БЕЗОПАСНОСТЬ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ

Какой должна быть защита информации

Защита информации должна быть:

□         централизованной: необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;

□         плановой: планирование осуществляется для создания взаимодействия всех подразделений организаций в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;

□         конкретной и целенаправленной: защите подлежат абсолютно конкретные информационные ресурсы, представляющие интерес для конкурентов;

□         активной: защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментов, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;

□         надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта: методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;

□         нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;

□         открытой для изменения и дополнения мер обеспечения безопасности информации;

□         экономически эффективной: затраты на систему защиты не должны превышать размеры возможного ущерба.

Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут полезны создателям систем информационной безопасности:

□         средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;

каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;

□         возможность отключения защиты в особых случаях, например, когда механизмы зашиты реально мешают выполнению работ;

□         независимость системы защиты от субъектов защиты;

□         разработчики должны учитывать враждебность окружения (то есть предполагать, что пользователи имеют наихудшие намерения, будут совершать серьезные ошибки и искать пути обхода механизмов защиты);

□         в организации не должно быть излишней информации о существовании механизмов защиты.

Все перечисленные позиции следует положить в основу формирования системы защиты информации.