Система менеджмента информационной безопасности – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Стандарт ISO 27001 определяет требования к системе управления (менеджмента) информационной безопасности (СУИБ). Требования стандарта в определенной степени абстрактны и не привязаны к специфике какой-либо области деятельности компании. Они могут применяться любой организацией вне зависимости от ее типа, размеров и характера бизнеса.

Стандарт носит не технический, а управленческий характер и направлен на внедрение процессов, позволяющих обеспечить должный уровень информационной безопасности компании. СУИБ базируется на процедуре оценки и анализа рисков, интегральных показателей защищенности ключевых информационных активов и выборе мер по минимизации рисков до приемлемого остаточного уровня.

Проведение комплекса мероприятий по построению системы управления информационной безопасностью в соответствии с требованиями стандарта ISO 27001, позволит решить следующие задачи:

 

- Повышение уровня безопасности. Стандарт разработан с учётом лучших мировых практик обеспечения информационной безопасности.

- Управление. Стандарт предусматривает построение циклического и управляемого процесса обеспечения ИБ.

- Оптимизация расходов. Система управления информационной безопасностью позволяет оптимизировать и обосновать затраты на информационную безопасность.

- Риски. Снижение уровня финансовых рисков связанных с информационной безопасностью путем их идентификации, оценки и принятия адекватных защитных мер.

- Привлекательность. Повышение степени привлекательности компании на внутреннем и внешнем рынках (конкурентные преимущества).

- Доверие. Повышение доверия со стороны акционеров, клиентов, партнеров и контрагентов.

- Репутация. Повышение уровня деловой репутации путем сертификации системы менеджмента информационной безопасности, демонстрирующей высокий уровень зрелости компании.

Комплекс работ по построению системы управления информационной безопасностью включает следующие работы:

 

-      определение области действия СУИБ;

-      предварительный аудит на соответствие требованиям ISO 27001

-      сбор исходных данных о бизнес-процессах, структурных подразделениях, информационно-телекоммуникационной инфраструктуре, методах и средствах обеспечения информационной безопасности;

-      анализ действующей организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;

-      оценка текущего уровня соответствия требованиям стандарта ISO 27001;

-      проведение оценки рисков:

-      разработка методики оценки рисков;

-      инвентаризация и классификация активов;

-      формирование карты угроз;

-      анализ и оценка рисков;

-      разработка плана обработки рисков;

-      разработка процедур и документации СУИБ:

-      разработка процессов управления информационной безопасности;

-      разработка процессов обеспечения информационной безопасности;

-      разработка комплекта организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;

-      разработка программ повышения осведомленности по вопросам управления и обеспечения информационной безопасности;

-      внедрение процедур и документации СУИБ:

-      внедрение процессов управления информационной безопасности;

-      внедрение процессов обеспечения информационной безопасности;

-      обучение и повышение осведомленности сотрудников в области обеспечения информационной безопасности; 

-      опытная эксплуатация СУИБ;

-      сертификационный аудит и выдача международного сертификата:

-      взаимодействие с органом сертификации;

-      консультационная поддержка при прохождении сертификационного аудита.

Построение системы управления информационной безопасностью (ISO 27001)