С точки зрения системного подхода к ЗИ применяются определенные требования.
Непрерывность.
Конкретность. Защите подлежат конкретные сведения, т.к. их утрата может причинить организации определенный ущерб.
Активность. Защищать информацию необходимо с достаточной степенью настойчивости.
Целенаправленность. Защищать необходимо то, что следует защищать в интересах конкретной цели.
Плановость. Разработка каждой службой фирмы или организации детальных планов ЗИ в сфере ее компетенции с учетом общей цели предприятия.
Универсальность. Считается, что в, зависимости от вида канала утечки или способа НСД, его необходимо перекрывать, где бы он не проявился, разумными и достаточными средствами, независимо от характера, форма и виды информации.
Комплексность. Для защиты информации должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или ТС. Комплексный характер защиты обусловлен тем, что защита представляет собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество взаимных взаимнообуславливающих друг друга сторон свойств, тенденций.
Надежность. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым объектам, независимо от формы их представления, языка и вида физического носителя, на котором они закреплены.
Исходя из опыта, система СЗИ должна удовлетворять условиям:
СЗИ должна охватывать весь технологический комплекс информационной деятельности предприятия.
Должна быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа.
Должна быть открытой для изменений и дополнений мер обеспечения БИ.
Должна быть разнообразной, нестандартной (при выборе средств защиты нужно учитывать, что злоумышленник знает их).
СЗИ должна быть простой для технического обслуживания и удобной для эксплуатации(прозрачной для пользователя).
СЗИ должна быть надежной(любая поломка средств СЗИ является причиной появления неконтролируемых каналов утечки информации).
СЗИ должна быть комплексной и обладать целостностью, т.е. ни одна часть СЗИ не может быть изъята без ущерба для работы.
5. Требования к системе БИ.
К СБИ предъявляется требования: 1. Четкость определения полномочий правил и прав пользователей на доступ к определенному виду информации.
1.Предоставление любому пользователю минимальных полномочий, необходимых ему для выполнения порученной работы.
3.Сведение к минимуму числа общих для нескольких пользователей средств защиты.
4.Обязательный учет случаев и попыток НСД к конфиденциальной информации.
5.Обеспечение оценки степени конфиденциальности информации. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (ФЗ 149).
6.Обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.
Для выполнения этих требований СЗИ может иметь следующие виды собственного обеспечения:
Организационное. Реализация процедур ЗИ осуществляется определенными структурными единицами фирмы. Служба защиты информации, служба режима, служба конфиденциального документооборота, информационно-аналитический отдел, отдел кадров.
Правовое обеспечение. Федеральные нормативные акты и документы, межведомственные документы уполномоченных органов(ФСТЭК, ФСБ, РосТехНадзор). Положения, инструкции, руководства, требования которых является обязательным.
Нормативно-методическое обеспечение. Стандарты, регламенты деятельности органов, служб, средств, реализующие функции защиты информации, различные методики, которые обеспечивают деятельность пользователей при выполнении функциональных обязанностей в интересах ЗИ.
Аппаратное обеспечение. Широкое использование ТС для защиты информации и для обеспечения деятельности СЗИ.
Программное обеспечение. Различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам ЗИ.
Информационное обеспечение. Включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающие функционирование СЗИ. Показатели доступа, учета, хранения.
Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере ЗИ.
Математическое обеспечение. Использование математических методов для различных расчетов, связанных с оценкой опасностей технических средств злоумышленников, зон и норм необходимой защиты.