Задачи, решаемые в ходе проведения работ по данной услуге:
-
Обследование на соответствие PCI DSS с выдачей детальных рекомендаций по подготовке к сертификационному аудиту (для тех, кто хочет понять, в чем несоответствие стандарту, и оценить/запланировать мероприятия по приведению в соответствие).
-
Подготовка к сертификационному аудиту (для тех, кто прошел обследование и принял решение выполнять работы по соответствию стандарту):
-
консультации;
-
разработка рабочих документов, необходимых для прохождения сертификации. Необходимо отметить, что в данной статье речь идет только о консалтинговых работах. Поэтому в перечень не включены работы по внедрению и поддержке специализированных программно-технических средств. Таким образом, в области обеспечения соответствия PCI DSS специалисты компании «Инфосистемы Джет» выполняют весь комплекс работ по защите платежных систем – от аудита до внедрения и сопровождения
Проведение сертификационного аудита с разработкой отчетов для регуляторов (соответствующая платежная система из состава консорциума PCI SSC).
Создание и эксплуатация СУИБ требует применения такого же подхода, как и любая другая система управления. Используемый в ISO/IEC 27001:2005 для описания СУИБ, процессный подход предусматривает непрерывный цикл мероприятий, направленных на построение эффективной системы управления ИБ: планирование, внедрение, проверка и улучшение СУИБ.
Одним из основных принципов создания подобной структуры управления является приверженность руководства. Это означает, что такая структура может быть создана только руководством компании, которое распределяет должности, ответственность и контролирует выполнение обязанностей. Иными словами, руководство организации строит соответствующую вертикаль управления для удовлетворения потребностей организации в безопасности.
Другим основополагающим принципом является вовлечение в процесс обеспечения ИБ всех сотрудников компании, имеющих дело с информационными ресурсами. Неосведомленность конкретных людей, работающих с информацией, отсутствие программы обучения по ИБ – одна из основных причин неработоспособности конкретных систем управления.
Не менее важно и то, что в основе создания СУИБ должен лежать анализ рисков ИБ. Отсутствие в организации процесса управления рисками приводит к неадекватности принимаемых решений и неоправданным расходам. Процесс управления рисками является основой, на которой строится система управления ИБ. Столь же фундаментальным принципом является активное участие во внедрении и поддержке СУИБ специалистов заказчика. Привлечение внешних консультантов на всех этапах внедрения, эксплуатации и совершенствования СУИБ во многих случаях вполне оправдано. Более того, это является одним из механизмов контроля, описанных в ISO/IEC 27001:2005. Однако создание СУИБ без активного привлечения сотрудников самой компании невозможно по определению, т.к. СУИБ – это совокупность организационных структур, формируемых руководством, и процессов, реализуемых ее сотрудниками, которые должным образом осведомлены о своих обязанностях и обучены навыкам обращения с информацией и ее защитой.
Построение СУИБ представляет собой внедрение вертикально-интегрированных процессов обеспечения информационной безопасности, основными из которых являются:
-
анализ рисков информационной безопасности;
-
внутренние аудиты в области информационной безопасности;
-
управление корректирующими/предупреждающими действиями;
-
мониторинг эффективности процессов СУИБ;
-
анализ функционирования СУИБ со стороны руководства;
-
управление инцидентами информационной безопасности;
-
управление непрерывностью бизнеса;
-
организация обучения и осведомленности в области ИБ персонала;
-
управление документацией СУИБ;
-
управление записями СУИБ.
Работы по созданию СУИБ проводятся в четыре основных этапа:
-
Обследование, обнаружение и анализ степени соответствия требованиям стандарта ISO/IEC 27001:2005.
-
Создание СУИБ (разработка процессов) в соответствии с требованиями стандарта ISO/IEC 27001:2005.
-
Внедрение процессов СУИБ и подготовка СУИБ к сертификации.
-
Сертификация СУИБ10 (при необходимости подтверждения качества системы).
- Практическое занятие № 4 Тема: Консалтинг в области информационной безопасности.
- План практического занятия
- Указания по проведению практического занятия
- 2. Основная часть Консалтинг в области информационной безопасности
- Определение консалтинга в области иб
- Актуальность услуг по консалтингу в области иб
- Виды консалтинга в области информационной безопасности
- Формы оказания услуг по консалтингу в области информационной безопасности
- Определение уровня информационной безопасности
- Обследование состояния информационной безопасности с разработкой рекомендаций
- Информационное обследование
- Анализ полученной информации
- Предложение компании «Инфосистемы Джет»: «Обследование состояния иб с разработкой рекомендаций по повышению уровня защищенности организации»
- Подготовка рекомендаций
- Анализ рисков информационной безопасности
- Идентификация и оценка критичности активов
- Разработка методики анализа рисков
- Предложения компании «Инфосистемы Джет»: «Внедрение процесса управления рисками иб»
- Идентификация рисков
- Оценка рисков
- Выбор мер противодействия рискам
- Результаты анализа рисков иб
- Обеспечение требований бизнеса к информационной безопасности
- Разработка стратегии информационной безопасности
- Обеспечение требований законодательства
- Требования к защите персональных данных
- Предложение Компании «Инфосистемы Джет» по приведению процессов обработки персональных данных в соответствии с требованиями Закона о персональных данных
- Отраслевые требования по информационной безопасности Стандарт Банка России по обеспечению иб
- Обеспечение соответствия безопасности платежных систем требованиям стандарта pci dss
- Предложение компании «Инфосистемы Джет»: «Консалтинг в области сто бр» Целевая аудитория
- Назначение услуги
- Состав работ:
- Оптимизация системы обеспечения иб Построение системы управления иб
- Предложение Компании «Инфосистемы Джет» по консалтингу в области pci dss
- Назначение услуги
- Задачи, решаемые в ходе проведения работ по данной услуге:
- Обследование, обнаружение и анализ соответствия требованиям стандарта iso/iec 27001:2005
- Создание суиб в соответствии с требованиями стандарта iso/iec 27001:2005
- Внедрение процессов суиб и подготовка суиб к сертификации
- Подход компании «Инфосистемы Джет» к построению суиб
- Внедрение процесса управления непрерывностью бизнеса
- Внедрение процесса управления инцидентами иб
- Выводы или Как не ошибиться с выбором консультанта?!