Под системой защиты информационной системы понимается совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам установленным соответствующими документами в области защиты. Система защиты строится на основе политики безопасности - набора норм, правил и практических рекомендаций на которых строится управление, защита и порядок обработки информации в информационной системе. Перечислим главные принципы построения системы защиты:
• Эшелонирование;
• Непрерывность;
• Равнопрочность;
• Минимизация полномочий доступа;
• Разумная экономическая достаточность.
Эти принципы реализуются в модели системы защиты, которая с различными модификациями реализуется сегодня на всех предприятиях (см. рис.8)
Зона 1 — внешние заграждения. Зона 2 — контроль доступа в здание. Зона 3 — контроль доступа в помещение с системами обработки и хранения информационных ресурсов и ценных материальных активов. Зона 4 — контроль доступа в систему обработки информации.
Вероятность реализации угрозы Q в зоне 4 зависит от вероятностей преодоления рубежей защиты в зонах 1, 2 ,3.