Для того, чтобы грамотно и с минимальными затратами выполнить требования приказа ФСТЭК России от 18 февраля 2013 г. № 21 к обнаружению вторжений в информационных системах персональных данных для которых установлена необходимость обеспечения 2-го уровня защищенности персональных данных, при выборе системы обнаружения вторжении следует:
1. Определить требуется ли применение систем обнаружения вторжений, прошедших в установленном порядке процедуру оценки соответствия.
2. С учетом структурно-функциональных характеристик информационной системы выбрать наиболее оптимальный вариант системы обнаружения вторжений:
a. система обнаружения вторжений уровня сети - размещается на внешней границе информационной системы;
b. система обнаружения вторжений уровня узла - размещается на внутренних узлах сегментов информационной системы (автоматизированных рабочих местах, серверах и иных узлах);
c. гибридный вариант – применение одновременно системы обнаружения вторжений уровня сети и системы обнаружения вторжений уровня узла (применяется в крупных распределённых информационных системах)
3. Учесть стоимость продления лицензии на обновление базы решающих правил, содержащей информацию о характерных признаках компьютерных атак.
Важно также учитывать, что помимо установки программно-аппаратных средств обнаружения вторжений, потребуется обеспечить и организационные меры, а именно регламентировать в организационно-распорядительных документах права по управлению (администрированию) системой обнаружения вторжений, правила и процедуры обнаружения вторжений и обновлений базы решающих правил.