Управління інформаційною безпекою - ProtectMe

  1. Система управління інформаційною безпекою - що це таке?
  2. Розробка і впровадження СУІБ

Для багатьох російських компаній настав час задуматися про управління інформаційною безпекою. ІТ-інфраструктура багатьох з них досягла рівня, що вимагає чітко налагодженої координації.

При побудові системи управління інформаційною безпекою (СУІБ) експерти рекомендують спиратися на міжнародні стандарти ISO 27001/17799.

Керівник зобов'язаний контролювати ситуацію в своїй організації, підрозділі, проект і у взаєминах із замовниками. Це означає бути обізнаним про те, що відбувається, своєчасно дізнаватися про всі позаштатних ситуаціях і уявляти собі, що насамперед треба буде зробити в тому чи іншому випадку. В організації існує кілька рівнів управління, починаючи з менеджерів вищої ланки і закінчуючи конкретним виконавцями, і на кожному рівні ситуація повинна залишатися під контролем. Іншими словами, повинна бути вибудувана вертикаль управління і процеси управління.

Система управління інформаційною безпекою - що це таке?

Згідно ISO 27001, система управління інформаційною безпекою (СУІБ) - це «та частина загальної системи управління організації, заснованої на оцінці бізнес ризиків, яка створює, реалізує, експлуатує, здійснює моніторинг, перегляд, супровід і вдосконалення інформаційної безпеки». Система управління включає в себе організаційну структуру, політики, планування, посадові обов'язки, практики, процедури, процеси і ресурси.

Система управління інформаційною безпекою, що розробляється на основі міжнародних стандартів ISO 27001/17799, дозволяє вам досягти необхідного рівня захищеності системи і значно знизити ризик реалізації загроз інформаційної безпеки. СУІБ є каркасом, який пов'язує різні компоненти засобів інформаційної безпеки і дозволяє надійно і прозоро управляти системою забезпечення інформаційної безпеки вашої компанії.

Розробка і впровадження СУІБ

Розробці систем управління інформаційною безпекою передбачає ряд основних етапів

  • аудит інформаційної безпеки КІС
  • поглиблений аналіз інформаційних ризиків з урахуванням їх впливу на різні критерії ІБ (доступність, конфіденційність, цілісність)
  • проектування СУІБ
  • розробка плану і механізмів впровадження вимог СУІБ в реальну КІС
  • розробка процесу навчання співробітників питань обізнаності їх у області ІБ
  • побудова СУІБ, консультації та супровід процесу впровадження

Управління інформаційною безпекою

Управління інформаційною безпекою - це циклічний процес, що включає:
  • усвідомлення ступеня необхідності захисту інформації та постановку завдань
  • збір та аналіз даних про стан інформаційної безпеки в організації
  • оцінку інформаційних ризиків
  • планування заходів по обробці ризиків
  • реалізацію та впровадження відповідних механізмів контролю
  • розподіл ролей і відповідальності
  • навчання та мотивацію персоналу
  • оперативну роботу по здійсненню захисних заходів
  • моніторинг функціонування механізмів контролю, оцінку їх ефективності та відповідні коригувальні дії
Система управління інформаційною безпекою - що це таке?
Система управління інформаційною безпекою - що це таке?