Комплексная система защиты информации

Работа большинства компаний в современных условиях характеризуется высокой динамикой изменений внутренней и внешней среды. С точки зрения обеспечения информационной безопасности – это значит, что необходимо быстро адаптироваться к изменяющимся целям развития компании, вести работу в тесной интеграции с ИТ-подразделениями, оперативно реагировать на нарастающий объем новых угроз информационной безопасности и стремительно меняющееся законодательное поле.

Применение лоскутной реализации отдельных мер защиты информации, так называемое «затыкание дыр» не позволяет решить выше обозначенные задачи и порождает ряд серьезных проблем, выливающихся в конечном итоге в дополнительные затраты временных, финансовых и человеческих ресурсов.

Наиболее рациональным решением такого рода проблем является системный подход к обеспечению информационной безопасности компании. Создание комплексной системы защиты позволит существенно сократить расходы на создание гибкой и эффективной системы безопасности, которая предотвратит утечки корпоративной информации, оптимизирует работу ИТ- системы в целом.

Когда нужна комплексная система защиты информации

Вопрос создания комплексной системы защиты информации становится особенно актуальным в случаях, когда:

voskl znak pdn2 Реализация мер защиты информации не взаимоувязана с целями компании и мероприятиями по развитию ИТ-инфраструктуры:

– При определении организационного объема для внедрения отдельных средств защиты не учитывается важность для компании тех или иных элементов ИТ-инфраструктуры и бизнес-процессов, которые она поддерживает.

– Не учитываются планы по развитию ИТ-инфраструктуры. Работы по защите информации вновь вводимых ИТ-мощностей и бизнес-приложений не выполняются или проводятся с задержкой. Не учитываются потребности по масштабированию и тиражированию реализуемых мер защиты информации.

– Не принимаются во внимание уже реализованные меры защиты, средства защиты не унифицированы, их функции дублируются, либо не используются преимущества от интеграции и связки отдельных средств защиты между собой и с элементами ИТ-инфраструктуры.

voskl znak pdn2 Мероприятия по развитию технологического, кадрового обеспечения ИБ и процессов обеспечения ИБ не синхронизированы между собой:

– Делается упор на внедрение отдельных средств защиты информации для эксплуатации которых отсутствует необходимый персонал.

– Отсутствуют или слабо документированы процессы, автоматизация которых должна осуществляться с применением внедряемых средств защиты информации.

– Либо наоборот вся работа ограничивается выпуском комплекта нормативных документов, только лишь для соответствия требованиям регуляторов.

voskl znak pdn2 Состав и последовательность реализуемых мер защиты выбирается необоснованно:

– Не учитываются наиболее критичные угрозы информационной безопасности, наиболее актуальные средства защиты информации откладываются на потом, а менее актуальные реализуются в первую очередь.

– Внедряются средства защиты информации, потребность в которых фактически отсутствует или которые можно заменить более дешевыми аналогами с необходимой и достаточной функциональностью.

– В полном объеме не учитываются актуальные требования регуляторов и планы по совершенствованию регуляторами нормативной базы.


Зачем нужна комплексная система защиты информации

Создание комплексной системы защиты информации позволяет избежать выше обозначенных проблем и получить ряд неоспоримых преимуществ, которые в конечном итоге приводят к снижению совокупных капитальных и операционных затрат компании.

sheme kszi233

Эффект достигается за счет:

  • привнесения в создаваемую комплексную систему защиты информации таких свойств, как: тиражируемость, масштабируемость, унификация, гибкость и надежность
  • учета текущего состояния и прогнозов изменения внешней и внутренней среды, в которой функционирует компания

Порядок реализации проекта или программы по созданию комплексной системы защиты информации включает следующие направления:

  • развитие процессов обеспечения информационной безопасности
  • развитие технологического обеспечения информационной безопасности
  • развитие кадрового обеспечения информационной безопасности

О решении

Эксперты компании «Газинформсервис» реализуют весь цикл работ, связанный с построением комплексной системы защиты. Изначально состав системы определяется на основании модели угроз и оценки последствий их реализации. При этом в зависимости от критичности защищаемой информации учитывается и объем необходимых мер защиты. Состав также варьируется в соответствии с используемыми мерами по обеспечению защиты информации.

В результате разрабатывается законченное организационно-техническое решение, обеспечивающее необходимые функции защиты и в полном объеме интегрированное в ИТ-инфраструктуру.

Процессы обеспечения информационной безопасности

В рамках данного направления работ выделяются и документируются следующие процессы обеспечения информационной безопасности:

  • управление доступом
  • противодействие распространению вредоносного кода и спама
  • обеспечение безопасной работы с информацией ограниченного доступа
  • обеспечение непрерывности деятельности по защите информации
  • обеспечение безопасной работы с внешними информационными ресурсами
  • обеспечение безопасной работы с мобильных устройств и с использованием съемных носителей
  • управление сертификатами открытых ключей
  • обеспечение информационной безопасности на стадиях жизни информационно-управляющих систем
  • обеспечение информационной безопасности на стадиях жизни автоматизированных систем управления технологическими процессами
  • управление учетными записями
  • управление уязвимостями
  • управление событиями информационной безопасности

Результатом является комплект нормативно-методических документов, готовый для использования сотрудниками компании.


Технологическое обеспечение информационной безопасности

В рамках данного направления работ производится настройка встроенных механизмов защиты информации, интеграция комплекса дополнительных средств защиты информации и автоматизация с их помощью процессов обеспечения информационной безопасности как на уровне самой защищаемой информации, так и на различных уровнях среды ее обработки:

– физическом
– аппаратном
– сетей передачи данных
– среды виртуализации
– операционных систем
– систем управления базами данных
– прикладного программного обеспечения

 

Кадровое обеспечение информационной безопасности

Кадровое обеспечение информационной безопасности является одним из основных факторов, определяющих полноту и качество выполнения процессов обеспечения информационной безопасности, а также эффективного функционирования комплексной системы информационной безопасности. В рамках данного направления работ:

  • выделяются роли участников процессов обеспечения информационной безопасности
  • предъявляются требования к компетенциям каждой роли и рекомендации о целесообразности или не целесообразности их совмещения в рамках одной штатной единицы
  • даются рекомендации по требуемой штатной численности подразделений, задействованных в процессах обеспечения информационной безопасности
  • проводится оценка требуемого уровня выплат по штатным единицам, выполняющим роли в процессах обеспечения информационной безопасности
  • разрабатываются типовые программы повышения требуемых компетенций

Комплекс работ по созданию системы

Создание комплексной системы защиты информации проводится в несколько этапов:

  • обследование
  • моделирование угроз и формирование требований
  • проектирование
  • поставка материально-технических ресурсов
  • проведение работ по вводу в действие и сдаче-приемке системы
  • разработка комплекта нормативно-методических и эксплуатационных документов
  • гарантийное обслуживание

При создании комплексной системы защиты информации также производится:

В случае необходимости дополнительно проводятся:

  • Аттестация информационно-управляющих систем компании по требованиям безопасности
  • Техническое сопровождение комплексной системы защиты информации по выбираемой программе, которая расширяет объем услуг предусмотренный гарантийными обязательствами.

Выгоды при внедрении комплексной системы защиты информации

if check 1608613 Высокий уровень защищенности и устойчивости функционирования ИТ-инфраструктуры. Это приводит к снижению ущерба от инцидентов ИБ, стабильности основных бизнес-процессов.

if check 1608613 Соответствие требованиям законодательства, ведомственных нормативных документов в сфере обеспечения ИБ.

if check 1608613 Обеспечение режима правового использования и юридической защищенности информационных активов, обеспечение их полноты, целостности и доступности с учетом актуальных угроз информационной безопасности.

if check 1608613 Повышение уровня зрелости организации в области ИБ, создаются основы для построения системы автоматизации процессов управления информационной безопасностью и организации комплексного мониторинга сложных технических объектов.


Преимущества работы с компанией «Газинформсервис»

 shtat kszi
Наличие в штате широкого спектра профильных ИТ-специалистов. Их глубокие знания и практический опыт позволяют осуществлять полноценную интеграцию в существующую ИТ-инфраструктуру.
 prom obiekt
Серьезный практический опыт создания комплексных систем защиты для различных отраслей: нефтегазовая промышленность, энергетика, телекоммуникации и т.д.
znak pdn module
Наработанный подход и эффективное проектное управление, ориентированное на получение заданного результата. Проекты реализуются в срок, в рамках установленного бюджета и соответствуют требованиям регуляторов.
Documents kszi
Гибкий подход к формированию отчетной документации в зависимости от потребностей заказчика с заданной глубиной проработки.

Есть вопросы? Обратитесь к нашим специалистам