Главная » Справочник » Основы информационной безопасности в органах внутренних дел » Принципы организации системы информационной безопасности

Принципы организации системы информационной безопасности

Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах.

Это:

соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации;
открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;
правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.

Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации:

проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;
организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;
поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;
осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
формулирует и реализует государственную информационную политику России;
организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;
способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

Принцип – некоторое положение, из которого исходят в какой-либо стороне действительности. Для защиты информации ее принципы должны обеспечивать ее эффективность – меньшие затраты, большая результативность. Непрерывное совершенствование. Суть принципа – в постоянном выявлении слабых мест системы защиты, которые обнаруживаются или могут возникать при изменениях внутренних и внешних условий системы.

Комплексный характер. Защита использует все доступные средства, распространяется на все структурные элементы организации и на все этапы работы с информацией. Исходят из того, что злоумышленники ищут самое слабое звено в системе безопасности.

Достаточность. Если какие-либо средства обеспечивают необходимый уровень защиты в некотором направлении, то других средств в этом направлении привлекать нет необходимости. Законность. Все меры и средства не должны выходить за рамки закона.

Подготовка сотрудников. Знания и умения, связанные с защитой информации, которые ожидаются от пользователей и сотрудников системы безопасности, должны целенаправленно формироваться некоторой систематической подготовкой.

Взаимодействие с правоохранительными органами. Не все вопросы безопасности организация может решить своими силами. Часть вопросов может быть переложена на государственную правоохранительную систему.

С позиций системного подхода можно назвать ряд требований на процесс и саму систему защиты информации, которая должна быть:

открытой для изменения и дополнения;
разнообразной по используемым средствам;
эффективной экономически (как уже говорилось, затраты на систему защиты не должны превышать размеры возможного ущерба).

Наряду с основными требованиями существует ряд устоявшихся рекомендаций создателям систем информационной безопасности:

средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;
каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
система защиты должна быть независимой от субъектов защиты;
разработчики должны предполагать, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
в организации информация о существовании и механизмах защиты должна быть доступна в пределах компетенции и служебных обязанностей сотрудников.

Изложенные концептуальные положения являются основой конкретных предложений по формированию политики и построению системы информационной безопасности.

Предыдущая статья Предупреждение компьютерных преступлений Следующая статья Проведение специальных проверок объектов информатизации

Статьи по теме