Анализ и оценка ИБ компании

Разработка концепции информационной безопасности

В концепции информационной безопасности фиксируются направления дальнейшего развития ИБ, определенные на основе аудита текущего состояния системы. Этот документ должен быть согласован со стратегией развития всей компании, а также законодательством и отраслевыми стандартами в части информационной безопасности.
В концепции определяются стратегические цели и задачи построения системы обеспечения ИБ организации, приоритетность выполнения задач, план работ и распределения ресурсов и инвестиций.
Концепция развития составляется с учетом специфики бизнеса заказчика и приоритетов развития бизнеса и ИТ.

Внедрение и централизованное управление политикой безопасности и информационными рисками

Только лишь внедрение средств и систем ИБ не гарантирует защищенность компании. Для поддержания уровня безопасности необходимо внедрение политик и регламентов ИБ и правильное управление ими. Это – центральное звено, которое регламентирует работу всех участников процесса.
Внедрение политик помогает снижать капитальные и эксплуатационные расходы, делать работу непрерывной и защищенной. Бизнес будет понимать текущий уровень информационной безопасности предприятия, а ИТ-специалисты смогут развивать ее, ориентируясь на стратегию дальнейшего развития компании.

Аудит информационной безопасности

К независимой оценке уязвимостей и рисков ИБ обычно прибегают при планировании внедрения новых систем или новых процессов управления ИБ. К аудиторам обращаются при открытии подразделений и филиалов, слияниях и поглощениях.
Можно провести полный аудит всех инфраструктурных и прикладных ИТ-систем и процессов в организации, а можно обследовать отдельные системы: web-ресурсы, сетевую инфраструктуру, бизнес-системы ERP и CRM, платежные, биллинговые, бухгалтерские и банковские системы и другие компоненты ИТ.
Обычно аудиторы проводят следующие работы:

• изучение организационной структуры и нормативной документации;
• интервью с представителями бизнеса, ИТ и СБ;
• инструментальный анализ защищенности активов ИТ-инфраструктуры.

В итоге оценивается текущий уровень и перспективы развития процессов ИБ для согласования с требованиями бизнеса. Достоверный анализ рисков ИБ помогает нам совместно с заказчиком разработать организационные и технические рекомендации по снижению рисков. Документация по процессам ИБ приводится в соответствие требованиям регуляторов. А методика построения моделей угроз и нарушителей дает понимание, что нужно защищать в первую очередь, помогая оптимизировать траты на безопасность.
Окончательный результат аудита – план работ (проект ТЗ) по совершенствованию ИБ, согласованный с ИТ и бизнесом и обосновывающий важность предстоящих внедрений.
Наша методология предусматривает использование ряда отраслевых стандартов:

• ISO 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.
• ISO 27002. Информационные технологии. Свод правил по управлению защитой информации.
• ISO 27005. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. 
• ФЗ-152 «О персональных данных».
• Постановление правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказ ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Information Technology Assurance Framework (ITAF).