![]() Необходимым атрибутом успешного функционирования большинства государственных и частных структур является их собственная информационная безопасность. В зависимости от рода деятельности предприятия, организации и т.д. необходимый уровень защищенности может варьировать в широких пределах, однако для его достижения однозначно необходимо использование соответствующего комплекса специальных средств и мероприятий. В настоящее время оценка уровня информационной защищенности объекта (некоторой территории, здания, помещения, технического средства или их комплекса и т.п.), его сопоставление с объективно необходимым уровнем, а в случае их несоответствия подбор оптимального комплекса средств и мероприятий по повышению информационной безопасности представляет собой весьма сложную наукоемкую задачу, требующую от исполнителя наличия не только глубоких предметных знаний и практического опыта, но и даже интуиции. В связи с этим ее решение было и остаётся в значительной степени прерогативой ограниченного круга специалистов. Эта задача, с одной стороны, характеризуется высокой стоимостью процедуры анализа и оптимизации информационной защищенности, с другой значительной зависимостью конечного результата от субъективного фактора, что, очевидно, представляет собой отрицательный момент. Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации — razgovorodele.ru. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции и федеральных законов, руководящих документов Гостехкомиссии России и ФАПСИ, приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, 9001, 15408, BSI и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации компании. Управление рисками, проектирование и сопровождение корпоративных систем защиты информации Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям: — Комплексный анализ информационных систем компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков. Аналитические работы в области информационной безопасности Комплексное обследование корпоративной информационной системы проводится с целью сбора информации о существующем положении дел по обеспечению информационной безопасности для всех ключевых составляющих корпоративной информационной системы (КИС) предприятия. Информация, получаемая при проведении обследования, позволяет выявить возможные слабые места в системе информационной безопасности, определить адекватность и эффективность используемых организационно-технических мер, применяемых для защиты ресурсов в КИС. Сбор данных о существующем положении дел по обеспечению информационной безопасности Анализ рисков нарушения информационной безопасности позволяет идентифицировать существующие угрозы, оценить результаты их потенциального воздействия как на обследуемую КИС, так и на деятельность предприятия в целом. Проведение данного этапа является важной стадией при аудите информационной безопасности. Изучение рисков нарушения информационной безопасности бизнес-структуры При разработке рекомендаций делается ссылка на те уязвимые места, которые устраняются или минимизируются для данной рекомендации, а также на те риски, которые могут быть снижены за счет внедрения рекомендаций. Перечень рекомендаций согласуется с заказчиком на предмет возможности их реализации. Определяются рекомендации, которые могут быть реализованы заказчиком самостоятельно и рекомендации, для реализации которых необходимо привлечение внешнего подрядчика — razgovorodele.ru. Совместно с заказчиком определяются этапы реализации рекомендаций и определяются точки и механизмы контроля. Отдельно стоит подчеркнуть, что оценке и выдаче рекомендаций подлежит не только документированная деятельность по обеспечению информационной безопасности, но и деятельность, осуществляемая персоналом заказчика на недокументированной основе. В последнем случае в отчете об обследовании эксперты исполнителя производят документирование такой деятельности. |
Главная » Безопасность » Защита4 » Комплексное обследование (аудит) системы информационной безопасности организации