Використані джерела:

http://www.rusnauka.com/16_ADEN_2010/Informatica/68642.doc.htm

https://sites.google.com/site/infobezosob/osnovni-principi-zabezpecenna-zahistu-informaciie

Принципи захисту інформації поділяються на дві основні групи:

Правові принципи захисту інформації

Дані принципи, що базуються на положеннях основних конституційних норм, закріплюють інформаційні права і свободи, а так само гарантують їх здійснення. До них відносяться:

·     легітимність (законність);

·     пріоритет міжнародного права над внутрішньодержавним; 

·     економічна доцільність.

Організаційні принципи захисту даних

Роль організаційного захисту інформації в системі заходів безпеки визначається своєчасністю та правильністю прийнятих управлінських рішень, способів і методів захисту інформації на основі діючих нормативно-методичних документів. Вони включають в себе наступні принципи:

·     науковий підхід до організації захисту інформації;

·     планування захисту ;

·     керування системою захисту;

·     безперервність процесу захисту інформації;

·     мінімальна достатність організації захисту;

·     системний підхід до організації та проектування систем та методів захисту інформації;

·     комплексний підхід до організації захисту інформації;

·     відповідність рівня захисту цінності інформації;

·     гнучкість захисту;

·     багатозональність захисту, що передбачає розміщення джерел інформації в зонах з контрольованим рівнем її безпеки;

·     багаторубіжність захисту інформації;

·     обмеження числа осіб,які допускаються захищеної інформації;

·     особиста відповідальність персоналу за збереження довіреної інформації.

Актуальні загрози:

-     протиправне збирання і використання інформації;

-     порушення технології обробки інформації;

-     впровадження в апаратні і програмні вироби компонентів, що реалізують функції, не передбачені документацією на ці вироби;

-     розробка і поширення програм, що порушують нормальне функціонування інформаційних та інформаційно-телекомунікаційних систем, у тому числі систем захисту інформації;

-     радіоелектронний вплив з метою виведення з ладу, пошкодження чи руйнування засобів і систем обробки інформації, телекомунікації зв'язку;

-     вплив на парольно-ключові системи захисту автоматизованих систем обробки і передачі інформації;

-     витік інформації технічними каналами;

-     впровадження електронних пристроїв для перехоплення інформації в технічні засоби обробки, зберігання і передачі інформації з каналів зв'язку, а також у службові приміщення органів державної влади, підприємств, установ та організацій усіх форм власності;

-     знищення, пошкодження, руйнування чи розкрадання машинних та інших носіїв інформації;

-     перехоплення інформації в мережах передачі даних та лініях зв'язку, дешифрування цієї інформації і нав'язування хибної інформації;

-     використання не сертифікованих вітчизняних і закордонних інформаційних технологій, засобів захисту інформації, засобів інформатизації, телекомунікації зв'язку при створенні і розвитку інформаційної  інфраструктури України;

-     несанкціонований доступ до інформації, що знаходиться в банках і базах даних;

-     порушення законних обмежень на поширення інформації.

Побудова надійного та ефективного захисту інформаційної системи неможлива без попереднього аналізу можливих загроз безпеки системи. Цей аналіз повинен складатися з наступних етапів :

-      виявлення характеру інформації, яка зберігається в системі;

-      оцінку цінності інформації, яка зберігається в системі;

-      побудова моделі зловмисника;

-      визначення та класифікація загроз інформації в системі (несанкціоноване зчитування, несанкціонована модифікація і т.д.);