Разработка концепции информационной безопасности

В концепции информационной безопасности фиксируются направления дальнейшего развития ИБ, определенные на основе аудита текущего состояния системы. Этот документ должен быть согласован со стратегией развития всей компании, а также законодательством и отраслевыми стандартами в части информационной безопасности.

В концепции определяются стратегические цели и задачи построения системы обеспечения ИБ организации, приоритетность выполнения задач, план работ и распределения ресурсов и инвестиций.

Концепция развития составляется с учетом специфики бизнеса заказчика и приоритетов развития бизнеса и ИТ.

Внедрение и централизованное управление политикой безопасности и информационными рисками

Только лишь внедрение средств и систем ИБ не гарантирует защищенность компании. Для поддержания уровня безопасности необходимо внедрение политик и регламентов ИБ и правильное управление ими. Это – центральное звено, которое регламентирует работу всех участников процесса.

Внедрение политик помогает снижать капитальные и эксплуатационные расходы, делать работу непрерывной и защищенной. Бизнес будет понимать текущий уровень информационной безопасности предприятия, а ИТ-специалисты смогут развивать ее, ориентируясь на стратегию дальнейшего развития компании.

Аудит информационной безопасности

К независимой оценке уязвимостей и рисков ИБ обычно прибегают при планировании внедрения новых систем или новых процессов управления ИБ. К аудиторам обращаются при открытии подразделений и филиалов, слияниях и поглощениях.

Можно провести полный аудит всех инфраструктурных и прикладных ИТ-систем и процессов в организации, а можно обследовать отдельные системы: web-ресурсы, сетевую инфраструктуру, бизнес-системы ERP и CRM, платежные, биллинговые, бухгалтерские и банковские системы и другие компоненты ИТ.

Обычно аудиторы проводят следующие работы:

• изучение организационной структуры и нормативной документации;
• интервью с представителями бизнеса, ИТ и СБ;
• инструментальный анализ защищенности активов ИТ-инфраструктуры.

В итоге оценивается текущий уровень и перспективы развития процессов ИБ для согласования с требованиями бизнеса. Достоверный анализ рисков ИБ помогает нам совместно с заказчиком разработать организационные и технические рекомендации по снижению рисков. Документация по процессам ИБ приводится в соответствие требованиям регуляторов. А методика построения моделей угроз и нарушителей дает понимание, что нужно защищать в первую очередь, помогая оптимизировать траты на безопасность.

Окончательный результат аудита – план работ (проект ТЗ) по совершенствованию ИБ, согласованный с ИТ и бизнесом и обосновывающий важность предстоящих внедрений.