Комментарий эксперта

Комментарий эксперта

В.Ю. Масалов
Начальник отдела ИБ
Департамента систем безопасности
ЗАО «Би-Эй-Си», к.т.н.

В последнее время многие наши компании, развивая свою IT-инфраструктуру, стали более серьезно подходить к вопросам обеспечения ИБ. В то же время организации, которые только недавно осознали потребность в защите своей информации, не всегда понимают необходимость комплексного подхода к решению этой задачи. Конечно, комплексный подход требует дополнительных затрат, но только он позволяет создать гибкую систему обеспечения и управления ИБ, давая возможность адекватно реагировать на угрозы информационным ресурсам предприятия. Реализация комплексного подхода к обеспечению и управлению ИБ подразумевает предпринятие ряда действий.

1. Первоначальный аудит ИБ предприятия:

а) определение целей, назначения, области действия, границ и основных принципов построения системы обеспечения и управления ИБ (концепция управления ИБ);

б) определение и классификация информационных ресурсов предприятия по критериям: "уровень ущерба от нарушения конфиденциальности", "уровень ущерба от нарушения целостности" и "уровень ущерба от нарушения доступности". При этом не только конфиденциальная информация требует защиты. Нарушение целостности и доступности некоторых видов открытой информации также может нанести ущерб имиджу или бизнесу предприятия;

в) проведение анализа основных бизнес-процессов, информационных потоков, технической и программно-аппаратной архитектуры корпоративной информационной системы, анализ топологии ЛВС с целью идентификации уязвимостей и угроз ИБ;

г) анализ и оценка рисков в соответствии с выбранной методикой;

д) определение требуемых мер (технические и программно-аппаратные средства защиты информации, организационно-распорядительная документация, процедуры, регламенты), позволяющих уменьшить риски до приемлемой величины. Выбранные меры, остаточные риски, План реализации первоочередных мер оформляются в виде согласованных решений и утверждаются руководством предприятия.

2. Разработка Политики ИБ, организационно-распорядительной документации, процедур, регламентов по обеспечению ИБ, разработка технического задания и технорабочего проекта на внедрение технических и программно-аппаратных средств защиты информации.

3. Внедрение технических, программно-аппаратных, организационных мер. Требования Политики ИБ доводятся до сведения всех сотрудников, а также проводится обучение сотрудников правилам и процедурам обеспечения ИБ.

4. Сопровождение системы обеспечения и управления ИБ: проводится плановый аудит ИБ, пересмотр и совершенствование системы обеспечения и управления ИБ. Проведение планового аудита безопасности является одним из основных методов контроля работоспособности ИС; его результаты могут служить основанием для пересмотра и совершенствования системы обеспечения и управления ИБ. Изменения технологии и организации бизнес-процессов предприятия также могут привести к необходимости корректировать действующие меры по обеспечению ИБ.