Информационная безопасность - это комплексная задача, направленная на обеспечение целостности, доступности и конфиденциальности информации.
Эта задача реализуется внедрением Системы обеспечения информационной безопасности (СОИБ).
Система обеспечения информационной безопасности (СОИБ) – комплекс организационных и технических мер (средств защиты информации, средств контроля эффективности защиты информации, средств и систем управления ИБ), функционирующих по определенным правилам.Стандартом ISO/IEC 27002 предусмотрены основные разделы, которым необходимо уделить внимание при построении СОИБ:
- Политика безопасности (Security policy)
- Организация информационной безопасности (Organization of information security)
- Управление ресурсами (Asset management)
- Безопасность персонала (Human resources security)
- Физическая безопасность и безопасность окружения (Physical and environmental security)
- Управление коммуникациями и операциями (Communications and operations management)
- Управление доступом (Access control)
- Приобретение, разработка и поддержка систем (Information systems acquisition, development and maintenance)
- Управление инцидентами информационной безопасности (Information security incident management)
- Управление бесперебойной работой организации (Business continuity management)
- Соответствие нормативным требованиям (Compliance)
Компания "АВИТЕК-СЕРВИС" придерживается подхода, который выражается в реализации следующих этапов работ:
Аудит информационной безопасности – это системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности Организации в соответствии с предъявленными критериями и показателями безопасности.
В зависимости от целей мы проводим следующие виды Аудита информационной безопасности:- Экспериментальный Аудит информационной безопасности, в ходе которого выявляются недостатки в системе мер защиты информации в Организации;
- Оценка соответствия информационных систем Организации рекомендациям национальных стандартов РФ, а также требованиям руководящих документов ФСТЭК России, ФСБ РФ в области защиты информации ограниченного доступа;
- Инструментальный анализ защищенности информационных систем Организации, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения в них;
- Комплексный Аудит информационной безопасности в Организации, включает в себя все вышеперечисленные формы проведения обследования.
- Сбор информации об объекте информацтизации;
- Сканирование объектов информатизации на наличие уязвимостей;
- Тестирование на проникновение;
- Анализ документации (организационно-распорядительной, технической, проектной и т.п.);
- Интервьюирование ответственных лиц;
- Комплексный анализ защищенности сетей и систем;
- Оценка соответствия требованиям стандартов (ISO 27002 и т.д.), федерального законодательства (персональные данные, конфиденциальная информация и т.д.), иных нормативных актов;
- Оценка уровня подготовки персонала;
- и другие работы.
Информация о состоянии информационных систем Организации, а также разработанные рекомендации по совершенствованию организационно-технического обеспечения защиты, направленного на минимизацию выявленных рисков в сфере информационной безопасности Организации.
Формирование требований к СОИБ осуществляется поэтопно:
Классификация информационных систем
Необходимо произвести классификацию ИС, включающую в себя определение мер защиты значимой информации обрабатываемой в ИС Организации. Классификация проводится в соответствии с требованиями нормативно-законодательной базы РФ в области защиты информации ограниченного доступа. Результаты классификации ИС оформляются Актом классификации.
Разработка частного технического задания
ЧТЗ разрабатывается с учетом требований нормативно-законодательной базы РФ и иных требований в области защиты информации ограниченного доступа в соответствии с утвержденным классом защищенности ИС.Разработка политик информационной безопасности
Политика информационной безопасности определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация.
Мы разрабатываем следующие виды Политик:
- Общая политика информационной безопасности в Организации;
- Политика информационной безопасности при предоставлении доступа пользователям к информационным ресурсам, обрабатываемым с использованием и без использования средств автоматизации;
- Политики информационной безопасности в Организации при использовании сети Интернет, электронной почты, мобильных средств связи и т.д.
Политики, разрабатываемые Компанией "АВИТЕК-СЕРВИС", учитывают основные требования:
- Политики должны быть адекватны оценке рисков безопасности информационных активов Компании;
- Применяемые меры являются компромиссом между снижением рисков и удобством в работе сотрудников Компании;
- Реализация Политик проводится с минимальными финансовыми вложениями;
- При реализации Политик используются лучшие отечественные и зарубежные инструменты.
Разработка техно-рабочего проекта
В данном разделе работ разработываются и обосновываются технические решения, а также способы их реализации направленные на защиту информации в ИС.
- Установка и настройка средств защиты информации;
- Разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ИС в ходе ее эксплуатации;
- Внедрение организационных мер защиты информации;
- Предварительное испытание системы защиты информации в ИС;
- Опытная эксплуатация системы защиты информации в ИС;
- Анализ уязвимостей ИС и применение мер защиты по их устранению;
- Приемочные испытания системы защиты информации в ИС.
- Техническая защита информации
- Повышение осведомленности пользователей в области ИБ
- Построение системы антивирусной защиты
- Защита информации от утечек
- Защита удаленного доступа
- Криптографическая защита информации
- Управление аутентификацией пользователей корпоративной среды
- Иные подходы и технические решения
Аутсорсинг информационной безопасности
Оценка защищенности ИТ-ресурсов