ДиалогНаука

Комплексная информационная безопасность

Комплексная информационная безопасность

Сегодня информационные системы играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование информационных систем для хранения, обработки и передачи информации делает актуальными вопрос о том, как обеспечить безопасность информационных систем, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям.

Первым этапом работ, направленных на обеспечение безопасности информационных систем, является аудит информационной безопасности организации. Вид и характер аудита зависит от того, какие требования по обеспечению информационной безопасности планирует применять организация на этапе создания системы защиты информации.


Аудит системы информационной безопасности

Определение аудита безопасности еще полностью не устоялось, но в общем случае его можно описать как процесс сбора и анализа информации с целью оценки текущего уровня компании защищенности от возможных атак злоумышленников. Внешний аудит информационной безопасности рекомендуется проводить не реже одного раза в год, а внутренний – не реже одного раза в квартал.


Требования по обеспечению информационной безопасности

Требования по обеспечению информационной безопасности российского или международного законодательства накладывают обязательства на некоторые организации по необходимости соответствия им действующих систем безопасности. В этой ситуации возможен аудит информационной безопасности организации, направленный на приведение информационной безопасности в соответствие требованиям российских или международных стандартов и нормативных актов. В качестве примера международных стандартов можно привести PCI DSS и ISO 27001. Что касается требований российского законодательства, то здесь наиболее часто аудит проводится с целью проверки выполнения требований ФЗ «О персональных данных» и стандарта Банка России СТО БР ИББС.

Аудит системы информационной безопасности может также предназначаться для систематизации и упорядочения существующих мер защиты информации или для расследования произошедшего инцидента, связанного с нарушением информационной безопасности предприятия.

Качество аудита безопасности во многом зависит от полноты и точности информации, полученной в процессе сбора исходных данных. Поэтому в нее необходимо включить следующее: организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении ИС, информацию о средствах защиты, чтобы оценить технические средства информационной безопасности, и т. д.

В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:

  • описание границ, в рамках которых проводился аудит безопасности;
  • описание структуры ИС заказчика;
  • методы, средства и мероприятия по информационной безопасности, которые использовались в процессе проведения аудита;
  • описание выявленных уязвимостей и недостатков, включая уровень их риска;
  • рекомендации по совершенствованию комплексной системы информационной безопасности;
  • предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков, при необходимости включающих и такие мероприятие, как поставка средств защиты информации.

Комплексная система информационной безопасности

Комплексная защита информации требует регулярного проведения аудита информационной безопасности, являющегося одним из наиболее эффективных сегодня инструментов для получения независимой и объективной оценки текущего уровня защищенности предприятия от угроз информационной безопасности. Кроме того, результаты аудита дают основу для формирования стратегии развития системы обеспечения безопасности информации в информационных системах организации. Важно понимать, что аудит безопасности - не разовая процедура, он должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.


Заказать аудит информационной безопасности


 
ФИО*
Наименование организации*
E-mail*
Рабочий телефон*
Мобильный телефон*
Сообщение*
Защита от автоматического заполнения
 
 

* - Поля, обязательные для заполнения