выполнения его должностных обязанностей и только в том объеме, который для этого необходим.

Ссылка на основную публикацию
Adblock detector