Разработка стратегии информационной безопасности
Стратегия ИБ – это единый документ, утвержденный руководством организации, который определяет подходы к обеспечению информационной безопасности на продолжительный срок. Она определяет цели и задачи системы обеспечения ИБ, принципы ее организации, функционирования и управления, а также основные направления создания и развития целостной системы обеспечения безопасности информации заказчика.
Стратегия ИБ включает в себя правовые, оперативные, технологические, организационные, технические и физические меры по защите информации, которые находятся в тесной взаимосвязи между собой.
Стратегия ИБ определяет направления обеспечения ИБ во всех областях деятельности заказчика и на всех участках его информационных и автоматизированных систем. При ее разработке должны учитываться цели и потребности компании, ее организация, структура и размещение информационных и коммуникационных систем, характер решаемых бизнес-задач и перспективы развития информационных технологий.
Она служит методологической основой для составления нормативно-методических и организационно-распорядительных документов, а также внедрения практических мер, методов и средств защиты информации. Стратегия ИБ является долгосрочным документом и пересматривается по решению руководства заказчика в случае кардинальных изменений направления бизнеса организации или внешних условий его ведения.
В число задач, решаемых при ее разработке, входят:
-
формирование целостного представления и системы взглядов на обеспечение информационной безопасности заказчика и взаимоувязка различных ее элементов;
-
определение путей развития ИБ, основополагающих целей и задач системы обеспечения ИБ;
-
определение путей реализации мер, обеспечивающих необходимый уровень надежной защиты информационных ресурсов;
-
создание методологической основы для разработки нормативно-методических и организационно-распорядительных документов по ИБ, практических мер, методов и средств защиты информации.
Разработка стратегии ИБ включает в себя несколько этапов.
Первым этапом является сбор и анализ информации, необходимой для разработки стратегии обеспечения ИБ. На данном этапе специалисты компании-консультанта знакомятся с организационно-распорядительными документами по ИБ, утвержденными в организации заказчика, а также проводят интервью с представителями высшего руководства заказчика, с руководителями основных направлений бизнеса и обеспечивающих подразделений с целью:
-
определения стратегических бизнес-целей организации;
-
идентификации требований руководства, подразделений Информационных технологий и Информационной безопасности по обеспечению ИБ;
-
анализа организационной структуры и ролей персонала по обеспечению ИБ;
-
оценки соответствия действующих мер безопасности идентифицированным требованиям руководства, подразделений Информационных технологий и Информационной безопасности по обеспечению ИБ;
-
идентификации критичных бизнес-процессов организации;
-
идентификации ключевых информационных систем и сервисов;
-
определения наиболее значительных для организации рисков ИБ.
На этапе сбора основной информации о процессах ИБ проводятся интервью со следующими ответственными лицами:
-
Высшее руководство организации.
-
Руководители, ответственные за:
-
развитие бизнеса;
-
подготовку финансовой отчетности;
-
управление персоналом;
-
управление ИТ;
-
управление ИБ;
-
управление операционными рисками;
-
внутренний аудит.
Руководители, ответственные за основные направления бизнеса.
Руководители и специалисты, ответственные за основные области ИТ и информационной безопасности.
Второй этап – собственно разработка документа «Стратегия информационной безопасности», который включает в себя следующие разделы:
-
введение;
-
общие положения;
-
цели, задачи и стратегии обеспечения информационной безопасности;
-
основные принципы обеспечения информационной безопасности;
-
соответствие требованиям4 нормативно-правовых актов в области ИБ;
-
описание программ по основным направлениям развития ИБ, в том числе описание программы по модернизации организационной структуры и ролей персонала по обеспечению ИБ.
Разработка документа осуществляется в контексте:
-
целей бизнеса организации;
-
ключевых характеристик деятельности организации и ее основных бизнес-процессов;
-
территориального распределения инфраструктуры организации;
-
действующих законодательных норм и договорных обязательств;
-
системы нормативно-распорядительной документации по обеспечению ИБ;
-
организационной структуры и ролей персонала по обеспечению ИБ;
-
рекомендаций российских и международных стандартов и лучших практик в области ИБ.
Стратегия ИБ включает в себя описание программ по основным направлениям развития ИБ. В качестве примера можно привести такие, как «Внедрение процессов управления ИБ», «Разработка требований ИБ для политики ИБ», «Разработка и внедрение процедур безопасного взаимодействия со сторонними организациями», «Внедрение системы управления доступом и контроля использования ресурсов ИС» и т.п. Перечень и состав данных программ зависит от бизнес-целей и задач организации, которые выявляются в ходе сбора и анализа данных. В свою очередь каждая программа содержит ориентировочный перечень проектов, необходимых для ее реализации, с примерными сроками их реализации.
Также в стратегию ИБ включается описание программы по модернизации организационной структуры и ролей персонала по обеспечению ИБ. Данная программа должна содержать необходимые изменения штатно-организационной и ролевой структуры, ориентировочную оценку требуемых на это ресурсов. На заключительном этапе разработки стратегия ИБ обязательно согласовывается и утверждается руководством заказчика.
- Практическое занятие № 4 Тема: Консалтинг в области информационной безопасности.
- План практического занятия
- Указания по проведению практического занятия
- 2. Основная часть Консалтинг в области информационной безопасности
- Определение консалтинга в области иб
- Актуальность услуг по консалтингу в области иб
- Виды консалтинга в области информационной безопасности
- Формы оказания услуг по консалтингу в области информационной безопасности
- Определение уровня информационной безопасности
- Обследование состояния информационной безопасности с разработкой рекомендаций
- Информационное обследование
- Анализ полученной информации
- Предложение компании «Инфосистемы Джет»: «Обследование состояния иб с разработкой рекомендаций по повышению уровня защищенности организации»
- Подготовка рекомендаций
- Анализ рисков информационной безопасности
- Идентификация и оценка критичности активов
- Разработка методики анализа рисков
- Предложения компании «Инфосистемы Джет»: «Внедрение процесса управления рисками иб»
- Идентификация рисков
- Оценка рисков
- Выбор мер противодействия рискам
- Результаты анализа рисков иб
- Обеспечение требований бизнеса к информационной безопасности
- Разработка стратегии информационной безопасности
- Обеспечение требований законодательства
- Требования к защите персональных данных
- Предложение Компании «Инфосистемы Джет» по приведению процессов обработки персональных данных в соответствии с требованиями Закона о персональных данных
- Отраслевые требования по информационной безопасности Стандарт Банка России по обеспечению иб
- Обеспечение соответствия безопасности платежных систем требованиям стандарта pci dss
- Предложение компании «Инфосистемы Джет»: «Консалтинг в области сто бр» Целевая аудитория
- Назначение услуги
- Состав работ:
- Оптимизация системы обеспечения иб Построение системы управления иб
- Предложение Компании «Инфосистемы Джет» по консалтингу в области pci dss
- Назначение услуги
- Задачи, решаемые в ходе проведения работ по данной услуге:
- Обследование, обнаружение и анализ соответствия требованиям стандарта iso/iec 27001:2005
- Создание суиб в соответствии с требованиями стандарта iso/iec 27001:2005
- Внедрение процессов суиб и подготовка суиб к сертификации
- Подход компании «Инфосистемы Джет» к построению суиб
- Внедрение процесса управления непрерывностью бизнеса
- Внедрение процесса управления инцидентами иб
- Выводы или Как не ошибиться с выбором консультанта?!