Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Разработка рекомендаций по совершенствованию системы защиты и устранению уязвимых мест

При выработке рекомендаций анализируются следующие характеристики построения и функционирования КИС:

а) организационные характеристики:

- наличие, полнота и актуальность организационно-регламентных и нормативно-технических документов;
- разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;
- наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;
- наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности;
- осведомленность пользователей и персонала, поддерживающего функционирование КИС, о требованиях по обеспечению информационной безопасности;
- корректность процедур управления изменениями и установления обновлений;
- порядок предоставления доступа к внутренним ресурсам информационных систем;
- наличие механизмов разграничения доступа к документации.

б) организационно-технические характеристики:

- возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;
- наличие оперативного анализа журналов аудита и реагирования на события, связанные с попытками несанкционированного доступа, оценка полноты анализируемых событий, оценка адекватности защиты журналов аудита;
- наличие процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов;
- наличие процедуры и документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;
- периодичность контроля защищенности сетевых устройств и серверов - razgovorodele.ru;
- наличие процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;
- ограничение доступа в серверные помещения;
- адекватность времени восстановления в случае сбоев критичных устройств и серверов;
- наличие зоны опытной эксплуатации новых решений, процедуры тестирования и ввода в промышленную эксплуатацию.

в) технические характеристики, связанные с архитектурой КИС:

- топология и логическая организация сетевой инфраструктуры, адекватность контроля логических путей доступа, адекватность сегментирования;
- топология и логическая организация системы защиты периметра, адекватность контроля доступа из внешних сетей;
- топология, логическая организация и адекватность контроля доступа между сегментами;
- наличие узлов, сбои на которых приведут к невозможности функционирования значительной части в КИС;
- наличие точек удаленного доступа к информационным ресурсам КИС и адекватность защиты такого доступа.

г) технические характеристики, связанные с конфигурацией сетевых устройств и серверов КИС:

- права доступа персонала к сетевым устройствам и серверам, оценка минимально необходимых прав, которые требуются для выполнения производственных задач;
- соответствие списков контроля доступа на сетевых устройствах документированным требованиям;
- соответствие конфигурации операционных систем и использованию штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;
- наличие неиспользованных сервисов или сервисов, содержащих известные уязвимости;
- соответствие механизма и стойкости процедуры аутентификации - критичности ресурсов, оценка адекватности парольной политики и протоколирования деятельности операторов.

д) технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:

- требованиям и оценка адекватности существующей конфигурации;
- оценка адекватности использования криптографической защиты информации и процедуры распределения ключевой информации;
- наличие антивирусной проверки трафика, а также антивирусного контроля на рабочих станциях пользователей;
- наличие резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
- наличие источников бесперебойного питания для критичных сетевых устройств и серверов и их адекватность требованиям по времени бесперебойной работы.

Рекомендации по результатам аудита информационной безопасности могут включать предложения и рекомендации:

- по совершенствованию архитектуры и организации построения КИС;
- по изменению конфигурации существующих сетевых устройств и серверов;
- по изменению конфигурации существующих средств защиты;
- по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
- по использованию дополнительных средств защиты;
- по разработке организационно-распорядительных и нормативно-технических документов;
- по разработке программы осведомленности сотрудников в части информационной безопасности;
- по пересмотру ролевых функций персонала и зон ответственности;
- перечень мероприятий по поддержке и повышению квалификации персонала;
- периодичность и содержание работ по проведению анализа рисков и аудита по информационной безопасности;
- по этапам развития системы информационной безопасности заказчика.

Разработка рекомендаций по совершенствованию системы защиты

При разработке рекомендаций делается ссылка на те уязвимые места, которые устраняются или минимизируются для данной рекомендации, а также на те риски, которые могут быть снижены за счет внедрения рекомендаций. Перечень рекомендаций согласуется с заказчиком на предмет возможности их реализации - razgovorodele.ru. Определяются рекомендации, которые могут быть реализованы заказчиком самостоятельно и рекомендации, для реализации которых необходимо привлечение внешнего подрядчика. Совместно с заказчиком определяются этапы реализации рекомендаций и определяются точки и механизмы контроля.

Отдельно стоит подчеркнуть, что оценке и выдаче рекомендаций подлежит не только документированная деятельность по обеспечению информационной безопасности, но и деятельность, осуществляемая персоналом заказчика на недокументированной основе. В последнем случае в отчете об обследовании эксперты исполнителя производят документирование такой деятельности.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна