3.3. Основные принципы построения систем безопасности

Парирование угроз безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу корпоративной сети. Это происходит из-за того, что любая система защиты по определению налагает ограничения на работу организационного и технического характера.

Поэтому одним из основных принципов создания системы комплексной защиты информации должен стать принцип максимальной дружественности. Иными словами, не надо вводить запреты там, где без них можно обойтись («на всякий случай»). Если уж и налагать ограничения, то предварительно нужно продумать, как это сделать с минимальными неудобствами для пользователя. Следует учесть совместимость создаваемой системы комплексной защиты с используемой операционной и программно-аппаратной структурой корпоративной сети и сложившимися традициями фирмы.

Вплотную к принципу максимальной дружественности стоит принцип прозрачности. Корпоративной сетью пользуются не только высококлассные программисты, основное назначение корпоративной сети состоит в обеспечении производственных потребностей пользователей, то есть работы с информацией. Поэтому система защиты информации должна работать в «фоновом» режиме, быть «незаметной» и не мешать пользователям в основной работе, но при этом выполнять все возложенные на нее функции.

Принцип превентивности заключается в следующем: затраты на создание системы комплексной защиты информации значительно меньше, чем финансовые, временные и материальные затраты, которые могут потребоваться для ликвидации последствий реализации угроз безопасности информации.

Принцип оптимальности состоит в том, что оптимальный выбор соотношения различных методов и способов парирования угроз безопасности информации при принятии решения позволит в значительной степени сократить расходы на создание системы защиты информации.

Принцип адекватности выражается в том, что принимаемые решения должны быть дифференцированы в зависимости от важности, частоты и вероятности возникновения угроз безопасности информации, степени конфиденциальности самой информации и ее коммерческой стоимости.

Принцип системного подхода к построению системы защиты позволяет заложить комплекс мероприятий по парированию угроз безопасности информации уже на стадии проектирования корпоративной сети, обеспечив оптимальное сочетание организационных и инженерно-технических мер защиты информации. Важность реализации этого принципа основана на том, что оборудование действующей незащищенной корпоративной сети средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение ее в защищенном варианте.

Принцип адаптивности заключается в том, что система защиты информации должна строиться с учетом возможного изменения конфигурации сети, числа пользователей и степени конфиденциальности и ценности информации. При этом введение каждого нового элемента сети или изменение действующих условий не должно снижать достигнутого уровня защищенности корпоративной сети в целом.

При создании системы защиты информации необходимы соблюдение организационных мер внутри корпоративной сети, включая привязку логического и физического рабочих мест друг к другу, а также применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Реализация принципа доказательности позволяет сократить расходы на усложнение системы, например, применять цифровую электронную подпись только при работе с удаленными и внешними рабочими местами и терминалами, соединенными с корпоративной сетью по каналам связи.

Перечисленные принципы должны быть положены в основу при выборе направлений обеспечения безопасности корпоративной сети, функций и мер защиты информации.

При выборе средств защиты информации обязательно встает вопрос о необходимости подтверждения выполнения тех или иных функций конкретным средством защиты. Это немаловажный процесс, который в определенных случаях  строго регламентирован, например, при организации защиты информации, содержащей государственную тайну или сведения о личности (персональные данные). Свидетельством того, что те или иные функции защиты реализованы конкретным средством защиты, является сертификат соответствия – документ, которым независимые эксперты подтверждают готовность средства выполнить возложенные на него задачи.