Кратко » История » Редакция 3
Редакция 2 (С. Антошкин, 05.12.2023 11:59) → Редакция 3/9 (С. Антошкин, 05.12.2023 11:59)
h1. Построение систем управления информационной безопасностью {{TOC}} --- h2. СУИБ Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы менеджмента компании, основанную на риск-ориентированном подходе, предназначенную для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования информационной безопасности (ИБ) компании. Основными целями построения СУИБ являются: * обеспечение конфиденциальности, целостности и доступности информационных активов компании; * выполнение требований безопасности клиентов и партнеров; * соответствие требованиям регуляторов, законодательства и отраслевых нормативных документов. Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования и др. СУИБ включает: * процессы управления ИБ; * персонал, ответственный за обеспечение и организацию управления ИБ; * комплект документированных политик и процедур; * механизмы обеспечения ИБ. 14 !clipboard-202312051322-ladjm.png(Процессы управления и обеспечения ИБ)! * Проведение обследования: ** уточнение области действия СУИБ; ** осуществление сбора и анализа исходных данных, проведение обследования бизнес-процессов компании, входящих в область действия СУИБ; ** инвентаризация активов (первичных и вторичных) компании, входящих в область действия СУИБ, определение владельцев и ценности активов; ** проведение предварительной оценки на предмет соответствия существующих механизмов управления и обеспечения ИБ в компании требованиям ISO/IEC 27001:2013; ** разработка документированных Области действия СУИБ и Политики ИБ в терминах характеристик бизнеса, компании, ее расположения, ресурсов и технологий. * Оценку рисков ИБ: ** проведение оценки рисков ИБ в компании в соответствии с положениями стандарта ISO/IEC 27005:2011; ** выбор целей и механизмов контроля для обработки рисков ИБ и оценка их применимости в компании; ** разработка плана обработки рисков, который определяет соответствующие действия руководства компании, ресурсы, ответственность и приоритеты по управлению рисками ИБ; ** разработка декларации о применимости механизмов контроля (SOA). * Создание СУИБ: ** документирование процессов управления ИБ (политики, процедуры, записи); ** техническое проектирование СОИБ (разработка технического задания на проектирование с учетом выявленных рисков ИБ, проработка технических решений). * Внедрение СУИБ: ** обучение и повышение осведомленности персонала; ** ввод в действие СУИБ; ** автоматизация процессов управления ИБ с помощью средств автоматизации (опционально).