Структурируем процессы управления информационной безопасностью в крупном холдинге - читайте в четвертом номере журнала "Information Security/Информационная безопасность"

Структурируем процессы управления информационной безопасностью в крупном холдинге - читайте в четвертом номере журнала "Information Security/Информационная безопасность"

Выполненные изменения могут приводить к появлению новых угроз, уязвимостей, увеличению финансовых потерь от возможного ущерба, а следовательно, к новым рискам информационной безопасности (ИБ). Поэтому необходимо проведение периодической структуризации процессов обеспечения и управления ИБ, направленной на выявление и устранение проблем в их организационных и технических составляющих.

Поскольку рост компании может быть следствием как эволюционного развития, так и слияния с другими компаниями, решение вопросов структуризации в каждом конкретном случае может существенно отличаться.

В зависимости от типа бизнеса холдинга и приоритетов руководства в качестве ориентиров могут быть использованы положения существующих российских (ГОСТ Р ИСО/МЭК 27001-2006, СТО БР ИББС-1.0) и международных (ISO 2700X, ISO 13335, ISM3 и др.) стандартов в области ИБ, а также практические рекомендации авторитетных исследовательских центров, ИТ-интеграторов и компаний-разработчиков.

Вне зависимости от выбранных ориентиров структуризация процессов обеспечения и управления ИБ должна быть направлена на создание или модернизацию системы управления информационной безопасностью (СУИБ). При этом очень важно, чтобы процессы СУИБ были ориентированы на контроль рисков ИБ с учетом бизнес-процессов холдинга.

В идеальном случае конечным результатом структуризации процессов обеспечения и управления ИБ должна стать эффективно работающая СУИБ, представляющая собой совокупность четко налаженных организационных и технических механизмов обеспечения и контроля ИБ в холдинге. Причем индикатором законченности процесса структуризации может выступать сертификация/пересертификация на соответствие определенному стандарту, например ISO 27001.

В настоящий момент в Российской Федерации существует уже 10 компаний, получивших сертификаты на соответствие ISO 27001. Самостоятельное наличие данного статуса позволяет специалистам компании глубже осознавать существующие проблемы структуризации процессов обеспечения и управления ИБ и, тем самым, более качественно решать аналогичные вопросы у своих заказчиков в ходе проведения проектов по консалтингу ИБ.

Важно отметить, что сертификация сама по себе не решит проблем безопасности, поэтому крайне важно не просто получить "красивую бумажку", но и полностью ей соответствовать.

Если руководство холдинга не ставит перед собой задач по сертификации, то оптимальным результатом структуризации может стать перевод системы управления ИБ холдинга на более качественный уровень, предполагающий увеличение "прозрачности" в вопросах управления ИБ как для сотрудников службы ИБ, так и для руководства.

Подробнее о достижении эффективности, структуре нормативно-методической базы, а также о внешнем консалтинге читайте в статье Евгения Дружинина, ведущего инженера компании КРОК

Источник: статья Евгения Дружинина "Структурируем процессы управления информационной безопасностью в крупном холдинге". Полный текст статьи будет опубликован в №4 журнала "Information Security/Информационная безопасность".
По вопросам редакционного сотрудничества (написания или комментирования статей) обращайтесь к Марии Калугиной (kalugina@groteck.ru) или Марине Крючковой (kruchkova@groteck.ru) по тел. (495) 609 3231.
По вопросам размещения рекламных материалов в журнале обращайтесь к Наталье Рохмистровой (rohmistrova@groteck.ru) по тел. (495) 609 3231
 
На фото Евгений Дружинин