Движение do Follow. Вы комментируете - я ссылаюсь. Аудит системы информационной безопасности компании
Суббота, июля 24, 2010 22:22
Этим постом открывается серия материалов посвященных вопросу аудита системы информационной безопасности. Первый пост вводный — определимся с целями и задачами аудита системы ИБ.
Я уверен, что Вы прекрасно понимаете значимость обеспечения информационной безопасности в компаниях, иначе не читали бы мой блог :) В зависимости от вида деятельности компании, уровень защищенности варьируется в широких пределах, однако для его достижения необходимо использование соответствующего комплекса специальных средств и мероприятий.
Спонсор поста: Срочные вакансии в Симферополе. Высокие зарплаты.
В настоящее время оценка уровня информационной защищенности, его сопоставление с объективно необходимым уровнем, а в случае их несоответствия подбор оптимального комплекса защиты представляет собой весьма непростую задачу (и недешевую, к слову). Зачастую провести такое обследование силами компании не представляется возможным (помеха практически всегда — отсутствие необходимых знаний и компетентных специалистов), по этому нередко эту часть системы ИБ аутсорсят другие компании.
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы России. Поэтому решение вопроса об оценке уровня защищенности связано с проблемой выбора критериев и показателей защищенности, а также эффективности системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции и федеральных законов, руководящих документов Гостехкомиссии России, приходится использовать ряд международных рекомендаций.
Современные методики управления рисками, проектирования и сопровождения систем защиты информации должны позволять решить ряд задач:
Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационном и техническом уровнях обеспечения защиты информации.
Во-вторых, разработать и реализовать комплексный план совершенствования системы защиты информации для достижения приемлемого уровня защищенности. Для этого необходимо:
— обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
— выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
— определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании создать необходимый пакет организационно-распорядительной документации;
— разработать и согласовать со службами организации проект внедрения необходимых комплексов защиты;
— обеспечить поддержку внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Решение всех этих задач помогает объективно оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании.
На основе полученной оценки можно выработать и обосновать необходимые организационные меры, обоснованно выбрать средства защиты информации. С помощью полученных количественных показателей можно постоянно контролировать состояние системы информационной безопасности.
Практические рекомендации по нейтрализации найденных уязвимостей системы помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании.
Всем крайне рекомендую (особенно новичкам) при аудите системы ИБ использовать специальные программные средства — Digital Security Office 2006 и Microsoft Security Assessment Tool 4.0 — очень сильно упростят работу.
Seosteper пишет:
27 июля 2010 в 6:04
В последний раз все выявили, обосновали, рассчитали, предложили — и, как всегда, сильно округленные глаза руководства — ну раньше же мы без этого обходились...(
А вообще статья правильная.
Вадим пишет:
5 августа 2010 в 15:02
Все это мне кажеться очень сложным. Вряд ли руководитель компании захочет принимать такой ряд затратных мер. Хотя все зависит от челова и его виденья дела
Yuriy пишет:
11 августа 2010 в 19:52
Если руководитель знает, что у него есть конкуреты и от владения его информациеи зависит его бизнес, да и не только, я думаю он согласится на эти расходы. В аримии мы пользовались термином коэфициент предотвращенного ущерба. Пусть на минутку задумается над этим и чек на модернизацию у вас в кармане.
Ремонтник пишет:
2 октября 2010 в 23:03
Нет...раскачать среднестатистического руководителя компании и выбить с него финансирование на защиту — очень трудно. Людей не возможно раскачать на покупку нормальных серверов, вместо «тазиков». Для большинства, безопастность заключается заключается в хранении баз 1С на флешке :))))))