С каждым годом российские компании вынуждены тратить больше средств на информационную безопасность. С одной стороны, растет число атак со стороны злоумышленников, которые пытаются украсть данные и нарушить работу. С другой стороны, за последнее время в данной сфере серьезно ужесточилось отечественное законодательства, в том числе выросли штрафы.
Этап 1. Аудит информационной безопасности
Прежде чем приступать к каким-либо работам по защите инфраструктуры и данных, необходимо провести полноценный аудит информационной безопасности, который включает себя анализ существующих ИТ-систем, в том числе поиск уязвимостей, оценка рисков и выработка рекомендаций. Заказывать такую работу необходимо в аккредитованных ИТ-компаниях, если необходим качественный результат.
Классический аудит информационной безопасности состоит из шести разделов:
- внешний аудит информационной безопасности
- аудит кибербезопасности
- внутренний аудит информационной безопасности
- аудит соответствия обработки персональных данных
- аудит нематериальных активов
- аудит безопасности приложений
Кстати, обеспечение информационной безопасности должно идти не только по стандартам ISO/IEC 27001, ISO/IEC 27005, NIST 800-30, но и удовлетворять требованиям в сфере защиты персональных данных, включая соответствующий федеральный закон, документы ФСТЭК, требования ФСБ и других структур.
После завершения аудита вы получите отчет, с помощью которого можно будет приступать к устранению найденных уязвимостей, повышению защищенности ИТ-систем, смене программного обеспечения (при необходимости), а также другим работам.
Разумеется, на аудит необходимо привлекать компании с безупречной репутацией, которые работают на рынке не первый год, имеют богатый опыт и рекомендации. Удобнее вести дела с интегратором ИТ-решений, который не только проведет аудит и необходимые работы по повышению безопасности, но и поможет обновить и настроить программное обеспечение, закупить и настроить ИТ-оборудование.
В частности, о серьезности компании можно судить по партнерам, среди которых могут быть крупные разработчики софта, вендоры, дистрибьюторы, дилеры. Кстати, переход на отечественное программное обеспечение также рекомендуется.
Этап 2. Как защитить ИТ-инфраструктуру компании
Все способы защиты обычно делятся на технические и организационные. В последнем случае нужно разработать политику ИТ-безопасности, расписать алгоритмы реагирования на инциденты, усовершенствовать контроль доступа к информации по группам сотрудников. Разумеется, потребуется ознакомление работников с новыми правилами и их обучение.
К техническим мерам относят антивирусное ПО, файерволлы, системы защиты от утечек данных, системы обнаружения и предотвращения вторжений, шифрование данных, регулярное резервное копирования и т.д.
При заказе услуг информационной безопасности не стоит гнаться за низкой ценой или скидками. Попытка сэкономить может обернуться гораздо большими финансовыми и репутационными потерями.
