Прежде чем приступать к защите информационных систем, нам с Вами необходимо ответить на три главных вопроса защиты информации, три простых на первый взгляд вопроса: что именно мы собираемся защищать, от кого и какими средствами. Однако, простыми данные вопросы являются только до момента, когда на них нужно получить реальные ответы.
Действительно, раскрывая первый вопрос мы получаем множество подвопросов и, соответственно, вариантов ответа. Защищать информацию мы можем как сведения в чистом виде, либо в совокупности со средствами и технологиями её обработки, носители могут быть как машиночитаемыми, так и бумажными, информация может находиться и в информативных физических полях, носителями могут быть также сотрудники, обладающие критичными для предприятия сведениями. Важно определить места хранения защищаемой информации, каналы её передачи, перечни допущенных к её обработке сотрудников и это далеко не полный перечень подвопросов. На этапе опеределения перечня сведений ограниченного доступа, систем, обрабатывающих данные сведения и каналов их передачи как правило, возникает проблема недостаточной осведомлённости обработчика сведений о составе и особенностях функционирования собственной информационной системы.
Второй вопрос является не менее комплексным, потому как точное моделирование нарушителя позволяет адекватно сформировать перечень и уровни мер защиты для актуальных каналов утечки информации и не отвлекать финансовые и трудовые ресурсы на неактуальные для конкретной системы угрозы. Типичной ошибкой при моделировании нарушителя является уделение избыточного внимания внешнему злоумышленнику и оставление без внимания нарушителей внутренних, в том числе действующих без злого умысла.
После того, как мы определили что и от кого будем защищать, остаётся сформулировать требования по защите и именно этот этап является наиболее емким по временным, финансовым и трудовым затратам. Среди огромного количества встречающихся на этом этапе сложностей такие, например, как проблемы внедрения организационных мер в бизнес-процессы предприятия, вопросы совместимости выбранных технических средств защиты с программными и аппаратными средствами информационной системы, оборудованием, вовлечённым в производственный цикл предприятия, фактически используемыми средствами защиты. Важно правильно определить стоимость информационных ресурсов и внедряемой системы защиты чтобы не выбрасывать многие десятки тысяч рублей на защиту «копеечной» информации.
Эффективно решить описанные выше проблемы и ответить на главные вопросы защиты информации позволяет аудит информационной безопасности предприятия.
Среди многих видов аудита мы выделяем следующие:
- Аудит фактической защищённости информационных систем. Наиболее применим для защиты сведений, составляющих комерческую тайну.
Активный вид аудиторских проверок, позволяющий используя все доступные средства и решения, как технические, так и социальные проверить систему предприятия на возможность вторжения. Наиболее характерно при проведении подобных проверок использование внешних аудиторов.
- Аудит на соответствие требованиям регуляторов по безопасности информации. Типично применяется для защиты персональных данных.
Также типично «внешний» аудит, учитывающий, в отличие от первого вида, только требования руководящих документов регуляторов для заявленного класса системы или характеристик обрабатываемой в ней информации.
- Внутренний аудит информационной безопасности.
Проверочные мероприятия, в ходе которых производится самопроверка организации. Процесс данного вида проверки характеризуется постоянностью и «фоновостью». Позволяет отследить изменения в состоянии системы в «реальном времени».
ООО «МКЦ «АСТА-информ» готово предложить Вам услуги по первым двум видам аудита и оказать организационно-методологическую помощь по реализации системы внутренних проверок.