|
Построение Системы управления информационной безопасностью (СУИБ) |
СУИБ – это система, разработанная на основе международных стандартов защиты информации ISO 17799 и ISO 27001, позволяющая обеспечить безопасное управление информационными активами. Благодаря СУИБ Вы получаете возможность в любой момент получить четкое представление о важности имеющейся у Вас информации и какой риск несет ее потеря, а так же получаете инструменты для ее защиты, в виде правильно сконфигурированного программного обеспечения и свода правил по эксплуатации IT инфраструктуры компании.
Условно процесс построения СУИБ можно разбить на несколько этапов:
- Анализ требований к системе управления информационной безопасности (далее СУИБ).
- Аудит существующей системы безопасности. Поиск уязвимостей и несоответствий к требованиям СУИБ.
- Анализ информационных рисков, включающий анализ и разработку перечня существующих видов ценной информации, оценку уровня возможного ущерба по всем видам ценной информации по угрозам конфиденциальности, целостности и доступности, получение оценок уровней критичности бизнес-ресурсов, на которых находится ценная информация
- Корректировка требований к СУИБ по результатам аудита.
- Внедрение системы информационной безопасности - ликвидация уязвимостей в информационной инфраструктуре и приведение СУИБ к ранее созданным требованиям.
- Консультации и дальнейшая поддержка процесса внедрения СУИБ с учетом особенностей Вашей компании и темпов ее развития.
При составлении требований к СУИБ учитываются все детали бизнес процессов Вашей компании. Мы проведем анализ движения информации (файловые сервера, системы документооборота, базы данных, почта, ip-телефония и т.д.) у вас на предприятии, предварительно рассчитав все риски потери информации в денежном или условном эквиваленте, благодаря чему можно будет выделить элементы корпоративной инфраструктуры, которые нуждаются в особом внимании при составлении требований к СУИБ.
Аудит существующего уровня безопасности включает в себя: - Проверку сетевой инфраструктуры на устойчивость перед внешними и внутренними сетевыми атаками. Мы выступим в роли хакеров-злоумышленников и проведем серию атак на вашу сеть с целью получения важной информации информации и выяснения возможности нарушения работоспособности IT-инфраструктуры. Это позволит на практическом примере выявить узкие места в вашей системе безопасности.
- Санкционированный аудит серверов, рабочих станций и сетевого оборудования позволит локализовать потенциально опасные места, уязвимости в которых могут привести к краже, потере, или искажению информации.
- Анализ уровней доступа пользователей к информации. Делегирование (разделение, ограничение) прав пользователей при доступе к информации разного уровня важности.
- Анализ текущих процессов работы с IT инфраструктурой - локализация опасных и потенциально опасных действий ваших сотрудников во время работы с элементами IT- инфраструктуры вашего предприятия.
Результаты аудита позволят выяснить уровень защищенности элементов IT-инфраструктуры вашего предприятия и внести поправки в требования к СУИБ.
В процессе внедрения СУИБ в работу предприятия выполняется: - Устранение всех явных и потенциальных уязвимостей серверов и рабочих станций;
- Создание документов, описывающих процедуры по поддержке СУИБ в соответствии с ранее созданными требованиями;
- Создание документов, описывающих правила эксплуатации информационной инфраструктуры, основанных на требованиях к СУИБ;
- Проведение обучения персонала, обслуживающего информационную структуру компании (в случае если в дальнейшем ее обслуживание будет проводить не наша компания);
- Проведение бесед с сотрудниками вашей организации о важности соблюдения правил эксплуатации информационной инфраструктуры. СУИБ не будет эффективной, если в ее поддержке не будут участвовать все сотрудники компании, особенно менеджерский состав.
|
