Наши подходы к проектированию системы защиты информации
Я возглавляю направление проектирования систем защиты информации (далее – СЗИ) и расскажу о подходах МультиТек Инжиниринг к процессу проектирования.
Прежде всего, я хотела бы обратить внимание на то, что мы проектируем СЗИ информационной системы (далее – ИС) в тесном контакте с ИТ- и ИБ-специалистами заказчика. Ведь спроектировать эффективную СЗИ — это наша общая задача, и на время проектирования мы – единая команда.
Первый этап проектирования особенно важен — это аудит (обследование) текущего состояния защищенности (для владельцев КВОИ аудит должен проводиться не реже 1 раза в год) на предмет соответствия действующему законодательству по защите информации. Мы смотрим на СЗИ «со стороны», как профессионалы, чтобы оценить ее эффективность и, при необходимости, разработать рекомендации по совершенствованию.
Мы помогаем заказчику сформировать видение будущей СЗИ, спроектировать систему управления кибербезопасностью и аккуратно вписать ее в действующую систему менеджмента. При необходимости консультируем по вопросам категорирования информации и разработки акта отнесения ИС к типовым классам.
Я и мои коллеги с большим уважением относимся к труду ИТ- и ИБ-специалистов заказчика, поэтому в ходе проектирования стремимся максимально учесть и сохранить все, что уже наработано и функционирует. Кроме того, мы ставим перед собой задачу обеспечить кибербезопасность с минимально необходимыми ограничениями для бизнес-процессов и пользователей ИС.
В тесном контакте с заказчиком мы формируем перечень необходимых средств защиты информации (далее – СрЗИ) с указанием их рыночной стоимости и стоимости последующего гарантийного обслуживания, разрабатываем стратегию создания СЗИ с учетом возможностей заказчика по инвестированию.
Для того, чтобы облегчить заказчику решение задачи создания СЗИ, мы в ходе проектирования разрабатываем проекты локальных правовых актов, регламентирующих основные процессы ИБ.
Мы всегда защищаем проект СЗИ перед высшим руководством заказчика, поскольку без участия первого лица трудно ожидать выделения необходимых инвестиций и выполнения организационных мероприятий по созданию СЗИ.
В ходе общения с высшим руководством мы обращаем внимание на необходимость вовлечения всех пользователей ИС в обеспечение кибербезопасности, объясняем необходимость регулярного обучения, проведения киберучений, постоянной и системной работы по совершенствованию СЗИ.
Если у вас появились вопросы ко мне и моей команде, пишите.