Кризис. Все стараются аккуратно тратить свои деньги, в том числе и на информационную безопасность. У многих возникает вопрос: "Можно ли защитить себя от различных угроз информационной безопасности и при этом не потратить ни копейки?"
В информационной безопасности есть три важных составляющих: процессы, технологии и люди. Попробуем найти бесплатные решения для всех трех составляющих:
Процессы
Обеспечение информационной безопасности начинается с постановки процессов. Мы определяем обязанности по обеспечению ИБ и назначаем ответственных.
Сейчас при построении системы управления информационной безопасностью используются такие стандарты, как ISO 27001, ISO 27002, ISO 27005. Копии данных стандартов стоят денег. Мы же хотим получить все за 0 копеек и при этом на законных основаниях. В этом случае нам поможет свободно распространяемый стандарт ISF The standard of good practice
Разобравшись с тем, какие процессы управления информационной безопасностью нам нужны, мы начинаем поиск шаблонов политик и процедур. Хороший набор шаблонов политик на английском представлен на сайте института SANS: The SANS Security Policy Project, также некоторые компании публикуют шаблоны документов на своих сайтах. Так, наша компания опубликовала шаблоны следующих политик:
В общем, вооружившись Google, знанием английского языка и текстовым редактором, можно подготовить дизайн системы управления информационной безопасностью. После чего эту систему останется только воплотить в жизнь.
Технологии
Разобравшись с тем, какие угрозы актуальны для нашей компании, мы хотим внедрить свободно распространяемые программные решения.
Из чего же мы можем выбирать?
Персональное антивирусное ПО
Антивирусное ПО для почтовых серверов
Anti-spam решения
Персональные межсетевые экраны
Системы межсетевого экранирования
VPN
Система обнаружения вторжений
Также необходимо помнить, что современные операционные системы, системы управления базами данных и многие приложения обладают встроенными механизмами безопасности, грамотная настройка которых позволяет серьезно повысить уровень защищенности компании.
Люди
Нам необходимо повышать осведомленность сотрудников в области информационной безопасности. Как это сделать, и какого плана материалы должны быть нами разработаны, можно посмотреть по следующим ссылкам:
Дополнительно на YouTube можно найти массу познавательных видеороликов, наподобие тех, что приведены в следующих моих заметках:
Бесплатный аудит информационной безопасности
После того, как мы внедрили организационные и технические меры, мы можем провести и бесплатный аудит информационной безопасности. Для этого нам доступны:
Опросники для аудита настроек безопасности
Системы сканирования на наличие уязвимостей
Загрузочные диски Linux для аудита информационной безопасности
Заключение
Таким образом, при желании можно найти массу бесплатных решений по информационной безопасности. Единственное на чем не получится сэкономить, так как это на оплате труда специалистов, которые будут все это внедрять в жизнь компании, а затем осуществлять поддержку.
Сообщения
5 коммент.:
Почитав предыдущие темы, предлагаю антивирусное сканирование тоже аудитом информационной безопасности называть, так что CureIt и ClamAV смело пишем в средства аудита тоже.
Спасибо за предложение, но к средствам аудита антивирусы не относятся.
Приведите, пожалуйста, ту формулировку "средств аудита", которую используете - я же не телепат ни разу.
В данном контексте под "средствами аудита" я понимаю те средства, которые облегчают проведение аудита (утилиты, проверочные листы и т.п.).
Под аудитом я понимаю "Систематический, независимый и документированный процесс, получения свидетельств аудита (проверки) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (проверки)."
Ответы ни о чем выдают опытного консультанта.
Да, все упирается в критерии аудита - если оценивается эффективность обучения или наличие классификации информации, так там и Nessus никоим боком, а если же фигурирует защищенность от нарушения кдц, то наличие четыре троянов и одного руткита самое непосредственное отношение имеет.
Отправить комментарий