Практически в любой организации, учреждении или на предприятии существуют компьютеры, как правило, объединённые в сеть, на которых обрабатывается какая-либо информация. Специалист по защите информации должен оценить, какая информация обрабатывается, и создать одну или несколько систем защиты информации в соответствии с действующим законодательством, требованиями регулирующих органов (ФСБ и ФСТЭК) и со здравым смыслом.
Создание системы защиты информации мы условно разделили на 5 этапов:
1 этап: Анализ информации, обрабатываемой в организации, составление перечня информации ограниченного распространения.
2 этап: Разработка организационных документов, регламентирующих общие требования по защите информации в организации.
3 этап: Проведение категоризирования и классификации информационных ресурсов.
4 этап: Определение актуальных угроз безопасности.
5 этап: Устранение актуальных (вероятных) угроз безопасности информации.