Построение систем управления информационной безопасностью¶

Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы менеджмента компании, основанную на риск-ориентированном подходе, предназначенную для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования информационной безопасности (ИБ) компании.

Основными целями построения СУИБ являются:

• обеспечение конфиденциальности, целостности и доступности информационных активов компании;
• выполнение требований безопасности клиентов и партнеров;
• соответствие требованиям регуляторов, законодательства и отраслевых нормативных документов.

Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования и др.

СУИБ включает:

• процессы управления ИБ;
• персонал, ответственный за обеспечение и организацию управления ИБ;
• комплект документированных политик и процедур;
• механизмы обеспечения ИБ.
  14
  
• Проведение обследования:
  • уточнение области действия СУИБ;
  • осуществление сбора и анализа исходных данных, проведение обследования бизнес-процессов компании, входящих в область действия СУИБ;
  • инвентаризация активов (первичных и вторичных) компании, входящих в область действия СУИБ, определение владельцев и ценности активов;
  • проведение предварительной оценки на предмет соответствия существующих механизмов управления и обеспечения ИБ в компании требованиям ISO/IEC 27001:2013;
  • разработка документированных Области действия СУИБ и Политики ИБ в терминах характеристик бизнеса, компании, ее расположения, ресурсов и технологий.
• Оценку рисков ИБ:
  • проведение оценки рисков ИБ в компании в соответствии с положениями стандарта ISO/IEC 27005:2011;
  • выбор целей и механизмов контроля для обработки рисков ИБ и оценка их применимости в компании;
  • разработка плана обработки рисков, который определяет соответствующие действия руководства компании, ресурсы, ответственность и приоритеты по управлению рисками ИБ;
  • разработка декларации о применимости механизмов контроля (SOA).
• Создание СУИБ:
  • документирование процессов управления ИБ (политики, процедуры, записи);
  • техническое проектирование СОИБ (разработка технического задания на проектирование с учетом выявленных рисков ИБ, проработка технических решений).
• Внедрение СУИБ:
  • обучение и повышение осведомленности персонала;
  • ввод в действие СУИБ;
  • автоматизация процессов управления ИБ с помощью средств автоматизации (опционально).