/


Главная / Услуги и решения / Информационная безопасность / Анализ и оценка информационной безопасности компании

Анализ и оценка информационной безопасности компании

Разработка концепции информационной безопасности

В концепции информационной безопасности фиксируются направления дальнейшего развития ИБ, определенные на основе аудита текущего состояния системы. Этот документ должен быть согласован со стратегией развития всей компании, а также законодательством и отраслевыми стандартами в части информационной безопасности.

В концепции определяются стратегические цели и задачи построения системы обеспечения ИБ организации, приоритетность выполнения задач, план работ и распределения ресурсов и инвестиций.

Концепция развития составляется с учетом специфики бизнеса заказчика и приоритетов развития бизнеса и ИТ.

Внедрение и централизованное управление политикой безопасности и информационными рисками

Только лишь внедрение средств и систем ИБ не гарантирует защищенность компании. Для поддержания уровня безопасности необходимо внедрение политик и регламентов ИБ и правильное управление ими. Это – центральное звено, которое регламентирует работу всех участников процесса.

Внедрение политик помогает снижать капитальные и эксплуатационные расходы, делать работу непрерывной и защищенной. Бизнес будет понимать текущий уровень информационной безопасности предприятия, а ИТ-специалисты смогут развивать ее, ориентируясь на стратегию дальнейшего развития компании.

Аудит информационной безопасности

К независимой оценке уязвимостей и рисков ИБ обычно прибегают при планировании внедрения новых систем или новых процессов управления ИБ. К аудиторам обращаются при открытии подразделений и филиалов, слияниях и поглощениях.

Можно провести полный аудит всех инфраструктурных и прикладных ИТ-систем и процессов в организации, а можно обследовать отдельные системы: web-ресурсы, сетевую инфраструктуру, бизнес-системы ERP и CRM, платежные, биллинговые, бухгалтерские и банковские системы и другие компоненты ИТ.

Обычно аудиторы проводят следующие работы:

  • изучение организационной структуры и нормативной документации;
  • интервью с представителями бизнеса, ИТ и СБ;
  • инструментальный анализ защищенности активов ИТ-инфраструктуры.

В итоге оценивается текущий уровень и перспективы развития процессов ИБ для согласования с требованиями бизнеса. Достоверный анализ рисков ИБ помогает нам совместно с заказчиком разработать организационные и технические рекомендации по снижению рисков. Документация по процессам ИБ приводится в соответствие требованиям регуляторов. А методика построения моделей угроз и нарушителей дает понимание, что нужно защищать в первую очередь, помогая оптимизировать траты на безопасность.

Окончательный результат аудита – план работ (проект ТЗ) по совершенствованию ИБ, согласованный с ИТ и бизнесом и обосновывающий важность предстоящих внедрений.

Наша методология предусматривает использование ряда отраслевых стандартов:

  • ISO 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.
  • ISO 27002. Информационные технологии. Свод правил по управлению защитой информации.
  • ISO 27005. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. 
  • ФЗ-152 «О персональных данных».
  • Постановление правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Приказ ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Information Technology Assurance Framework (ITAF).

Отзывы клиентов

OBI–Алексей Андриянов

Проблема по аудиту системы web-фильтрации, стоящая перед службой безопасности компании OBI, была профессионально решена специалистами компании Softline.