Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального. - презентация

1 Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального директора, КРОК

2 Информационная безопасность как корпоративный бизнес-процесс Насколько актуальна и экономически обоснована система защиты? Насколько система ИБ ориентирована на бизнес? Насколько очевидны для руководства задачи ИБ? Основная цель ИБ – предоставление бизнесу доступной и достоверной информации

3 Бизнес-цели, Цели и Задачи Информационной Безопасности Цели: повышение привлекательности услуг на внутреннем и внешнем рынках повышение доверия со стороны инвесторов страхование своих информационных рисков повышение стабильности функционирования организации предотвращение и/или снижение ущерба от инцидентов информационной безопасности

4 Особенности существующих систем ИБ Низкая вовлеченность руководства в процесс планирования и управления ИБ Отсутствие системы управления информационными рисками Существующие системы информационной безопасности не учитывают современные угрозы и уязвимости –Внутренние нарушители –Ошибки или халатность персонала –Целостность программных сред (защита от администратора)… Затраты на ИБ не всегда эффективны или обоснованы

5 Особенности существующих систем ИБ Отсутствие или не актуальность организационно – распорядительной документации Сложность и многообразие информационных систем (Лоскутная автоматизация) Высокие профессиональные требования к обслуживающему персоналу Средства защиты информации (особенно отечественные) не успевают за развитием информационных технологий

6 Внедрение СУИБ по ISO ISO гарантия правильного внедрения процессов управления ИБ, соответствующих мировому уровню качества Сертификация СУИБ по требованиям ISO/IEC 27001: позволяет организациям: построить комплексную систему обеспечения информационной безопасности выработать долговременную стратегию развития системы ИБ проводить комплексные, эффективные и экономически обоснованные меры по обеспечению информационной безопасности повысить степень привлекательности организации на внутреннем и внешнем рынках получить официальный и признаваемый во всем мире сертификат, который будет служить важным показателем надежности организации в глазах клиентов, партнеров, акционеров, аудиторов, государственных и контролирующих органов

7 Внедрение СУИБ по ISO Мониторинг и аудит Процедуры мониторинга Регулярная проверка эффектиности Внутренний аудит Сопровождение и улучшение Внедрение улучшений Корректирующие и превентивные действия Внедрение и эксплуатация Разработка и реализация плана по минимизации рисков Внедрение механизмов контроля Планирование и организация Определение границ СУИБ Определение политики Идентификация рисков Оценка рисков Выбор задач управления Декларация применимости

8 Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального директора, КРОК