Информационная безопасность

Комплексный аудит информационной безопасности предприятия.

Сегодня с уверенностью можно сказать, что нет ни одной организации, не столкнувшейся с вопросами обеспечения безопасности информации в том или ином разрезе данного предмета. Вопросы информационной безопасности тесно переплетены с вопросами экономической безопасности, обеспечения непрерывности деятельности учреждений, безопасностью труда и многими другими сферами деятельности и технологическими процессами работы организаций в целом.

Обеспечение информационной безопасности учреждения (организации) сегодня выходит далеко за рамки рассмотрения в разрезе обеспечения информационной безопасности и технической защиты информации (далее ИБиТЗИ) объектов информатизации, подлежащих защите в соответствии с требованиями нормативно-правовых актов РФ, методических документов ФСТЭК и ФСБ России. Кроме того законодательством РФ сегодня предусмотрены мероприятия касающиеся обеспечения безопасности информации без преувеличения каждого учреждения – это мероприятия по защите общедоступной информации в системах общего пользования и обеспечения деятельности, персональных данных и систем управления технологическими процессами, защита в кредитно-платёжных системах, защита государственных информационных ресурсов.

В современных условиях обеспечение ИБиТЗИ – это комплекс мер, многие из которых не описаны (часть из них только планируется) в нормативно-методических документах регуляторов. Это и меры противодействия инсайду (с помощью пакета правовых инструментов, DLP систем, применения психологодиагностического оборудования в отношении тестирования персонала), меры по анализу, оценке и устранению рисков ИБ в процессе всей деятельности учреждения и по отношению ко всем активам организации, меры противодействия социальной инженерии.

На вопросы обеспечения ИБ объектов защиты, которые не изолированы от всех процессов жизнедеятельности учреждения, влияют все без исключения факторы и рабочие процессы: организация режимных мер и охраны, вопросы работоспособности СКУД, пожарной и охранной сигнализаций, вопросы системы менеджмента, вопросы связанные с развитием и эксплуатацией инженерных систем учреждения (и не только локально-вычислительных сетей), использованием информационных технологий в целом (программного обеспечения, сетей связи общего пользования и т.д.), в любом месте и в любое время вопросы ремонта и техобслуживания средств вычислительной техники, СКС, инженерных коммуникаций здания.

Учитывая данный факт, большой объём нормативно-методической документации, многоаспектность обеспечения ИБ учреждений, существенные различия между самими учреждениями в части технологии обработки информации, используемого перечня средств вычислительной техники и программного обеспечения сегодня мероприятия способные охватить все указанные абзацем выше вопросы являются сложнейшей задачей с привлечением специалистов различных квалификаций и направлений, а результат решения этой задачи кардинально отличается от результатов стандартных аудитов в области защиты информации и информационной безопасности.


При проведении каждого вида аудита первоначально определяются направление и состав (структура) аудита, составляется и согласовывается с Заказчиком техническое задание на составление программы и методик проведения аудита ИБ. На этом предварительном этапе осуществляется:

  1. Определение активов учреждения, подлежащих защите и определение перечня информации, воздействующей на данные активы и подлежащей защите. Осуществляется определение перечня защищаемой информации и критериев, необходимых для обеспечения её безопасности.
  2. Определение состава защищаемой информации применительно к каждому необходимому критерию безопасности:
    • перечень информации, которой необходимо обеспечить конфиденциальность.
    • перечень информации, которой необходимо обеспечить целостность.
    • перечень информации, которой необходимо обеспечить доступность.
  3. Категорирование информации из определённого выше перечня с целью определения для каждой категории набора требований нормативно-правовых и нормативно-методических документов (далее НПА и НМД), действующих в РФ, а также составления аналитическо-экономического обоснования набора мер безопасности информации для каждой категории. Из определённой к защите информации могут выделяться следующие категории: коммерческая тайна, служебная тайна, персональные данные, государственные информационные ресурсы, государственная тайна, общедоступная информация, воздействующая на активы учреждения.
  4. Определение защищаемых объектов информатизации (далее ЗОИ), обрабатывающих выделенную защищаемую информацию: ключевые системы информационной инфраструктуры (далее КСИИ), государственные и муниципальные информационные системы (далее ГИС (МИС), информационные системы персональных данных (далее ИСПДН), объекты вычислительной техники (далее ОВТ), защищаемые помещения (далее ЗП), технические помещения, безопасность которых влияет на ИБ организации в целом или на ИБ и ТЗИ конкретных ОИ.
  5. Определение перечня лиц, обрабатывающих и получающих в ходе деятельности защищаемую информацию.
  6. Определение процессов (рабочих, бизнес процессов), которые воздействуют на безопасность данной информации.

В итоге мы предлагаем следующие виды работ по аудиту:

  1. Аудит процессов и систем влияющих на ИБ учреждения
  2. Аудит обеспечения безопасности информации, обрабатываемой в определённых защищаемых объектах информатизации по типам и категориям объектов.
  3. Аудит систем и подсистем защиты информации

На заключительном этапе подводятся итоги аудита. В виде отчёта выдаются рекомендации специалистов по устранению выявленных угроз, уязвимостей, рекомендации и пошаговые инструкции по улучшению работы структурных подразделений, по внедрению политик и регламентов ИБ.

Разработка паспортов анти-террористической защищенности.

Сегодня с уверенностью можно сказать, что нет ни одной организации, не столкнувшейся с вопросами обеспечения безопасности информации в том или ином разрезе данного предмета. Вопросы информационной безопасности тесно переплетены с вопросами экономической безопасности, обеспечения непрерывности деятельности учреждений, безопасностью труда и многими другими сферами деятельности и технологическими процессами работы организаций в целом.

Обеспечение информационной безопасности учреждения (организации) сегодня выходит далеко за рамки рассмотрения в разрезе обеспечения информационной безопасности и технической защиты информации (далее ИБиТЗИ) объектов информатизации, подлежащих защите в соответствии с требованиями нормативно-правовых актов РФ, методических документов ФСТЭК и ФСБ России. Кроме того законодательством РФ сегодня предусмотрены мероприятия касающиеся обеспечения безопасности информации без преувеличения каждого учреждения – это мероприятия по защите общедоступной информации в системах общего пользования и обеспечения деятельности, персональных данных и систем управления технологическими процессами, защита в кредитно-платёжных системах, защита государственных информационных ресурсов.

3D моделирование зданий и сооружений.

Сегодня с уверенностью можно сказать, что нет ни одной организации, не столкнувшейся с вопросами обеспечения безопасности информации в том или ином разрезе данного предмета. Вопросы информационной безопасности тесно переплетены с вопросами экономической безопасности, обеспечения непрерывности деятельности учреждений, безопасностью труда и многими другими сферами деятельности и технологическими процессами работы организаций в целом.

Обеспечение информационной безопасности учреждения (организации) сегодня выходит далеко за рамки рассмотрения в разрезе обеспечения информационной безопасности и технической защиты информации (далее ИБиТЗИ) объектов информатизации, подлежащих защите в соответствии с требованиями нормативно-правовых актов РФ, методических документов ФСТЭК и ФСБ России. Кроме того законодательством РФ сегодня предусмотрены мероприятия касающиеся обеспечения безопасности информации без преувеличения каждого учреждения – это мероприятия по защите общедоступной информации в системах общего пользования и обеспечения деятельности, персональных данных и систем управления технологическими процессами, защита в кредитно-платёжных системах, защита государственных информационных ресурсов.