Защита информационных активов компании

Большинство директоров служб автоматизации (CIO) и информационной безопасности (CISO) украинских компаний наверняка задавалось вопросом: «Как оценить уровень защищенности информационных активов компании и определить перспективы развития корпоративной системы защиты информации?». Давайте попробуем найти ответ на этот актуальный вопрос.

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории Украины. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации.

Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании.

Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.

Во-вторых разработать и реализовать комплексный план совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:

• обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
• выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
• определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;
• разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
• обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.

Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.

Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться законами Украины.

Разновидности аналитических работ по оценке защищенности

Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям:

1. «Комплексный анализ информационных систем (ИС) компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков»;
2. «Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании»;
3. «Организационно-технологический анализ ИС компании»;
4. «Экспертиза решений и проектов»;
5. «Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации»;
6. «Работы, поддерживающие практическую реализацию плана защиты»;
7. «Повышение квалификации и переподготовка специалистов».

Давайте кратко рассмотрим каждое из них.

Исследование и оценка состояния информационной безопасности ИС и подсистемы информационной безопасности компании предполагают проведение их оценки на соответствие типовым требованиям руководящих документов, типовым требованиям международных стандартов ISO и соответствующим требованиям компании-заказчика. К первой области также относятся работы, проводимые на основе анализа рисков, инструментальные исследования (исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, исследование защищенности точек доступа в Internet). Данный комплекс работ также включает в себя и анализ документооборота, который, в свою очередь, можно выделить и как самостоятельное направление.

Рекомендации могут касаться общих основополагающих вопросов обеспечения безопасности информации (разработка концепции информационной безопасности, разработка корпоративной политики охраны информации на организационно-управленческом, правовом, технологическом и техническом уровнях), применимых на многих компаниях. Также рекомендации могут быть вполне конкретными и относится к деятельности одной единственной компании (план защиты информации, дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности компании).

Организационно-технологический анализ ИС компании в основном предполагает проведение оценки соответствия типовым требованиям руководящих документов Украины к системе информационной безопасности компании в области организационно-технологических норм и анализ документооборота компании категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации. При этом собственно внутрифирменная концепция информационной безопасности (ИБ) и положение о коммерческой тайне должны соответствовать действующему законодательству.

Правильная экспертиза решений и проектов играет важную роль в обеспечении функционирования всей системы информационной безопасности и должна соответствовать требованиям по обеспечению информационной безопасности экспертно-документальным методом. Экспертиза проектов подсистем – требованиям по безопасности экспертно-документальным методом.

Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации, как правило, включают два направления:

• анализ документооборота компании категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации;
• поставку комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне.

Работы, поддерживающие практическую реализацию плана информационной безопасности, в частности, заключаются в следующем:

• разработка технического проекта модернизации средств защиты ИС, установленных на фирме по результатам проведенного комплексного аналитического исследования корпоративной сети;
• подготовка компании к аттестации (к аттестации объектов информатизации заказчика на соответствие требованиям руководящих документов, а также на соответствие требованиям безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности компании);
• разработка расширенного перечня сведений ограниченного распространения как части политики безопасности;
• разработка пакета организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне;
• поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровнях.

Уровень информационной безопасности компании во многом зависит от квалификации специалистов. В целях повышения квалификации и переподготовки кадров рекомендуется проводить тренинги по применению средств защиты информации, технологии защиты информации, обучать сотрудников основам экономической безопасности.

Немаловажную роль играет и ежегодная переоценка состояния информационной безопасности компании.

Подготовил по материалам печати Волошин В.А. , исполнительный директор группы компаний безопасности "КАСКАД"

