+7(495)730-74-88

Информационная безопасность

Управление ИБ

Аудит информационной безопасности

Аудит информационной безопасности - первый этап в процессе построения Комплексной Системы Обеспечения Информационной Безопасности в компании или развития существующей системы с целью улучшения показателей защищенности. Аудит информационной безопасности представляет собой комплексный системный процесс получения объективных оценок текущего состояния информационной системы компании, включая технические, программные, документальные и людские ресурсы и выявления возможных уязвимостей, которые могут быть использованы для осуществления направленных атак на информационные активы. Также при аудите проводится проверка соответствия нормативам ряда отраслевых стандартов в области информационной безопасности.

Разработка стратегии информационной безопасности

Стратегия информационной безопасности – это структурированный и взаимосвязанный набор действий, нацеленных на улучшение в долгосрочном плане благополучия компании. Компания Инфорион разрабатывает стратегию ИБ, позволяющую не только оценить текущий уровень защищенности заказчиков, но и разработать для них оптимальную схему перехода к построению Комплексной Системы Обеспечения Информационной Безопасности с учетом как лучших международных практик, так и Российского законодательства и стандартов в области защиты информации.

Система менеджмента информационной безопасности в соответствии с ISO 27001 (при необходимости получение сертификата)

Система менеджмента информационной безопасности в соответствии с ISO 27001 – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.


Проведение комплекса мероприятий по построению системы управления информационной безопасностью в соответствии с требованиями стандарта ISO 27001, позволит решить следующие задачи:

- повышение уровня безопасности;
- управление;
- оптимизация расходов;
- снижение рисков;
- привлекательность;
- доверие;
- повышение репутации.


В ходе работ проводятся:

- оценка текущего состояния информационной безопасности и степени соответствия ISO 27001;
- проведение краткого анализа бизнес-процессов организации с целью выбора и документирования области действия Системы управления информационной безопасностью (СУИБ);
- проведение инвентаризации активов, классификации информации и оценки рисков;
- разработка плана обработки рисков (RTP) и соглашения о применимости контролей (SoA);
- проектирование СУИБ;
- разработка, документирование и внедрение процессов управления и обеспечения информационной безопасности (разработка необходимых политик, стандартов и инструкций по информационной безопасности, оказание помощи при проведении внутреннего аудита и оценки эффективности СУИБ);
- обучение персонала;
- подготовка СУИБ к сертификации.


Построение системы управления информационными рисками предполагает:

- разработка и внедрение процессов управления ИБ и процессов обеспечения ИБ;
- разграничение ответственности между подразделениями ИТ и ИБ в рамках выполнения процессов СУИБ;
- разработка полного комплекта документации по ИБ в соответствии с требованиями стандарта;
- проведение анализа рисков ИБ и разработка плана-графика снижения рисков ИБ до приемлемого уровня;
- обучение персонала процессам и документации ИБ;
- подготовка системы к прохождению сертификационного аудита, включая взаимодействие с сертификационным органом, оказание консалтинга при устранении несоответствий, выявленных в ходе аудита.


Построение системы внутреннего аудита и обеспечения соответствия требованиям политик ИБ


Внутренний Аудит - это целый комплекс мероприятий, организованных и осуществляемых в компании с целью достижения наилучшей эффективности от выполнения персоналом своих профессиональных обязанностей

Организация внутреннего Аудита позволяет решить следующие задачи:

- упорядочить деятельность компании;
- предоставить надежную информацию об эффективности работы персонала;
- контролировать расход и сохранность материальных и нематериальных активов;
- повысить степень защиты внутренней информации;
- улучшить общую эффективность хозяйственной деятельности;
- определить уровень экономической целесообразности хозяйственных операций.


Построение системы обеспечения непрерывности бизнес-процессов


Непрерывность бизнеса – стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения её деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

Состав системы обеспечения непрерывности бизнеса состоит из:

- плана восстановления ИТ-инфраструктуры после сбоев для обеспечения непрерывности бизнес-процессов;
- организация резервного копирования данных;
- организация резервного фонда оборудования для обеспечения минимизации продолжительности его отказов;
- проведение периодического тестирования плана восстановления;
- проведение обучения сотрудников компании по их действиям в условиях чрезвычайных ситуаций.


В рамках Построения системы обеспечения непрерывности бизнеса, осуществляются следующие работы:

- определение бизнес-процессов, продуктов, услуг являющихся наиболее критичными;
- определение ресурсов, необходимых для их функционирования;
- определение времени, необходимого для их восстановления в случае чрезвычайной ситуации;
- определение взаимозависимостей от других процессов и организаций;
- определение угроз, которые могу быть подвержены критичные бизнес-процессы, продукты, услуги;
- оценка рисков и разработка плана обработки рисков;
- разработка плана восстановления и сценариев восстановления бизнеса;
- обучение персонала и тестирование планов.