Алгоритм
Практически в любой организации, учреждении или на предприятии существуют компьютеры, как правило, объединённые в сеть, на которых обрабатывается какая-либо информация. Специалист по защите информации должен оценить, какая информация обрабатывается, и создать одну или несколько систем защиты информации в соответствии с действующим законодательством, требованиями регулирующих органов (ФСБ и ФСТЭК) и со здравым смыслом.
Создание системы защиты информации мы условно разделили на 5 этапов:
1 этап: Анализ информации, обрабатываемой в организации, составление перечня информации ограниченого распространения.
2 этап: Разработка организационных документов, регламентирующих общие требования по защите информации в организации.
3 этап: Проведение категоризирования и классификации информационных ресурсов.
4 этап: Определение актуальных угроз безопасности.
5 этап: Устранение актуальных (вероятных) угроз безопасности информации.
1 этап: Анализ информации, обрабатываемой в организации, составление перечня информации ограниченного распространения
На первом этапе нам необходимо определить какая информация циркулирующая в организации подлежит защите. Для правильного понимания этого вопроса необходимо ознакомиться с Указом Президента Российской Федерации об утверждении перечня конфиденциального характера (действующая редакция) и Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" .
2 этап:Разработка организационных документов регламентирующих общие требования по защите информации в организации
Вполне возможно, что на момент проведения работ по защите информации в организации уже приняты определеннные меры по защите информации например установлено антивирусное програмное обеспечение на рабочие станции и сервера, регламентирован доступ на территорию организации, организована физическа охрана територии (помещений) и т.д.
Все эти меры Вы сможете учитывать на следующих этапах построения системы защиты информации только если принятие этих мер строго регламентировано организационными документами требования которых распространяются вцелом на организацию.
3 этап: Проведение категорирования и классификации информационных ресурсов
На третьем этапе мы непосредственно переходим к категорированию ресурсов. С целью создания нормативно-методической основы для дифференцированного подхода к защите ресурсов и типизации принимаемых организационных мер в организации разрабатывается Положение об определении требований по защите (о категорировании) ресурсов автоматизированной системы организации.
4 этап: Определение актуальных угроз безопасности
Необходимо отметить, что определение актуальных угроз безопасности проводится для каждой информационной системы в которой ведется обработка информации ограниченого распространения.
Для ИСПДн составляется модель угроз для примера можно воспользоваться этим...
5 этап: Устранение актуальных (вероятных) угроз безопасности информации
После определения актуальных угроз для информационной системы эти угрозы, как вы понимаете, необходимо устранить.
Устранение угроз осуществляется двумя способами: организационными и техническими.