Сбор, изучение и подготовка информации, необходимой для построения КСЗИ предприятия

• сбор и анализ исходных данных об организационной и функциональной структуре ИТС организации, необходимых для оценки состояния информационной безопасности;
• анализ существующей политики обеспечения информационной безопасности на предмет полноты и эффективности;
• анализ информационных и технологических рисков связанных с осуществлением угроз информационной безопасности;

Обследование организации:

анализ защищенности вычислительной системы, обследование вычислительной системы (гораздо более глубокий уровень детализации), обследование организации в целом, т.е. охват «бумажного» документооборота и бизнес процессов организации с точки зрения информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п.

На стадии обследования организации:

1. устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой КСЗИ, оценивается уровень конфиденциальности и объемы;
2. определяется наличие аттестованных помещений, средств защиты от утечки по техническим каналам;
3. определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
4. изучаются принятые в организации правила бумажного документооборота;
5. анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
6. определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;
7. определяются мероприятия по обеспечению режима секретности на стадии разработки.

Только после этого начинается проектирование системы защиты информации:

При проектировании системы информационной безопасности могут быть охвачены как все три уровня мер защиты – организационного, технического и программно-аппаратного, так и исключительно технический уровень.