Третій етап: Початковий аналіз СМІБ.
7. Провести аналіз існуючої СМІБ;
Аналіз існуючої СМІБ в Компанії з розробки систем захисту інформації може включати наступні кроки:
1. Ідентифікація активів: Визначення всіх інформаційних активів, які потребують захисту, таких як документація, бази даних, системи, мережі тощо.
2. Оцінка ризиків: Виявлення потенційних загроз, вразливостей та наслідків для інформаційних активів. Цей процес може використовувати інструменти, наприклад, Microsoft Security Assessment Tool (MSAT), для оцінки загального рівня безпеки.
3. Впровадження заходів безпеки: Реалізація рекомендацій забезпечення безпеки, таких як встановлення захисту паролем, шифрування даних, резервне копіювання, системи виявлення вторгнень тощо.
5. Тестування та аудит безпеки: Періодична перевірка ефективності існуючої СМІБ шляхом проведення тестування на проникнення, аудиту систем та моніторингу подій для виявлення потенційних проблем.
6. Навчання та свідомість: Забезпечення навчання та свідомості співробітників про політики та процедури безпеки інформації, включаючи курси і тренінги щодо виявлення шахрайства та соціального інжинірингу.
7. Постійне вдосконалення: Систематичне оновлення СМІБ, враховуючи нові загрози безпеці та технологічні розвитки.
Цей аналіз допоможе компанії зрозуміти потенційні ризики, виявити слабкі місця в існуючій СМІБ та прийняти заходи для покращення безпеки інформації.
Аналіз існуючої СМІБ в першу чергу оснований на оцінці ризиків інформаційної безпеки підприємства. Для компанії з розробки систем захисту інформації із параметрами - 4 приміщення, 26 ПК, оцінка ризиків ІБ здійснювалася з допомогою продукту Microsoft - Microsoft Security Assessment Tool. Аналіз СМІБ підприємства здійснюється програмою на основі опитування про компанію в різних аспектах захисту інформації.
PDP – це показник, який відображає ризик для бізнесу, з яким стикається компанія в даній галузі і в умовах обраної бізнес-моделі.
DiDI - це вимірювальна величина захисних заходів безпеки, що застосовуються по відношенню до персоналу, процесів і технологій для зниження ризиків, виявлених на підприємстві.
Рівень безпеки – це показник здатності організації ефективно використовувати доступні інструменти для створення стабільного рівня безпеки в багатьох дисциплінах.
| Події/Системи | Мережа | Сервери | Комп’ютери робочих місць | ПЗ | Фізична безпека |
| Спроба вторгнення | 2 | 3 | 2 | 4 | 4 |
| Несанкціонований доступ до даних | 3 | 3 | 4 | 4 | _ |
| Втрата даних | 0 | 3 | 3 | 4 | _ |
| Атака з використанням вірусів | 4 | 5 | 5 | 4 | _ |
| Фізичне пошкодження обладнання | _ | _ | _ | _ | 5 |
| | | | | | |
| Області аналізу | Порівняння ризику та захисту | Рівень безпеки |
| Інфраструктура | Незадовільно | |
| Програми | Потребує вдосконалення | |
| Операції | Потребує вдосконалення | |
| Персонал | Незадовільно | |
BSG - величина вимірювання ризику, якому піддається організація, в залежності від бізнес-середовища та галузі, в якій вона конкурує.
AoAs - області аналізу, які є інфраструктурами, додатками, операціями та людьми: Інфраструктура, Додатки, Операції та персонал відповідно зліва напаво на діаграмі.
DiDI також знаходиться в діапазоні від 0 до 100. DiDI не відображає загальні показники безпеки або ресурси, витрачені на безпеку. Швидше, це відображення загальної стратегії, яка використовується для захисту навколишнього середовища.
На перший погляд може здатися, що низький PRB і високий бал DiDI - хороший результат, але це не завжди так. Обсяг такої самооцінки не передбачає всіх факторів, які слід враховувати. При наявності значної невідповідності між показниками PRB і DiDI в тій чи іншій області аналізу рекомендується вивчити його (АоА) якомога глибше. При аналізі результатів важливо враховувати окремі показники, як для PRB, так і DiDI, по відношенню один до одного. Стабільне середовище, ймовірно, буде представлено порівняно схожими показниками у всіх сферах. Різниця між балами DiDI є чітким свідченням того, що загальна стратегія безпеки базується на тій самій методології зменшення ризиків. Якщо ваша стратегія безпеки не збалансовує аспекти людей, процесів і технологій, ваше середовище, ймовірно, буде більш вразливим до шкідливих атак.
8. Визначити перелік робіт з доопрацювання існуючої СМІБ.
На основі наданої інформації про компанію з кількістю приміщень, поверхів і ПК, можна скласти перелік робіт з доопрацювання існуючої СМІБ. Ось деякі можливі роботи:
1.Оновлення політик і процедур безпеки:
Переглянути та оновити наявні політики безпеки, які відповідають сучасним вимогам та нормам.
Розробити нові процедури безпеки або оновити наявні, зокрема щодо керування доступом до приміщень, обробки даних, зберігання та видалення інформації.
2.Оцінка і підвищення рівня захисту мережі та систем:
Перевірити наявні мережеві заходи безпеки, включаючи файерволи, антивірусне програмне забезпечення, системи виявлення вторгнень та оновлення програмного забезпечення.
Забезпечити захист Wi-Fi мережі шляхом використання сильних паролів, шифрування та обмеження доступу.
Розглянути можливість впровадження системи управління загрозами та вразливостями (Threat and Vulnerability Management) для постійного виявлення та усунення потенційних проблем безпеки.
3.Забезпечення безпеки працівників та фізичних активів:
Розглянути встановлення систем контролю доступу до приміщень, наприклад, використовуючи електронні картки або біометричні технології.
Забезпечити належний захист фізичних активів, таких як сервери, комунікаційне обладнання та інші цінності, включаючи їх розташування у безпечних приміщеннях, використання замків та інших захисних засобів.
4.Навчання та свідомість персоналу:
Провести навчання персоналу з питань інформаційної безпеки, включаючи освіту про загрози, правила безпеки, захист від соціального інжинірингу та процедури повідомлення про інциденти.
Забезпечити регулярне оновлення знань та навичок персоналу з питань безпеки, наприклад, шляхом проведення тренінгів або внутрішніх курсів.
5.Аудит безпеки:
Провести аудит безпеки, щоб ідентифікувати потенційні слабкі місця і виявити проблеми безпеки.
Оцінити відповідність існуючої СМІБ нормативним вимогам та стандартам, таким як ISO 27001.
Розробити план вдосконалення на основі виявлених проблем та рекомендацій аудиту.
6.Забезпечення резервного копіювання та відновлення даних:
Впровадити процедури резервного копіювання та відновлення даних для запобігання втраті інформації та швидкого відновлення роботи в разі інцидентів.
1 2 3 4 5 6 7 8 9