Защита информации в автоматизированных системах обеспечивается системой защиты информации, создание которой обеспечивается следующим комплексом работ:

1. Формирование требований к системе защиты информации;
2. Разработка (проектирование) системы защиты информации;
3. Внедрение системы защиты информации;
4. Аттестация автоматизированной системы в защищенном исполнении на соответствие требованиям безопасности информации и вводе в действие;
5. Сопровождение системы защиты информации в ходе эксплуатации автоматизированной системы в защищенном исполнении.

Формирование требований к системе защиты информации включает в себя обследование объекта и обоснование необходимости создания защиты информации, включая анализ данных об автоматизированной системе, определение перечня информации, подлежащей защите, разработку модели угроз безопасности информации, оценку целесообразности создания автоматизированной системы.

Также на этапе формирования требования к системе защиты информации учитываются требования пользователя к автоматизированной системе, системе защиты информации, в том числе обоснование архитектуры и конфигурации системы защиты информации, оценку возможности модернизации системы защиты информации, исходя из ресурсных ограничений.

По итогу данных работ оформляется отчет о выполненной работе, в котором систематизируется полученная при обследовании информация, определяются пути реализации требований к системе защиты информации, проводится оценка ориентировочных сроков создания (модернизации) системы защиты информации, а также материальных затрат на внедрение модернизацию) системы защиты информации.

На данном этапе возможна разработка технического задания на создание (модернизацию) системы защиты информации.

Разработка (проектирование) системы защиты информации проводится на основании технического задания на создание системы защиты информации и включает разработку:

• Эскизного проекта, в котором определяются условия обработки информации, уточняются исходные данные, необходимые функции системы защиты информации, варианты построения системы защиты информации, состав организационных мер защиты информации;
• Технического проекта, в котором отражаются решения по системе защиты информации, функции персонала, обслуживающего систему защиты информации. В процессе создания технического проекта также разрабатывается документация на автоматизированную (информационную) систему и оформляется документация на поставку технических и программных средств  для комплектования системы защиты информации;
• Рабочей документации, которая описывает подготовку автоматизированной (информационной) системы к внедрению (модернизации) системы защиты информации, программы и методики испытаний системы защиты информации.

Внедрение системы защиты информации включается в себя следующие работы:

• Установка и настройка СЗИ;
• Разработка организационно-распорядительных документов, определяющих мероприятия по защиты информации в ходе эксплуатации автоматизированной системы в защищенном исполнении;
• Предварительные испытания системы защиты информации;
• Опытную эксплуатацию и доработку системы защиты информации;
• Приемочные испытания системы защиты информации.

Аттестацию автоматизированной системы в защищенном исполнении на соответствие требованиям безопасности информации проводит организация, имеющая лицензию на данный вид деятельности. Аттестация проводится до ввода автоматизированной системы в защищенном исполнении в эксплуатацию и содержит оценку соответствия системы защиты информации требованиям безопасности информации в реальных условиях эксплуатации. Аттестация проводится в соответствии с требованиями нормативных правовых актов и методических документов, национальных стандартов в области защиты информации.

Сопровождение автоматизированной системы включает в себя работы по устранению недостатков системы защиты информации, выявленных в процессе эксплуатации автоматизированной системы, контроль за стабильностью характеристик системы защиты информации, внесение изменений в документацию на систему защиты информации.