Основные положения информационной безопасности, определяемые документами Гостехкомиссии. Принципы системности, комплексности, непрерывности защиты и разумной достаточности.

Для защиты АС на основании руководящих документов Гостехкомис-сии могут быть сформулированы следующие положения.

1. Информационная безопасность АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методи­ческих документов.

2. Информационная безопасность АС обеспечивается комплексом программно-технических средств и поддерживающих их организацион­ных мер.

3. Информационная безопасность АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламент­ных работ.

4. Программно-технические средства защиты не должны существен­но ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).

5. Неотъемлемой частью работ по информационной безопасности является оценка эффективности средств защиты, осуществляемая по ме­тодике, учитывающей всю совокупность технических характеристик оце­ниваемого объекта, включая технические решения и практическую реали­зацию средств защиты.

6. Защита АС должна предусматривать контроль эффективности средств защиты. Этот контроль может быть периодическим либо иниции­роваться по мере необходимости пользователем АС или контролирующим органом.

Рассмотренные подходы могут быть реализованы при обеспечении следующих основных принципов :

• системности;

• комплексности;

• непрерывности защиты;

• разумной достаточности;

• гибкости управления и применения;

• открытости алгоритмов и механизмов защиты;

• простоты применения защитных мер и средств.

Принцип системности. Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаи­модействующих и изменяющихся во времени элементов, условий и фак­торов:

• при всех видах информационной деятельности и информационного проявления;

• во всех структурных элементах;

• при всех режимах функционирования;

• на всех этапах жизненного цикла;

• с учетом взаимодействия объекта защиты с внешней средой.

При обеспечении информационной безопасности АС необходимо учитывать все слабые, наиболее уязвимые места системы обработки ин формации, а также характер, возможные объекты и направления атак со стороны нарушителей, пути проникновения в распределенные системы и несанкционированного доступа (НСД) к информации. Система защиты строиться не только с учетом всех известных каналов проникновения и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип комплексности. В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. В частности, современные средства вычислительной техники, операционные системы, инструментальные и прикладные программные средства обладают теми или иными встроенными элементами защиты. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты закрывающей все существенные каналы реализации угроз.

Принцип непрерывности защиты. Защита информации - это непрерывный целенапрвленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, позволит создать более эффективные по затратам ресурсов, так и по стойкости защищенные системы.

Разумная достаточность. Создать абсолютно непреодолимую систему защиты принципиально невозможно: при достаточных времени и средствах можно преодолеть любую защиту. Поэтому всегда необходимо вести речь о некотором приемлемом уровне безопасности. Важно правильно выбрать тот достаточный уровень зашиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).