Управление информационной безопасностью
Создание системы управления информационной безопасностью (СУИБ) позволяет Заказчику получить инструмент достижения требуемого уровня ИБ и его систематического контроля. Практический опыт построения СУИБ показывает, что для создания эффективных систем необходимо использовать два методологических подхода: риск-ориентированный и процесс-ориентированный. Первый концентрируется на моделировании угроз и влиянии рисков на бизнес-процессы компании. Методологической основой данного подхода обычно являются стандарты ISO 27001, ISO 27002. Второй подход ориентирован на создание и поддержание управляемых и измеряемых процессов обеспечения ИБ. Методологической основой такого подхода могут являться стандарты COBIT, ISM3.
Требования Заказчиков:
- Необходимость максимальной прозрачности и управляемости в вопросах обеспечения ИБ
- Повышение эффективности мероприятий, направленных на обеспечение ИБ и расходования средств, инвестируемых в ИБ
Решения УЦСБ:
1. Проведение комплексного обследования существующей СУИБ на организационно- методическом и программно-техническом уровнях
2. Оценка рисков и формирование плана по обработке рисков
3. Разработка системы организационно-распорядительной документации в области ИБ
4. Разработка программы обеспечения ИБ, обоснование ее оптимальности и эффективности
5. Разработка и внедрение корпоративных методик управления рисками ИБ, оценка эффективности процессов обеспечения ИБ, разработка стратегии развития СУИБ и ИТ- систем
