Разработка концепции информационной безопасности
В концепции информационной безопасности фиксируются направления дальнейшего развития ИБ, определенные на основе аудита текущего состояния системы. Этот документ должен быть согласован со стратегией развития всей компании, а также законодательством и отраслевыми стандартами в части информационной безопасности.
В концепции определяются стратегические цели и задачи построения системы обеспечения ИБ организации, приоритетность выполнения задач, план работ и распределения ресурсов и инвестиций.
Концепция развития составляется с учетом специфики бизнеса заказчика и приоритетов развития бизнеса и ИТ.
Внедрение и централизованное управление политикой безопасности и информационными рисками
Только лишь внедрение средств и систем ИБ не гарантирует защищенность компании. Для поддержания уровня безопасности необходимо внедрение политик и регламентов ИБ и правильное управление ими. Это – центральное звено, которое регламентирует работу всех участников процесса.
Внедрение политик помогает снижать капитальные и эксплуатационные расходы, делать работу непрерывной и защищенной. Бизнес будет понимать текущий уровень информационной безопасности предприятия, а ИТ-специалисты смогут развивать ее, ориентируясь на стратегию дальнейшего развития компании.
Аудит информационной безопасности
К независимой оценке уязвимостей и рисков ИБ обычно прибегают при планировании внедрения новых систем или новых процессов управления ИБ. К аудиторам обращаются при открытии подразделений и филиалов, слияниях и поглощениях.
Можно провести полный аудит всех инфраструктурных и прикладных ИТ-систем и процессов в организации, а можно обследовать отдельные системы: web-ресурсы, сетевую инфраструктуру, бизнес-системы ERP и CRM, платежные, биллинговые, бухгалтерские и банковские системы и другие компоненты ИТ.
Обычно аудиторы проводят следующие работы:
- изучение организационной структуры и нормативной документации;
- интервью с представителями бизнеса, ИТ и СБ;
- инструментальный анализ защищенности активов ИТ-инфраструктуры.
В итоге оценивается текущий уровень и перспективы развития процессов ИБ для согласования с требованиями бизнеса. Достоверный анализ рисков ИБ помогает нам совместно с заказчиком разработать организационные и технические рекомендации по снижению рисков. Документация по процессам ИБ приводится в соответствие требованиям регуляторов. А методика построения моделей угроз и нарушителей дает понимание, что нужно защищать в первую очередь, помогая оптимизировать траты на безопасность.
Окончательный результат аудита – план работ (проект ТЗ) по совершенствованию ИБ, согласованный с ИТ и бизнесом и обосновывающий важность предстоящих внедрений.