Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление администрации муниципального образования город Краснодар от 30 марта 2017 г. N 1233 "Об утверждении Концепции обеспечения информационной безопасности в администрации муниципального образования город Краснодар"
- Приложение. Концепция обеспечения информационной безопасности в администрации муниципального образования город Краснодар
- Раздел V. Принципы организации и функционирования СОБИ
Раздел V. Принципы организации и функционирования СОБИ
Раздел V
Принципы организации и функционирования СОБИ
15. В соответствии с законодательством при передаче информации ограниченного доступа между субъектами информационных отношений субъект, получивший сведения ограниченного доступа от другого субъекта, обязан организовать их защиту с учётом соответствующих требований. Таким образом, при передаче органами администрации информации ограниченного доступа коммерческим структурам, последние обязаны обеспечить её защиту в соответствии с государственными нормативными документами.
16. В органах администрации должны обеспечиваться следующие характеристики безопасности:
конфиденциальность;
целостность;
доступность;
неотказуемость;
учётность;
аутентичность;
адекватность.
Надёжно защищёнными методами передачи информации, являются методы, при которых производится преобразование информации с использованием криптографических методов и обеспечиваются:
законность;
системность;
комплексность;
непрерывность;
своевременность;
преемственность и непрерывность совершенствования;
разумная достаточность;
персональная ответственность;
минимизация полномочий;
открытость алгоритмов и механизмов защиты;
специализация и профессионализм;
обязательность контроля.
17. Принцип законности предполагает осуществление защитных мероприятий и разработку СОБИ органов администрации в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации Российской Федерации.
Пользователи и обслуживающий персонал ИС/ИР органов администрации должны иметь представление об ответственности за правонарушения в области систем автоматизированной и неавтоматизированной обработки информации.
18. Принцип системности подхода к построению СОБИ предполагает учёт всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации в органах администрации.
При создании СОБИ должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределённые системы и НСД к информации. СОБИ должна строиться с учётом не только всех известных каналов проникновения и НСД к информации, но и с учётом возможности появления принципиально новых путей реализации угроз безопасности.
Все решения по обеспечению ИБ в органах администрации должны согласовываться с комиссией по классификации информационных систем администрации муниципального образования город Краснодар по требованиям безопасности.
19. Принцип комплексности использования методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных её компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами.
20. Принцип непрерывности состоит в том, что защита информации - не разовое мероприятие и не простая совокупность проведённых мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС органов администрации, начиная с самых ранних стадий (проектирование), а не только на этапе её эксплуатации.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имён, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты.
21. Принцип своевременности защиты предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите информации в органах администрации и реализацию мер обеспечения безопасности информации.
22. Принцип преемственности и совершенствования предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования ИС и их систем защиты с учётом достигнутого отечественного и зарубежного опыта в этой области.
23. Используемые меры и средства обеспечения безопасности информации не должны заметно ухудшать эргономические показатели работы с ИС, в которой эта информация циркулирует (принцип разумной достаточности).
24. Принцип персональной ответственности предполагает возложение ответственности за обеспечение безопасности информации и системы её обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был точно известен или сведён к минимуму.
25. Пользователям должны предоставляться минимальные права доступа к информации в соответствии с производственной необходимостью, только в том случае и объёме, который необходим сотруднику для выполнения должностных обязанностей (принцип минимизации полномочий).
26. Знание алгоритмов работы системы защиты не должно давать возможности её преодоления даже авторам (принципа открытости алгоритмов и механизмов защиты). Защита не должна обеспечиваться только за счёт секретности структурной организации и алгоритмов функционирования подсистем, что, однако, не означает общедоступности информации о СОБИ.
27. Принцип специализации и профессионализма предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности ИР, имеющих опыт практической работы и государственные лицензии на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами, опыт которых подтверждён соответствующими сертификатами.
28. Принцип обязательности контроля предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и охватывать как несанкционированные, так и санкционированные действия пользователей.