Аудит и управление ИБ


Аудит информационной безопасности — это системный процесс получения объективных качественных и количественных оценок текущего состояния корпоративной информационной системы в соответствии с определенными критериями информационной безопасности. Основная задача аудита — объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса по увеличению эффективности и рентабельности экономической деятельности компании. Результаты аудита позволяют построить оптимальную по эффективности и затратам систему защиты корпоративной информации, адекватную текущим задачам и целям бизнеса. Управление информационной безопасностью — это непрерывный циклический процесс, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты. В основе этого процесса лежит периодический анализ защищенности информационной системы в разрезе видов угроз и динамики их развития.
 Услуги по аудиту и управлению ИБ +7 (495) 231-4831
 версия для печати   
  Аудит информационной безопасности

Аудит информационной безопасности

Важной составляющей развития современных предприятий является автоматизация бизнес-процессов с использованием средств вычислительной техники и телекоммуникаций. Следствием этого является неуклонный рост объемов информации, которая подвергается обработке и накоплению в электронном виде.

С ростом электронного документооборота предприятия возрастает зависимость успеха его деятельности от непрерывности функционирования информационной системы (ИС) как единого целого и от сохранности корпоративной информации в процессе ее обработки и хранения на электронных носителях.

Насколько аудит безопасности может быть полезен для вашей компании?

Привыкая к повседневному использованию информационных технологий, мы часто забываем о том, что надежность техники и, главное, устройств хранения электронной информации конечна, в связи с чем существует вероятность отказа оборудования, приводящая к сбоям в доступе к электронной информации, а в худшем случае — к частичной или полной ее потере. Более того, мы совсем не заботимся о разработке и внедрении плана мероприятий по восстановлению работоспособности ИС после кризиса.

Отказ оборудования зачастую происходит именно в тот момент времени, когда это наносит наибольший ущерб. Известны случаи, когда простой информационной системы приводил к экономическим убыткам, многократно превышающим стоимость самой системы.

Рост информационной системы предприятия, являющийся неминуемой частью успешного развития бизнеса, влечет за собой ужесточение требований к непрерывности ее функционирования, а также к сохранности и обеспечению конфиденциальности корпоративной информации. ИС предприятия превращается из печатной машинки в инструмент ведения бизнеса, что, в свою очередь, втягивает предприятие во все большую зависимость от уязвимости, постоянно усложняющейся ИС.

Одним из критических аспектов уязвимости ИС является отсутствие плана мероприятий по восстановлению ее работоспособности после кризиса. В случае возникновения форс-мажорных обстоятельств можно арендовать новое помещение, закупить технику, подключить телекоммуникации, но нельзя восстановить работоспособность ИС, если утрачена информация и/или специализированные средства ее обработки.

Очень важно понимать и осознавать, что:

  • обеспечение информационной безопасности — это непрерывный процесс, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты;
  • в основе этого процесса лежит периодический анализ защищенности информационной системы в разрезе видов угроз и динамики их развития;
  • информационная система, в своем развитии, должна подвергаться периодическим реорганизациям, отправной точкой каждой из которых служит анализ выявленных уязвимостей при проведении аудита информационной безопасности.

Аудит информационной безопасности должен быть ориентирован как на специалистов в области ИТ-безопасности, так и на специалистов в области менеджмента. Такой подход устраняет существующее недопонимание специалистов в области информационной безопасности TOP-менеджерами компании.

Аудит информационной безопасности включает следующие этапы работ

  • интервьюирование персонала
  • инвентаризация и обследование компьютеров
  • тесты на проникновнение (Penetration Test)
  • анализ защищенности КИС
  © 2008-2009, ProtectMe  +7 (495) 231-4831  
  «Лаборатория защиты» E-mail: info@protectme.ru