Основные принципы обеспечения безопасности предприятия.

    Обеспечение безопасности информации можно представить как деятельность, направленную на снижение риска, — от ее утраты, разглашения, искажения и т.д.

    Обеспечение безопасности информации есть целенаправлен­ная деятельность, а защищенность указывает на уровень подго­товленности коммерческого предприятия противостоять любым попыткам внутренних и внешних угроз нанести ущерб ее закон­ным интересам.

    Обеспечение безопасности предприятия должно основываться на следующих основных принципах: системности; комплексно­сти; своевременности; непрерывности защиты; разумной достаточно­сти; гибкости; специализации; взаимодействия и координации — должно осуществляться планирование; совершенствования; цен­трализации и управления (процесс управления всегда централи­зован); активности; экономической эффективности; простоты применяемых защитных мер и средств.

    Принцип системности требует применения системного под­хода в качестве методологической базы при анализе и синтезе комплексной системы защиты информации. Основная цель си­стемного подхода — формализация вербальных описаний и состав­ление алгоритма деятельности. Суть его заключается в том, что при оценке эффективности мероприятий безопасности не огра­ничиваются рассмотрением только самой системы, но и учитыва­ют влияния на нее внешних факторов. Применение системного подхода при разработке технологий управления безопасностью по­зволяет реализовать синергетический эффект, являющийся резуль­татом упорядочения организационных структур управления, вза­имодействия, кооперации и интеграции с другими подсистемами анализируемой системы, устранения ненужных процедур, а в ито­ге — результатом достижения равновесного состояния функцио­нирования системы.

    Системный подход к построению КСЗИ предполагает необхо­димость учета всех взаимосвязанных, взаимодействующих и из­меняющихся во времени элементов, условий и факторов, значи­мых для понимания и решения проблемы обеспечения безопас­ности предприятия.

    При создании системы защиты необходимо учитывать все сла­бые, наиболее уязвимые места предприятия, а также характер, возможные объекты и направления атак на КСЗИ со стороны нарушителей (особенно высококвалифицированных злоумышлен­ников), пути проникновения и НСД к информации. Система за­щиты должна строиться с учетом не только всех известных кана­лов проникновения и НСД к информации, но и с учетом возмож­ности появления принципиально новых путей реализации угроз безопасности.

    Принцип комплексности предполагает, что система защиты предприятия должна включать совокупность объектов защиты, сил и средств, принимаемых мер, проводимых мероприятий и действий по обеспечению безопасности персонала, материальных и финансовых средств от возможных угроз всеми доступными за­конными средствами, методами и мероприятиями. Принцип ком­плексности позволяет оценить в целом главные вопросы защиты: что защищается, кто защищает и как защищается? В распоряже­нии специалистов по безопасности имеется широкий спектр мер, методов и средств защиты. Комплексность системы зашиты ин­формации достигается охватом всех возможных угроз и согласо­ванием между собой разнородных методов и средств, обеспечива­ющих защиту всех элементов предприятия.

    Защита должна строиться эшелонированно. Внешняя зашита обеспечивается физическими средствами, организационными ме­рами и правовыми мерами. Прикладной уровень зашиты, учиты­вающий особенности предметной области, образует внутренний рубеж обороны. Так, одной из наиболее укрепленных линий обо­роны должны быть средства защиты в автоматизированных си­стемах.

    Принцип своевременности означает, что меры защиты не дол­жны «запаздывать». Например, бесполезно выводить охранную сиг­нализацию на пульт дежурного, который сможет прибыть в слу­чае тревоги на объект охраны лишь спустя полчаса.

    Принцип непрерывности: в настоящее время общепринятым является процессный подход к обеспечению безопасности инфор­мации. Защита информации — это не совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответ­ствующих мер на всех этапах жизненного цикла систем предпри­ятия, начиная с самых ранних стадий проектирования, а не толь­ко на этапе их эксплуатации.

Во многих зарубежных стандартах зафиксирована циклическая схема процесса обеспечения безопасности информации PDCA (Plan-Do-Check-Act). Кроме того, принцип непрерывности под­черкивает недопустимость перерывов в работе средств защиты, устанавливая повышенные требования к их надежности.

    Принцип разумной достаточности учитывает тот факт, что создать абсолютно непреодолимую систему защиты принципи­ально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту, поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высоко­эффективная система защиты стоит дорого, использует при рабо­те существенную часть мощности и ресурсов компьютерной си­стемы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уро­вень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

    Часто приходится создавать систему защиты в условиях боль­шой неопределенности, поэтому принятые меры и установлен­ные средства защиты, особенно в начальный период их эксплуа­тации, могут обеспечивать как чрезмерный, так и недостаточный уровень зашиты. Естественно, что для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда средства защиты необходимо устанавливать на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибко­сти спасает владельцев АС от необходимости принятия карди­нальных мер по полной замене средств защиты на новые.