Проект "ИТ-Защита"

Большинство лиц, ответственных за обеспечение информационной безопасности, задавалось вопросом: "Как оценить уровень безопасности корпоративной информационной системы нашего предприятия для управления им в целом и определения перспектив его развития?"

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому вопрос, "как оценить уровень безопасности корпоративной информационной системы", - обязательно влечет за собой следующие: в соответствии с какими критериями производить оценку эффективности защиты, как оценивать и переоценивать информационные риски предприятия? Вследствие этого, в дополнение к требованиям, рекомендациям и руководящим документам Гостехкомисии России и ФАПСИ приходится адаптировать к нашим условиям и применять методики международных стандартов (ISO 17799, 9001, 15408, BSI и пр.), а также использовать методы количественного анализа рисков в совокупности с оценками экономической эффективности инвестиций в обеспечение безопасности и защиту информации.

Сегодня современные методики работы по анализу рисков информационной безопасности, проектированию и сопровождению систем безопасности должны позволять:

  • произвести количественную оценку текущего уровня безопасности, задать допустимые уровни рисков, разработать план мероприятий по обеспечению требуемого уровня безопасности на организационно-управленческом, технологическом и техническом уровнях с использованием современных методик и средств;
  • рассчитать и экономически обосновать перед руководством или акционерами размер необходимых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
  • выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
  • определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности предприятия, создать необходимый пакет организационно-распорядительной документации;
  • разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
  • обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Существенно, что выполнение указанных мероприятий открывает перед должностными лицами разного уровня новые широкие возможности.

1. Руководителям организаций и предприятий позволяет обеспечить формирование единых политики и концепции безопасности предприятия; рассчитать, согласовать и обосновать необходимые затраты в защиту предприятия; объективно и независимо оценить текущей уровень информационной безопасности предприятия; обеспечить требуемый уровень безопасности и в целом повысить экономическую эффективность предприятия; эффективно создавать и использовать профили защиты конкретного предприятия на основе неоднократно апробированных и адаптированных качественных и количественных методик оценки информационной безопасности предприятий Заказчика.

2. Начальникам служб автоматизации и информационной безопасности предприятия получить оперативную и объективную качественную и количественную оценку состояния информационной без-опасности предприятия на всех основных уровнях рассмотрения вопросов безопасности: организационно-управленческом, технологическом и техническом; выработать и обосновать необходимые меры организационного характера (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях); помогают составить экономическое обоснование необходимых инвестиций в защиту информации, обоснованно выбрать те или иные аппаратно-программные средства защиты информации в рамках единой концепции безопасности в соответствии с требованиями распоряжений и руководящих документов Гостехкомиссии России, ФАПСИ, а также международных стандартов ISO 17799, 9001, 15408, BSI; адаптировать и использовать в своей работе предложенные количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической составляющей эффективности предприятия.

3. Системным, сетевым администраторам и администраторам безопасности предприятия - объективно оценить безопасность всех основных компонентов и сервисов корпоративной информационной системы предприятия предприятия Заказчика, техническое состояние аппаратно-программных средств защиты информации (межсетевые экраны, маршрутизаторы, хосты, серверы, корпоративные БД и приложения); успешно применять на практике практические рекомендации, полученные в ходе выполнения аналитического исследования, для нейтрализации и локализации выявленных уязвимостей аппаратно-программного уровня.

4. Сотрудникам и работникам предприятий и организаций - определить основные функциональные отношения и, что особенно важно, зоны ответственности, в том числе финансовой, за надлежащее использование информационных ресурсов и состояние политики безопасности предприятия Заказчика.

Разновидности аналитических и консалтинговых работ в области информационной безопасности предприятий и организаций могут быть следующими. 1. Комплексный анализ ИС предприятия и подсистемы информационной безопасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.

1.1. Исследование и оценка состояния информационной безопасности КИС и подсистемы информационной безопасности предприятия.

· Комплексная оценка соответствия типовым требованиям РД РФ к системе информационной безопасности предприятия. · Комплексная оценка соответствия типовым требованиям международных стандартов ISO к системе информационной безопасности предприятия. · Комплексная оценка соответствия специальных требований Заказчика к системе информационной безопасности предприятия.

1.2. Работы на основе анализа рисков.

· Анализ рисков. Уровень управления рисками на основе качественных оценок рисков. · Анализ рисков. Уровень управления рисками на основе количественных оценок рисков.

1.3. Инструментальные исследования.

· Инструментальное исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей. · Инструментальное исследование защищенности точек доступа предприятия в Internet.

1.4. Анализ документооборота предприятия.

2. Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима информационной безопасности предприятия.

2.1. Разработка концепции обеспечения информационной без-опасности предприятия. 2.2. Разработка корпоративной политики обеспечения информационной безопасности предприятия на организационно-управленческом, правовом, технологическом и техническом уровнях.

2.3. Разработка плана защиты предприятия Заказчика.

2.4. Дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности предприятия Заказчика.

3. Организационно-технологический анализ ИС предприятия.

· Оценка соответствия типовым требованиям руководящих документов РФ к системе информационной безопасности предприятия в области организационно-технологических норм. · Анализ документооборота предприятия категории "конфиденциально" на соответствие требованиям концепции информационной безопасности; положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации. · Дополнительные работы по исследованию и оценке информационной безопасности объекта.

3.1. Разработка рекомендаций по организационно-управленческому, технологическому, общетехническому обеспечению режима информационной безопасности предприятия.

· Разработка элементов концепции обеспечения информационной безопасности предприятия. · Разработка элементов корпоративной политики обеспечения информационной без-опасности предприятия на организационно-управленческом, правовом и технологическом уровне.

4. Экспертиза решений и проектов.

4.1. Экспертиза решений и проектов автоматизации на соответствие требованиям по обеспечению информационной без-опасности экспертно-документальным методом.

4.2. Экспертиза проектов подсистем информационной безопасности на соответствие требованиям по безопасности экспертно-документальным методом.

5. Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации.

5.1. Анализ документооборота предприятия категории "конфиденциально" на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.

5.2. Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.

6. Работы, поддерживающие практическую реализацию плана защиты.

6.1. Разработка технического проекта модернизации средств защиты КИС, установленных у Заказчика по результатам проведенного комплексного аналитического исследования корпоративной сети.

6.2. Разработка системы поддержки принятия решений на предприятии Заказчика по обеспечению информационной безопасности предприятия на основе CASE-систем и программных СППР.

6.3. Подготовка предприятия к аттестации.

· Подготовка "под ключ" предприятия к аттестации объектов информатизации заказчика на соответствие требованиям РД РФ. · Подготовка предприятия к аттестации КИС на соответствие требованиям по безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности предприятия.

6.4. Разработка организационно-распорядительной и технологической документации.

· Разработка расширенного перечня сведений ограниченного распространения как части политики безопасности. · Разработка пакета организационно-распорядительной документации (ОРД) в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне. · Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровнях.

7. Повышение квалификации и переподготовка специалистов.

7.1. Тренинги в области организационно-правовой составляющей защиты информации.

7.2. Обучение основам экономической безопасности.

7.3. Тренинги в области технологии защиты информации.

7.4. Тренинги по применению продуктов (технических средств) защиты информации.

7.5. Обучение действиям при попытке взлома информационных систем.

8. Сопровождение системы информационной безопасности после проведенного комплексного анализа или анализа элементов системы ИБ предприятия.

9. Ежегодная переоценка состояния ИБ.

___________

С. А. Петренко

Об авторе: С. А. Петренко - руководитель направления "Безопасность компьютерных систем" ООО "Конфидент" s.petrenko@confident.spb.ru

Источник - security.meganet.md





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.