Аудит і моніторинг безпеки

c6242268ca712490f5c58f82f66bee7f-300x244Для організацій, комп’ютерні мережі яких налічують не один десяток комп’ютерів, що функціонують під управлінням різних ОС, на перше місце виступає завдання управління безліччю різноманітних захисних механізмів в таких гетерогенних корпоративних мережах. Складність мережевий інфра-стуктури, різноманіття даних і додатків призводять до того, що при реалізації системи інформаційної безпеки за межами уваги адміністратора безпеки можуть залишитися багато загрози. Тому необхідно регулярно здійснювати аудит та моніторинг безпеки ІС.

Аудит безпеки інформаційної системи

Поняття аудиту безпеки. Аудит представляє собою незалежну експертизу окремих областей функціонування підприємства. Однією зі складових аудиту підприємства є аудит безпеки його ІС.

В даний час актуальність аудиту безпеки ІС різко зросла. Це пов’язано із збільшенням залежності організацій від інформації та ІС. Зросла вразливість ІС за рахунок підвищення складності елементів ІС, появи нових технологій передачі та зберігання даних, збільшення обсягу ПЗ. Розширився спектр загроз для ІС через активне використання підприємствами відкритих глобальних мереж для передачі повідомлень і транзакцій.

Аудит безпеки ІС дає можливість керівникам і співробітникам організацій отримати відповіді на питання:
• як оптимально використовувати існуючу ІС при розвитку бізнесу;
• як вирішуються питання безпеки та контролю доступу;
• як встановити єдину систему управління та моніторингу ІС;
• коли і як необхідно провести модернізацію устаткування і ПЗ;
• як мінімізувати ризики при розміщенні конфіденційної інформації в ІС організації, а також намітити шляхи вирішення виявлених проблем.

На ці та інші подібні питання не можна миттєво дати однозначну відповідь. Достовірну і обґрунтовану інформацію можна отримати, тільки розглядаючи всі взаємозв’язки між проблемами. Проведення аудиту дозволяє оцінити поточну безпеку ІС, оцінити ризики, прогнозувати і управляти їх впливом на бізнес-процеси організації, коректно і обґрунтовано підійти до питання забезпечення безпеки інформаційних ресурсів організації.

Цілі проведення аудиту безпеки ІС:
• оцінка поточного рівня захищеності ІС;
• локалізація вузьких місць в системі захисту ІВ;
• аналіз ризиків, пов’язаних з можливістю здійснення загроз безпеки щодо ресурсів ІС;
• вироблення рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІС;
• оцінка відповідності ІС існуючим стандартам в галузі інформаційної безпеки.

У число додаткових завдань аудиту ІС можуть також входити вироблення рекомендацій щодо вдосконалення політики безпеки організації і постановка задач для ІТ персоналу, що стосуються забезпечення захисту інформації.

Проведення аудиту безпеки інформаційних систем

Роботи з аудиту безпеки ІС складаються з послідовних етапів, які в цілому відповідають етапам проведення комплексного ІТ аудиту автоматизованої системи:
• ініціювання процедури аудиту;
• збору інформації аудиту;
• аналізу даних аудиту;
• вироблення рекомендацій;
• підготовки аудиторського звіту.

Аудиторський звіт є основним результатом проведення аудиту. Звіт повинен містити опис цілей проведення аудиту, характеристику обследуемой ІС, результати аналізу даних аудиту, висновки, що містять оцінку рівня захищеності АС або відповідності її вимогам стандартів, і рекомендації щодо усунення існуючих недоліків та удосконалення системи захисту.

Моніторинг безпеки системи

Функції моніторингу безпеки ІС виконують засоби аналізу захищеності та засоби виявлення атак. Засоби аналізу захищеності досліджують налаштування елементів захисту ОС на робочих станціях і серверах, БД. Вони досліджують топологію мережі, шукають незахищені або неправильні мережеві з’єднання, аналізують налаштування МЕ.

У функції системи управління безпекою входить вироблення рекомендацій адміністратору щодо усунення виявлених вразливостей в мережах, додатках чи інших компонентах ІС організації.

Використання моделі адаптивного управління безпекою мережі дає можливість контролювати практично всі загрози і своєчасно реагувати на них, дозволяючи не тільки усунути уразливості, які можуть призвести до реалізації загрози, а й проаналізувати умови, що призводять до їх появи.

Компанія «Сучасні системи безпеки бізнесу» активно впроваджує передові технології в сфери безпеки бізнесу та технічного захисту інформації. Основними напрямками нашої діяльності є: пошук закладних пристроїв (захист від прослуховування, прихованих камер і т.д.); проектування, монтаж і обслуговування систем безпеки бізнесу: відеоспостереження; контроль доступу; облік робочого часу; охоронна і пожежна сигналізаціявимірювання тепловтрат приміщень та рекомендації щодо теплоізоляції; вимірювання радіоактивного фону в приміщеннях і на територіях. Дзвоніть нам за вказаним номером телефону і ми відповімо на всі Ваші запитання:

(044) 227-90-21

(096) 875-77-51

(099) 448-83-83

Добавить комментарий

%d такие блоггеры, как: