/


Главная / Услуги и решения / Информационная безопасность / Анализ и оценка информационной безопасности компании

Анализ и оценка информационной безопасности компании

Разработка концепции информационной безопасности

В концепции информационной безопасности фиксируются направления дальнейшего развития ИБ, определенные на основе аудита текущего состояния системы. Этот документ должен быть согласован со стратегией развития всей компании, а также законодательством и отраслевыми стандартами в части информационной безопасности.

В концепции определяются стратегические цели и задачи построения системы обеспечения ИБ организации, приоритетность выполнения задач, план работ и распределения ресурсов и инвестиций.

Концепция развития составляется с учетом специфики бизнеса заказчика и приоритетов развития бизнеса и ИТ.

Внедрение и централизованное управление политикой безопасности и информационными рисками

Только лишь внедрение средств и систем ИБ не гарантирует защищенность компании. Для поддержания уровня безопасности необходимо внедрение политик и регламентов ИБ и правильное управление ими. Это – центральное звено, которое регламентирует работу всех участников процесса.

Внедрение политик помогает снижать капитальные и эксплуатационные расходы, делать работу непрерывной и защищенной. Бизнес будет понимать текущий уровень информационной безопасности предприятия, а ИТ-специалисты смогут развивать ее, ориентируясь на стратегию дальнейшего развития компании.

Аудит информационной безопасности

К независимой оценке уязвимостей и рисков ИБ обычно прибегают при планировании внедрения новых систем или новых процессов управления ИБ. К аудиторам обращаются при открытии подразделений и филиалов, слияниях и поглощениях.

Можно провести полный аудит всех инфраструктурных и прикладных ИТ-систем и процессов в организации, а можно обследовать отдельные системы: web-ресурсы, сетевую инфраструктуру, бизнес-системы ERP и CRM, платежные, биллинговые, бухгалтерские и банковские системы и другие компоненты ИТ.

Обычно аудиторы проводят следующие работы:

  • изучение организационной структуры и нормативной документации;
  • интервью с представителями бизнеса, ИТ и СБ;
  • инструментальный анализ защищенности активов ИТ-инфраструктуры.

В итоге оценивается текущий уровень и перспективы развития процессов ИБ для согласования с требованиями бизнеса. Достоверный анализ рисков ИБ помогает нам совместно с заказчиком разработать организационные и технические рекомендации по снижению рисков. Документация по процессам ИБ приводится в соответствие требованиям регуляторов. А методика построения моделей угроз и нарушителей дает понимание, что нужно защищать в первую очередь, помогая оптимизировать траты на безопасность.

Окончательный результат аудита – план работ (проект ТЗ) по совершенствованию ИБ, согласованный с ИТ и бизнесом и обосновывающий важность предстоящих внедрений.

Наша методология предусматривает использование ряда отраслевых стандартов:

  • ISO 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.
  • ISO 27002. Информационные технологии. Свод правил по управлению защитой информации.
  • ISO 27005. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. 
  • ФЗ-152 «О персональных данных».
  • Постановление правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Приказ ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Information Technology Assurance Framework (ITAF).

Отзывы клиентов

Alliance Healthcare Russia–Елена Ващук

Softline защитила персональные данные в ООО «Альянс Хелскеа Рус» в соответствии с требованиями Федерального закона Российской Федерации №152-ФЗ «О персональных данных». Компания Softline зарекомендовала себя в качестве профессионального партнера, предоставившего оптимальное предложение по цене и оказавшего квалифицированную консультацию. Главным результатом реализованного проекта мы считаем то, что благодаря качественной работе, проделанной специалистами Softline, вся документация нашей компании, регламентирующая обработку персональных данных, стала соответствовать требованиям современного законодательства. Мы довольны экспертным уровнем специалистов Softline, умением эффективно решать поставленные задачи в заявленный срок.