Задачи, решаемые в ходе проведения работ по данной услуге:

Проведение сертификационного аудита с разработкой отчетов для регуляторов (соответствующая платежная система из состава консорциума PCI SSC).

Создание и эксплуатация СУИБ требует применения такого же подхода, как и любая другая система управления. Используемый в ISO/IEC 27001:2005 для описания СУИБ, процессный подход предусматривает непрерывный цикл мероприятий, направленных на построение эффективной системы управления ИБ: планирование, внедрение, проверка и улучшение СУИБ.

Одним из основных принципов создания подобной структуры управления является приверженность руководства. Это означает, что такая структура может быть создана только руководством компании, которое распределяет должности, ответственность и контролирует выполнение обязанностей. Иными словами, руководство организации строит соответствующую вертикаль управления для удовлетворения потребностей организации в безопасности.

Другим основополагающим принципом является вовлечение в процесс обеспечения ИБ всех сотрудников компании, имеющих дело с информационными ресурсами. Неосведомленность конкретных людей, работающих с информацией, отсутствие программы обучения по ИБ – одна из основных причин неработоспособности конкретных систем управления.

Не менее важно и то, что в основе создания СУИБ должен лежать анализ рисков ИБ. Отсутствие в организации процесса управления рисками приводит к неадекватности принимаемых решений и неоправданным расходам. Процесс управления рисками является основой, на которой строится система управления ИБ. Столь же фундаментальным принципом является активное участие во внедрении и поддержке СУИБ специалистов заказчика. Привлечение внешних консультантов на всех этапах внедрения, эксплуатации и совершенствования СУИБ во многих случаях вполне оправдано. Более того, это является одним из механизмов контроля, описанных в ISO/IEC 27001:2005. Однако создание СУИБ без активного привлечения сотрудников самой компании невозможно по определению, т.к. СУИБ – это совокупность организационных структур, формируемых руководством, и процессов, реализуемых ее сотрудниками, которые должным образом осведомлены о своих обязанностях и обучены навыкам обращения с информацией и ее защитой.

Построение СУИБ представляет собой внедрение вертикально-интегрированных процессов обеспечения информационной безопасности, основными из которых являются:

• анализ рисков информационной безопасности;

• внутренние аудиты в области информационной безопасности;

• управление корректирующими/предупреждающими действиями;

• мониторинг эффективности процессов СУИБ;

• анализ функционирования СУИБ со стороны руководства;

• управление инцидентами информационной безопасности;

• управление непрерывностью бизнеса;

• организация обучения и осведомленности в области ИБ персонала;

• управление документацией СУИБ;

• управление записями СУИБ.

Работы по созданию СУИБ проводятся в четыре основных этапа:

1. Обследование, обнаружение и анализ степени соответствия требованиям стандарта ISO/IEC 27001:2005.

2. Создание СУИБ (разработка процессов) в соответствии с требованиями стандарта ISO/IEC 27001:2005.

3. Внедрение процессов СУИБ и подготовка СУИБ к сертификации.

4. Сертификация СУИБ10 (при необходимости подтверждения качества системы).