Важное

Аудит существующей системы защиты персональных данных БЕСПЛАТНО

Аудит существующей системы защиты персональных данных БЕСПЛАТНО

Мы БЕСПЛАТНО проведем  аудит состояния системы защиты информационных систем п...

 

Чек-лист состояния уровня информационной безопасности предприятия

Что такое информационная безопасность?

Прогресс в области информационных технологий (ИТ), несомненно, приводит к повышению конкурентоспособности организаций их применяющих. Вместе с тем, наряду с получаемыми преимуществами от развития ИТ, организации подвергаются новым рискам, связанным с безопасностью хранимой, обрабатываемой и передаваемой информации, критичной с точки зрения возможных последствий для бизнеса.

 

Методы и средства защиты информации


Среди методов защиты информации можно выделить правовые (заключение соглашений, категорирование и присваивание грифа информации), экономические (страхование рисков), организационные (изменение оргструктуры, внедрение политик и инструкций и пр.), технические (использование средств защиты информации и пр.) и т.д.

К организационным методам защиты можно отнести: выделение организационной структуры, отвечающей за обеспечение информационной безопасности организации; назначение персональной ответственности работников за сохранность информации; организация регламентированного доступа пользователей к работе с компьютерами; установление запрета на использование открытых каналов связи для передачи конфиденциальной информации и т.д.

Без надлежащего обеспечения организационных мер, невозможно эффективно применять технические методы защиты. При отсутствии технических методов защиты, организационные методы на первом этапе позволяют повысить ИБ (например: запрет выхода в интернет и использования флеш-носителей), но существенно затрудняют обработку информации, поэтому технические методы защиты должны быть неотрывно связаны с организационными.

Технические методы защиты информации можно разделить на методы защиты информации от несанкционированного доступа (обеспечение целостности, доступности, конфиденциальности) и от утечки по техническим каналам (защита от побочного электромагнитного излучения и наводок, защита речевой и видовой информации и пр.).

Protection Group: Разработка, внедрение и сопровождение систем защиты информации.

Аудит информационной безопасности 

Частным случаем аудитов, подтверждающих соответствие ожидаемого уровня информационной безопасности текущему, является аудит информационной безопасности.

Особое внимание стоит уделить тому, что аудит информационной безопасности не должен проводиться «просто так», он должен проводится на соответствие задачам аудита, по определенной методике, а результат аудита должен позволять классифицировать полученные данные и помочь принять решение о повышении уровня информационной безопасности.

Таким образом, для проведения аудита необходимо составить документ (чек-лист), в котором будет содержаться перечень вопросов, необходимых для проверки и методика проверки.

Самостоятельно, чек-лист можно сформировать на основе локальных нормативных актов организации и/или внешних требований, либо, для более качественного аудита информационной безопасности, стоит воспользоваться положениями стандартов (например: NIST, PSI DSS, Cobit, BS ISO, ГОСТ Р ИСО\МЭК и т.д.)

Protection Group предлагаем вам с помощью  нашего чек-листа проверить, все ли вы сделали для защиты информации и коммерческой тайны на вашем предприятии:
  • В компании определен и составлен перечень сведений, относящихся к коммерческой тайне
  • В компании имеется политика безопасности
  • В компании имеется Положение о коммерческой тайне
  • Используются грифы секретности
  • Назначены сотрудники, ответственные за поддержание режима коммерческой тайны
  • Введена система прав доступа
  • Проведен учет лиц, имеющих доступ к информации, относящейся к коммерческой тайне
  • Порядок использования конфиденциальных сведений прописан в трудовых договорах с сотрудниками
  • Порядок использования конфиденциальных сведений прописан в договорах с контрагентами
  • В компании имеются правила внутреннего трудового распорядка
  • В трудовых договорах имеется пункт о том, что оборудование является собственностью работодателя и использование его в личных целях запрещено
  • В трудовых договорах имеется пункт о том, что работодатель может установить систему мониторинга или DLP-систему, с помощью которой производится контроль доступа к критически важной информации
  • Все сотрудники ознакомлены под роспись с документами в области информационной безопасности
  • Созданы условия для соблюдения режима коммерческой тайны (сотрудникам выданы персональные учетные записи, при необходимости – устройства хранения, перечни категорий информации, сейфы и пр.)
  • Разработана программа обучения сотрудников мерам информационной безопасности

 Protection Group оказывает комплекс услуг по обеспечению информационной безопасности предприятия