Представьте, что вы решили построить дом. Архитектора ради экономии не нанимаете, а напрямую обращаетесь к прорабу и говорите, что, мол, нужен дом. На вопрос «Какой?» отвечаете «Хороший!» Можно предположить, что в итоге вы получите фундамент, стены и крышу, но вряд ли они будут отвечать вашим критериям комфорта и безопасности. Так и с построением системы информационной безопасности: прежде, чем начинать внедрять то или иное программное решение, стоит прибегнуть к услугам профессионалов из консалтинговой компании.
Первостепенной задачей консалтинга в области информационной безопасности (ИБ) является аудит существующей в организации системы информационной безопасности, если таковая вообще имеет место. В продолжение сравнения со строительством дома, приступая к работе, архитектор должен учесть все особенности ландшафта. Специалист по консалтингу в области ИБ начинает с проверки обеспечения физической безопасности ИТ-инфраструктуры, а также анализа организационных и технических мер, уже предпринятых в части защиты компании от утечек информации.
Какие этапы включает в себя аудит? Сначала консалтеры оценят уровень защищенности информации в компании, готовность системы обеспечения информационной безопасности к прохождению сертификации по стандарту ISO/IEC 27001, а также её соответствие действующему законодательству. Также консалтинговые компании предлагают оценить с экономической точки зрения информационные риски, чтобы выявить те из них, от которых необходимо защищаться в первую очередь.
После этого совместно с представителями компаниями будет разработана политика информационной безопасности – основополагающий документ, который ляжет в дальнейшем в основу должностных инструкций и расследований инцидентов. В этом документе будут учтены такие аспекты, как безопасность закрытых данных от сотрудников самой компании, безопасность за пределами организации, безопасность персональных данных на предприятии, безопасность критичных сервисов (СУБД, ERP, CRM и т.д.). Затем на основе политики информационной безопасности будут разработаны служебные документы и даны рекомендации по приобретению технических средств обеспечения информационной безопасности.
Если, к примеру, в организации не позаботились о том, чтобы ограничить доступ посторонних в серверные помещения или включить в трудовой контракт пункт о неразглашении коммерческой тайны, внедрение суперсовременного программного обеспечения по предотвращению потери данных может оказаться бесполезным.
Комментариев нет:
Отправить комментарий