Обзор подготовлен   CNewsAnalytics

Информация — это один из важнейших активов современного бизнеса. Зачастую она становится решающим фактором успеха, поэтому адачи сохранения и защиты информации сегодня все чаще приобретают особый приоритет.

Очевидно, что только внедрением технических и узкоспециализированных средств защиты требуемый уровень информационной безопасности (ИБ) не достигается. Построение системы обеспечения информационной безопасности (СОИБ) невозможно без разработки комплекса мер, включающих создание программ, политик, стандартов и руководящих документов, обучения персонала и регулярного аудита существующих систем. СОИБ является компонентом комплексной информационной системы предприятия и должна быть гармонично интегрирована в нее, в частности с точки зрения совместимости с системами управления и эксплуатации информационных ресурсов.

Согласно подходу компании IBS, первым шагом при разработке комплексной системы обеспечения информационной безопасности должно стать выявление степени критичности хранящейся в информационной системе предприятия информации по отношению к его основному бизнесу, специфике предприятия и важнейшим бизнес-процессам. Иными словами, необходимо понять, какая информация является наиболее критичной для бизнеса компании. Только после этого можно определить требуемые уровни безопасности для этих компонентов и приступить непосредственно к разработке архитектуры системы обеспечения информационной безопасности и регламентов ее эксплуатации. Однако современные информационные технологии настолько сложны, что даже при наличии на предприятии системы защиты не всегда возможно обеспечить должный уровень безопасности. Так, проблемы могут появиться из-за некорректного распределения областей ответственности между сотрудниками, работающими с информационной системой, в результате чего может появиться потенциальная возможность совершать хищения и другие неправомерные действия. Для решения такого рода проблем нужен опытный консультант, который, используя, с одной стороны, накопленный мировой опыт, а с другой, — собственный опыт внедрения информационных систем в российских условиях, поможет оценить риски нарушения информационной безопасности и разработать рекомендации по совершенствованию существующей системы защиты, наиболее полно удовлетворяющие специфике конкретного предприятия и его бизнес-процессам. Компания IBS подходит к созданию системы обеспечения информационной безопасности как системный интегратор и от конкретных решений переходит к процессу управления информационной безопасностью на всех уровнях информационной системы.

Сегодня компания IBS оказывает полный комплекс как выделенных услуг по защите информации, так и услуг в составе интеграционных проектов, предлагая своим заказчикам создания защищенных информационных систем. Это становится возможным благодаря:

  • команде опытных специалистов, сертифицированных по различным направлениям (CCIE, ISS-CS, SCP (Symantec), CCNP+Security, MCSE, CCSA, SUN Competency, CNA и др.);
  • эффективной поддержке предлагаемых решений, включая сертифицированный центр технической поддержки продуктов Symantec (обеспечивает русскоязычную поддержку всего спектра корпоративного программного обеспечения Symantec в области информационной безопасности);
  • высококвалифицированной экспертизе в области ИБ и аудита (включая специалистов, имеющих сертификаты CISSP, CISA) и смежных областях (инфраструктурные решения, финансовый, операционный и ИТ-консалтинг, комплексное управление и т.д.);
  • Центру технологий безопасности ИБС.

Компания IBS реализует комплексные проекты «под ключ» для клиентов различных отраслей. Проекты компании IBS учитывают специфику бизнеса заказчика и направлены на его рост и повышение эффективности через внедрение информационных технологий. Вопросы, связанные с обеспечением ИБ, всегда являются важной частью любого проекта.

Работы по ИБ осуществляются компанией IBS с учетом положений руководящих документов РФ в области защиты информации, рекомендаций международной организации ISACA (стандарт Cobit) и положениями стандартов ISO 17799 (BS 7799), 13335. Немаловажную роль играют также экспертиза компании IBS, накопленная на практике планирования и реализации организационно-технических мероприятий по ИБ у корпоративных заказчиков и в государственных структурах.

Центр технологий безопасности ИБС имеет лицензии ФСБ России, ФАПСИ и Гостехкомиссии при Президенте РФ, обязательные для проведения работ по защите информации на российском рынке.

