Построение Системы управления информационной безопасностью (СУИБ)

Система управления информационной безопасностью (СУИБ) – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Система менеджмента включает в себя организационную структуру, политику, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

На данный момент стандартом, который определяет требования к построению СУИБ является ISO/IEC 27001-2013.

Стандарт ISO 27001 носит не технический, а управленческий характер и направлен на внедрение процессов, позволяющих обеспечить должный уровень информационной безопасности компании. СУИБ базируется на процедуре оценки и анализа рисков, интегральных показателей защищенности ключевых информационных активов и выборе мер по минимизации рисков до приемлемого остаточного уровня.

Проведение комплекса мероприятий по построению системы управления информационной безопасностью в соответствии с требованиями стандарта ISO 27001, позволит решить следующие задачи:

  • Повышение уровня безопасности. Стандарт разработан с учётом лучших мировых практик обеспечения информационной безопасности.
  • Управление. Стандарт предусматривает построение циклического и управляемого процесса обеспечения информационной безопасности.
  • Оптимизация расходов. СУИБ позволяет оптимизировать и обосновать затраты на информационную безопасность.
  • Риски. Снижение уровня финансовых рисков, связанных с информационной безопасностью, путем их идентификации, оценки и принятия адекватных защитных мер.
  • Привлекательность. Повышение степени привлекательности компании на внутреннем и внешнем рынках (конкурентные преимущества).
  • Доверие. Повышение доверия со стороны акционеров, клиентов, партнеров и контрагентов.
  • Репутация. Повышение уровня деловой репутации путем сертификации СУИБ, демонстрирующей высокий уровень зрелости компании.

Комплекс работ по построению СУИБ включает следующие работы:

1. Определение области действия СУИБ;

2. Предварительный аудит на соответствие требованиям ISO 27001:

  • сбор исходных данных о бизнес-процессах, структурных подразделениях, информационно-телекоммуникационной инфраструктуре, методах и средствах обеспечения информационной безопасности;
  • анализ действующей организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;
  • оценка текущего уровня соответствия требованиям стандарта ISO 27001;

3. Проведение оценки рисков:

  • разработка методики оценки рисков;
  • инвентаризация и классификация активов;
  • формирование карты угроз;
  • анализ и оценка рисков;
  • разработка плана обработки рисков;

4. Разработка процедур и документации СУИБ:

  • разработка процессов управления информационной безопасностью;
  • разработка процессов обеспечения информационной безопасности;
  • разработка комплекта организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;
  • разработка программ повышения осведомленности по вопросам управления и обеспечения информационной безопасности;

5. Внедрение процедур и документации СУИБ:

  • внедрение процессов управления информационной безопасностью;
  • внедрение процессов обеспечения информационной безопасности;
  • обучение и повышение осведомленности сотрудников в области обеспечения информационной безопасности;

6. Опытная эксплуатация СУИБ;

7. Сертификационный аудит и выдача международного сертификата:

  • взаимодействие с органом сертификации;
  • консультационная поддержка при прохождении сертификационного аудита.

Результатом работ является СУИБ компании, соответствующая требованиям стандарта ISO 27001.