Многие полагают, что для организации информационной безопасности по требованиям регуляторов необходимо проведение мероприятий в период 1-3 месяца. Это огромное заблуждение. На самом деле для грамотной организации информационной безопасности на любом предприятии необходим период проведения мероприятий в течении 1-2 лет, но и на этом процесс не заканчивается, т.к. защита информации - это процесс непрерывный. Стоит его прервать на непродолжительное время и, возможно, что восстановить этот процесс будет уже невозможно.

​

Защита информации  - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Информационная безопасность, как и защита информации, задача комплексная, непрерывная и направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

• целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

• конфиденциальность информации;

• доступность информации для всех авторизованных пользователей.

При разработке компьютерных систем, выход из строя или ошибки в работе, которые могут привести к тяжелым последствиям, вынуждают ставить вопрос компьютерной безопасности в список приоритетных задач, уважающего себя, предприятия или предпринимателя. Так же не стоит забывать о методах конкурентной разведки, в том числе и не добросовестной и действиях злоумышленников, пытающихся завладеть персональными данными сотрудников. Известно много мер, направленных на обеспечение компьютерной безопасности, основными среди них являются технические, организационные и правовые. Только в совокупности работы этих основных средств возможна успешная защита данных.

Основные понятия защиты информации и информационной безопасности компьютерных систем и сетей определены в национальном стандарте ГОСТ Р 50922-2006

​

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий, в зависимости от  способа  реализации, можно разделить на группы:

• Технические (аппаратные) средства. Это различные по типу устройства (механические,  электромеханические,  электронные и др.),  которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют  физическому проникновению, либо, если проникновение все же состоялось, доступу к информации,  в том числе с помощью ее маскировки.  Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др.  Вторую — генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других  устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их  обнаружить.  Преимущества технических средств связаны с их надежностью, независимостью от субъективных  факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость,  относительно большие объем и масса,  высокая стоимость.

• Программные средства включают программы для идентификации пользователей, контроля доступа,  шифрования информации, удаления остаточной (рабочей) информации типа временных файлов,  тестового контроля системы защиты и др. Преимущества программных средств — универсальность,  гибкость, надежность, простота установки, способность к модификации и развитию.  Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям,  возможная  зависимость от  типов компьютеров (их аппаратных  средств). 

• Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и  программные средства  в отдельности, и  имеют промежуточные  свойства.

• Организационные средства складываются из организационно-технических (подготовка помещений с  компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых  (национальные законодательства и правила работы, устанавливаемые  руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на  нежелательные действия в сети, имеют неограниченные возможности модификации и развития.  Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации  работы в  конкретном подразделении.

​

В первую очередь необходимо определиться какие данные необходимо защитить в организации, опираясь на цели, вид деятельности и финансовую возможность. Оценить и сопоставить возможные риски, связанные с утечкой данных, и только потом приступать к проектированию среды защиты данных, разработке организационно-руководящих документов и рассмотрению множества других, но не делающих их второстепенными, сопутствующих факторов.

​

Основными объектами защиты, на сегодняшний день, считаются:

• Персональные данные 

• Коммерческая тайна

• Банковская тайна

• Объекты критической информационной инфраструктуры

• Государственная тайна

Которые, как на первый взгляд может показаться, могут тесно переплетаться. Однако каждая из категорий регламентируется отдельно с позиции действующего законодательства и требований регуляторов.

Так же необходимо упомянуть и о существовании таких категорий, как:

• Государственные информационные системы

• Автоматизированные информационные системы

Которые могут относиться к любым из вышеперечисленных, однако регламентируются иными законодательными актами.