Комплексная система защиты информации (КСЗИ) – совокупность организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.
Организационные мероприятия являются обязательной составляющей построения любой КСЗИ. Инженерно-технические мероприятия осуществляются по мере необходимости.
Организационные мероприятия
Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:
- составление должностных инструкций для пользователей и обслуживающего персонала;
- создание правил администрирования компонентов информационной системы, учета, хранения, копирования, уничтожения носителей информации, идентификации пользователей;
- разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
- обучение правилам информационной безопасности пользователей.
В случае необходимости, в рамках проведения организационных мероприятий может быть создана служба информационной безопасности, проведена реорганизация системы делопроизводства и хранения документов.
Инженерно-технические мероприятия
Инженерно-технические мероприятия – совокупность специальных технических (программных, программно-аппаратных, аппаратных) средств и их использование для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.
Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств криптографической защиты и защиты от несанкционированного доступа.
В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.
Необходимость построения КСЗИ
Необходимость построения КСЗИ определяется требованиями нормативных документов в сфере технической и криптографической защиты информации или желанием владельца информационных ресурсов.
Согласно Закону Украины «О защите информации в информационно-телекоммуникационных системах»:
- информация, являющаяся собственностью государства, или информация с ограниченным доступом должна быть защищена путем построения КСЗИ, и последующим получением «Аттестата соответствия», который выдается Администрацией государственной службы специальной связи и защиты информации Украины по результатам проведения государственной экспертизы КСЗИ;
- прочая информация может быть защищена с помощью КСЗИ по желанию ее владельца.
Ответственность за отсутствие или ненадлежащее осуществление защиты информации в информационной системе несет руководитель компании, согласно действующего законодательства Украины.