Сіздің компанияңызға ақпараттық жүйелердің аудиті қажет екендігінің алты басты белгісі туралы айтылған алдыңғы мақала аясында ALSI сарапшысы Алмас Ескелдиев Bluescreen.kz АТ-портал редакциясына кәсіпорынның ақпараттық қауіпсіздігін қамтамасыз ететін бағдарламалық өнімдерді енгізу туралы баяндайды.
Ақпараттық және физикалық қауіпсіздік - бұл мақсат қаражатты ақтайтын жағдай. Шындықты елемеу компанияларға өте қымбатқа түседі. Компанияның ақпараттық қауіпсіздігін қамтамасыз ету үшін қажетті негізгі тармақтарды қарастырамыз.
Ақпараттық қауіпсіздік тұрғысынан ақпараттық жүйелердің аудиті
Сыртқы және ішкі қауіптер тарапынан тәуекелдер мен осалдықтар тұрғысынан кәсіпорынның ақпараттық жүйелерінің кешенді аудиті кәсіпорынның ақпараттық жүйелерінде әлсіз жақтарды іздеуді, АҚ саласындағы қолданыстағы стандарттарға сәйкестікті талдауды білдіреді. Аудит аяқталғаннан кейін АҚ саласындағы кәсіпорын саясатын қалыптастыру бойынша ұсыныстар ұсынылады. Ресми түрде бұл ақпараттық жүйелердің кешенді аудитінің бір бөлігіне қатысты.
Кәсіпорынның ақпараттық жүйелері үшін тәуекелдерді талдау
Жұмыстың бұл түрі негізінен екі нұсқада ұсынылған – сыртқы және ішкі, ақпараттық жүйелердің аудитімен қиылысады. Бірақ тәуекелдерді талдау - бұл әлеуметтік инженерия тарапынан, яғни кәсіпорынның «ішкі периметрі» тарапынан болатын қауіп – қатерлерге негізделген ресми емес процедура. Дәл осы компания қызметкерлері алаяқтардың басты мақсаты болып табылады, өйткені олардың қатысуымен мақсатты шабуылдың құны төмен. Талдау аяқталғаннан кейін кәсіпорын ішінде әлеуметтік инженериямен байланысты шабуылдарға қарсы тұруға бағытталған тұрақты мәдениетті қалыптастыру бөлігінде ұсыныстар ұсынылады.
Қауіпсіздік жүйесін енгізу: негізгі кезеңдер
Компанияның ақпараттық жүйенің және оның ресурстарының қазіргі жағдайын зерттеуге қаншалықты мұқият қарайтындығы қазіргі жағдайды жақсарту стратегиясын әзірлеуге және АҚ-ның заманауи талаптарына сәйкес келуіне байланысты.
АҚ жүйесін енгізу алгоритмі:
АҚ жүйесін енгізудің мұндай алгоритмін ұйымның жергілікті күштері - ДИТ мамандары орындай алады, ал орындалуы қиын учаскелер үшін аутсорсингтік кеңесшілердің қызметіне жүгінген жөн.
Мәселенің ұйымдастырушылық жағы
Компанияның ақпараттық қауіпсіздігі деректерді қорғауды қамтамасыз етудің бірыңғай әдістемесін бекітпей мүмкін емес. Саясат топ-менеджментпен келісіледі және ұйымда АҚ-ның неғұрлым егжей-тегжейлі және толық міндеттерін қамтиды.
Онда келесі тармақтар болуы керек:
Мәселенің техникалық жағы
Ақпараттық қауіпсіздіктің тиімді жүйесін қалыптастыруға көмектесетін бірқатар БЖ бар:
Осындай қарапайым құралдарды пайдалану кепілдендірілген қорғаныс жүйесімен және оқиғалардың болмауымен кәсіпорынның АҚ-ны өте жоғары деңгейде құруға мүмкіндік береді.