Практические шаги аудита безопасности


Реализация задач обеспечения безопасности корпоративной системы Интернет/Интранет становится возможной в ходе следующих практических шагов аудита безопасности.

1. Комплексный анализ информационной системы (ИС) предприятия и подсистемы информационной безопасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.

1.1. Исследование и оценка состояния информационной безопасности корпоративной информационной системы (КИС) и подсистемы информационной безопасности предприятия.

1.1.1. Комплексная оценка соответствия типовых требований Руководящих документов (РД) Гостехкомиссии РФ системе информационной безопасности предприятия.

1.1.2. Комплексная оценка соответствия типовых требований международных стандартов ISO системе информационной безопасности предприятия.

1.1.3. Комплексная оценка соответствия специальных требований Заказчика системе информационной безопасности предприятия.

1.2. Работы на основе анализа рисков.

1.2.1. Анализ рисков. Уровень управления рисками на основе качественных оценок рисков.

1.2.2. Анализ рисков. Уровень управления рисками на основе количественных оценок рисков.

1.3. Инструментальные исследования.

1.3.1. Инструментальное исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей.

1.3.2. Инструментальное исследование защищенности точек доступа предприятия в Интернет.

1.4. Анализ документооборота предприятия.

2. Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима информационной безопасности предприятия.

2.1. Разработка концепции обеспечения информационной безопасности предприятия.

2.2. Разработка корпоративной политики обеспечения информационной безопасности предприятия на организационно-управленческом, правовом, технологическом и техническом уровнях.

2.3. Разработка плана защиты предприятия Заказчика.

2.4. Дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности предприятия Заказчика.

3. Организационно-технологический анализ ИС предприятия.

3.1. Оценка организационно-управленческого уровня безопасности.

3.1.1. Оценка соответствия типовым требованиям руководящих документов РФ к системе информационной безопасности предприятия в области организационно-технологических норм.

3.1.2. Анализ документооборота предприятия категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.

3.1.3. Дополнительные работы по исследованию и оценке информационной безопасности объекта.

3.2. Разработка рекомендаций по организационно-управленческому технологическому, общетехническому обеспечению режима информационной безопасности предприятия.

3.2.1. Разработка элементов концепции обеспечения информационной безопасности предприятия.

3.2.2. Разработка элементов корпоративной политики обеспечения информационной безопасности предприятия на организационно-управленческом, правовом и технологическом уровнях.

4. Экспертиза решений и проектов.

4.1. Экспертиза решений и проектов автоматизации на соответствие требованиям по обеспечению информационной безопасности экспертно-документальным методом.

4.2. Экспертиза проектов подсистем информационной безопасности на соответствие требованиям по безопасности экспертно-документальным методом.

5. Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации.

5.1. Анализ документооборота предприятия категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.

5.2. Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики информационной безопасности предприятия на организационно-управленческом и правовом уровне.

6. Работы, поддерживающие практическую реализацию плана защиты.

6.1. Разработка технического проекта модернизации средств защиты КИС, установленных у Заказчика по результатам проведенного комплексного аналитического исследования корпоративной сети.

6.2. Разработка системы поддержки принятия решений на предприятии Заказчика по обеспечению информационной безопасности предприятия на основе CASE-систем и программных СППР.

6.3. Подготовка предприятия к аттестации.

6.3.1. Подготовка «под ключ» предприятия к аттестации объектов информатизации заказчика на соответствие требованиям РД РФ.

6.3.2. Подготовка предприятия к аттестации КИС на соответствие требованиям по безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности предприятия.

6.4. Разработка организационно-распорядительной и технологической документации.

6.4.1. Разработка расширенного перечня сведений ограниченного распространения как части политики безопасности.

6.4.2. Разработка пакета организационно-распорядительной документации (ОРД) в соответствии с рекомендациями корпоративной политики информационной безопасности (ИБ) предприятия на организационно-управленческом и правовом уровне.

6.4.3. Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровнях.

7. Повышение квалификации и переподготовка специалистов.

7.1. Тренинги в области организационно-правовой составляющей защиты информации.

7.2. Обучение основам экономической безопасности.

7.3. Тренинги в области технологии защиты информации.

7.4. Тренинги по применению продуктов (технических средств) защиты информации .

7.5. Обучение действиям при попытке взлома информационных систем.

7.6. Обучение и тренинги по восстановлению работоспособности системы после нарушения штатного режима ее функционирования, а также по восстановлению данных и программ из резервных копий.

8. Сопровождение системы информационной безопасности после проведенного комплексного анализа или анализа элементов системы ИБ предприятия.

9. Ежегодная переоценка состояния ИБ.

Здесь под терминомаудит информационной безопасности корпоративной системы Интернет/Интранет понимается системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности на всех основных уровнях обеспечения безопасности: методологическом, организационно-управленческом, технологическом и техническом. Таких оценок, которые позволяют выработать практические рекомендации по управлению и обеспечению информационной безопасности компании, адекватные поставленным целям и задачам развития бизнеса.

В целом независимо от своей разновидности, состава и объема аудит безопасности корпоративной системы Интернет/Интранет должен позволить решить следующие актуальные задачи каждой проверяемой компании:

· обеспечить (при необходимости повысить) информационную безопасность предприятия;

· снизить потенциальные потери предприятия путем повышения устойчивости функционирования корпоративной сети;

· защитить конфиденциальную информацию, передаваемую по открытым каналам связи;

· защитить информацию от умышленного искажения (разрушения), несанкционированного копирования, доступа или использования;

· обеспечить контроль действий пользователей в корпоративной сети предприятия;

· своевременно оценить и переоценить информационные риски бизнес - деятельности компании;

· выработать оптимальные планы развития и управления предприятием.









Последнее изменение этой страницы: 2016-04-20; Нарушение авторского права страницы

infopedia.su не принадлежат авторские права, размещенных материалов. Все права принадлежать их авторам. Обратная связь