Важной составляющей развития современных предприятий является автоматизация бизнес-процессов с использованием средств вычислительной техники и телекоммуникаций. Следствием этого является неуклонный рост объемов информации, которая подвергается обработке и накоплению в электронном виде.
С ростом электронного документооборота предприятия возрастает зависимость успеха его деятельности от непрерывности функционирования информационной системы (ИС) как единого целого и от сохранности корпоративной информации в процессе ее обработки и хранения на электронных носителях.
Привыкая к повседневному использованию информационных технологий, мы часто забываем о том, что надежность техники и, главное, устройств хранения электронной информации конечна, в связи с чем существует вероятность отказа оборудования, приводящая к сбоям в доступе к электронной информации, а в худшем случае — к частичной или полной ее потере. Более того, мы совсем не заботимся о разработке и внедрении плана мероприятий по восстановлению работоспособности ИС после кризиса.
Отказ оборудования зачастую происходит именно в тот момент времени, когда это наносит наибольший ущерб. Известны случаи, когда простой информационной системы приводил к экономическим убыткам, многократно превышающим стоимость самой системы.
Рост информационной системы предприятия, являющийся неминуемой частью успешного развития бизнеса, влечет за собой ужесточение требований к непрерывности ее функционирования, а также к сохранности и обеспечению конфиденциальности корпоративной информации. ИС предприятия превращается из печатной машинки в инструмент ведения бизнеса, что, в свою очередь, втягивает предприятие во все большую зависимость от уязвимости, постоянно усложняющейся ИС.
Одним из критических аспектов уязвимости ИС является отсутствие плана мероприятий по восстановлению ее работоспособности после кризиса. В случае возникновения форс-мажорных обстоятельств можно арендовать новое помещение, закупить технику, подключить телекоммуникации, но нельзя восстановить работоспособность ИС, если утрачена информация и/или специализированные средства ее обработки.
Очень важно понимать и осознавать, что:
- обеспечение информационной безопасности — это непрерывный процесс, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты;
- в основе этого процесса лежит периодический анализ защищенности информационной системы в разрезе видов угроз и динамики их развития;
- информационная система, в своем развитии, должна подвергаться периодическим реорганизациям, отправной точкой каждой из которых служит анализ выявленных уязвимостей при проведении аудита информационной безопасности.
Аудит информационной безопасности должен быть ориентирован как на специалистов в области ИТ-безопасности, так и на специалистов в области менеджмента. Такой подход устраняет существующее недопонимание специалистов в области информационной безопасности TOP-менеджерами компании.
Аудит информационной безопасности включает следующие этапы работ
- интервьюирование персонала
- инвентаризация и обследование компьютеров
- тесты на проникновнение (Penetration Test)
- анализ защищенности КИС