- •1. Основные понятия и определения (информация, субъект доступа, угрозы информационной безопасности, классификация угроз и т.Д.)
- •2. Структуризация методов обеспечения информационной безопасности
- •3. Основные методы реализации угроз информационной безопасности
- •4. Основные принципы обеспечения информационной безопасности
- •5. Направления обеспечения информационной безопасности
- •6. Правовая защита
- •8. Инженерно-техническая защита и физические методы
- •9.Аппаратное обеспечение инженерно-технической защиты
- •10.Программное обеспечение инженерно-технической защиты
- •11.Межсетевые экраны: назначение, виды, принцип работы
- •12. Антивирусы: назначение, виды
4. Основные принципы обеспечения информационной безопасности
Для защиты ИС, на основании руководящих документов гостехкомиссии, могут быть сформулированы следующие положения:
информационная безопасность ИС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов
ИБ обеспечивается комплексом инженерно-технических средств и поддерживающих их организационных мер
ИБ должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе и при проведении ремонтных и регламентных работ
Инженерно-технические средства защиты не должны существенно ухудшать функциональные характеристики ИС (надёжность, быстродействие, возможность изменения конфигурации)
Неотъемлемой частью работ по ИБ является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты
Защита ИС должна предусматривать контроль эффективности средств защиты, этот контроль может быть периодическим или выполняемым по необходимости.
Основные принципы обеспечения ИБ:
системности: предполагает необходимость учёта всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов: а) при всех видах инф деятельности, б) во всех структурных элементах, в) при всех режимах функционирования, г) на всех этапах ЖЦ, д) с учётом взаимодействия объекта защиты с внешней средой. Система защиты должна стоится с учётом возможности появления принципиально новых путей реализации угроз ИБ.
принцип комплексности: предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существующие каналы реализации угроз и не содержащей слабых мест на стыках отдельных компонентов.
принцип непрерывности защиты: защита инф не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах ЖЦ (с самого начала стадии проектирования). Разработка системы защиты должна вестись должна вестись параллельно с разработкой самой ИС.
принцип разумной достаточности: предполагает выбор такого уровня защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
принцип гибкости системы защиты: предполагает возможность варьирования уровня защищённости ИС.
принцип открытости алгоритмов и механизмов защиты: предполагает, что защита не должна обеспечиваться только за счёт секретности, структурной организации и алгоритмов функционирования её подсистем. Знание алгоритмов работы системы защиты не должно давать возможности её преодоления даже разработчиками. Принцип открытости алгоритмов и механизмов защиты не предполагает что информация о конкретной системе защиты должна быть общедоступна. Необходимо обеспечивать защиту от угрозы раскрытия параметров системы.
принцип простоты применения средств защиты: предполагает, что механизмы защиты должны быть интуитивно понятны и просты и использовании; применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат, при обычной работе законных пользователей.