Для сотрудников любой организации, чья деятельность связана с обработкой персональных данных будет полезно понимание каким образом строится система защиты информации. Для начала, специалист по защите информации должен провести анализ информации, которая обрабатывается в организации, возможные каналы утечки, а также оценить риски утраты этой информации, затем, исходя из собранных данных разработать систему защиты в соответствии с действующим законодательством и требованиями регуляторов (Роскомнадзор, ФСБ и ФСТЭК). Не стоит также забывать о том, что полностью безопасной систему сделать невозможно, а степень защиты должна быть соизмерима с той ценностью, которую представляет защищаемая информация. Говоря простым языком, затраты на взлом/обход системы защиты должны превышать стоимость искомой информации.
Итак, разберём более подробно алгоритм действий по разработке системы защиты.
1 этап: Анализ информации ограниченного доступа, обрабатываемой в организации.
На этом этапе необходимо определить перечень тех ресурсов, которые представляют ценность, а также перечень сотрудников, которые имеют к этим ресурсам доступ и их полномочия, т.е. разработать так называемую матрицу доступа.
2 этап: Разработка организационно-распорядительной документации, регламентирующей общие требования по защите информации.
Сюда относится и разработка политики и регламента в отношении персональных данных, и назначение ответственных лиц, и порядок создания бэкапов, и многое другое. Это глобальные документы в организации.
3 этап: Проведение категорирования и присвоение уровня защищенности для каждой информационной системы.
Один из важнейших этапов, где нужно правильно соотнести тип обрабатываемой информации, количество субъектов, их статус, количество, а также тип актуальных угроз. Подробнее этот вопрос рассмотрен в отдельной статье: уровни защищенности ИСПДн.
4 этап: Определение списка актуальных угроз. Построение Модели угроз.
Это, наверное самый сложный этап в построение системы защиты. На этом шаге необходимо разработать модель угроз и определить список актуальных угроз для каждой информационной системы/ресурса.
5 этап: Разработка методики защиты от актуальных (т.е возможных для данной системы) угроз безопасности информации.
На этом этапе необходимо, опираясь на модель угроз, разработать план мероприятий с конкретными действиями в отношении каждой из защищаемой систем.
Общий алгоритм для построения системы защиты любого ресурса:
Разработать пакет документов по защите информации Вам поможет наша программа Документы 152-ФЗ.
