Аудит системы информационной безопасности компании
Я уверен, что Вы прекрасно понимаете значимость обеспечения информационной безопасности в компаниях, иначе не читали бы мой блог :) В зависимости от вида деятельности компании, уровень защищенности варьируется в широких пределах, однако для его достижения необходимо использование соответствующего комплекса специальных средств и мероприятий.
В настоящее время оценка уровня информационной защищенности, его сопоставление с объективно необходимым уровнем, а в случае их несоответствия подбор оптимального комплекса защиты представляет собой весьма непростую задачу (и недешевую, к слову). Зачастую провести такое обследование силами компании не представляется возможным (помеха практически всегда — отсутствие необходимых знаний и компетентных специалистов), по этому нередко эту часть системы ИБ аутсорсят другие компании.
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы России. Поэтому решение вопроса об оценке уровня защищенности связано с проблемой выбора критериев и показателей защищенности, а также эффективности системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции и федеральных законов, руководящих документов Гостехкомиссии России, приходится использовать ряд международных рекомендаций.
Современные методики управления рисками, проектирования и сопровождения систем защиты информации должны позволять решить ряд задач:
Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационном и техническом уровнях обеспечения защиты информации.
Во-вторых, разработать и реализовать комплексный план совершенствования системы защиты информации для достижения приемлемого уровня защищенности. Для этого необходимо:
— обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
— выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
— определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании создать необходимый пакет организационно-распорядительной документации;
— разработать и согласовать со службами организации проект внедрения необходимых комплексов защиты;
— обеспечить поддержку внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Решение всех этих задач помогает объективно оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании.
На основе полученной оценки можно выработать и обосновать необходимые организационные меры, обоснованно выбрать средства защиты информации. С помощью полученных количественных показателей можно постоянно контролировать состояние системы информационной безопасности.
Практические рекомендации по нейтрализации найденных уязвимостей системы помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании.