Комплексное обеспечение ИБ

Бесплатный тест-драйв Applucation Firewall

Информационная безопасность - это комплексная задача, направленная на обеспечение целостности, доступности и конфиденциальности информации.


Эта задача реализуется внедрением Системы обеспечения информационной безопасности (СОИБ).


Система обеспечения информационной безопасности (СОИБ) – комплекс организационных и технических мер (средств защиты информации, средств контроля эффективности защиты информации, средств и систем управления ИБ), функционирующих по определенным правилам.
Стандартом ISO/IEC 27002 предусмотрены основные разделы, которым необходимо уделить внимание при построении СОИБ:
  • Политика безопасности (Security policy)
  • Организация информационной безопасности (Organization of information security)
  • Управление ресурсами (Asset management)
  • Безопасность персонала (Human resources security)
  • Физическая безопасность и безопасность окружения (Physical and environmental security)
  • Управление коммуникациями и операциями (Communications and operations management)
  • Управление доступом (Access control)
  • Приобретение, разработка и поддержка систем (Information systems acquisition, development and maintenance)
  • Управление инцидентами информационной безопасности (Information security incident management)
  • Управление бесперебойной работой организации (Business continuity management)
  • Соответствие нормативным требованиям (Compliance)
При выполнении проектов по разработке и построению СОИБ, необходимо придерживаться ISO/IEC 27002, мировых и отечественных практик, применять современные технологии и средства защиты.

Компания "АВИТЕК-СЕРВИС" придерживается подхода, который выражается в реализации следующих этапов работ:

Обследование информационных систем

Аудит информационной безопасности – это системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности Организации в соответствии с предъявленными критериями и показателями безопасности.

В зависимости от целей мы проводим следующие виды Аудита информационной безопасности:
  1. Экспериментальный Аудит информационной безопасности, в ходе которого выявляются недостатки в системе мер защиты информации в Организации;
  2. Оценка соответствия информационных систем Организации рекомендациям национальных стандартов РФ, а также требованиям руководящих документов ФСТЭК России, ФСБ РФ в области защиты информации ограниченного доступа;
  3. Инструментальный анализ защищенности информационных систем Организации, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения в них;
  4. Комплексный Аудит информационной безопасности в Организации, включает в себя все вышеперечисленные формы проведения обследования.
При проведении аудита могут быть проведены следующие работы:

  • Сбор информации об объекте информацтизации;
  • Сканирование объектов информатизации на наличие уязвимостей;
  • Тестирование на проникновение; 
  • Анализ документации (организационно-распорядительной, технической, проектной и т.п.);
  • Интервьюирование ответственных лиц;
  • Комплексный анализ защищенности сетей и систем;
  • Оценка соответствия требованиям стандартов (ISO 27002 и т.д.), федерального законодательства (персональные данные, конфиденциальная информация и т.д.), иных нормативных актов;
  • Оценка уровня подготовки персонала;
  • и другие работы.
Результатом Аудита информационной безопасности являются:
Информация о состоянии информационных систем Организации, а также разработанные рекомендации по совершенствованию организационно-технического обеспечения защиты, направленного на минимизацию выявленных рисков в сфере информационной безопасности Организации.
Формирование требований к СОИБ

Формирование требований к СОИБ осуществляется поэтопно:

Классификация информационных систем

Необходимо произвести классификацию ИС, включающую в себя определение мер защиты значимой информации обрабатываемой в ИС Организации. Классификация проводится в соответствии с требованиями нормативно-законодательной базы РФ в области защиты информации ограниченного доступа. Результаты классификации ИС оформляются Актом классификации.

Разработка частного технического задания

ЧТЗ разрабатывается с учетом требований нормативно-законодательной базы РФ и иных требований в области защиты информации ограниченного доступа в соответствии с утвержденным классом защищенности ИС.
Проектирование СОИБ

Разработка политик информационной безопасности

Политика информационной безопасности определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация.

Мы разрабатываем следующие виды Политик:

  1. Общая политика информационной безопасности в Организации;
  2. Политика информационной безопасности при предоставлении доступа пользователям к информационным ресурсам, обрабатываемым с использованием и без использования средств автоматизации;
  3. Политики информационной безопасности в Организации при использовании сети Интернет, электронной почты, мобильных средств связи и т.д.

Политики, разрабатываемые Компанией "АВИТЕК-СЕРВИС", учитывают основные требования:

  • Политики должны быть адекватны оценке рисков безопасности информационных активов Компании;
  • Применяемые меры являются компромиссом между снижением рисков и удобством в работе сотрудников Компании;
  • Реализация Политик проводится с минимальными финансовыми вложениями;
  • При реализации Политик используются лучшие отечественные и зарубежные инструменты.

Разработка техно-рабочего проекта

В данном разделе работ разработываются и обосновываются технические решения, а также способы их реализации направленные на защиту информации в ИС.

Внедрение СОИБ
На данном этапе работ проводятся работы по внедрению в промышленную эксплуатацию разработанную ранее СОИБ:
  • Установка и настройка средств защиты информации;
  • Разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ИС в ходе ее эксплуатации;
  • Внедрение организационных мер защиты информации;
  • Предварительное испытание системы защиты информации в ИС;
  • Опытная эксплуатация системы защиты информации в ИС;
  • Анализ уязвимостей ИС и применение мер защиты по их устранению;
  • Приемочные испытания системы защиты информации в ИС.
Внедрение СОИБ осущетсвляется путем реализации следующих защитных мер:
  • Техническая защита информации
  • Повышение осведомленности пользователей в области ИБ
  • Построение системы антивирусной защиты
  • Защита информации от утечек
  • Защита удаленного доступа
  • Криптографическая защита информации
  • Управление аутентификацией пользователей корпоративной среды
  • Иные подходы и технические решения
Поддержание СОИБ в ходе ее эксплуатации

Аутсорсинг информационной безопасности
Оценка защищенности ИТ-ресурсов 


Вернуться к списку