Принципы построения систем обеспечения информационной безопасности

Итак, установлено, что именно, от кого и как защищать. Теперь можно переходить к построению системы комплексной защиты информации в АС. Сформулируем основные принципы построения таких систем.

Парирование угроз безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу корпоративной сети. Это происходит из того, что любая система защиты по определению налагает ограничения на работу организационного и технического характера.

Поэтому одним из основных принципов создания системы комплексной защиты информации должен стать принцип максимальной дружественности. Иными словами, не надо вводить запреты там, где без них можно обойтись («на всякий случай»)и, если уж и налагать ограничения, то предварительно нужно продумать, как это сделать с минимальными неудобствами для пользователя. Притом следует учесть совместимость создаваемой системы комплексной защиты с используемыми операционными системами, программно-аппаратной структурой АС и сложившимися традициями организации

Вплотную к этой проблеме стоит принцип прозрачности. Системой пользуются не только высококлассные программисты. Кроме того, основное на значение АС состоит в обеспечении производственных потребностей пользователей, то есть работы с информацией. Поэтому система защиты информации должна быть максимально «незаметной» и не мешать пользователям в основной работе, но при этом выполнять все возложенные на нее функции.

Принцип превентивности.Надо всегда помнить, что последствия реализации угроз безопасности информации могут потребовать значительно больших финансовых, временных и материальных затрат по сравнению с затратами на создание системы комплексной защиты информации.

Принцип оптимальности.Оптимальный выбор соотношения различных методов и способов парирования угроз безопасности информации при принятии решения позволит в значительной степени сократить расходы на создание системы защиты информации.

Принцип адекватности. Принимаемые решения должны быть дифференцированы в зависимости от важности, частоты и вероятности возникновения угроз безопасности информации, степени конфиденциальности самой информации и ее коммерческой стоимости.

Принцип системного подхода к построению системы защиты позволяет заложить комплекс мероприятий по парированию угроз безопасности информации уже на стадии проектирования АС, обеспечив оптимальное сочетание организационных и инженерно-технических мер защиты информации. Важность реализации этого принципа основана на том, что оборудование действующей незащищенной АС средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение ее в защищенном варианте.

Принцип адаптивности. Система защиты информации должна строиться с учетом возможного изменения конфигурации сети, числа пользователей и степени конфиденциальности и ценности информации. При этом введение каждого нового элемента сети или изменение действующих условий не должно снижать достигнутого уровня защищенности АС в целом.

Принцип доказательности. При создании системы защиты информации необходимы соблюдение организационных мер внутри АС, включая привязку логического и физического рабочих мест друг к другу, а также применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Реализация данного принципа позволяет сократить расходы на усложнение системы, например применять цифровую электронную подпись только при работе с удаленными и внешними рабочими местами и терминалами, соединенными с корпоративной сетью по каналам связи.

Эти принципы должны быть положены в основу при выборе направлений обеспечения безопасности АС функций и мер защиты информации

При выборе средств защиты информации обязательно встает вопрос о необходимости подтверждения выполнения тех или иных функций конкретным средством защиты Это немаловажный процесс, который в определенных случаях (на пример, при организации защиты информации, содержащей государственную тайну или сведения о личности — персональные данные) строго регламентирован. Свидетельством того, что те или иные функции защиты реализованы конкретным средством защиты, является сертификат соответствия — документ, которым независимые эксперты подтверждают готовность средства выполнить возложенные на него задачи.

Наши рекомендации