Системная интеграция

SYS-31. Разработка и реализация корпоративной политики безопасности

Системы корпоративной информационной безопасности необходимы для защиты конфиденциальных данных компании. К сожалению, часто бывает так, что руководство фирмы обращается к этой услуге уже после того, как осуществлена хакерская атака на предприятие, утечка информации стала критичной для бизнеса, а сами бизнес-процессы приостановлены. В любом случае, технология корпоративной защиты данных стоит того, чтобы не рисковать потерей ценнейшей внутренней информации компании.

Описание решения:

Политика информационной безопасности представляет собой изложенные в письменном виде и утвержденные руководством управленческие решения, направленные на защиту информационных ресурсов предприятия.

Структурно политику безопасности можно разбить на четыре уровня:

1. концепция — политика верхнего уровня, определяющая общие принципы информационной безопасности для предприятия;
2. стандарты или правила — политики по отдельным направлениям информационной безопасности предприятия, формулирующие принципы и правила для данного направления;
3. процедуры — документы, описывающие права и обязанности участников одного или нескольких логически объединенных процессов обеспечения информационной безопасности;
4. инструкции или методики — документы, детально описывающие, как и что должно делаться в рамках направления, процесса или системы для обеспечения соответствия стандартам.

Стандарт безопасности ISO 17799:2005 описывает примерную структуру концепции информационной безопасности, которая должна содержать следующие разделы:

• определение информационной безопасности, ее цели и масштаб;
• поддержка информационной безопасности руководством предприятия в соответствии с бизнесом;
• структура информационной безопасности, описание контрольных механизмов, оценка и управление рисками;
• принципы и стандарты информационной безопасности, характерные для данного предприятия;
• роли и ответственность в области информационной безопасности;
• ссылки на прочие документы по безопасности.

Кроме того, целесообразно включить раздел, описывающий ключевые индикаторы производительности или другие виды метрик оценки эффективности работы в области информационной безопасности.

Процесс создания политики информационной безопасности

Создание политики информационной безопасности можно разбить на следующие этапы:

• Разработка концепции политики информационной безопасности
• Описание границ системы и построение модели ИС с позиции безопасности
• Анализ рисков: формализация системы приоритетов организации в области информационной безопасности, выявление существующих рисков и оценка их параметров
• Анализ возможных вариантов контрмер и оценка их эффективности
• Выбор комплексной системы защиты на всех этапах жизненного цикла

Связанные системы:

• создание и поддержка базы данных ИТ-ресурсов предприятия CMDB
• организация работы ИТ-службы
• формирование ИТ-стратегии
• управление лицензированием программного обеспечения SAM
• корпоративные вычислительные сети
• резервного копирования
• системы мониторинга и управления ИТ-инфраструктурой
• инженерные системы

Используемые технологии:

• ISO 17799:2005
• ISO 27001:2005
• ГОСТ Р 50922-2006
• ISO 13335

Решение

Техническая поддержка в офисе клиента Удаленная техническая поддежка Аутсорсинг Helpdesk Поддержка CMDB Поддержка SAM Обслуживание 1С

Ориентировочная стоимость: Заполните поля фомы