ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


КаталогСтандарты и руководства
Аудит безопасности корпоративных информационных систем

Аудит безопасности корпоративных информационных систем

Аудит информационной безопасности - это системный процесс получения объективных качественных и количественных оценок текущего состояния корпоративной информационной системы в соответствии с определенными критериями информационной безопасности.

Основная задача аудита - объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса по увеличению эффективности и рентабельности экономической деятельности компании.

Результаты аудита позволяют построить оптимальную по эффективности и затратам систему защиты корпоративной информации, адекватную текущим задачам и целям бизнеса.

Насколько аудит безопасности может быть полезен для вашей компании?

  Важной составляющей развития современных предприятий является автоматизация бизнес-процессов с использованием средств вычислительной техники и телекоммуникаций. Следствием этого является неуклонный рост объемов информации, которая подвергается обработке и накоплению в электронном виде.

  С ростом электронного документооборота предприятия возрастает зависимость успеха его деятельности от непрерывности функционирования информационной системы (ИС) как единого целого и от сохранности корпоративной информации в процессе ее обработки и хранения на электронных носителях.

  Привыкая к повседневному использованию информационных технологий, мы часто забываем о том, что надежность техники и главное - устройств хранения электронной информации конечна, в связи с чем существует вероятность отказа оборудования, приводящая к сбоям в доступе к электронной информации, а в худшем случае - к частичной или полной ее потере. Более того, мы совсем не заботимся о разработке и внедрении плана мероприятий по восстановлению работоспособности ИС после кризиса.

  Отказ оборудования зачастую происходит именно в тот момент времени, когда это наносит наибольший ущерб. Известны случаи, когда простой информационной системы приводил к экономическим убыткам, многократно превышающим стоимость самой системы.

  Рост информационной системы предприятия, являющийся неминуемой частью успешного развития бизнеса, влечет за собой ужесточение требований к непрерывности ее функционирования, а также к сохранности и обеспечению конфиденциальности корпоративной информации. ИС предприятия превращается из печатной машинки в инструмент ведения бизнеса, что, в свою очередь, втягивает предприятие во все большую зависимость от уязвимости, постоянно усложняющейся ИС.

  Одним из критических аспектов уязвимости ИС является отсутствие плана мероприятий по восстановлению ее работоспособности после кризиса. В случае возникновения форс-мажорных обстоятельств можно арендовать новое помещение, закупить технику, подключить телекоммуникации, но нельзя восстановить работоспособность ИС, если утрачена информация и/или специализированные средства ее обработки.

  Очень важно понимать и осознавать, что:

  • обеспечение информационной безопасности - это непрерывный процесс, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты;

  • в основе этого процесса лежит периодический анализ защищенности информационной системы в разрезе видов угроз и динамики их развития;

  • информационная система, в своем развитии, должна подвергаться периодическим реорганизациям, отправной точкой каждой из которых служит анализ выявленных уязвимостей при проведении аудита информационной безопасности.

  Аудит информационной безопасности должен быть ориентирован как на специалистов в области IT-Security, так и на специалистов в области менеджмента. Такой подход устраняет существующее недопонимание специалистов в области информационной безопасности TOP-менеджерами компании.

  Аудит информационной безопасности включает следующие этапы работ:

  • интервьюирование персонала;

  • инвентаризация и обследование компьютеров;

  • тесты на проникновнение (Penetration Test);

  • анализ защищенности КИС.





Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100