Система управління інформаційною безпекою (СУІБ) – частина загальної системи менеджменту, заснована на використанні методів оцінки бізнес-ризиків для розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та поліпшення інформаційної безпеки.
Система менеджменту включає в себе організаційну структуру, політику, діяльність із планування, розподіл відповідальності, практичну діяльність, процедури, процеси і ресурси.
На даний момент стандартом, який визначає вимоги до побудови СУІБ є ISO / IEC 27001-2013.
Стандарт ISO 27001 носить не технічний, а управлінський характер і спрямований на впровадження процесів, що дозволяють забезпечити належний рівень інформаційної безпеки компанії. СУІБ базується на процедурі оцінки та аналізу ризиків, інтегральних показників захищеності ключових інформаційних активів і виборі заходів щодо мінімізації ризиків до прийнятного залишкового рівня.
Проведення комплексу заходів із побудови системи управління інформаційною безпекою відповідно до вимог стандарту ISO 27001 дозволить вирішити такі завдання:
- Підвищення рівня безпеки. Стандарт розроблений з урахуванням кращих світових практик забезпечення інформаційної безпеки;
- Управління. Стандарт передбачає побудову циклічного і керованого процесу забезпечення інформаційної безпеки;
- Оптимізація витрат. СУІБ дозволяє оптимізувати і обгрунтувати витрати на інформаційну безпеку;
- Ризики. Зниження рівня фінансових ризиків, пов’язаних з інформаційною безпекою, шляхом їх ідентифікації, оцінки та прийняття адекватних захисних заходів;
- Привабливість. Підвищення ступеня привабливості компанії на внутрішньому і зовнішньому ринках (конкурентні переваги;
- Довіра. Підвищення довіри з боку акціонерів, клієнтів, партнерів і контрагентів;
- Репутація. Підвищення рівня ділової репутації шляхом сертифікації СУІБ, яка демонструє високий рівень зрілості компанії.
Комплекс робіт з побудови СУІБ включає наступні роботи:
1. Визначення області дії СУІБ
2. Попередній аудит на відповідність вимогам ISO 27001:
- збір вихідних даних про бізнес-процеси, структурні підрозділи, інформаційно-телекомунікаційну інфраструктуру, методи і засоби забезпечення інформаційної безпеки;
- аналіз діючої організаційно-розпорядчої документації, що регламентує питання забезпечення інформаційної безпеки;
- оцінка поточного рівня відповідності вимогам стандарту ISO 27001.
3. Проведення оцінки ризиків:
- Розробка методики оцінки ризиків;
- Інвентаризація та класифікація активів;
- Формування карти загроз;
- Аналіз і оцінка ризиків;
- Розробка плану обробки ризиків.
4. Розробка процедур і документації СУІБ:
- Розробка процесів управління інформаційною безпекою;
- Розробка процесів забезпечення інформаційної безпеки;
- Розробка комплекту організаційно-розпорядчої документації, що регламентує питання забезпечення інформаційної безпеки;
- Розробка програм підвищення обізнаності з питань управління та забезпечення інформаційної безпеки;
5. Впровадження процедур і документації СУІБ:
- Впровадження процесів управління інформаційною безпекою;
- Впровадження процесів забезпечення інформаційної безпеки;
- Навчання та підвищення обізнаності співробітників в області забезпечення інформаційної безпеки.
6. Дослідна експлуатація СУІБ
7. Сертифікаційний аудит і видача міжнародного сертифікату:
- Взаємодія з органом сертифікації;
- Консультаційна підтримка при проходженні сертифікаційного аудиту.
Результатом робіт є СУІБ компанії, що відповідає вимогам стандарту ISO 27001.