Информационные системы современных предприятий постоянно развиваются, обновляются, модифицируются. Рекомендательная и нормативно-правовая база просто не успевает обновляться такими же темпами, поэтому организацией защиты информации и разработкой соответствующих технологий предприятия вынуждены заниматься самостоятельно.
Одна из основных задач связана с выбором критериев защищенности информации и показателей эффективности существующей системы защиты.
Организация защиты информации основывается на использовании методики управления информационными рисками и оценке экономической эффективности инвестиций в обеспечение защиты информации.
Методики управления рисками позволяют количественно оценить существующий уровень информационной безопасности и разработать планы совершенствования системы защиты для достижения приемлемого уровня безопасности.
Организация и технология защиты информации предполагают поэтапное выполнение следующих мероприятий:
•Расчет необходимых финансовых вложений и сопоставление расходов на обеспечение информационной безопасности с потенциальным ущербом и вероятностью его возникновения.
•Выявление наиболее уязвимых ресурсов и блокирование наиболее опасных потенциальных угроз до момента их реализации.
•Распределение зон ответственности по обеспечению безопасности между подразделениями предприятия и отдельными должностными лицами.
•Обеспечение достигнутого уровня защищенности информационных систем в случае их модификации, а также при изменении условий функционирования предприятия.
Предложенная организация и технология защиты информации позволит объективно оценить достигнутый уровень информационной безопасности предприятия; рассчитать и согласовать необходимые затраты на информационную защиту компании; выработать необходимые организационные меры и единую стратегию обеспечения безопасности.
Разработанная в соответствие с описанной технологией политика информационной безопасности позволит проанализировать и документально оформить требования, связанные с обеспечением безопасности информационных систем; избежать неоправданных расходов на избыточные меры по защите информации; обеспечить внедрение систем защиты в кратчайшие сроки; обоснованно выбрать меры противодействия потенциальным угрозам.