Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

Организация защиты информации на предприятии

Как удостовериться, что при разработке и внедрении мер ничто не забыто и не допущены ошибки? Придется предусмотреть метод и средства анализа защищенности ресурсов, определить интервалы и назначить ответственных среди штатного персонала за проведение систематического контроля созданной системы ИБ. Для анализа программно-технических средств можно применить программные сканеры безопасности и внедрить их в корпоративную систему, а разработанную нормативную документацию приводить в соответствие при изменениях характера и состава бизнес-процессов, изменениях архитектуры сети и, с другой стороны, регулярно подвергать созданную систему защиты информации анализу на соответствие требованиям документации, т.е. проводить регулярный внутренний аудит.

Внедрение разработанных мер займет некоторое время, как и подготовка персонала, прежде, чем защита информации будет обеспечена на должном уровне. Но есть еще несколько вопросов, от решения которых будет зависеть достигнутый уровень защиты информации. Во-первых, развитие технологий, в том числе и используемых злоумышленниками, постоянный процесс, требующий и совершенствование средств защиты, а, во-вторых, кто гарантирует, что при внедрении даже незначительных изменений и последующей эксплуатации корпоративной информационной системы в ней не появятся новые уязвимости? Увы, но, в отличие от развитых стран, в нашей стране практика страхования информационных рисков пока еще отсутствует. И, наконец, разве можно качественно проверить самого себя? Ответ очевидный - единственное решение в проведении периодического внешнего аудита для подтверждения и поддержания заданного уровня защищенности, т.к. появление "слабого" звена в построенной системе приведет к ослаблению системы в целом. Регламент и регулярность проведения внешнего аудита могут быть определены в процессе разработки организационных мер и закреплены в соответствующих распорядительных документах.

Следует заметить, что предложенная последовательность действий - фактическая квинтэссенция нашего опыта по организации информационной безопасности предприятий с различными формами собственности, разных сфер деятельности и разной величины - от нескольких рабочих мест в одном помещении до территориально распределенной структуры с полуторатысячным коллективом. Деньги считают все одинаково.

Безусловно, подобный подход имеет некоторые недостатки с точки зрения построения комплексной системы управления информационной безопасностью, но это уже другая задача, а преимущества рассмотренного решения очевидны:

Следует оценить и следующий факт - при настройке программно-технических средств использованы передовые методики и рекомендации, разработанные различными отечественными и зарубежными ведомствами, специализированными в сфере защиты информации и информационной безопасности, в том числе и военизированными.

И, главное, - если обратили внимание, при отречении вначале от опоры на стандарты последовательность и состав шагов в значительной степени соответствуют практическим правилам управления информационной безопасностью предприятия, изложенным в стандарте ГОСТ Р ИСО/МЭК 17779-2005. Три кита информационной безопасности у Ваших ног! Причем, без излишней бюрократизации процесса. В этом можно убедиться с помощью онлайнового теста, позволяющего провести относительную оценку состояния построенной системы информационной безопасности. Все разработанные рекомендации, правила, инструкции, регламенты и отдельные политики впоследствии с незначительной корректировкой можно использовать как базу для построения полноценной системы управления информационной безопасностью. Стоящее достижение для достойной цели!

В.Б.

Страница 1 2 3

© Центр Сетевой Безопасности Арнис, 2008

о компании | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница