Система защиты информации (СЗИ) – это синергия определенных программных средств, которые обеспечивают защиту информации.
С помощью систем защиты информации вы можете:
- защитить информацию и данные от третьих лиц;
- предотвратить кражу информации и данных;
- предотвратить перехват доступа к информации и данным.
Процесс создания систем защиты информации можно разделить на большое количество этапов. Однако, на теоретическом уровне некоторые этапы можно пропустить, чтобы понять общую логику создания систем защиты информации.
Здесь важно понимать, что все этапы взаимосвязаны и характеризуются определенным состоянием системы защиты информации. Давайте рассмотрим, что представляет каждый этап.
Этапы стадии создания систем защиты информации
Разработка и внедрение систем защиты информации условно можно разделить на 4 основных этапа:
- Требования и критерии систем защиты информации.
- Разработка СЗИ.
- Внедрение СЗИ.
- Аттестация СЗИ.
Этап 1. Требования и критерии системы безопасности
На первом этапе важно понять, каким критериям и требованиям должна соответствовать система защиты информации.
Соответственно, на данном этапе мы можем включить следующий перечень работ:
- Поиск возможных угроз.
- Оформление списка требований, которым должна соответствовать система безопасности.
Перед началом работ компании необходимо проанализировать те задачи, которые будут решаться с помощью системы защиты информации. Анализ задач основывается на ключевых характеристиках данных.
Этап 2. Разработка
На втором этапе разработчики приступают к непосредственному созданию СЗИ, а именно:
- Разработка системы защиты информации.
- Создание документа по эксплуатации системы безопасности.
Определенные виды работы и услуг по защите информации требуют обязательной лицензии. Поэтому при реализации эксплуатационной документации следует опираться государственные положения и федеральные законы.
Этап 3. Внедрение системы защиты информации
Третий этап работ предполагает установку и настройку систем защиты информации, а также их тестирование и выявление уязвимостей.
При этом особое внимание уделяется специализированным документам и положениям, которые определяют правила работы с системами защиты информации.
Этап 4. Аттестация систем защиты информации
На этом этапе системы защиты информации проходят аттестационные испытания по определенным методикам. Перечень этих методик формирует разработчик и передает в компанию единым документом.
Общие требования к структуре и содержанию программ и методик аттестационных испытаний содержатся в межгосударственном стандарте (ГОСТ) 0043-004-2013.
Основные принципы и цели построения систем защиты информации
Основная цель создания систем защиты информации — минимизировать угрозу и возможный ущерб обладателю информации. Соответственно, основная задача СЗИ — обеспечение высокого уровня защиты информации и данных, их целостности и конфиденциальности.
Для достижения поставленной цели следуйте основным принципам построения систем защиты информации.
1. Принцип полноты защищаемой информации.
Этот принцип предусматривает защиту не только коммерческой или государственной информации, но и персональных данных и интеллектуальной собственности.
2. Принцип обоснованности защиты информации.
Предприятие всегда должно учитывать риски и ущерб, в случае утраты данных. Однако перед началом работ стоит провести оценку целесообразности засекречивания определенных данных. Вероятно, построение систем защиты информации может стоить дороже, чем предполагаемые убытки от потери определенной информации.
3. Принцип создания штата разработчиков.
Основное условие защиты информации – обученный персонал. В любой компании, которая решила внедрить системы по защите информации, должен быть штат специалистов. Специалисты по информационной безопасности будут следить за работой всех систем и сообщать о возможных угрозах.
Эти три базовых принципа позволят проанализировать и пересмотреть вашу стратегию построения и внедрения систем защиты информации, а также избежать основных ошибок.