Для достижения этой цели необходим комплексный подход, включающий правовые, организационные и технические меры. Создание системы обеспечения информационной безопасности (СОИБ) является необходимым шагом для эффективного обеспечения безопасности информационных ресурсов компании. СОИБ должна охватывать все направления деятельности и состоять из мер организационного и программно-технического уровня, направленных на защиту информационных ресурсов компании.
При проектировании системы защиты информации на предприятии необходимо учитывать, что Комплексная система защиты информации (КСЗИ) должна обеспечивать полноценную защиту информации, не отрицательно сказываясь на прямой деятельности предприятия. Расчет и проектирование системы защиты информации – ответственный этап, на котором определяются надежные и экономически оправданные меры и средства защиты информации (СЗИ).
Проектирование системы защиты информации на предприятии осуществляется по алгоритму, включающему разработку паспорта объекта, модели деятельности объекта, определение вида защищаемой информации, описания информационной среды объекта, определения конкретных объектов, требующих защиты, определения класса автоматизированной системы, разработки модели угроз, рассчета рисков, определения и обоснования необходимых СЗИ, создания технического задания на разработку КСЗИ.
Перед проектированием КСЗИ необходимо изучить нормативную базу с требованиями по информационной безопасности (ИБ) для соответствующих объектов и видов защищаемой информации.
Из чего состоит СОИБ
-
Подсистема защиты периметра сети
-
Подсистема безопасного межсетевого взаимодействия
-
Подсистема регистрации и учета событий
-
Подсистема обеспечения целостности
-
Подсистема управления доступом
-
Подсистема обнаружения и предотвращения атак
-
Подсистема анализа защищенности
-
Подсистема криптографической защиты данных
-
Подсистема инфраструктуры открытых ключей
-
Подсистема антивирусной защиты
-
Подсистема управления информационной безопасностью
-
Подсистема предотвращения утечек информации
-
Подсистема резервного копирования и восстановления данных