13.01.2023

Сіздің компанияңызға ақпараттық жүйелердің аудиті қажет екендігінің алты басты белгісі туралы айтылған алдыңғы мақала аясында ALSI сарапшысы Алмас Ескелдиев Bluescreen.kz АТ-портал редакциясына кәсіпорынның ақпараттық қауіпсіздігін қамтамасыз ететін бағдарламалық өнімдерді енгізу туралы баяндайды.

Ақпараттық және физикалық қауіпсіздік - бұл мақсат қаражатты ақтайтын жағдай. Шындықты елемеу компанияларға өте қымбатқа түседі. Компанияның ақпараттық қауіпсіздігін қамтамасыз ету үшін қажетті негізгі тармақтарды қарастырамыз.

Ақпараттық қауіпсіздік тұрғысынан ақпараттық жүйелердің аудиті

Сыртқы және ішкі қауіптер тарапынан тәуекелдер мен осалдықтар тұрғысынан кәсіпорынның ақпараттық жүйелерінің кешенді аудиті кәсіпорынның ақпараттық жүйелерінде әлсіз жақтарды іздеуді, АҚ саласындағы қолданыстағы стандарттарға сәйкестікті талдауды білдіреді. Аудит аяқталғаннан кейін АҚ саласындағы кәсіпорын саясатын қалыптастыру бойынша ұсыныстар ұсынылады. Ресми түрде бұл ақпараттық жүйелердің кешенді аудитінің бір бөлігіне қатысты.

Кәсіпорынның ақпараттық жүйелері үшін тәуекелдерді талдау

Жұмыстың бұл түрі негізінен екі нұсқада ұсынылған – сыртқы және ішкі, ақпараттық жүйелердің аудитімен қиылысады. Бірақ тәуекелдерді талдау - бұл әлеуметтік инженерия тарапынан, яғни кәсіпорынның «ішкі периметрі» тарапынан болатын қауіп – қатерлерге негізделген ресми емес процедура. Дәл осы компания қызметкерлері алаяқтардың басты мақсаты болып табылады, өйткені олардың қатысуымен мақсатты шабуылдың құны төмен. Талдау аяқталғаннан кейін кәсіпорын ішінде әлеуметтік инженериямен байланысты шабуылдарға қарсы тұруға бағытталған тұрақты мәдениетті қалыптастыру бөлігінде ұсыныстар ұсынылады.

Қауіпсіздік жүйесін енгізу: негізгі кезеңдер

Компанияның ақпараттық жүйенің және оның ресурстарының қазіргі жағдайын зерттеуге қаншалықты мұқият қарайтындығы қазіргі жағдайды жақсарту стратегиясын әзірлеуге және АҚ-ның заманауи талаптарына сәйкес келуіне байланысты.

АҚ жүйесін енгізу алгоритмі:

• АЖ архитектурасында бағдарламалық және инфрақұрылымдық деңгейде объектілердің сипаттамасын жинау, негізгі сипаттамаларды анықтау.
• Адами, уақыт, қаржылық параметрлерге байланысты шектеулерді ескере отырып, АЖ-нің ең оңтайлы түріне қойылатын талаптарды жинау.
• Қажетті құжаттарды жинау, қызметкерлерді ережемен таныстыру және оларды АҚ негіздеріне оқыту.
• АҚ инциденттерінің туындауын болдырмау және оларға реакциялардың тиімділігін арттыру үшін техникалық-бағдарламалық құралдарды енгізу бойынша жұмыс.

АҚ жүйесін енгізудің мұндай алгоритмін ұйымның жергілікті күштері - ДИТ мамандары орындай алады, ал орындалуы қиын учаскелер үшін аутсорсингтік кеңесшілердің қызметіне жүгінген жөн.

Мәселенің ұйымдастырушылық жағы

Компанияның ақпараттық қауіпсіздігі деректерді қорғауды қамтамасыз етудің бірыңғай әдістемесін бекітпей мүмкін емес. Саясат топ-менеджментпен келісіледі және ұйымда АҚ-ның неғұрлым егжей-тегжейлі және толық міндеттерін қамтиды.

Онда келесі тармақтар болуы керек:

• Қауіпсіздікті қамтамасыз ету мақсаттарының сипаттамасы, ақпараттық қорғау принциптері.
• Ақпараттың компания үшін маңыздылық дәрежесі бойынша орналасуы.
• Нақты шарттар бойынша дерекқорға қол жеткізе алатын қызметкерлер тізімі.
• Компьютерлермен және құрауыштармен, флэшкалармен және т.б. өзара әрекеттесудің негізгі ережелері.
• Қауіпсіздік саясатын бұзғаны үшін жауапкершілікті анықтау.

Мәселенің техникалық жағы

Ақпараттық қауіпсіздіктің тиімді жүйесін қалыптастыруға көмектесетін бірқатар БЖ бар:

• Антивирустар.
• Файрволдар (желі аралық экрандар).
• Вирустардан және спамнан қорғау мүмкіндіктері бар e-mail пошта сүзгілері.
• Криптографиялық қорғау.
• Инфрақұрылымның дұрыс жұмыс істеу мониторингі.
• DLP-жүйесі (компанияны құпия ақпараттың ағып кетуінен қорғауға арналған мамандандырылған БЖ).

Осындай қарапайым құралдарды пайдалану кепілдендірілген қорғаныс жүйесімен және оқиғалардың болмауымен кәсіпорынның АҚ-ны өте жоғары деңгейде құруға мүмкіндік береді.