Я уверен, что Вы прекрасно понимаете значимость обеспечения информационной безопасности в компаниях, иначе не читали бы мой блог :) В зависимости от вида деятельности компании, уровень защищенности варьируется в широких пределах, однако для его достижения необходимо использование соответствующего комплекса специальных средств и мероприятий.

В настоящее время оценка уровня информационной защищенности, его сопоставление с объективно необходимым уровнем, а в случае их несоответствия подбор оптимального комплекса защиты представляет собой весьма непростую задачу (и недешевую, к слову). Зачастую провести такое обследование силами компании не представляется возможным (помеха практически всегда — отсутствие необходимых знаний и компетентных специалистов), по этому нередко эту часть системы ИБ аутсорсят другие компании.

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы России. Поэтому решение вопроса об оценке уровня защищенности связано с проблемой выбора критериев и показателей защищенности, а также эффективности системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции и федеральных законов, руководящих документов Гостехкомиссии России, приходится использовать ряд международных рекомендаций.

Современные методики управления рисками, проектирования и сопровождения систем защиты информации должны позволять решить ряд задач:

Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационном и техническом уровнях обеспечения защиты информации.

Во-вторых, разработать и реализовать комплексный план совершенствования системы защиты информации для достижения приемлемого уровня защищенности. Для этого необходимо:

— обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

— выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;

— определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании создать необходимый пакет организационно-распорядительной документации;

— разработать и согласовать со службами организации проект внедрения необходимых комплексов защиты;

— обеспечить поддержку внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Решение всех этих задач помогает объективно оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании.

На основе полученной оценки можно выработать и обосновать необходимые организационные меры, обоснованно выбрать средства защиты информации. С помощью полученных количественных показателей можно постоянно контролировать состояние системы информационной безопасности.

Практические рекомендации по нейтрализации найденных уязвимостей системы помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании.

Всем крайне рекомендую (особенно новичкам) при аудите системы ИБ использовать специальные программные средства — Digital Security Office 2006 и Microsoft Security Assessment Tool 4.0 — очень сильно упростят работу.