Защита информационных ресурсов Компании является сегодня обязательным требованием бизнеса. Высокая ценность информации обуславливает необходимость обеспечения ее конфиденциальности, целостности и доступности, а также работоспособности информационных систем.
Для обеспечения информационной безопасности (ИБ) Компании
необходимо применять комплексный подход, предусматривающий работу в правовом, организационном и техническом направлениях.
Эффективное обеспечение ИБ возможно только при создании
системы обеспечения информационной безопасности (СОИБ), охватывающей все направления деятельности Компании. СОИБ представляет собой совокупность мер организационного и программно-технического уровня, направленных на защиту информационных ресурсов Компании.
Цели проектирования СОИБ
Реализация мер защиты соответствующих реальным угрозам ИБ Компании.
Соответствие разрабатываемой СОИБ и нормативной базы определенным критериям (законодательство, стандарты, внутренние требования).
Централизация процессов управления и мониторинга ИБ в Компании.
Контроль над службами и системами ИБ, гибкое распределение уровней доступа и управления.
Стандартизация, унификация и оптимизация информационно-управляющих ресурсов обеспечения безопасности всех связанных служб и подразделений.
Архитектура СОИБ
СОИБ имеет сложную многокомпонентную, многоуровневую распределенную архитектуру. Компоненты СОИБ тесно интегрированы в информационную инфраструктуру организации. Помимо программных и технических средств обеспечения ИБ архитектура СОИБ включает в себя также систему организационных мероприятий и ИТ-процессов.
В состав СОИБ как правило входят следующие компоненты и подсистемы:
Подсистема защиты периметра сети
Подсистема безопасного межсетевого взаимодействия
Подсистема регистрации и учета событий
Подсистема обеспечения целостности
Подсистема управления доступом
Подсистема обнаружения и предотвращения атак
Подсистема анализа защищенности
Подсистема криптографической защиты данных
Подсистема инфраструктуры открытых ключей
Подсистема антивирусной защиты
Подсистема управления информационной безопасностью
Подсистема предотвращения утечек информации
Подсистема резервного копирования и восстановления данных
Этапы проектирования СОИБ
В рамках проведения работ по проектированию и внедрению СОИБ Компания ЗИКС выполняет полный комплекс работ
1. Обследование объекта информатизации
Планирование проведения работ по обследованию.
Разработка регламента взаимодействия между Заказчиком и Исполнителем.
Разработка программы и методики проведения обследования.
Проведение обследования инфраструктуры Заказчика, включая пожелания Заказчика по функционалу, принципам реализации и дальнейшей эксплуатации СОИБ.
Заполнение опросных листов сотрудниками Компании с целью получения исходных данных о корпоративной информационной системе,
используемом оборудовании, существующих нормативных документах и регламентов для последующей систематизации и анализа.
Систематизация полученных данных и разработка отчета по результатам обследования.
2. Создание концепции информационной безопасности
Определение основных целей и задач.
Определение общей стратегии построения СОИБ.
Выработка требований и подходов к реализации СОИБ.
3. Техно-рабочее (техническое проектирование) СОИБ
Разработка технического задания и требований к СОИБ.
Техническое проектирование и разработка проектной документации.
Разработка рабочей и эксплуатационной документации.
Разработка организационно-распорядительной документации.
Положительные эффекты от проектирования
Снижение затрат на внедрение за счет эффективного использования существующих средств и систем защиты информации для построения СОИБ.
Интеграция СОИБ с существующими процессами управления ИБ и ИТ.
Реализация универсальной, гибкой и масштабируемой СОИБ.
Наличие четкого описания и регламентирования всех внутренних процессов, связанных с обеспечением ИБ Компании.
