Построение систем управления информационной безопасностью (ISO 27001)

 

Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы менеджмента компании, основанную на риск-ориентированном подходе, предназначенную для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования информационной безопасности (ИБ) компании.

Основными целями построения СУИБ являются:

  • обеспечение конфиденциальности, целостности и доступности информационных активов компании;
  • выполнение требований безопасности клиентов и партнеров;
  • соответствие требованиям регуляторов, законодательства и отраслевых нормативных документов.

Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования и др.

СУИБ включает:

  •  процессы управления ИБ;
  •  персонал, ответственный за обеспечение и организацию управления ИБ;
  •  комплект документированных политик и процедур;
  •  механизмы обеспечения ИБ.

 


 Рисунок 1. Процессы управления и обеспечения ИБ

АМТ-ГРУП предлагает полный комплекс работ по построению СУИБ, включая:

  • Проведение обследования:
  • уточнение области действия СУИБ;
  • осуществление сбора и анализа исходных данных, проведение обследования бизнес-процессов компании, входящих в область действия СУИБ;
  • инвентаризация активов (первичных и вторичных) компании, входящих в область действия СУИБ, определение владельцев и ценности активов;
  • проведение предварительной оценки на предмет соответствия существующих механизмов управления и обеспечения ИБ в компании требованиям ISO/IEC 27001:2013;
  • разработка документированных Области действия СУИБ и Политики ИБ в терминах характеристик бизнеса, компании, ее расположения, ресурсов и технологий.
  • Оценку рисков ИБ:
  • проведение оценки рисков ИБ в компании в соответствии с положениями стандарта ISO/IEC 27005:2011;
  • выбор целей и механизмов контроля для обработки рисков ИБ и оценка их применимости в компании;
  • разработка плана обработки рисков, который определяет соответствующие действия руководства компании, ресурсы, ответственность и приоритеты по управлению рисками ИБ;
  • разработка декларации о применимости механизмов контроля (SOA).
  • Создание СУИБ:
  • документирование процессов управления ИБ (политики, процедуры, записи);
  • техническое проектирование СОИБ (разработка технического задания на проектирование с учетом выявленных рисков ИБ, проработка технических решений).
  •  Внедрение СУИБ:
  • обучение и повышение осведомленности персонала;
  • ввод в действие СУИБ;
  • автоматизация процессов управления ИБ с помощью средств автоматизации (опционально).