Catégories : Tous - защита - информация - проблемы - аудит

par Polina Gromova Il y a 8 années

655

Информационная безопасность и эффективность систем и технологий

Важность информационной безопасности и эффективности систем и технологий становится все более актуальной. Основные проблемы, такие как повреждение данных и сбои серверного оборудования, требуют регулярного ИТ-аудита.

Информационная безопасность и эффективность систем и технологий

Информационная безопасность и эффективность систем и технологий

Средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи

Классификация и защита информационных систем персональных данных
классификация информационных систем персональных данных

По местонахождению технических средств

системы, технические средства которых частично или целиком находятся за пределами Российской Федерации

технические средства которых находятся в пределах Российской Федерации

По разграничению прав доступа

с разграничением прав доступа

без разграничения прав доступа

По режиму обработки персональных данных

многопользовательские

однопользовательские

По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена

не имеющие подключение

имеющие подключение

По структуре

комплексы автоматизированных рабочих мест и (или) локальных информационных систем,объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа

комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа

автономные

По заданным оператором характеристикам безопасности персональных данных

специальные информационные системы

типовые информационные системы

классификация персональных данных

обезличенные и (или) общедоступные персональные данные

персональные данные, позволяющие идентифицировать субъекта персональных данных;

персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информациюа

персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

Классификация корпоративных данных по ценности
Конфиденциальная (confidential)

Конфиденциальная информация. При работе с ней вводятся ограничения в зависимости от уровня допуска пользователя. Например бухгалтерская, производственная

Персональная (private)

Персональные данные. Например, зарплатная ведомость, медицинские карточки, адресные книги сотрудников

Чувствительная (sensitive)

Информация ограниченного доступа

Общедоступная (public)

Открытая информация, при работе с которой нет никаких ограничений

ИТ-безопасность

Средства защиты от внешних угроз
построение иерархической системы защиты, предоставляющей адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети
создание технологически единого комплекса мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия
безопасное взаимодействие пользователей и информационных ресурсов, расположенных в Интернет и Интранет-сетях, с внешними сетями
Средства авторизации и разграничения доступа к информационным ресурсам, а также защита от несанкционированного доступа к информации
индустрия биометрического сканирования и распознавания при авторизации и доступе

расширение сервисов «электронного правительства», при котором государство заинтересовано в адресном предоставлении соответствующих информационных услуг

рост мобильности населения и децентрализация управления человеческими ресурсами, что требует надежной идентификации.

осознание бизнес-структурами потребности и необходимости в распознавании людей (а не жетонов или карт) при доступе в здания и к корпоративным информационным ресурсам

наращивание применений биометрии в государственных системах.

требования по применению средств ИТ-безопасности

обеспечение информационной безопасности ноутбуков и съемных носителей данных

предотвращение утечки информации из организации через общие каналы связи

предотвращение несанкционированного доступа к базам данных или злоупотреблений содержащейся в них информацией

Средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System — FES)
Возможности технологии защиты информации на файловом уровне

позволяют мгновенно уничтожить информацию при подаче сигнала «тревога» или при «входе под принуждением»

позволяют блокировать компьютер в перерывах между сеансами работы

позволяют скрыть конфиденциальную информацию пользователя на разнообразных носителях

Предпоссылки инциндентов защиты данных на серверах и резервных копиях

повышение степени централизации данных

увеличение объемов данных

рост емкости носителей

миниатюризацию носителей

Аудит информационной системы

проблемы ИТ-инфраструктуры
неслаженная работа информационной системы в целом

30%

повреждение данных

35%

сбой серверного оборудования и нарушение удаленного доступа к сети

40%

план работ по IT аудиту
Составление календарного плана работ по дальнейшему обслуживанию компьютерной техники, оргтехники, сетевых компонентов и программного обеспечения
Составление плана оптимизации работы имеющегося компьютерного оборудования и программного обеспечения на рабочих станциях и серверах
Подготовка заключения по результатам проведения IT аудита о работе компьютерной техники, программного обеспечения, сетевых компонентов и оргтехники
Сбор информации, жалоб и пожеланий от конечных пользователей по работе компьютеров, сети, оргтехники и программного обеспечения
Выявление ключевых проблемных моментов в работе сетевого и компьютерного оборудования
Составление плана работ по ИТ аудиту и схемы взаимодействия сетевых компонентов
Осмотр локальной сети и сетевого оборудования
Инвентаризация имеющейся техники

Оценка эффективности ИТ для бизнеса

«правильные вопросоы», связанных с эффективностью ИТ, а также с инвестициями в ИТ
Обеспечены ли все юридические требования, включая соблюдение авторских прав на используемое программное обеспечение, патенты и лицензии?
Обеспечены ли методы оценки ИТ-инфраструктуры на предмет конкурентных преимуществ?
Предприняты ли все меры, исключающие риски, связанные с ИТ?
Обеспечены ли все условия для использования тех преимуществ, которые дают ИТ?
Обеспечено ли непрерывное функционирование, созданы ли резервные центры обработки данных и резервные копии?
Гарантирована ли защита от хакерских атак, от атак, прерывающих обслуживание?
Исключает ли сложившаяся практика менеджмента ИТ моральное старение всех видов ИТ-ресурсов (в том числе программных, аппаратных и человеческих)?
Достаточна ли информационная инфраструктура, соответствует ли она потребностям сотрудников, управляющих?
Получает ли компания адекватный возврат инвестиций, вкладываемых в информационные ресурсы?
группы методов, позволяющих определить эффект от внедрения ИТ
вероятностные

основаны на идее о том, что для каждой из заявленных целей ИТ-проекта можно определить вероятность ее достижения и далее из нее вывести вероятность улучшений в бизнес-процессах компании

качественные

базируются на идее соответствия целей, приоритетов и показателей по ним

финансовые

связаны с понятием ROI — это возврат на инвестицию

для оценики эффективности ИТ
выбрать вариант ИТ-системы (или набора систем), который позволит наиболее адекватно обеспечить полезные эффекты, причем с минимальными затратами ресурсов всех видов
определить степень соответствия получаемых полезных эффектов желаемым, а также уровень выполнения существующих ограничений для каждого альтернативного варианта применения ИТ на предприятии
обозначить финансовые, кадровые и другие ограничения, такие как время, за которое эффекты должны быть получены
определить реальные полезные эффекты, которые должны быть получены для предприятия, для его бизнес-процессов, изготавливаемых продуктов и для важнейших заинтересованных лиц