Принципы обеспечения информационной безопасности
Опыт противодействия угрозам безопасности и построения систем управления информационными рисками, использования системного подхода к анализу защищенных информационных систем позволил сформулировать основные научно-практические принципы обеспечения информационной безопасности.
1. Обеспечение информационной безопасности выполняется в соответствии с политикой управления информационными рисками, разработка и реализация которой осуществляется под непосредственным руководством первых лиц предприятия с привлечением менеджмента соответствующих служб и отделов.
2. Архитектура системы управления информационными рисками (СУИР) обеспечивает оптимальный (рациональный) баланс затрат на управление информационными рисками и общего ущерба от информационных рисков.
3. Система управления информационными рисками является централизованной и реализует единую политику управления.
4. Безопасность информации достигается за счет комплексного использования нормативных, экономических и организационных мер, технических, программных и криптографических средств.
5. Система управления должна быть многоуровневой (многорубежной) и равнозащищенной во всех звеньях.
6. Должна быть обеспечена непрерывность функционирования на всех жизненных циклах системы.
7. Должно быть обеспечено разграничение и ограничение доступа персонала к информации.
8. Система должна быть способна к развитию и адаптации к изменению условий функционирования.
9. Наличие системы непрерывного мониторинга за выполнением всем персоналом установленных правил работы в информационной системе.
10. Мониторинг и аудит эффективности системы и своевременная ее модернизация.
Политика предприятия должна соответствовать требованиям российского законодательства. Политика управления информационными рисками отражается в официально принимаемой Программе управления информационными рисками предприятия. Для государственных организаций безопасность информации обеспечивается в соответствии с требованиями национальных стандартов и других руководящих документов государственных организаций – регуляторов сферы информационной безопасности государства. На государственном уровне политика в области информационной безопасности изложена в Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента РФ от 9 сентября 2000 г. № Пр-1895.
Второй принцип определяет сущность экономических методов управления информационными рисками, которая заключается в необходимости учета соотношения выделяемых денежных средств на обеспечение безопасности информации и ожидаемым общим ущербом от нарушения безопасности информации. Решение, близкое к оптимальному, получается в случае равенства затрат па управление информационными рисками величине соответствующего общего ущерба.
Система управления информационными рисками предприятия должна быть иерархической централизованной для обеспечения единой политики управления во всех подразделениях (в том числе и территориально разнесенных).
Не существует одного метода или средства, которые могли бы обеспечить 100%-ную защиту от угроз безопасности информации. Для повышения эффективности системы необходимо комплексно использовать комбинации методов и средств защиты различной природы и принципов действия. При этом следует иметь в виду, что основой для создания системы защиты является нормативная правовая база, а все средства защиты будут эффективны, если в системе налажено согласованное выполнение организационных мер, алгоритмов и действий всеми сотрудниками.
Высокая защищенность информационной системы достижима только при использовании многоуровневой системы защиты от угроз. В таких системах злоумышленнику потребуется преодолеть несколько барьеров на пути к информации.
Важно при построении СУИР исключить наличие слабых звеньев в системе защиты. Злоумышленник постарается найти наименее защищенный элемент системы защиты для выполнения своего замысла. Поэтому надежность всей системы защиты определяется надежностью самого слабого элемента. Это справедливо и для случайных угроз. Прорыв водозащитной дамбы, пробой электроизоляционных материалов, воспламенение горючих материалов имеют место в наименее защищенных местах.
В период эксплуатации информационной системы, независимо от режима работы и временны́х рамок, она должна быть соответствующим образом защищена от возможных угроз безопасности информации. Непрерывность защиты распространяется также на все этапы работы с информацией – ввод, хранение, обработку, выдачу, передачу.
Одним из основных принципов обеспечения информационной безопасности являются ограничение и разграничение доступа персонала к важной информации. Каждому сотруднику должны делегироваться минимально возможные права по доступу к ресурсам системы в строгом соответствии с его функциональными обязанностями.
Принцип развития и адаптивности СУИР предусматривает возможность модернизации системы, а также способность системы в автоматическом или автоматизированном режиме приспосабливаться к изменяющимся условиям функционирования (появлению новых угроз, изменению режимов работы, расширению функциональности системы и т.д.).
Важно, чтобы все сотрудники знали, что их действия в информационной системе могут быть в любой момент времени проконтролированы, а часть наиболее ответственных действий и событий задокументирована. Наиболее ответственные операции должны выполняться под непосредственным контролем соответствующих должностных лиц или комиссий. Система мониторинга работы системы позволяет эффективно расследовать инциденты в информационной системе.
Руководство предприятия обязано организовать мониторинг и периодический аудит эффективности функционирования СУИР и, при необходимости, своевременно обеспечить модернизацию системы.