Принципы организации и основные элементы КСЗИ предприятия

информации, которые должны работать во взаимодействии друг с другом.

КСЗИ:
Правовая защита

информации
Организационная защита информации
Инженерно-техническая защита информации
Программно-аппаратная защита информации
Криптозащита в случае, если используется автоматизированное шифрование и дешифрование сообщений

действующих на международном уровне либо в масштабах всей страны. 
Правовой элемент

системы организации защиты информации на предприятии основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные
меры защитного характера,
ответственности персонала за
нарушение порядка защиты
информации.

в масштабе отрасли, либо предприятия. 

защиту информации от несанкционированного доступа, разрушения и модификации.

если на предприятии используется автоматизированная обработка информации с использованием вычислительной

техники.

система защиты обеспечивающая безопасность функционирования всего предприятия, его товароматериальных ценностей,

персонала и информационных ресурсов. Поэтому система защиты информации является составной частью общей системы безопасности предприятия поскольку методы защиты часто совпадают.

На первом этапе построения системы защиты оставляется общая характеристика предприятия, которая называется паспорт предприятия в котором четко прописываются объекты защиты.
Выявление угроз и уязвимостей. Риски.
Составляется модель нарушителя. Угрозы могут иметь естественное происхождение и антропогенное. Прописывается чем нарушитель может пользоваться, какими ресурсами он обладает.

предприятия технологических схем, условия функционирования предприятия, по изменению характера угроз.

Непрерывность - защита есть непрерывный процесс, а не одноразовый акт.
Комплексность - использование всего арсенала средств защиты для блокирования всех угроз по всем возможным каналам утечки и на все этапах обработки информации.
Научная обоснованность - применение всех научных знаний и передового практического опыта для создания системы защиты.
Концептуальное единство - все элементы системы защиты должны быть реализованы на основе единой концепции.

угроз тем выше уровень защиты.
Функциональная самодостаточность - система защиты

не должна зависеть от других систем предприятия.
Минимизация предоставляемых прав - каждому пользователю который работает с защищаемой информацией должны предоставляться только те права которые необходимы для его служебных обязанностей.
Полнота контроля - все этапы обработки информации должны быть под контролем и результаты контроля должны документироваться.
Активность реагирования - система защиты должна реагировать на любые попытки несанкционированного доступа к защищаемой информации.

и соответствовать структуре предприятия.
Плановость - организация взаимодействия все подразделений

занятые защитой информации должны проходить в соответствии с планами.
Целенаправленность - защищать нужно то что требуется, а не все подряд.
Конкретность - защите подлежат конкретные ресурсы представляющие интерес для злоумышленника и потеря которых может привести к ущербу.
Активность защиты - принцип состоит в том чтобы предвидеть возможность угрозы, а не реагировать на устранение последствий.

привязана к целям и задачам защиты информации на конкретном предприятии;
она

должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;
она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;
она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;
она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;
она должна быть компонентно, логически, технологически и экономически обоснованной;
она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;
она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;
она должна быть непрерывной;
она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

— ее надежность. Система ЗИ — это организованная совокупность объектов

и субъектов ЗИ, используемых методов и средств защиты, а также осуществляемых защитных мероприятий.
Но компоненты ЗИ, с одной стороны, являются составной частью системы, с другой — сами организуют систему, осуществляя защитные мероприятия.

т. е. при несогласованности между собой отдельных составляющих риск «проколов»

в технологии защиты увеличивается.
Во-первых, необходимость комплексных решений состоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, например, виды защиты информации (правовая, организационная, инженерно-техническая).
Во-вторых, необходимость комплексных решений обусловлена назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Но из ее сферы выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защиты. Например, система включает в себя какие-то объекты защиты, а все они включены или нет — это уже вне пределов системы. Поэтому качество, надежность защиты зависят не только от видов составляющих системы, но и от их полноты, которая обеспечивается при учете всех факторов и обстоятельств, влияющих на защиту. Именно полнота всех составляющих системы защиты, базирующаяся на анализе таких факторов и обстоятельств, является вторым назначением комплексности. При этом должны учитываться все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защиты мероприятия.
В-третьих, только при комплексном подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите, и при любых обстоятельствах. Это означает, что должны защищаться все носители информации, во всех компонентах ее сбора, хранения, передачи и использования, во все время и при всех режимах функционирования систем обработки информации.

определить принципы, в соответствии с которыми она будет построена. КСЗИ

— сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Поэтому определение основных принципов КСЗИ позволит определить основные подходы к ее построению.
Принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов — другим государственным нормативным документам по защите.
В соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата которой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности.

в установлении путем экспертной оценки целесообразности засекречивания и защиты той

или другой информации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу.
Принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением.
Принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты.

информации требует, чтобы каждое лицо персонально отвечало за сохранность и

неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную или иную ответственность.
Принцип наличия и использования всех необходимых правил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней руководства предприятия и специальной службы защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организационных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, включая технические средства защиты.
Принцип превентивности принимаемых мер по защите информации предполагает априорное опережающее заблаговременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.

реализации систем защиты?