Company of Informational Security

ул. Даниила Щербаковского 45А, г.Киев, 04111, Украина

Мы предлагаем технологии завтрашнего дня. Будь на шаг впереди!

Внедрение системы управления ИБ

Разработка и внедрение системы управления информационной безопасности (СУИБ) используя международный стандарт ISO 27001.

Система управления информационной безопасностью (СУИБ) является частью общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае принятия решения о создании СУИБ следует четко понимать, что это не разовое мероприятие, а постоянная работа, поскольку эффективность процедур системы управления может с течением времени снижаться. В основе данного стандарта лежит процессный подход к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ организации.

В рамках работ по созданию СУИБ можно выделить следующие основные этапы:

СУИБ.jpg

Результатом проекта для заказчика является СУИБ, готовая к сертификации на соответствие требованиям стандарта ISO 27001.

Наиболее часто СУИБ распространяется на всю информационную структуру организации или на организацию в целом. Однако качественное внедрение системы управления - достаточно сложный и длительный процесс, поэтому организациям, впервые столкнувшимся с задачей построения СУИБ рекомендуется выбрать одну из критичных бизнес задач и внедрить процедуры системы управления в ней. После получения положительных результатов область действия системы управления ИБ расширяют на остальные процессы организации.


Наши консультанты окажут услуги при внедрении СУИБ в организации и внедрении СУИБ для прохождение дальнейшей сертификации по стандарту ISO 27001.
Разработка и внедрение системы управления информационной безопасности (СУИБ) используя отраслевой стандарт СОУ Н НБУ 65.1 СУИБ 1.0:2010.
 
Согласно существующего отраслевого стандарта НБУ и законодательства Украины, все банки Украины, должны до 01.10.2011 внедрить систему управления информационной безопасности.

Данное требование основано на статье 7 Закона Украины "О Национальном банке Украины", статье 10 Закона Украины "О защите информации в информационно-телекоммуникационных системах" и статье 10 Закона Украины "О стандартизации", с целью повышения уровня информационной безопасности в банковской системе Украины Правление Национального банка Украина издало Постановление № 474 от 28 октября 2010г. "О вступлении в силу стандартов по управлению информационной безопасностью в банковской системе Украины" и отраслевых стандартах НБУ:

  • СОУ Н НБУ 65.1 СУИБ 1.0:2010 "Методы защиты в банковской деятельности. Система управления информационной безопасностью. Требования "(ISO / IEC 27001:2005, МОD);
  • СОУ Н НБУ 65.1 СУИБ 2.0:2010 "Методы защиты в банковской деятельности. Свод правил для управления информационной безопасностью "(ISO / IEC 27002:2005, МОD).

Так как отраслевой стандарт, созданный на основе международного стандарта ISO / IEC 27001:2005 и ISO / IEC 27002:2005 в основу его так же, как и оригинального стандарта, входит методики оценки и управления рисками.


Качественное внедрение СУИБ, кроме соответствия требованиям НБУ, позволит банкам получить ряд преимуществ в их повседневных бизнес-процессах:

  • выявление угроз безопасности для бизнес-процессов;
  • снижение финансовых рисков и рисков прямых потерь;
  • управляемая и контролируемая система менеджмента ИБ;
  • систематизация процессов обеспечения ИБ;
  • достижение адекватности системы ИБ к существующим рискам;
  • оптимизация и обоснование расходов на информационную безопасность;
  • снижение операционных затрат за счет формализации процессов ИБ;
  • повышение доверия клиентов банка за счет демонстрации высокого уровня зрелости обеспечения ИБ и снижения уровня мошенничества.

При построении СУИБ выполняются следующие этапы работ:

  • анализ структуры, бизнес процессов, функциональных особенностей бизнес-процессов и использование в них информационных систем;
  • систематизируем и определяем активы организации, которые будут попадать под СУИБ;
  • анализируем риски в бизнес процессах и пути их уменьшения;
  • разрабатываем политики информационной безопасности;
  • внедрение СУИБ.
Risk_2.jpg

Одной из наиболее ответственных и сложных задач, решаемых в процессе создания СУИБ, следует назвать проведение анализа рисков информационной безопасности. В процессе анализа рисков проводятся следующие работы:

  • определение активов в рамках СУИБ; 
  • определение ценности данных активов;
  • описание угроз для этих активов; 
  • оценка рисков для возможных случаев успешной реализации угроз информационной безопасности в отношении данных активов; 
  • выбор критериев принятия рисков; 
  • подготовка плана обработки рисков. 

Выполнение всех указанных задач обычно осуществляется в соответствии с разрабатываемой процедурой анализа рисков.

Наши консультанты окажут услуги при построении СУИБ в банковских организациях и внедрение СУИБ для соответствия отраслевому стандарту НБУ.

Возврат к списку