Общими принципами безопасного функционирования информационной системы Организации являются:
- своевременность обнаружения проблем информационной безопасности;
- прогноз развития проблем информационной безопасности и оценка их влияния на цели деятельности Организации;
- определенность целей, адекватность выбора защитных мер, их эффективность и контролируемость.
- непрерывность обеспечения информационной безопасности и использование наработанного опыта.
Для своевременного обнаружения и прогнозирования развития проблем информационной безопасности, а также оценки их влияния на цели деятельности Организации необходимо:
- классифицировать информационные активы по степени их критичности для обеспечения непрерывности деятельности организации;
- определить модель угроз и модель нарушителя, обеспечивающие прогнозирование развития возможных проблем, связанных с информационной безопасностью;
- оперативно доводить до руководства организации информацию по всем инцидентам информационной безопасности:
- оперативно принимать решения по всем инцидентам информационной безопасности;
- пересматривать требования информационной безопасности по результатам рассмотрения инцидентов информационной безопасности;
- выполнять принятые решения по всем инцидентам информационной безопасности в установленные сроки;
- регламентировать порядок реагирования на инциденты информационной безопасности;
- выполнять адекватную оценку степени влияния выявленных инцидентов информационной безопасности на выполнение функций информационной системы;
- прогнозировать развитие и выявлять причинно-следственные связи возможных проблем, связанных с информационной безопасностью;
- учитывать риски информационной безопасности (их динамика, состав) при прогнозировании развития проблем, связанных с информационной безопасностью;
- документально оформлять решения по предложениям службы информационной безопасности о внедрении требований документов по информационной безопасности;
- выполнять все принятые руководством организации решения по учету и внедрению предложенных службой информационной безопасности требований информационной безопасности.