Информационная безопасность

Безопасность информационных технологий

Обеспечение информационной безопасностиБизнес любой Компании, как правило, связан с обработкой информации, в том числе с помощью электронных средств и систем. Работа менеджеров с CRM системой, финансовые платежи, обработка персональных данных кадровой службой – это ежедневная деятельность сотрудников, которой требуется защита информации. От грамотного построения и использования системы информационной безопасности зависит не только финансовое положение, но и репутация Компании, а также соблюдение Законодательства Российской Федерации.

Основные угрозы информационной безопасности:

  • Утечка информации, составляющей служебную, коммерческую тайну Компании или персональные данные сотрудников в результате хищения или получения несанкционированного доступа
  • Потеря информации в результате аварии на оборудовании или удаления данных
  • Нарушение доступа к данным

Источники угроз:

  • Внешние проникновения
  • Сотрудники организации (внутренние угрозы)
  • Сбои в работе программных и аппаратных компонентов информационных систем
  • Сбои, являющиеся последствиями природных или техногенных катастроф

Для предотвращения или снижения рисков, связанных с информацией, используются комплекс мер, направленных на обеспечение информационной безопасности.

Задачи, которые решает система защиты информации:

  • Защита от несанкционированного доступа
  • Предотвращение уничтожения, искажения или блокирования доступа к информационным системам и данным
  • Предотвращение раскрытия конфиденциальной информации

Компания КИВИТ знает, что такое информационная безопасность Предприятия, обладает опытом для выявления рисков, связанных с безопасность информационных технологий, умеет использовать средства защиты информации.

Мы поможем вам преодолеть угрозы информационной безопасности.

Основы информационной безопасности включают как меры технического характера, так и организацию системы управления.

Информационная безопасность

К технической части системы информационной безопасности относится настройка антивирусного программного обеспечения, использование межсетевых экранов , смарт-карт и USB ключей для ограничения доступа, оборудования и программного обеспечение для создания резервных копий, а также другие технические средства защиты информации. Вместе с тем, чтобы информационная безопасность и защита информации, соответствовали затратам, в первую очередь необходимо определить требования со стороны бизнеса.

Политика информационной безопасности и разработанные на ее основе регламентирующие документы, необходимы, прежде всего бизнесу, а не только подразделению ИТ.

При обеспечение информационной безопасности, в первую очередь, нужно исходить из согласованной с бизнесом модели угроз, используя комплексный подход как к технической части системы информационной безопасности, так и к написанию необходимых документов.

Не секрет, что абсолютной защиты не бывает. Безопасность информационных технологий можно улучшать сколь угодно долго, тратить большие материальные ресурсы и не достичь совершенства. Вместе с тем, существуют базовые принципы, неисполнение которых, увеличивает потенциальный риск нарушения основы информационной безопасности и, как следствие, потери для бизнеса.

Как правило, наведение порядка в базовой части ИТ инфраструктуры, включая подготовку технических описаний и регламентов, позволяет решить 2/3 проблем связанных с областью защита информации.

При этом, необходимым условием является контроль со стороны бизнеса и наличие необходимых компетенций у специалистов ИТ подразделения. Не всегда это уравнение решается в пользу бизнеса,   и мы всегда готовы оказать помощь.

Сдвинуть дело с мертвой точки, сделать первый шаг к созданию основы информационной безопасности помогает аудит информационной безопасности.

Аудит информационной безопасности

Информация и информационная безопасность – важный аспект в деятельности любой Компании. Поэтому, аудит информационной безопасности – одно из основных направлений деятельности Компании КИВИТ.

Основная цель аудита – понять требования Заказчика, выявить риски и угрозы информационной безопасности, зафиксировать  реальное положение дел «as is» и предложить конкретные рекомендации и пути решения для повышения информационной безопасности.

Объектами изучения являются:

  • Организационные единицы и персонал, ответственный за эксплуатацию ИТ-инфраструктуры и обеспечение информационной безопасности.
  • Аппаратные и программные компоненты ИТ инфраструктуры, включая средства защиты информации.
  • Процессы, влияющие на обеспечение информационной безопасности.

Обследование включает:

  • Техническую составляющую, связанную с использованием специальных программ и оборудования.
  • Изучение настроек информационной среды, построение схем корпоративной компьютерной сети.
  • Интервью с ключевыми сотрудника (включая подразделение, отвечающее за обеспечение информационной безопасности.
  • Изучение документации определяющей безопасность информационных технологий.

