Корпоративные требования к информационной безопасности

Каждая компания имеет свои характерные черты, связанные с особенностями ведения бизнеса. Эти особенности влияют на используемые информационные технологии и предъявляемые требования к обеспечению информационной безопасности. 

 Корпоративные требования к информационной безопасности объединяют обязательные положения законодательства и отраслевых стандартов, лучшие практики в области информационной безопасности, особенности существующих бизнес-процессов. 

Корпоративные требования к обеспечению информационной безопасности могут изменяться в случаях развития новых направлений бизнеса компании, существенных изменений внутри компании, изменении законодательных требований и развития стандартов в области информационной безопасности, например: 

  • выход компании на рынок оказания финансовых услуг потребует выполнять требования Банка России, Payment Card Industry Data Security Standard (PCI DSS), СТО БР ИББС;
  • размещение акций на американской фондовой бирже потребует соответствовать закону Сарбейнса-Оксли (SOX);
  • изменения в компании, вызванные слиянием с другой компанией, потребуют совместной переработки требований.

Перечисленные выше случаи показывают необходимость регулярной оценки соответствия компании корпоративным требованиям по информационной безопасности. 

 Необходимость оценки соответствия корпоративным требованиям к информационной безопасности особенно проявляется в крупных холдинговых компаниях с централизованной, вертикальной структурой управления и в случаях слияния или поглощения компаний. 

 Оценка соответствия компании корпоративным требованиям к информационной безопасности позволяет определить:

  • уровень защищенности компании от угроз информационной безопасности;
  • эффективность существующих мероприятий и средств защиты информации;
  • актуальность существующих требований по информационной безопасности.

 Проект оценки соответствия компании требованиям к информационной безопасности включает:

  • анализ предъявляемых требований;
  • сбор информации о выполнении предъявляемых требований;
  • анализ полученной информации и оценка соответствия конкретным требованиям;
  • выработка рекомендаций по устранению выявленных несоответствий;
  • оценка актуальности предъявляемых требований.

 Проект по оценке соответствия компании требованиям информационной безопасности может включать различные стадии аудита информационной безопасности, в том числе, оценку рисков.