Комплексна система захисту інформації (КСЗІ) – сукупність організаційних та інженерно-технічних заходів, які спрямовані на забезпечення захисту інформації від розголошення, витоку і несанкціонованого доступу.
Організаційні заходи є обов’язковою складовою побудови будь-якого КСЗІ. Інженерно-технічні заходи здійснюються в міру необхідності.
Організаційні заходи
Організаційні заходи включають в себе створення концепції інформаційної безпеки, а також:
- Складання посадових інструкцій для користувачів та обслуговуючого персоналу;
- Створення правил адміністрування компонентів інформаційної системи, обліку, зберігання, копіювання, знищення носіїв інформації, ідентифікації користувачів;
- Розробка планів дій у разі виявлення спроб несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;
- Навчання правилам інформаційної безпеки користувачів.
У разі необхідності, в рамках проведення організаційних заходів може бути створена служба інформаційної безпеки, проведена реорганізація системи діловодства та зберігання документів.
Інженерно-технічні заходи
Інженерно-технічні заходи – сукупність спеціальних технічних (програмних, програмно-апаратних, апаратних) засобів та їх використання для захисту інформації. Вибір інженерно-технічних заходів залежить від рівня захищеності інформації, який необхідно забезпечити.
Інженерно-технічні заходи, що проводяться для захисту інформаційної інфраструктури організації, можуть включати використання захищених підключень, міжмережевих екранів, розмежування потоків інформації між сегментами мережі, використання засобів криптографічного захисту та захисту від несанкціонованого доступу.
У разі необхідності, в рамках проведення інженерно-технічних заходів, може здійснюватися установка в приміщеннях систем охоронно-пожежної сигналізації, систем контролю і управління доступом.
Необхідність побудови КСЗІ
Необхідність побудови КСЗІ визначається вимогами нормативних документів у сфері технічного та криптографічного захисту інформації або бажанням власника інформаційних ресурсів.
Відповідно до Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»:
- інформація, що є власністю держави, або інформація з обмеженим доступом повинна бути захищена шляхом побудови КСЗІ і наступним отриманням «Атестату відповідності», який видається Адміністрацією державної служби спеціального зв’язку та захисту інформації України за результатами проведення державної експертизи КСЗІ;
- інша інформація може бути захищена за допомогою КСЗІ за бажанням її власника.
Відповідальність за відсутність або неналежне здійснення захисту інформації в інформаційній системі несе керівник компанії, згідно з чинним законодавством України.