Аудит информационной безопасности проводится на основании авторской методики Компании КИВИТ, в соответствии с рекомендациями по информационной безопасности от Компании Майкрософт для средних предприятий, а также с использованием практик ISSP (Международное общество специалистов по устойчивому развитию — International Society of Sustainability Professionals, ISSP).

По результатам обследования, вы получите информацию о том, что именно нужно сделать для реализации мер, направленных на улучшение системы информационной безопасности вашей Компании.

Отдельной позицией в наших услугах стоит аудит информационной безопасности кредитной организации.

Аудит информационной безопасности кредитной организации

Компания КИВИТ- Компания практиков. Любой консалтинг мы рассматриваем с точки зрения, что Заказчику нужны конкретные рекомендации, применимые для исполнения. В этой связи, деятельность кредитных организаций, которые подчиняются многочисленным требованиям регулятора и имеют сложные автоматизированные банковские системы, достаточно долго, не входила в сферу наших компетенций. Вместе с тем, опыт нашей работы, показывает, что и в банковской сфере, есть область, в которой мы  можем поделиться своим опытом.

Информационная безопасность автоматизированных систем — важная часть системы безопасности кредитной организации. Информационные системы банка хранят и обрабатывают большое количество данных о финансовом состоянии и деятельности своих клиентов. От уровня защиты информации зависят не только финансовое положение, но и репутация банка.

Информационная безопасность кредитной организации подчиняется требованиям регулятора – Центрального банка Российской Федерации. Основным документом является Положение № 382-П от 09.06.12 “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”. Документ подробно расписывает требования к Автоматизированной банковской системе (АБС) и безопасность информационных технологий.

Выполнение требований регулятора – НЕОБХОДИМОЕ условие работы кредитной организации с точки зрения законодательства.

Вместе с тем, ДОСТАТОЧНЫМ условиям сохранения режима информационной безопасности является надежное функционирование не только АБС, но и базовой части ИТ инфраструктуры, а также правильно выстроенные процессы управления системы информационной безопасности, в частности, и инфраструктуры информационных технологий, в целом.

Именно вопросам работы базовой части ИТ инфраструктуры, как правило, уделяется недостаточно внимания.

Мы предлагаем провести аудит, направленный на обследование базовой части ИТ инфраструктуры кредитной организации, с учетом требований информационной безопасности.

Объектами аудита информационной безопасности являются:

  • Организационные единицы и персонал, ответственный за эксплуатацию ИТ-инфраструктуры и обеспечение информационной безопасности.
  • Аппаратные и программные компоненты ИТ инфраструктуры, включая средства защиты информации.
  • Процессы, влияющие на обеспечение информационной безопасности.

Основные вопросы, в рамках аудита информационной безопасности:

  • Организационная модель: структура, персонал, политика информационной безопасности
  • Операционная безопасность: административное управление, анализ угроз, управление обновлениями и изменениями, контроль носителей, утилизация данных, безопасность электронной почты, антивирусная защита, тестирование уязвимостей
  • Инфраструктура: общее состояние, серверное и сетевое оборудование, оборудование рабочих мест
  • Управление доступом: идентификация, администрирование, мониторинг и отчетность, анализ журналов, выявление вторжений
  • Физическая безопасность: здание и серверное помещение
  • Внутренние системы снабжения: электроэнергия, вентиляция и охлаждение, тушение пожара
  • Телекоммуникационная и сетевая безопасность: межсетевые экраны, сегментация, внутренняя сеть, доступ в Интернет, маршрутизация, удаленный доступ
  • Средства криптозащиты: рабочие места, приложения, данные
  • Непрерывность бизнеса и восстановление после аварии: планирование, архивация и восстановление, резервирование оборудования, планирование действий

Аудит информационной безопасности проводится в формате интервью с ключевыми сотрудниками Заказчика, а также с изучением технической части средств защиты информации. Дополнительно, изучаются настройки ИТ инфраструктуры и имеющаяся документация для обеспечения информационной безопасности.

По результатам обследования, вы получите информацию о том, что именно нужно сделать для реализации мер, направленных на улучшение системы информационной безопасности.

Как правило, выполнение рекомендаций, полученных в результате обследования, позволяет снять 2/3 угроз информационной безопасности.


Рекомендации

Компетенции