Основные принципы обеспечения ИБ Основными принципами обеспечения ИБ являются : 1) Системность Системный подход к защите АС предполагает необходимость учёта всех взаимосвязей, взаимодействующих и изменяющихся во времени элементов, условий и факторов: при всех видах информационной деятельности и информационного проявления во всех структурных элементах, при всех режимах функционирования, при всех этапах жизненного цикла, с учётом взаимодействия объекта защиты со внешней средой.
Основные принципы обеспечения ИБ 2) Комплексность В распоряжении специалиста по ИБ должен иметься широкий спектр методов и средств защиты АС: современные средства ВТ, прикладные программы. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существующие каналы реализации угроз.
Основные принципы обеспечения ИБ 3) Непрерывность защиты Защита информации – непрерывный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Разработка системы защиты информации ведётся параллельно с разработкой самой защищаемой системы. Это позволяет создать более эффективные, как по затрате ресурсов, так и по стойкости защищающей системы. Большинству технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имён, паролей, ключей, шифров, переопределение полномочий). Перерывы в работе средств защиты информации могут быть использованы злоумышленниками для анализа применяемых методов защиты, внедрения специальных программных, аппаратных и других средств преодоления средств защиты после восстановления её функционирования
Основные принципы обеспечения ИБ 4) Разумная достаточность защиты Создание абсолютно непреодолимой системы защиты невозможно. Например, криптографические средства защиты в большинстве случаев не гарантируют абсолютную стойкость, а лишь обеспечивают конфиденциальность информации в течение приемлемого для защищающейся стороны времени. Высокоэффективная система защиты дорого стоит и использует при работе существенную часть ресурсов АС. В этом случае имеет смысл говорить о некотором приемлемом уровне безопасности. Необходимо правильно выбрать этот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
Основные принципы обеспечения ИБ 5)Гибкость управления и применения Очень часто система и средства её защиты создаются в неопределённых условиях. Поэтому для обеспечения возможности изменения управления защищённости системы средства защиты должны обладать определённой гибкостью. Особенно это свойство выражено тогда, когда внешние условия с течением времени меняются, или когда средства защиты необходимо установить на работающую систему, не нарушая процесс её нормального функционирования. В таких ситуациях свойство гибкости спасает владельцев АС от принятия кардинальных мер по замене средств защиты на новые.
Основные принципы обеспечения ИБ 6) Открытость алгоритмов защиты Суть: защита не должна обеспечиваться только за счёт секретности структуры организации и алгоритмов функционирования систем. Однако, информация о системе защиты не обязательно должна быть общедоступна, поэтому необходимо обеспечить защиту от угрозы раскрытия параметров системы. 7) Простота применения защитных мер и средств Механизмы защиты должны быть просты в использовании и не должны требовать знания спец языков или действий, требующих дополнительных затрат при работе обычных пользователей.
Основные принципы обеспечения ИБ По ГОСТ Р ИСО/МЭК 13335 -1 для создания эффективной программы безопасности ИТТ, фундаментальными являются следующие высокоуровневые принципы безопасности: • Менеджмент риска – активы должны быть защищены путём принятия соответственных мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организационных угроз, уязвимостей и разных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения. • Обязательства – важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ.
Основные принципы обеспечения ИБ • Служебные обязанности и ответственность – руководство организации несёт ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала. • Цели, стратегии и политика – управление рисками, связанное с безопасностью ИТТ, должно осуществляться с учётом целей, стратегий, политики организации. • Управление жизненным циклом – управление безопасностью ИТТ должно быть непрерывным в течение всего жизненного цикла.
Скачать презентацию Основные принципы обеспечения ИБ Основными принципами обеспечения ИБ
Основные принципы обеспечения ИБ.ppt