Услуги компании IBS по обеспечению информационной безопасности

Обследование и разработка рекомендаций. Команда экспертов IBS по различным технологическим направлениям производит сбор информации о текущем состоянии защищенности ИС путем изучения документации, интервью с персоналом, визуального наблюдения за реальными процессами в ИС, анализа конфигураций ключевых устройств и серверов, инструментального тестирования и построения карты ИС (в т.ч. тесты на проникновение — penetration test). Полученная информация анализируется, идентифицируются слабые места в ИС, разрабатываются детальные рекомендации по совершенствованию системы защиты, а также план и оценка бюджета на внедрение рекомендаций.

Анализ и управление рисками. Проводится с использованием методики анализа рисков, разработанной в IBS (на основе международных стандартов). Анализ рисков позволяет идентифицировать существующие угрозы и оценить результаты их потенциального воздействия как на ИС, так и на бизнес заказчика в целом. Используя результаты анализа рисков можно объективно оценивать затраты на обеспечение ИБ и акцентировать внимание на защите наиболее критичных областей ИС. Проводится: классификация ресурсов ИС, составление модели злоумышленника, модели угроз, оценка степени влияния угроз на бизнес-процессы.

Аудит по информационной безопасности. Проводится оценка соответствия реального состояния ИС требованиям внутренних документов по ИБ заказчика, положений руководящих документов РФ по защите информации, стандарта BS 7799 и др. Процесс аудита выполняется с учетом положений стандарта Cobit. Результатом аудита является отчет, содержащий перечень несоответствий, рекомендации по их устранению, план и оценка бюджета на внедрение рекомендаций.

Организационные документы. Разработка концепции ИБ позволяет систематизировать и объединить единым замыслом комплексную систему защиты, определить механизмы взаимодействия между ее организационной и технической составляющими и обеспечить тесную интеграцию системы защиты с ИС заказчика. Разработка программы осведомленности позволяет создать механизм информирования всех сотрудников о требованиях по ИБ и поддержку этой информированности на необходимом уровне, что является важным механизмом при защите информации, т.к. существенное количество нарушений происходит из-за отсутствия понимания пользователями правил по ИБ.

Нормативно-технические документы. Разработка регламентов по различным аспектам деятельности по защите информации (регламент реагирования на инциденты, резервного копирования и восстановления, антивирусной защиты и др.) и инструкций для персонала. Разработка политики ИБ, фиксирующей детальные требования к различным процессам и техническим средствам, связанным с ИБ.

План непрерывности бизнеса. Документирует перечень подготовительных мероприятий и мероприятий, осуществляемых в критических ситуациях, позволяющих минимизировать негативные последствия и максимально быстро восстановить работоспособность ИС.

Проектные работы (эскизное, техническое и рабочее проектирование), внедрение и поддержка. Разработка проектной и эксплуатационной документации на систему обеспечения ИБ, осуществление пуско-наладочных работ, помощь в обучении персонала заказчика.

Мультивендорный подход компании IBS позволяет предлагать решения на основе продуктов ведущих российских и зарубежных производителей.

Решения в области обеспечения ИБ, элементы которых предварительно апробируются в техническом центре IBS, представляют собой комплекс взаимоувязанных технических средств и организационных мероприятий и включают в себя:

  • Решения по защите периметра — внедряются для обеспечения контроля логических путей доступа в/из ИС. Позволяют минимизировать потенциальный ущерб, связанный с реализацией внешних угроз.
  • Решения по организации внутрикорпоративной защиты — позволяют создать контролируемую защищенную среду в ИС заказчика.
  • Решения по организации защиты рабочих мест — предназначены для организации защиты информации, хранящейся и обрабатываемой на автоматизируемом рабочем месте сотрудника (в том числе и мобильном).
  • Резервные центры — защищают от длительной неработоспособности информационных сервисов в случае выхода из строя всего серверного комплекса по причине техногенных или природных катастроф.

Информацию об услугах, продуктах и решениях компании IBS в области информационной безопасности можно найти по адресу: http://si.ibs.ru

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS