Основные принципы построения системы защиты информации.
-законность;-системность;-комплексность;-непрерывность;-своевременность;-преемственность и непрерывность совершенствования;-персональная ответственность;-минимизация полномочий;
-взаимодействие и сотрудничество;-гибкость системы защиты;-открытость алгоритмов и механизмов защиты;- простота применения средств защиты;- научная обоснованность и техническая реализуемость;- специализация и профессионализм;- обязательность контроля.
Построение системы защиты информации мэрии и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
5.1. Законность.
Предполагает осуществление защитных мероприятий и разработку системы защиты информации мэрии в соответствии с действующим законодательством в области информации, информатизации и защиты информации, а также других нормативных актов по безопасности информации, утвержденных органами государственной власти. Принятые меры информационной безопасности не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к ресурсам конкретных информационных систем.
Все пользователи информационных систем мэрии должны иметь представление об ответственности за правонарушения в области информации.
5.2. Системность.
Системный подход к построению системы защиты информации в мэрии предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения информационной безопасности мэрии.
При создании системы защиты учитываются все слабые и наиболее уязвимые места информационных систем мэрии, а также характер, возможные объекты и направления атак на нее со стороны нарушителей, пути несанкционированного доступа к информации. Система защиты должна строиться с учетом возможности появления принципиально новых путей реализации угроз безопасности.
5.3. Комплексность.
Комплексное использование методов и средств защиты информационных систем предполагает согласованное применение программных и технических средств при построении целостной системы защиты, перекрывающей все значимые каналы реализации угроз. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами.
5.4. Непрерывность защиты.
Для обеспечения этого принципа необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, перераспределение полномочий).
Порядок получения доступа к информационным ресурсам регламентируется в разделе 3 «Порядка использования средств вычислительной техники».
Порядок организации парольной защиты установлен в «Руководстве пользователя ИСПДн».
5.5. Своевременность.
Предполагается упреждающий характер мер обеспечения информационной безопасности, то есть постановка задач по комплексной защите информации и реализация мер обеспечения безопасности информации на ранних стадиях разработки информационных систем.
Разработка системы защиты ведется параллельно с разработкой и развитием самой подлежащей защите информационной системы.
5.6. Преемственность и совершенствование предполагает постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационных систем мэрии и систем информационной защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
5.7. Персональная ответственность предполагает возложение ответственности за обеспечение информационной безопасности на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
5.8. Минимизация полномочий предполагает предоставление пользователям минимальных прав доступа в соответствии со служебной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.
5.9. Гибкость системы информационной безопасности предполагает способность системы информационной безопасности реагировать на изменения внешней среды и условий осуществления мэрией своей деятельности. В число таких изменений входят:
- изменения организационной и штатной структуры мэрии;
- изменение существующих или внедрение принципиально новых информационных систем;
- ввод в эксплуатацию новых технических средств.
5.10. Простота применения средств защиты.
Механизмы и методы системы защиты информации должны быть понятны и просты в использовании. Применение средств и методов защиты не связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных пользователей, а также не требует от пользователя выполнения малопонятных ему операций.
5.11. Обоснованность и техническая реализуемость предполагает, что информационные технологии, технические и программные средства, средства и меры защиты информации реализуются на современном техническом уровне и обоснованы для достижения заданного уровня безопасности информации и экономической целесообразности, а также соответствуют установленным нормам и требованиям по безопасности информации.
5.12. Специализация и профессионализм предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты осуществляется профессионально подготовленными специалистами структурного подразделения защиты информации мэрии.
5.13. Обязательность контроля предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации.
Методы защиты информации.
(из лекций) В любых информационных системах можно выделить следующие направления защиты информации:
- организационные методы защиты информации;
- технические средства зашиты;
- программные средства зашиты информации;
- криптографические методы закрытия информации.
Совокупность этих средств и методов защиты информации, организационной, нормативной, инструктивно-методической, технической и эксплуатационной документации образует систему зашиты для конкретной организации или сферы деятельности. Естественно, чем более индивидуальна ее система защиты информации, тем больше затрат (если она разработана на высоком профессиональном уровне) необходимо на ее вскрытие. Однако многие элементы и проектные решения по системам защиты могут и должны быть унифицированы и стандартизованы в рамках международных организаций, отдельных государств, областей деятельности, конкретных организаций и фирм, что необходимо для интеграции и организации взаимодействия систем зашиты информации и, кроме того, снижает стоимость отдельных систем.
(интернет)Защита информации в компьютерных системах обеспечивается созданием комплексной системы защиты. Комплексная система защиты включает:
- правовые методы защиты;
- организационные методы защиты;
- методы защиты от случайных угроз;
- методы защиты от традиционного шпионажа и диверсий;
- методы защиты от электромагнитных излучений и наводок;
- методы защиты от несанкционированного доступа;
- криптографические методы защиты;
- методы защиты от компьютерных вирусов.
«Статистические методы в управлении качеством» (Б3.Б.3)