Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы.
Процессу разработки, модернизации информационной системы должен предшествовать процесс определения перечня информации, которую в будущем будут обрабатывать в данной системе, и присвоения категорий защищаемой информации.
Этапу ввода в эксплуатацию информационной системы должен предшествовать этап ввода в эксплуатацию разработанной (доработанной) системы информационной безопасности. Разработанная (доработанная) система информационной безопасности должна предусматривать:
назначение должностных лиц, ответственных за присвоение категории обрабатываемой информации (государственная тайна, конфиденциальная информация, персональные данные, открытая информация общего пользования и т.д.) и установление их полномочий;
назначение должностных лиц, имеющих право распоряжаться информацией (применительно к каждой категории защищаемой информации) и установление их полномочий;
условия и порядок допуска пользователей информации к работе с информацией применительно к каждой категории защищаемой информации;
определение объема информации, необходимой и достаточной для эффективного выполнения работниками организации своих прямых должностных обязанностей;
определение границ применения информации пользователями информации;
разработку необходимого пакета документов, регламентирующих работу в информационной системе.
Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации с учетом государственных стандартов и при наличии (при необходимости) аттестата соответствия.