Аудит информационной безопасности информационных систем

Задать вопрос

Вследствие бурного развития технического прогресса, появления и развития новых систем и средств телекоммуникации, хранения, обработки и передачи различных видов информации весьма актуальным стал вопрос ее защиты.

Проблема защиты информации является многоплановой и комплексной и охватывает целый ряд важных задач.

В соответствии с ГОСТ Р 50922-96, защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Для осуществления такой деятельности необходимо установить объект защиты, критерии и средства защиты.

Объектом защиты, как правило, является сама информация в том или ином виде. В зависимости от вида информации и ее использования, объектом защиты могут быть различные информационные системы, такие как вычислительные системы, системы передачи данных, информационные базы и хранилища и т. п. А также системы и места обработки речевой информации, такие как помещения для обсуждения защищаемой информации, средства записи и воспроизведения акустической информации и т. п. Такие объекты защиты информации должны удовлетворять требованиям информационной безопасности.

Информационная безопасность подразумевает обеспечение конфиденциальности, целостности и доступности информации, также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надежность.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

• целостность данных ‒ свойство сохранения точности и полноты информации;
• конфиденциальность информации ‒ свойство, обеспечивающее недоступность и закрытость информации для неавторизованных индивидов, субъектов или процессов;
• доступность информации ‒ свойство быть доступной и используемой по требованию авторизованного субъекта.

При проектировании и построении объектов в защищенном исполнении необходимо обеспечить выполнение вышеуказанных принципов, при этом уровень защиты должен быть определен соответствующими критериями. Такими критериями являются требования государственных органов, регулирующих деятельность в области защиты информации (ФСБ, ФСТЭК, МО и СВР России). Также критерии защиты может определить обладатель информации исходя из ее ценности и модели вероятных угроз.

Обеспечение безопасности информации — сложный и трудоемкий процесс, и не только из-за затрат на закупку или установку средств защиты, но также из-за того, что трудно квалифицированно определить границы разумной безопасности и обеспечить баланс между выполнением требований к защите информации и стоимостью системы защиты.

Для обеспечения такого баланса на стадии проектирования объекта должен быть произведен соответствующий анализ – аудит информационной безопасности.

Аудит информационной безопасности – объективная оценка текущего состояния информационной безопасности объекта в соответствии с определенными критериями и показателями безопасности.

В рамках проведения аудита информационной безопасности наша компания проводит следующие мероприятия:

• Комплексное обследование информационной системы и формирование перечня информационных ресурсов;
• Классификация информационных ресурсов;
• Анализ нормативных и организационно-распорядительных документов о порядке эксплуатации информационной системы и защите информации;
• Анализ структуры, состава, принципов функционирования информационной системы и существующей системы защиты информации;
• Анализ возможных каналов утечки информации в информационных системах и средствах информатизации, выявление возможных внешних и внутренних угроз безопасности информации;
• Анализ возможных каналов утечки информации в выделенных и защищаемых помещениях (помещениях, служебных кабинетах, актовых, конференц-залах и т. д.), специально предназначенные для проведения закрытых мероприятий (совещаний, обсуждений, конференций, переговоров и т. п.), выявление возможных внешних и внутренних угроз безопасности обсуждаемой информации;
• Анализ и аудит состояния защищенности информационных ресурсов объекта информатизации;
• Проведение консультаций по вопросам защиты информации, разработка рекомендаций по защите информации;
• Консультирование по вопросам практического выполнения требований нормативно-правовых актов ФСБ и ФСТЭК России, регламентирующих деятельность организации по защите информации, разработка проектов документов;
• Оказание консультационных услуг по вопросам защиты информации и подготовке проектов документов, необходимых для выполнения лицензионных требований.

А также другие мероприятия в зависимости от поставленных целей.

С нами удобно работать!