Принципы обеспечения безопасности  —

1. Основными принципами обеспечения безопасности являются: 1) соблюдение и защита прав и свобод человека и гражданина; 2) законность; 3) системность и комплексность применения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, другими государственными органами, органами местного самоуправления политических, организационных, социально-экономических, информационных, правовых и иных мер обеспечения безопасности; 4) приоритет предупредительных мер в целях обеспечения безопасности; 5) взаимодействие федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов с общественными объединениями, международными организациями и гражданами в целях обеспечения безопасности [N 390-ФЗ].
2. Для создания эффективной программы безопасности информационных и телекоммуникационных технологий фундаментальными являются следующие высокоуровневые принципы безопасности:
• менеджмент риска — активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;
• обязательства — важны обязательства организации в области безопасности информационных и телекоммуникационных технологий и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности информационных и телекоммуникационных технологий;
• служебные обязанности и ответственность — руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью информационных и телекоммуникационных технологий, должны быть определены и доведены до сведения персонала;
• цели, стратегии и политика — управление рисками, связанными с безопасностью информационных и телекоммуникационных технологий, должно осуществляться с учетом целей, стратегий и политики организации.
•управление жизненным циклом — управление безопасностью технологий информационных и телекоммуникационных должно быть непрерывным в течение всего их жизненного цикла [ ГОСТ Р ИСО/МЭК 13335-1-2006 ].
Яндекс.Метрика