К содержанию

блог Дорофеева

Единственное верное мерило вашего успеха — это то, что вы делаете, в сравнении с вашим действительным потенциалом (Пол Мейер)

19.05.2009 Информационная безопасность за бесплатно



Кризис. Все стараются аккуратно тратить свои деньги, в том числе и на информационную безопасность. У многих возникает вопрос: «Можно ли защитить себя от различных угроз информационной безопасности и при этом не потратить ни копейки?»
В информационной безопасности есть три важных составляющих: процессы, технологии и люди. Попробуем найти бесплатные решения для всех трех составляющих:
Процессы
Обеспечение информационной безопасности начинается с постановки процессов. Мы определяем обязанности по обеспечению ИБ и назначаем ответственных.
Сейчас при построении системы управления информационной безопасностью используются такие стандарты, как ISO 27001, ISO 27002, ISO 27005. Копии данных стандартов стоят  денег. Мы же хотим получить все за 0 копеек и при этом на законных основаниях. В этом случае нам поможет свободно распространяемый стандарт ISF The standard of good practice
Разобравшись с тем, какие процессы управления информационной безопасностью нам нужны, мы начинаем поиск шаблонов политик и процедур. Хороший набор шаблонов политик на английском представлен на сайте института SANS: The SANS Security Policy Project, также некоторые компании публикуют шаблоны документов на своих сайтах. Так, наша компания опубликовала шаблоны следующих политик:
  • политика информационной безопасности
  • политика использования паролей
  • политика использования сети Интернет
  • политика использования электронной почты
В общем, вооружившись Google, знанием английского языка и текстовым редактором, можно подготовить дизайн системы управления информационной безопасностью. После чего эту систему останется только воплотить в жизнь.
Технологии
Разобравшись с тем, какие угрозы актуальны для нашей компании, мы хотим внедрить свободно распространяемые программные решения.
Из чего же мы можем выбирать?
Персональное антивирусное ПО
Антивирусное ПО для почтовых серверов
Anti-spam решения
Персональные межсетевые экраны
Системы межсетевого экранирования
VPN
Система обнаружения вторжений
Также необходимо помнить, что современные операционные системы, системы управления базами данных и многие приложения обладают встроенными механизмами безопасности, грамотная настройка которых позволяет серьезно повысить уровень защищенности компании.
Люди
Нам необходимо повышать осведомленность сотрудников в области информационной безопасности. Как это сделать, и какого плана материалы должны быть нами разработаны, можно посмотреть по следующим ссылкам:
Дополнительно на YouTube можно найти массу познавательных видеороликов, наподобие тех, что приведены в следующих моих заметках:
Бесплатный аудит информационной безопасности
После того, как мы внедрили организационные и технические меры, мы можем провести и бесплатный аудит информационной безопасности. Для этого нам доступны:
Опросники для аудита настроек безопасности
Системы сканирования на наличие уязвимостей
  • Nessus (бесплатный для домашнего использования)
  • OpenVAS
Загрузочные диски Linux для аудита информационной безопасности
Заключение
Таким образом, при желании можно найти массу бесплатных решений по информационной безопасности. Единственное на чем не получится сэкономить, так как это на оплате труда специалистов, которые будут все это внедрять в жизнь компании, а затем осуществлять поддержку.

Александр Дорофеев

Related Posts

  1. Информационная безопасность: зачем она вообще нужна?
  2. Политика информационной безопасности
  3. Какой набор документов необходим для прохождения сертификации на соответствие ISO 27001? Часть первая.
  4. Документы по информационной безопасности
  5. Управление документацией системы управления информационной безопасностью: требования ISO 27001:2005

Метки: