Принцип обеспечения безопасности —
1. Основными принципами обеспечения безопасности являются:
– соблюдение и защита прав и свобод человека и гражданина;
– законность;
– системность и комплексность применения федеральными органами власти государственной, органами власти государственной субъектов Российской Федерации, другими органами государственными, органами местного самоуправления мер обеспечения безопасности политических, организационных, социально-экономических, информационных, правовых и иных;
– приоритет мер предупредительных в целях обеспечения безопасности;
– взаимодействие федеральных органов власти государственной, органов власти государственной субъектов Российской Федерации, других органов государственных с объединениями общественными, организациями международными и гражданами в целях обеспечения безопасности [ N 390-ФЗ ].
2. Для создания эффективной программы безопасности технологий информационных и телекоммуникационных фундаментальными являются следующие высокоуровневые принципы безопасности:
– менеджмент риска – активы должны быть защищены путем принятия соответствующих мер. Меры защитные должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;
– обязательства – важны обязательства организации в области безопасности технологий информационных и телекоммуникационных и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности технологий информационных и телекоммуникационных;
– служебные обязанности и ответственность – руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью технологий информационных и телекоммуникационных, должны быть определены и доведены до сведения персонала;
– цели, стратегии и политика – управление рисками, связанными с безопасностью технологий информационных и телекоммуникационных, должно осуществляться с учетом целей, стратегий и политики организации.
– управление циклом жизненным – управление безопасностью технологий информационных и телекоммуникационных должно быть непрерывным в течение всего их цикла жизненного [ ГОСТ Р ИСО/МЭК 13335-1-2006 ].