Комплексное обследование (аудит) системы информационной безопасности организации

Необходимым атрибутом успешного функционирования большинства государственных и частных структур является их собственная информационная безопасность. В зависимости от рода деятельности предприятия, организации и т.д. необходимый уровень защищенности может варьировать в широких пределах, однако для его достижения однозначно необходимо использование соответствующего комплекса специальных средств и мероприятий.

В настоящее время оценка уровня информационной защищенности объекта (некоторой территории, здания, помещения, технического средства или их комплекса и т.п.), его сопоставление с объективно необходимым уровнем, а в случае их несоответствия подбор оптимального комплекса средств и мероприятий по повышению информационной безопасности представляет собой весьма сложную наукоемкую задачу, требующую от исполнителя наличия не только глубоких предметных знаний и практического опыта, но и даже интуиции. В связи с этим ее решение было и остаётся в значительной степени прерогативой ограниченного круга специалистов. Эта задача, с одной стороны, характеризуется высокой стоимостью процедуры анализа и оптимизации информационной защищенности, с другой значительной зависимостью конечного результата от субъективного фактора, что, очевидно, представляет собой отрицательный момент.

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации — razgovorodele.ru. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции и федеральных законов, руководящих документов Гостехкомиссии России и ФАПСИ, приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, 9001, 15408, BSI и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации компании.

Управление рисками, проектирование и сопровождение корпоративных систем защиты информации

Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям:

— Комплексный анализ информационных систем компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.
— Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании.
— Организационно-технологический анализ ИС компании.
— Экспертиза решений и проектов.
— Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации.
— Работы, поддерживающие практическую реализацию плана защиты.
— Повышение квалификации и переподготовка специалистов.

Аналитические работы в области информационной безопасности

Комплексное обследование корпоративной информационной системы проводится с целью сбора информации о существующем положении дел по обеспечению информационной безопасности для всех ключевых составляющих корпоративной информационной системы (КИС) предприятия. Информация, получаемая при проведении обследования, позволяет выявить возможные слабые места в системе информационной безопасности, определить адекватность и эффективность используемых организационно-технических мер, применяемых для защиты ресурсов в КИС.

Сбор данных о существующем положении дел по обеспечению информационной безопасности

Анализ рисков нарушения информационной безопасности позволяет идентифицировать существующие угрозы, оценить результаты их потенциального воздействия как на обследуемую КИС, так и на деятельность предприятия в целом. Проведение данного этапа является важной стадией при аудите информационной безопасности.

Изучение рисков нарушения информационной безопасности бизнес-структуры
Разработка рекомендаций по совершенствованию системы защиты и устранению уязвимых мест

При разработке рекомендаций делается ссылка на те уязвимые места, которые устраняются или минимизируются для данной рекомендации, а также на те риски, которые могут быть снижены за счет внедрения рекомендаций. Перечень рекомендаций согласуется с заказчиком на предмет возможности их реализации. Определяются рекомендации, которые могут быть реализованы заказчиком самостоятельно и рекомендации, для реализации которых необходимо привлечение внешнего подрядчика — razgovorodele.ru. Совместно с заказчиком определяются этапы реализации рекомендаций и определяются точки и механизмы контроля. Отдельно стоит подчеркнуть, что оценке и выдаче рекомендаций подлежит не только документированная деятельность по обеспечению информационной безопасности, но и деятельность, осуществляемая персоналом заказчика на недокументированной основе. В последнем случае в отчете об обследовании эксперты исполнителя производят документирование такой деятельности.