Кратко » История » Версия 2
С. Антошкин, 05.12.2023 11:59
| 1 | 2 | С. Антошкин | h1. Построение систем управления информационной безопасностью |
|---|---|---|---|
| 2 | 1 | С. Антошкин | |
| 3 | 2 | С. Антошкин | Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы менеджмента компании, основанную на риск-ориентированном подходе, предназначенную для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования информационной безопасности (ИБ) компании. |
| 4 | 1 | С. Антошкин | |
| 5 | 2 | С. Антошкин | Основными целями построения СУИБ являются: |
| 6 | * обеспечение конфиденциальности, целостности и доступности информационных активов компании; |
||
| 7 | * выполнение требований безопасности клиентов и партнеров; |
||
| 8 | * соответствие требованиям регуляторов, законодательства и отраслевых нормативных документов. |
||
| 9 | 1 | С. Антошкин | |
| 10 | 2 | С. Антошкин | Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования и др. |
| 11 | 1 | С. Антошкин | |
| 12 | 2 | С. Антошкин | СУИБ включает: |
| 13 | * процессы управления ИБ; |
||
| 14 | * персонал, ответственный за обеспечение и организацию управления ИБ; |
||
| 15 | * комплект документированных политик и процедур; |
||
| 16 | * механизмы обеспечения ИБ. |
||
| 17 | 14 |
||
| 18 | !clipboard-202312051322-ladjm.png(Процессы управления и обеспечения ИБ)! |
||
| 19 | * Проведение обследования: |
||
| 20 | ** уточнение области действия СУИБ; |
||
| 21 | ** осуществление сбора и анализа исходных данных, проведение обследования бизнес-процессов компании, входящих в область действия СУИБ; |
||
| 22 | ** инвентаризация активов (первичных и вторичных) компании, входящих в область действия СУИБ, определение владельцев и ценности активов; |
||
| 23 | ** проведение предварительной оценки на предмет соответствия существующих механизмов управления и обеспечения ИБ в компании требованиям ISO/IEC 27001:2013; |
||
| 24 | ** разработка документированных Области действия СУИБ и Политики ИБ в терминах характеристик бизнеса, компании, ее расположения, ресурсов и технологий. |
||
| 25 | * Оценку рисков ИБ: |
||
| 26 | ** проведение оценки рисков ИБ в компании в соответствии с положениями стандарта ISO/IEC 27005:2011; |
||
| 27 | ** выбор целей и механизмов контроля для обработки рисков ИБ и оценка их применимости в компании; |
||
| 28 | ** разработка плана обработки рисков, который определяет соответствующие действия руководства компании, ресурсы, ответственность и приоритеты по управлению рисками ИБ; |
||
| 29 | ** разработка декларации о применимости механизмов контроля (SOA). |
||
| 30 | * Создание СУИБ: |
||
| 31 | ** документирование процессов управления ИБ (политики, процедуры, записи); |
||
| 32 | ** техническое проектирование СОИБ (разработка технического задания на проектирование с учетом выявленных рисков ИБ, проработка технических решений). |
||
| 33 | * Внедрение СУИБ: |
||
| 34 | ** обучение и повышение осведомленности персонала; |
||
| 35 | ** ввод в действие СУИБ; |
||
| 36 | ** автоматизация процессов управления ИБ с помощью средств автоматизации (опционально). |