Разработка корпоративных методик управления ИБ

Каждая компания имеет характерные черты, связанные с особенностями ведения бизнеса. Данные особенности влияют на используемые информационные технологии и предъявляемые требования к обеспечению информационной безопасности. 

Корпоративные требования и методики управления информационной безопасностью должны объединять обязательные положения законодательства и отраслевых стандартов, лучшие практики в области информационной безопасности, особенности существующих бизнес-процессов. 

Корпоративные требования должны быть достаточными и обоснованными. Избыточность требований по информационной безопасности не желательна. 

В качестве примера процессов управления информационной безопасностью можно выделить:  

  • оценку рисков;
  • управление инцидентами;
  • управление непрерывностью бизнес-процессов;
  • контроль состояния информационной безопасности.

 Перечисленные процессы описываются множеством стандартов в области информационной безопасности, предлагающих различные подходы к решению стоящих перед компанией задач: ISO/IEC 27001, ISO 22301, СТО БР ИББС, CRAMM, NIST и другими. 

 Различные методики и стандарты имеют как преимущества, так и недостатки. Для применения лучших практик различных стандартов необходимо разрабатывать методики управления процессами информационной безопасности, характерные для конкретной компании. 

 Корпоративные требования и методики управления информационной безопасности должны подвергаться пересмотру в случаях развития новых направлений бизнеса компании, существенных изменений внутри компании, изменении законодательных требований и развития стандартов в области информационной безопасности, например:  

  • выхода компании на рынок оказания финансовых услуг потребует выполнить требования Банка России по безопасности Национальной Платежной Системы, Payment Card Industry Data Security Standard (PCI DSS), СТО БР ИББС;
  • размещения акций на американской фондовой бирже потребует соответствовать закону Сарбейнса-Оксли (SOX);
  • изменений в компании, вызванные слиянием с другой компанией, потребуют скоординированной переработки требований.

 Необходимость в разработке корпоративных требований и методик управления информационной безопасностью ярко проявляется в крупных холдинговых компаниях с централизованной, вертикальной структурой управления. Наличие единых подходов к обеспечению информационной безопасности в компаниях холдинга позволяет: 

  • повысить управляемость компаниями;
  • повысить  защищенность холдинга в целом;
  • повысить эффективность процессов обеспечения информационной безопасности;
  • снизить затраты на проектирование, внедрение и поддержание средств защиты информации.

 Проект разработки корпоративных требований информационной безопасности может включать: 

  • выделение требований, предъявляемых к компании (законодательные, отраслевые, внутренние);
  • обследование существующих процессов обеспечения информационной безопасности в компании;
  • согласование используемых при разработке требований российских и международных стандартов;
  • разработку корпоративных требований по информационной безопасности;
  • разработку необходимых организационно-распорядительных документов;
  • проектирование и внедрение необходимых для выполнения требований средств и систем защиты информации.