На предыдущую страницу
Безопасность

Инфографика: безопасная ИТ-система

Чтобы информационная безопасность компании была на должном уровне, защитные меры и средства желательно привести к единой системе, выстроив на основе этой системы понятный процесс. Для удобства можно использовать специальные пошаговые инструкции, которые составляются на основе лучших практик специалистов по ИБ. Мы собрали их в одну инфографику-шпаргалку и добавили краткие пояснения.

Материал будет полезен любым компаниям, которые стремятся усовершенствовать информационную безопасность ИТ-инфраструктуры.

Инфографика

Информационная безопасность компании складывается из трех составляющих — внутренней безопасности, безопасности периметра и соответствия стандартам ИБ.

Аудит информационной безопасности

Внутренняя безопасность

В идеале за информационную безопасность компании, и не только внутреннюю, отвечает специалист по ИБ, которого также называют «офицером по информационной безопасности». Квалификацию «офицера» среди прочего могут подтверждать сертификаты CISA, CISSP, CISM и пр.

Один из популярных инструментов внутренней ИБ — SIEM-система (Security information and event management); расшифровывается как «Управление информацией о безопасности и событиями информационной безопасности». Это специализированное ПО, в числе функций которого — обнаружение внешних и внутренних атак, анализ инцидентов и других событий безопасности, оценка уровня защиты информационной системы (ИС), формирование отчетов и другой аналитики.

Собранная с помощью SIEM информация помогает специалисту по ИБ оптимизировать систему внутренней безопасности. Примеры ПО: MaxPatrol SIEM, LogRhythm, Splunk, RUSIEM.

Безопасный периметр

Под «периметром информационной безопасности» обычно понимается граница между внутренней корпоративной сетью и интернетом. Или физическая точка соединения локальной и внешней сети. Периметр уязвим для внешних угроз; для его защиты используют антивирус, межсетевой экран (брандмауэр), шлюзы безопасности (UTM), настраивают политики доступа и не только. Одно из упреждающих мероприятий — сканирование внешних уязвимостей, которое проводится в «ручном» режиме и с помощью программных средств.

Уровень соответствия стандартам ИБ

В зависимости от бизнеса информационная безопасность ИТ-инфраструктуры должна соответствовать различным российским и (или) международным стандартам ИБ: ISO/IEC 27001, ISO/IEC 27002, ГОСТ Р 51275-2006, ГОСТ Р ИСО/МЭК 15408-Х и пр. Кроме того, есть прикладные стандарты, документы и положения, регламентирующие ИБ банков и других финансовых организаций, операторов ПДн, платежных агентов. В разделе «Уровень соответствия» инфографики указаны меры, с помощью которых можно адаптировать ИС к действующим стандартам.

Резюме

Обеспечение информационной безопасности ИТ-систем требует не только профильных знаний и навыков, но и подтвержденного опыта. Здорово, когда есть квалифицированный штатный специалист по ИБ. Но не менее важен сторонний аудит от профессионалов ИБ-отрасли — компаний, которые работают со множеством заказчиков, пользуются лучшими инструментами и практиками. Опытные аудиторы помогают справляться как с известными, так и с новыми, еще малоизученными угрозами и минимизировать риски ИБ.

Оцените данную статью

Be the first to know about new articles!

Подпишитесь на нашу рассылку
Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies