Забезпечення безпеки інформації у інформаційно-телекомунікаційних системах здійснюється шляхом створення та впровадження комплексних систем
захисту інформації.
Комплексна система захисту інформації (КСЗІ) – це сукупність організаційних та інженерних заходів, програмно-апаратних засобів, які
забезпечують захист інформації від несанкціонованого доступу (НСД).
Порядок створення
Попереднім етапом створення КСЗІ є проведення обстеження інформаційно-телекомунікаційної системи (ІТС) та її складових частин. Під час обстеження
проводиться аналіз нормативно-правових актів, які передбачають встановлення обмеження доступу до певних видів інформації, що обробляється, зберігається
та передається в ІТС, визначення переліку інформації, що обробляється в ІТС, класифікація щодо необхідності надання доступу до неї, вимоги щодо
необхідності забезпечення конфіденційності, цілісності і доступності.
Створення КСЗІ ІТС включає наступні етапи робіт:
обстеження середовищ функціонування ІТС;
розробка моделі загроз та моделі порушника;
формування політики безпеки;
розробка технічного завдання на створення КСЗІ та погодження його з Держспецзв’язком України;
розробка і реалізація проекту КСЗІ;
введення КСЗІ в дію та оцінка захищеності;
попередні випробування;
дослідна експлуатація;
державна експертиза КСЗІ;
супроводження КСЗІ.
Кожний етап дозволяє виконати перелік робіт, який є логічно і структурно завершеним, і є необхідним для початку робіт
щодо наступного етапу.
Створення КСЗІ здійснюється шляхом створення та впровадження підсистем КСЗІ та комплексів засобів захисту (КЗЗ).
Для виконання завдань із захисту інформації, які необхідно вирішувати у ІТС, повинен бути створений підрозділ захисту інформації в
ІТС – служба захисту інформації ІТС. У підрозділах організації також можуть бути створені позаштатні підрозділи захисту інформації або
призначені окремі відповідальні особи.
По завершенні державної експертизи і наявності атестату відповідності починається експлуатація створеної КСЗІ у складі ІТС у штатному режимі,
у відповідності до плану захисту в ІТС і експлуатаційної документації на складові частини КСЗІ.
Результати
Результат виконання робіт - створена КСЗІ, яка готова до проведення державної експертизи у галузі
технічного захисту інформації (ТЗІ).