Структуризация процессов управления информационной безопасностью для крупных предприятий или холдингов Евгений Дружинин, ведущий системный инженер компании КРОК Объекты анализа – крупные предприятия и холдинги • Укрупнение предприятий – эволюционное усложнение ИБ от базовых элементов защиты к высокоуровневым – назревшая необходимость формализации/улучшения процессов обеспечения и управления ИБ • Формирование холдингов (слияние компаний) – наличие компаний с разным уровнем зрелости в плане обеспечения ИБ – отсутствие единой структуры управления и несения ответственности за ИБ – различия в нормативно-методических документах, регламентирующих процессы управления ИБ Цели проведения структуризации процессов ИБ • устранение противоречий в управленческих и организационных составляющих процессов обеспечения ИБ • достижение полноты в нормативно-методических документах (НМД) • улучшение механизмов обеспечения ИБ в свете постоянного появления новых угроз • создание/совершенствование единой функционирующей системы управления информационной безопасностью (СУИБ) Задачи структуризации • выбор ориентиров. Российские (ГОСТ Р ИСО/МЭК 270012006, СТО БР ИББС-1.0) и международные (ISO 2700X, ISO 13335, ISM3 и др.) стандарты • эффективное достижение выбранных ориентиров. Опора на рекомендации по внедрению стандартов от сертифицирующих организаций, внедрение лучших практик, внешняя независимая оценка и консалтинг • выход на сертификацию/пересертификацию на соответствие стандартам ИБ Этапы проведения структуризации • обследование и анализ структуры управления, НМД, информационных активов, технических механизмов и организационных процессов • выделение наиболее эффективных из имеющихся наработок и формирование предложений по совершенствованию ИБ с целью достижения выбранных ориентиров • разработка/доработка НМД (в т.ч. методики анализа рисков) • проведение анализа рисков, ранжирование рисков, выбор организационных и технических механизмов защиты • формирование плана работ по созданию/совершенствованию СУИБ (внедрение защитных механизмов, запуск организационных процессов) • реализация планов Структура НМД Структура СУИБ Планирование и организация • определение границ СУИБ • определение политики • идентификация рисков • оценка рисков • выбор задач управления Plan • декларация применимости • внедрение механизмов контроля • внедрение улучшений • корректирующие и превентивные действия Act Непрерывное улучшение Внедрение и эксплуатация • разработка и реализация плана по минимизации рисков Сопровождение и улучшение Do Check • обсуждение и согласование результатов • подтверждение достижения задач управления Мониторинг и аудит • процедуры мониторинга • регулярная проверка эффективности • внутренний аудит Практический опыт компании КРОК • наработан опыт разработки нормативно-методической документации, учитывающей специфику Заказчика и соответствующей ISO 27001 • наработан опыт создания, эксплуатации и сертификации СУИБ в собственной компании в соответствии с ISO 27001 • выполнен ряд проектов в крупных компаниях/холдингах по подготовке базиса СУИБ и выходу на сертификацию по ISO 27001 Преимущества КРОК в области консалтинга по ИБ • наличие сертифицированных ИТспециалистов по многим направлениям деятельности в области ИБ • наличие собственного сертификата на соответствие стандарту ISO 27001 • партнерство с ведущими производителями программного и аппаратного обеспечения, в том числе с BSI • большой практический опыт реализации крупных комплексных проектов по информационной безопасности, в т.ч. в области консалтинга ИБ Партнеры КРОК в области ИБ Спасибо за внимание ! Евгений Дружинин, ведущий системный инженер компании КРОК Тел.: (495)974-2274 E-mail: edruzhinin@croc.ru