Принципы организации системы информационной безопасности

Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах.

Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации:

• проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;
• организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;
• поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;
• осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
• проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
• способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
• формулирует и реализует государственную информационную политику России;
• организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;
• способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

Принцип – некоторое положение, из которого исходят в какой-либо стороне действительности. Для защиты информации ее принципы должны обеспечивать ее эффективность – меньшие затраты, большая результативность. Непрерывное совершенствование. Суть принципа – в постоянном выявлении слабых мест системы защиты, которые обнаруживаются или могут возникать при изменениях внутренних и внешних условий системы.

Достаточность. Если какие-либо средства обеспечивают необходимый уровень защиты в некотором направлении, то других средств в этом направлении привлекать нет необходимости. Законность. Все меры и средства не должны выходить за рамки закона.

Взаимодействие с правоохранительными органами. Не все вопросы безопасности организация может решить своими силами. Часть вопросов может быть переложена на государственную правоохранительную систему.

Наряду с основными требованиями существует ряд устоявшихся рекомендаций создателям систем информационной безопасности:

• средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;
• каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
• система защиты должна быть независимой от субъектов защиты;
• разработчики должны предполагать, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
• в организации информация о существовании и механизмах защиты должна быть доступна в пределах компетенции и служебных обязанностей сотрудников.

Изложенные концептуальные положения являются основой конкретных предложений по формированию политики и построению системы информационной безопасности.