Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты.
С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.
Защита информации должна быть:
q централизованной;необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
q плановой; планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
q конкретной и целенаправленной;защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;
q активной;защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;
q надежной и универсальной,охватывать весь технологический комплекс информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
q нестандартной(по сравнению с другими организациями), разнообразной по используемым средствам;
q открытой для изменения и дополнения мер обеспечения безопасности информации;
q экономически эффективной; затраты на систему защиты не должны превышать размеры возможного ущерба.
Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут не бесполезны создателям систем информационной безопасности:
q средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;
q каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
q возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;
q независимость системы защиты от субъектов защиты;
q разработчики должны предполагать, что пользователи имеют наихудшие намерения(враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
q отсутствие на предприятии излишней информации о существовании механизмов защиты.
Дата добавления: 2016-03-04; просмотров: 1943;