Построение КСЗИ

Комплексная система защиты информации (КСЗИ) – совокупность организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.

Организационные мероприятия являются обязательной составляющей построения любой КСЗИ. Инженерно-технические мероприятия осуществляются по мере необходимости.

Организационные мероприятия

Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:

  • составление должностных инструкций для пользователей и обслуживающего персонала;
  • создание правил администрирования компонентов информационной системы, учета, хранения, копирования, уничтожения носителей информации, идентификации пользователей;
  • разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
  • обучение правилам информационной безопасности пользователей.

В случае необходимости, в рамках проведения организационных мероприятий может быть создана служба информационной безопасности, проведена реорганизация системы делопроизводства и хранения документов.

Инженерно-технические мероприятия

Инженерно-технические мероприятия – совокупность специальных технических (программных, программно-аппаратных, аппаратных) средств и их использование для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.

Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств криптографической защиты и защиты от несанкционированного доступа.

В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.

Необходимость построения КСЗИ

Необходимость построения КСЗИ определяется требованиями нормативных документов в сфере технической и криптографической защиты информации или желанием владельца информационных ресурсов.

Согласно Закону Украины «О защите информации в информационно-телекоммуникационных системах»:

  • информация, являющаяся собственностью государства, или информация с ограниченным доступом должна быть защищена путем построения КСЗИ, и последующим получением «Аттестата соответствия», который выдается Администрацией государственной службы специальной связи и защиты информации Украины по результатам проведения государственной экспертизы КСЗИ;
  • прочая информация может быть защищена с помощью КСЗИ по желанию ее владельца.

Ответственность за отсутствие или ненадлежащее осуществление защиты информации в информационной системе несет руководитель компании, согласно действующего законодательства Украины.