Для многих российских компаний настало время задуматься об управлении информационной безопасностью. ИТ-инфраструктура многих из них достигла уровня, требующего четко отлаженной координации.

При построении системы управления информационной безопасностью (СУИБ) эксперты рекомендуют опираться на международные стандарты ISO 27001/17799.

Руководитель обязан контролировать ситуацию в своей организации, подразделении, проекте и во взаимоотношениях с заказчиками. Это означает быть осведомленным о том, что происходит, своевременно узнавать обо всех нештатных ситуациях и представлять себе, какие действия надо будет предпринять в том или ином случае. В организации существует несколько уровней управления, начиная с менеджеров высшего звена и заканчивая конкретным исполнителями, и на каждом уровне ситуация должна оставаться под контролем. Другими словами, должна быть выстроена вертикаль управления и процессы управления.

Согласно ISO 27001, система управления информационной безопасностью (СУИБ) — это «та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.

Система управления информационной безопасностью, разрабатываемая на основе международных стандартов ISO 27001/17799, позволяет вам достичь необходимого уровня защищенности системы и значительно снизить риск реализации угроз информационной безопасности. СУИБ является каркасом, который связывает различные компоненты средств информационной безопасности и позволяет надежно и прозрачно управлять системой обеспечения информационной безопасности вашей компании.

Разработке систем управления информационной безопасностью предусматривает ряд основных этапов

• аудит информационной безопасности КИС
• углубленный анализ информационных рисков с учетом их влияния на различные критерии ИБ (доступность, конфиденциальность, целостность)
• проектирование СУИБ
• разработка плана и механизмов внедрения требований СУИБ в реальную КИС
• разработка процесса обучения сотрудников вопросам осведомленности их в области ИБ
• построение СУИБ, консультации и сопровождение процесса внедрения

Управление информационной безопасностью — это циклический процесс, включающий:

• осознание степени необходимости защиты информации и постановку задач
• сбор и анализ данных о состоянии информационной безопасности в организации
• оценку информационных рисков
• планирование мер по обработке рисков
• реализацию и внедрение соответствующих механизмов контроля
• распределение ролей и ответственности
• обучение и мотивацию персонала
• оперативную работу по осуществлению защитных мероприятий
• мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия