Аудит информационной безопасности

Аудит информационной безопасности

Как обеспечить сохранность информации на предприятии и победить в информационной войне?

  • Обнаружить деятельность инсайдеров и переманивание клиентов
  • Выявить факты промышленного шпионажа и кражи данных
  • Отследить появление негативных отзывов о компании и её сотрудниках в сети Интернет
  • Защитить сервера от хакерских атак

Безопасность не важна, если не важны деньги

Важно не только заработать капитал, но и сохранить его.

Любая компания нацелена на продажу товаров и оказание услуг для своих клиентов. В первую очередь все силы и ресурсы кидаются именно на построение и обеспечение роста самой организации.

Даже компании, где персональные компьютеры и серверы являются неотъемлемой частью процесса получения прибыли, защите данных не уделяют достаточно внимания.

Нет понимания, что безопасность – это стальная арматура для укрепления структуры организации. Она позволяет задать каркас роста и укрепить внешний периметр. Без неё через пару лет рост ваша организация даёт течь.

Ваши клиенты уходят к конкурентам, увольняются ценные сотрудники, прибыль падает.

Хакеры против корпораций

Часто кажется, что всё работает отлично, пока не приходит он. Крах информационного ресурса.

В октябре 2013 года хакерская группа Anonymous Caucasus совершила атаку на сервера ведущих российских банков, включая Сбербанк, Центробанк, ВТБ и Газпромбанк.

В Сбербанке и Центробанке подтвердили, что их сайты были недоступны в течение нескольких часов.

Представитель Газпромбанка Сергей Перминов так же подтвердил, что официальный сайт банка действительно подвергался DDoS-атаке со стороны неизвестных злоумышленников. При этом сайт продолжал и продолжает работать, добавил он.

Сайт ВТБ не функционировал весь день. В банке от комментариев отказались.

В наши дни численность действующих хакеров исчисляется сотнями тысяч. Когда они не выполняют заказы по промышленному шпионажу или проведению диверсий они тренируются. В качестве тренировочного объекта может быть выбран абсолютно любой сервер, в том числе ваш.

Овчинка выделки стоит

Как правило, руководителям компаний сложно оценить необходимый размер инвестиций для обеспечения информационной безопасности организации. В тяжёлые для компании времена его хочется сделать побольше, в хорошие – свести к минимуму.

Всегда исходите из ценности защищаемой информации. Если ваш основной клиент приносит вам 10 млн рублей в месяц, значит в случае его утраты, вы потеряете эти деньги плюс непредвиденные расходы на попытки его сначала удержать, а потом вернуть.

Бюджет на обеспечение информационной защиты в среднем составляет 5 -10% от стоимости защищаемой информации. Если смотреть в разрезе года то, чтобы не потерять 120 млн рублей, вам надо инвестировать 6 млн.

Существует множество бесплатных способов обеспечения безопасности.

Практически все современные системы имеют встроенные возможности по обеспечению безопасности. Они есть в операционных системах Unix и Windows, почтовых серверах Exchange и Gmail, виртуальных системах VMware, Hyper-V, Xen и т.д. и т.п.

Стоимость настройки встроенного функционала систем равна зарплате системного администратора плюс затраты на его обучение. Дополнительно имеет смысл привлечь в качестве консультанта эксперта по информационной безопасности.

Проведение аудита информационной безопасности

Запускать процесс аудита информационной безопасности необходимо в следующих случаях:

  • Прибыль компании упала.
  • Сменилось руководство организации.
  • Изменилась структура организации или её бизнес-процессы.
  • Появились новые требования в области информационной безопасности, вызванные, например, изменением действующего законодательства.
  • Обеспечением информационной безопасности в организации раньше не занимались. Необходимо разработать стратегию и планы по её реализации.

Комплексный подход с использованием аппаратно-программных средств и методологии, основанной на государственных и мировых стандартах, позволяет получить полный отчёт по состоянию информационной безопасности организации.

Среди наших заказчиков можно выделить следующие специфики:

  • Коммерческие организации
  • Государственные структуры
  • Банки

Обеспечение информационной безопасности коммерческих организаций

Получение максимальной прибыли с минимальными операционными расходами стоит в первом приоритете для любой коммерческой организации.

Управлять бизнесом – это управлять информацией:

  • Контролировать доступ сотрудников к данным.
  • Отслеживать появление информации о компании и её работниках в сети Интернет.
  • Упреждать возможные акции со стороны конкурентов.

Обеспечение информационной безопасности государственных структур

Государственным организациям важно быть образцовыми предприятиями своей отрасли и отвечать всем действующим федеральным законам, актам и указам.

Мы проводит аудит с использованием утверждённых методологий государственного стандарта:

  • ГОСТ Р ИСО/МЭК 18045-2008 Методология оценки безопасности информационных технологий.
  • ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.
  • ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.
  • ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы.
  • ГОСТ 270ХХ «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» (ИТ. МиСОБ. СМИБ.)

Обеспечение информационной безопасности банков

Банкам традиционно требуется максимальное обеспечение информационной безопасности. Помимо классических средств защиты, востребованных коммерческими компаниями, банкам важны два ключевых аспекта:

  • Управление рисками.
  • Соответствие требованиям стандартов и рекомендаций Банка России.

Мы имеем подтверждённый опыт организации информационной безопасности банков для ведущих банков страны.

Результаты аудита гарантируют выбор лучшей стратегии обеспечения информационной безопасности

После проведения аудита предоставляется полный итоговый отчёт с перечнем обследованных информационных систем, описанием методологий аудита, найденными уязвимости и их ранжирование, рекомендациями по устранению.

У вас будет:

  • Понимание возможных рисков
  • Перечень необходимых мероприятий по их устранению
  • Оценка необходимых инвестиций в информационную безопасность

Благодаря этой информации вы сможете выбрать наиболее удобную стратегию защиты данных.

  Задать вопрос:

Для получения дополнительной информации и по вопросам покупки обращайтесь к коммерческому директору:

    Святослав Ткачев
    тел: +7 (495) 4-111-204
    STkachev@stepintegrator.ru