Аудит и управление ИБ


Аудит информационной безопасности — это системный процесс получения объективных качественных и количественных оценок текущего состояния корпоративной информационной системы в соответствии с определенными критериями информационной безопасности. Основная задача аудита — объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса по увеличению эффективности и рентабельности экономической деятельности компании. Результаты аудита позволяют построить оптимальную по эффективности и затратам систему защиты корпоративной информации, адекватную текущим задачам и целям бизнеса. Управление информационной безопасностью — это непрерывный циклический процесс, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты. В основе этого процесса лежит периодический анализ защищенности информационной системы в разрезе видов угроз и динамики их развития.
 Услуги по аудиту и управлению ИБ +7 (495) 231-4831
 версия для печати   
  Управление информационной безопасностью

Управление информационной безопасностью

Для многих российских компаний настало время задуматься об управлении информационной безопасностью. ИТ-инфраструктура многих из них достигла уровня, требующего четко отлаженной координации.

При построении системы управления информационной безопасностью (СУИБ) эксперты рекомендуют опираться на международные стандарты ISO 27001/17799.

Руководитель обязан контролировать ситуацию в своей организации, подразделении, проекте и во взаимоотношениях с заказчиками. Это означает быть осведомленным о том, что происходит, своевременно узнавать обо всех нештатных ситуациях и представлять себе, какие действия надо будет предпринять в том или ином случае. В организации существует несколько уровней управления, начиная с менеджеров высшего звена и заканчивая конкретным исполнителями, и на каждом уровне ситуация должна оставаться под контролем. Другими словами, должна быть выстроена вертикаль управления и процессы управления.

Система управления информационной безопасностью — что это такое?

Согласно ISO 27001, система управления информационной безопасностью (СУИБ) — это «та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.

Система управления информационной безопасностью, разрабатываемая на основе международных стандартов ISO 27001/17799, позволяет вам достичь необходимого уровня защищенности системы и значительно снизить риск реализации угроз информационной безопасности. СУИБ является каркасом, который связывает различные компоненты средств информационной безопасности и позволяет надежно и прозрачно управлять системой обеспечения информационной безопасности вашей компании.

Разработка и внедрение СУИБ

Разработке систем управления информационной безопасностью предусматривает ряд основных этапов

  • аудит информационной безопасности КИС
  • углубленный анализ информационных рисков с учетом их влияния на различные критерии ИБ (доступность, конфиденциальность, целостность)
  • проектирование СУИБ
  • разработка плана и механизмов внедрения требований СУИБ в реальную КИС
  • разработка процесса обучения сотрудников вопросам осведомленности их в области ИБ
  • построение СУИБ, консультации и сопровождение процесса внедрения

Управление информационной безопасностью

Управление информационной безопасностью — это циклический процесс, включающий:
  • осознание степени необходимости защиты информации и постановку задач
  • сбор и анализ данных о состоянии информационной безопасности в организации
  • оценку информационных рисков
  • планирование мер по обработке рисков
  • реализацию и внедрение соответствующих механизмов контроля
  • распределение ролей и ответственности
  • обучение и мотивацию персонала
  • оперативную работу по осуществлению защитных мероприятий
  • мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия
  © 2008-2009, ProtectMe  +7 (495) 231-4831  
  «Лаборатория защиты» E-mail: info@protectme.ru