Системы и средства видеонаблюдения

Что может CCTV и чего не может >>Камеры наблюдения: на что стоит обратить внимание >>Алгоритм выбора оборудования охранного телевидения >>Цифровое CCTV: руководство покупателя >>Цифровые видеорегистраторы: революция свершилась >>Цифровые видеорегистраторы -- изучение основ >>Что выбрать: аппаратный видеорегистратор или видеорегистратор на базе компьютера? >>DVR против NVR >>IP-системы видеонаблюдения >>Как выбрать сетевую телекамеру. 10 главных факторов, влияющих на правильность выбора >>Цвет в телевизионных системах наблюдения и охраны >>ПЕРЕДАЧА ВИДЕОСИГНАЛА ПО ВИТОЙ ПАРЕ >>Технология сжатия видеоизображений в системах цифрового охранного видеонаблюдения >>Системы наблюдения дальнего радиуса действия >>Беспроводное видеонаблюдение - новые горизонты безопасности! >>Беспроводные камеры охранного телевидения уязвимы при нападении >>Скрытые видеокамеры >>Для глаза CCNVD ночью все кошки цветные >>Системы видеонаблюдения TRASSIR с аппаратной компрессией теперь в промышленном исполнении >>Мультиплексоры: функциональные возможности, состояние российского рынка >>Развенчивание мифов о техобслуживании систем видеонаблюдения >>

Системы и средства сигнализации

Охранно-пожарная сигнализация (ОПС). Азы >>Требования к техническому оснащению объектов средствами охранно-пожарной сигнализации >>ОПС - охранно-пожарная сигнализация. Применение ОПС >>Монтаж технических средств охраны >>Пpиeмнaя aппapaтуpa oxpaннo-пoжapнoй cигнaлизaции (ОПС) >>Управление тревожной сигнализацией через Интернет >>GSM-сигнализация, система оповещения >>Датчики охранной сигнализации >>Теоретические основы работы пассивных инфакрасных детекторов движения >>Акустические извещатели разрушения стекла >>Периметровые системы охраны. Раннее обнаружение нарушителя >>Технические средства охраны периметров. Периметровые извещатели >>

Домофонные системы

Видеодомофон. Система безопасности или дорогая игрушка? >>Домофон или система видеонаблюдения - как следует принимать решение? >>Краткий обзор домофонных систем >>Cостав современных видеодомофонов >>Дoмoфoны. Оcнoвныe элeмeнты и инcтaлляция дoмoфoнoв >>Исполнительные устройства домофонов >>Все многообразие электромеханических защелок >>Вызывные панели в домофонных системах >>Может ли стать домофон Убийцей? >>

Контроль и управление доступом

Развенчивая мифы о биометрии >>Регистрация транспорта в СКУД >>Системы учета рабочего времени >>Все многообразие электромеханических защелок >>Турникеты - исполнительные устройства системы контроля доступа >>Тумбовые турникеты >>Полуростовые роторные турникеты >>Полноростовые роторные турникеты >>

Рынок спецтехники

Защита информационных активов компании >>Лапша. Мифы и легенды рынка спецтехники >>Сага о Митнике >>Защита почты >>

Организация охраны офисов, квартир, предприятий, строек и других объектов

Как выбрать правильную безопасность >>Безопасность — и никаких компромиссов! >>Безопасность бизнеса. Меры по обеспечению безопасности бизнеса >>Обеспечение безопасности организации >>О целесообразности разработки паспорта безопасности объекта >>Враг в самом себе. Как предотвратить кражи персоналом магазина >>Противокражные системы >>Автоматизация контроля несения службы физической охраной на объектах >>Передовые подходы и новые технологии в охране строек и временно пустующих объектов. Интегрированная схема с четырьмя источниками безопасности. >>Как защитится от квартирных воров. Три рубежа безопасности >>Как сделать безопасным частный дом >>Мой дом - моя крепость, как защитить загородное жилье >>Советы по жизни: как избежать квартирной кражи >>За железной стеной >>История двери от Древнего Египта до наших дней >>Как правильно выбрать металлическую дверь? >>Часто задаваемые вопросы по металлическим дверям >>Выбор бронедверей >>Украинский рынок бронедверей заполонили металлические двери Китайского производства >>Нужна ли Вам охрана >>Специфика охраны промышленных предприятий >>Контроль и учет материальных ценностей в системе охраны и физической защиты предприятия >>

Рынок безопасности. Обзоры

Обзор рынка охранных услуг, Харьков >>Мировые тенденции в сфере обеспечения безопасности >>Безопасность и бизнес >>Как противостоять угрозам >>Польша: общий обзор индустрии безопасности >>Австрия: общий обзор частной индустрии безопасности >>Современное состояние рынка охранных услуг Кипра >>Италия: Обзор рынка технологий безопасности >>Современное состояние рынка охранных услуг Греции >>Работа отдела физ. охраны >>Охранник. Профессия - защищать людей >>Профессиональная подготовка телохранителей >>Сопровождение грузов >>Конкурентная разведка и небольшие компании >>