Принципы организации КСЗИ.

Принципы организации КСЗИ на предприятии:

1. системности;
2. комплексности;
3. своевременности;
4. непрерывности защиты;
5. разумной достаточности;
6. гибкости – масштабируемость (апгрейд);
7. специализации;
8. взаимодействия и координации – должно осуществляться планирование;
9. совершенствования;
10. централизации и управления – процесс управления всегда централизован;
11. активности;
12. экономической эффективности – затраты на КСЗИ не должны превышать ценность инфы;
13. простоты применения защитных мер и средств.

Принцип системности требует применения системного подхода в качестве методологической базы при анализе и синтезе КСЗИ. Основная цель системного подхода - формализация вербальных описаний и составление алгоритма деятельности. Суть его заключается в том, что эффективность мероприятий безопасности определяется не только для конкретной системы, но и оценивается с учетом влияния на эффективность её функционирования внешних факторов.

Принцип комплексности предполагает, что система защиты предприятия должна включать совокупность сил и средств, принимаемых ими мер, проводимых мероприятий и действий по обеспечению безопасности персонала, материальных и финансовых средств от возможных угроз всеми доступными законными средствами, методами и мероприятиями. Принцип комплексности указывает на то, что только совокупность объектов защиты, выделенных сил и средств, и принимаемых ими мер, проводимых мероприятий и действий позволяет получить оценки главных вопросов защиты: что защищается, кто защищает и как защищается?

Принцип своевременности означает, что меры защиты не должны «запаздывать».

Принцип непрерывности. Защита информации - это не совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла систем предприятия, начиная с самых ранних стадий проектирования, а не только на этапе их эксплуатации.

Принцип разумной достаточности. Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Принцип простоты применения. Механизмы защиты должны быть интуитивно понятны и просты в использовании.