Аудит информационной безопасности

В настоящее время, когда все без исключения организации используют информационные системы для передачи, хранения и обработки информации, очень велика вероятность утечки конфиденциальных данных. Говоря другими словами, кража важной информации, халатность сотрудников, саботаж, атаки хакеров могут нанести существенный удар как по финансам, так и по имиджу любой компании. Предотвратить риски поможет грамотно проведенный аудит информационной безопасности.


Максим Нечаев, руководитель отдела технической и криптографической
защиты информации ООО "Арт-мастер"

Аудит – необходимый элемент безопасности

Если мы хотим предотвратить какое-то нежелательное для нас действие, то должны понимать, как это действие происходит. Чтобы бороться с утечкой конфиденциальных данных, необходимо, прежде всего, идентифицировать каналы утечки информации. Но если специалистам по информационной безопасности нужно для этого время, то внутренние нарушители уже знают, как можно украсть необходимый им документ. Поэтому наиболее важный вопрос информационной безопасности – "Как именно информация утекает?". Ответ на него сможет дать аудит информационной безопасности.

Аудит информационной безопасности – это системный процесс получения объективных качественных и количественных оценок текущего состояния корпоративной информационной системы в соответствии с критериями информационной безопасности. Важно понимать, что это не единоразовое мероприятие, а регулярный процесс, который должен проводиться с заданной периодичностью. Многие руководители организаций заблуждаются, думая, что, проведя один раз аудит информационной безопасности, выявив каналы утечки информации и приняв соответствующие меры по нейтрализации этих каналов, они полностью обеспечат защиту корпоративной информационной системы. Это не так, ведь современные технологии не стоят на месте, а развиваются очень быстро, следовательно, технологии хакерских атак и способы кражи конфиденциальных данных также совершенствуются. Учитывая это, проводить аудит информационной безопасности необходимо регулярно.

Руководителю организации важно знать, что аудит информационной безопасности поможет его организации избежать материального ущерба, связанного с кражей конфиденциальной информации, а также нематериальных потерь, таких как репутация организации, потеря деловых партнеров и клиентов. Другими словами, грамотно проведенный аудит информационной безопасности поможет снизить риски организации и увеличить уверенность в собственной системе безопасности. Руководителю отдела информационных технологий необходимо знать, что аудит информационной безопасности даст ему перечень каналов утечки информации в организации, рекомендации по нейтрализации этих каналов, перечень угроз и оценку рисков по каждой угрозе, а также поможет сформировать необходимый комплекс защитных мероприятий и разработать план их реализации.

Каналы утечки информации

По результатам исследования, проведенного аналитическим центром компании InfoWatch, наибольшее количество утечек (50 %) произошло через ноутбуки, КПК, USB-флэшки, CD- и DVD-диски и другие устройства. В результате потери, кражи или выноса носителя конфиденциальная информация оказывается у неизвестных людей, которые распоряжаются ею по своему усмотрению.

Следующий канал утечки информации – Интернет (12 %). В данном случае достаточно легко поймать внутреннего нарушителя и доказать его вину, если использовать сетевую фильтрацию.

Еще 5 % случаев нарушения информационной безопасности произошло из-за неправильной утилизации или потери резервных носителей. По 3 % пришлось на электронные послания и факсы, а также почту. 17 % случаев нарушения внутренней информационной безопасности произошли по другим каналам. В 10 % случаев так и не удалось выяснить, каким образом была произведена кража конфиденциальных данных.

Основная причина нарушения внутренней информационной безопасности – невыполнение или выполнение не надлежащим образом требований должностных инструкций, политик безопасности (если они разработаны), распоряжений либо пренебрежительное отношение к простым средствам защиты информации. Все вышесказанное еще раз подтверждает, что внутренние нарушители могут быть в любом коллективе.

Компетенция определяет профессионализм

Компания "Арт-мастер" работает на ИТ-рынке Украины уже более 8 лет. В 2005 году компания получила сертификат соответствия системы менеджмента качества требованиям международного стандарта ISO 9001:2000, а в 2006 году впервые в Украине система менеджмента информационной безопасности компании была сертифицирована на соответствие требованиям международного стандарта ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".

Сегодня "Арт-мастер" остается единственной компанией в Украине, которая сертифицирована на соответствие требованиям стандарта ISO/IEC 27001:2005. Представительства компании "Арт-мастер" открыты во всех регионах Украины, что дает возможность качественно и в короткие сроки предоставлять услуги аудита информационной безопасности на всей территории Украины.

Компания имеет лицензии ДСТСЗИ СБУ (с 2007 года – Государственная служба специальной связи и защиты информации Украины) на проведение деятельности в сфере технической и криптографической защиты информации.

Одним из основных направлений деятельности компании является обеспечение информационной безопасности, в рамках этого направления предоставляются услуги аудита информационной безопасности.

"Арт-мастер": особенности аудита

Компания "Арт-мастер" предоставляет услуги по проведению аудитов информационной безопасности следующих видов:

  • экспертный аудит информационной безопасности;
  • аудит информационной безопасности на соответствие международному стандарту ISO / IEC 27001: 2005.

Результатом экспертного аудита является общая оценка защищенности корпоративной информационной системы организации, которая основана на анализе рисков и перечне обнаруженных уязвимостей. По итогам аудита формируется отчет и разрабатываются рекомендации для нейтрализации выявленных уязвимостей.

В результате аудита на соответствие международному стандарту ISO / IEC 27001: 2005 руководитель организации получает описание области действия системы менеджмента информационной безопасности, реестр важных активов, методику оценки рисков, отчет по оценке рисков, критерии принятия рисков, а также список политик, руководств, процедур и инструкций, необходимых для функционирования системы менеджмента информационной безопасности.

Вывод

Подводя итоги, отметим, что аудит информационной безопасности просто необходим современным, быстрорастущим организациям, так как только он сможет обеспечить своевременное идентифицирование каналов утечки информации и, как следствие, своевременное реагирование и принятие решений по обеспечению безопасности корпоративной информационной системы. Вовремя проведенный аудит информационной безопасности поможет избежать ущерба.

2008.04.13
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".