Главная страница
Навигация по странице:

  • Преемственность и совершенствование

  • Разумная достаточность (экономическая целесообразность)

  • Персональная ответственность

  • Взаимодействие и сотрудничество

  • Гибкость системы защиты

  • Открытость алгоритмов и механизмов защиты

  • Простота применения средств защиты

  • Обоснованность и техническая реализуемость

  • Специализация и профессионализм

  • Обязательность контроля

    		•

    Отчет по преддипломной практики. Отчет по практической подготовке в форме преддипломной практики в ооо Астралрд


    Скачать 273.73 Kb.
    НазваниеОтчет по практической подготовке в форме преддипломной практики в ооо Астралрд
    АнкорОтчет по преддипломной практики
    Дата01.06.2022
    Размер273.73 Kb.
    Формат файлаdocx
    Имя файлаОтчет по преддипломной практики.docx
    ТипОтчет
    #563091
    страница6 из 9
    1   2   3   4   5   6   7   8   9

    2.2. Основные принципы формирования перечня критичных ресурсов, нуждающихся в защите, формируемого в процессе проведения аудита безопасности и анализа рисков


    Построение системы безопасности информации и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

    • законность;

    • системность;

    • комплексность;

    • непрерывность;

    • своевременность;

    • преемственность и непрерывность совершенствования;

    • разумная достаточность (экономическая целесообразность);

    • персональная ответственность;

    • минимизация полномочий;

    • взаимодействие и сотрудничество;

    • гибкость системы защиты;

    • простота применения средств защиты;

    • обоснованность и техническая реализуемость;

    • специализация и профессионализм;

    • обязательность контроля.

    Законность

    Предполагает осуществление защитных мероприятий и разработку Политики информационной безопасности Компании в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных подсистем. Все пользователи информационной системы Компании должны иметь представление об ответственности за правонарушения в области информации. Реализация данного принципа необходима для защиты имени и репутации Компании.

    Системность

    Системный подход к построению системы защиты информации в Компании предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности информации. При создании системы защиты должны учитываться все уязвимые места информационной системы Компании, а также характер, возможные объекты и направления атак на нее со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и несанкционированного доступа к информации.

    Комплексность

    Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты информации, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

    Непрерывность

    Непрерывность защиты Обеспечение безопасности информации – постоянный процесс, осуществляемый руководством Компании, подразделением безопасности и сотрудниками всех уровней Компании. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности всех подразделений Компании. Кроме того, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.).

    Своевременность

    Своевременность предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите информации и реализацию мер обеспечения безопасности информации на ранних стадиях разработки информационных систем в целом и их систем защиты информации в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой информационной системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) системы, обладающие достаточным уровнем защищенности.

    Преемственность и совершенствование

    Предполагает постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационной системы Компании и системы ее защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

    Разумная достаточность (экономическая целесообразность)

    Предполагает соответствие уровня затрат на обеспечение информационной безопасности ценности защищаемой информации и величине возможного ущерба от ее разглашения, утраты, утечки, блокирования или искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать функциональность компонентов информационной системы Компании. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала. Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью.

    Персональная ответственность

    Предполагает возложение ответственности за обеспечение информационной безопасности на каждого сотрудника Компании в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников и степень их ответственности были четко определены.

    Взаимодействие и сотрудничество

    Предполагает создание благоприятной атмосферы в коллективах структурных подразделений Компании. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие подразделениям, обеспечивающим режим безопасности информации. Важным элементом эффективной Политики информационной безопасности является высокая культура работы с информацией.

    Гибкость системы защиты

    Политика информационной безопасности должна быть способна реагировать на изменения внешней среды и условий осуществления Компаниям своей деятельности. В число таких изменений входят:

    • Изменения организационной и штатной структуры Компании;

    • Корпоративная реструктуризация, слияния и поглощения;

    • Расширение или приобретение бизнеса (включая влияние изменений в соответствующей экономической или правовой среде);

    • Изменение существующих или внедрение принципиально новых информационных систем;

    • Новые технические средства;

    • Новые виды деятельности;

    • Новые услуги, продукты.

    Свойство гибкости системы информационной безопасности избавляет в таких ситуациях от необходимости принятия кардинальных мер по полной замене средств и методов защиты на новые, что снижает ее общую стоимость.

    Открытость алгоритмов и механизмов защиты

    Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам).

    Простота применения средств защиты

    Механизмы и методы защиты должны быть интуитивно понятны и просты в использовании. Применение средств и методов защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций.

    Обоснованность и техническая реализуемость

    Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня безопасности информации и экономической целесообразности, а также должны соответствовать установленным нормам и требованиям по безопасности информации.

    Специализация и профессионализм

    Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области.

    Обязательность контроля

    Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
    1   2   3   4   5   6   7   8   9

    написать администратору сайта