Пятница, 03.05.2024, 15:38
| RSS
Главная | Консалтинговые услуги по информационной безопасности Казахстан Астана
Форма входа

Меню сайта
Календарь новостей
«  Май 2024  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031
Поиск
Друзья сайта
Наш опрос
Оцените мой сайт
Результаты | Архив опросов
Всего ответов: 22
1. Аудит информационной безопасности



Аудит информационной безопасности систематический, независимый и документируемый процесс получения оценки деятельности организации по обеспечению информационной безопасности, установления степени соответствия существующей системы защиты информации целям организации.

Важным свойством аудита информационной безопасности является его независимость, так как только независимые аудиторы могут критически оценить имеющуюся систему защиты информации и предложить оптимальный комплекс мер по повышению текущего уровня защищенности организации.



1.1. Аудит и внедрение системы менеджмента информационной безопасности организации на основе стандарта ISO/IEC 27001:2005



ISO/IEC 27001:2005 Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью – Требования. Стандарт ISO/IEC 27001:2005 выступает в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является важным стратегическим решением для организации и производится на основе потребностей и целей организации, требований безопасности, осуществляемых бизнес-процессов, масштабов деятельности и структуры организации. Стандарт предназначен для применения организациями любой формы собственности (коммерческими, государственными и некоммерческими организациями).



Этапы проведение аудита:



1. Подготовительный этап
• Определение границ проведения аудита;
• Предоставление исходных данных об области действия СМИБ Заказчика;
• Изучение Исполнителем исходных данных;
• При необходимости документальное описание области действия СМИБ в соответствии с требованиями Стандарта.

2. Анализ рисков
• Определение основных бизнес процессов организации и их взаимодействия;
• Инвентаризация ресурсов (определение существенных активов);
• Разработка и согласование с Заказчиком Методики оценки рисков (передается Заказчику);
• Оценка рисков организации с предоставлением Отчета;
• Определение приемлемых уровней риска и подготовка для руководителя проекта документа для принятия остаточных рисков.

3. Разработка Плана снижения рисков информационной безопасности организации
• Исследование и анализ мер защиты, которые уже были определены и реализованы в организации (анализируются как применяемые организационные мероприятия, так и используемые программно-технические средства и механизмы защиты информации);
• Разработка Перечня дополнительных мероприятий по снижению уровней рисков;
• Документальное оформление общего Плана снижения рисков.

4. Анализ документации предприятия в области СМИБ
• Анализ разработанных на предприятии политик, стандартов, процедур и т.д.;
• Выработка рекомендаций по разработке организационно-нормативной базы, необходимой для функционирования СМИБ (Перечня документов, явно указанных в Стандарте, а также тех, необходимость реализации которых вытекает из результатов анализа рисков и из собственных требований компании к защите информации);

5. Разработка и предоставление итогового отчета

• Перечень несоответствий требованиям Стандарта (ISO 27001);
• Оценка насколько эффективно документация и выбранные механизмы контроля удовлетворяют конкретным задачам;
• Выработка рекомендаций (План работ) по совершенствованию СМИБ.



1.2. Аудит информационной безопасности банков на основе стандартов сообщества ABISS (Association for Banking Information Security Standards)



Стандарты сообщества ABISS утверждаются Банком России включают в себя СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», его последующие версии и дополнения, а также другие стандарты, положения и методические указания Банка России, регламентирующие вопросы информационной безопасности организаций банковской системы Российской Федерации.

К настоящему времени разработаны следующие стандарты и рекомендации:
Стандарт ЦБ РФ СТО БР ИББС-1.0.-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"
Стандарт ЦБ РФ СТО БР ИББС-1.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности"
Стандарт ЦБ РФ СТО БР ИББС-1.2-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта "
Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0"
Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0"
В дополнение к имеющимся стандартам проводиться проверка на соответствие Правилам по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций, утвержденных Постановлением Правления Национального Банка Республики Казахстан от 31 марта 2001 года N 80.



2. Разработка нормативно-правовых и нормативно-методических документов организации по информационной безопасности:

Разработка политики информационной безопасности организации;
•Разработка и введение в действие Положения о коммерческой тайне предприятия, определение перечня сведений, подлежащих защите;
•Разработка для персонала инструкций, рекомендаций, памяток и других документов, связанных с порядком работы с конфиденциальной информацией;
•Определение порядка допуска и доступа к коммерческой тайне предприятия его сотрудников, представителей органов государственного управления, партнеров и т.п.
•Разработка порядка ведения конфиденциального делопроизводства.


3.Специальные услуги:
•Менеджмент инцидентов информационной безопасности. Исследование инцидентов информационной безопасности, выявление причин, уязвимостей, рекомендации по устранению причин инцидентов и разработка правил управления инцидентами организации.
•Организация и управление ИТ- услугами на основе стандарта ITIL. Разработка метрик оценки успешности функционирования ИТ организации. Деятельность ИТ подразделения рассматривается как обеспечивающий бизнес процесс, который должен предоставлять подразделениям организации качественные и адекватные бизнес услуги.
•Инструментальные проверки сайтов и ЛВС организации. Анализ надежности и безопасности сайтов организаций, инвентаризация и анализ безопасности компьютеров, ЛВС организации, проверка и разработка правил межсетевых экранов.
•Технико-экономическое обоснование внедрения дополнительных средств защиты информации в организации. Расчет показателей совокупной стоимости владения (ТCO – Total Cost of Ownership) и коэффициента возврата инвестиций в безопасность (ROSI – Return on Security Investment).
Copyright MyCorp © 2024
Бесплатный хостинг uCoz