Практически все крупные и средние предприятия сегодня имеют не только развитую ИТ — инфраструктуру, но и приняли меры к защите от наиболее значимых угроз. Однако, угрозы, связанные с уязвимостью информационных систем предприятий, постоянно возрастают из-за повышения сложности внедряемых программных решений, технологий обработки, передачи и хранения данных. Также это обусловлено увеличением передачи данных через сети общего пользования, так называемой информационной войной между конкурирующими предприятиями, большой текучестью кадров.
Насколько адекватны принятые меры, есть ли потенциальные уязвимости в защите, действительно ли защищена важная для предприятия информация — ответы на эти вопросы как раз и дает аудит. Во всем мире аудит информационной безопасности практикуется давно, в этой области сложилась четкая терминология и известно несколько стандартов, в том числе и уровня ISO.
Специалисты СООО «Белсек» (belsec.com), первого предприятия в Республике Беларусь, специализирующегося на безопасности информационных технологий, рекомендуют проводить аудит информационной безопасности следующим предприятиям и учреждениям:
— предприятиям с повышенными или возрастающими требованиями к доступности, конфиденциальности и целостности информационных ресурсов;
— организациям с сильной зависимостью бизнеса от информационных технологий (операторы связи, банки, страховые компании);
— государственным органам и предприятиям, активно развивающим ИТ-системы, внедряющим системы электронного документооборота (министерства, государственные комитеты, производственные и торговые компании);
— предприятиям и организациям, поддерживающим интернет проекты (корпоративные сайты, интернет порталы, сайты СМИ, базы данных государственных органов и организаций, размещенные в сети интернет).
При проведении аудита информационной безопасности решаются следующие задачи:
o тестирование на “проникновение” корпоративных вычислительных сетей и устранение найденных проблем;
o тестирование на уязвимость корпоративных web-сайтов и устранение выявленных проблем;
o решение задач резервного копирования и зеркалирования важной информации;
o разработка систем правил для фаерволов;
o разработка систем распределения открытых ключей в масштабах организации;
o разработка и/или тестирование VPN и распределенной структуры корпоративной сети;
o тестирование безопасности используемых программных продуктов;
o комплексное тестирование безопасности предприятия, используя инструментарий потенциальных злоумышленников;
o разработка внутренних регламентов по информационной безопасности, локальных стандартов информационной безопасности на методической базе государственных стандартов СТБ 34.101.1-3-2004 (ISO 15408);
o разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.
Комплексный аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы. Результаты аудита, как правило, являются основой для формирования стратегии развития системы обеспечения информационной безопасности.
Вы должны авторизоваться чтобы опубликовать комментарий.