Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности[11]:
1. Законодательная, нормативно-правовая и научная база.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
4. Программно-технические способы и средства обеспечения информационной безопасности.
Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.
Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо[2]:
· выявить требования защиты информации, специфические для данного объекта защиты;
· учесть требования национального и международного Законодательства;
· использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
|
|
· определить подразделения, ответственные за реализацию и поддержку СОИБ;
· распределить между подразделениями области ответственности в осуществлении требований СОИБ;
· на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
· реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
· реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
· используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.
Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.