Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального директора, КРОК

Информационная безопасность как корпоративный бизнес-процесс Насколько актуальна и экономически обоснована система защиты? Насколько система ИБ ориентирована на бизнес? Насколько очевидны для руководства задачи ИБ? Основная цель ИБ – предоставление бизнесу доступной и достоверной информации

Бизнес-цели, Цели и Задачи Информационной Безопасности Цели: повышение привлекательности услуг на внутреннем и внешнем рынках повышение доверия со стороны инвесторов страхование своих информационных рисков повышение стабильности функционирования организации предотвращение и/или снижение ущерба от инцидентов информационной безопасности

Особенности существующих систем ИБ Низкая вовлеченность руководства в процесс планирования и управления ИБ Отсутствие системы управления информационными рисками Существующие системы информационной безопасности не учитывают современные угрозы и уязвимости –Внутренние нарушители –Ошибки или халатность персонала –Целостность программных сред (защита от администратора)… Затраты на ИБ не всегда эффективны или обоснованы

Особенности существующих систем ИБ Отсутствие или не актуальность организационно – распорядительной документации Сложность и многообразие информационных систем (Лоскутная автоматизация) Высокие профессиональные требования к обслуживающему персоналу Средства защиты информации (особенно отечественные) не успевают за развитием информационных технологий

Внедрение СУИБ по ISO ISO гарантия правильного внедрения процессов управления ИБ, соответствующих мировому уровню качества Сертификация СУИБ по требованиям ISO/IEC 27001: позволяет организациям: построить комплексную систему обеспечения информационной безопасности выработать долговременную стратегию развития системы ИБ проводить комплексные, эффективные и экономически обоснованные меры по обеспечению информационной безопасности повысить степень привлекательности организации на внутреннем и внешнем рынках получить официальный и признаваемый во всем мире сертификат, который будет служить важным показателем надежности организации в глазах клиентов, партнеров, акционеров, аудиторов, государственных и контролирующих органов

Внедрение СУИБ по ISO Мониторинг и аудит Процедуры мониторинга Регулярная проверка эффектиности Внутренний аудит Сопровождение и улучшение Внедрение улучшений Корректирующие и превентивные действия Внедрение и эксплуатация Разработка и реализация плана по минимизации рисков Внедрение механизмов контроля Планирование и организация Определение границ СУИБ Определение политики Идентификация рисков Оценка рисков Выбор задач управления Декларация применимости

Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального директора, КРОК