Версия для печати Контакты Блог LETA Поиск
LETA IT-company
LETAУслугиУслуги и решения в области управления ИБПостроение Системы управления ИБ (СУИБ) в…

Построение Системы управления ИБ (СУИБ) в соответствии с ISO 27001

Система управления информационной безопасностью (СУИБ) обеспечивает объединение всех применяемых на предприятии защитных и организационных мер в единый  адекватный реальным угрозам и управляемый комплекс, позволяющий достигать корпоративных целей информационной безопасности на уровне всего предприятия. 
 
 
Место СУИБ в организации
 
Рисунок. Место СУИБ в организации
 
Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования, и т. д.
 
Система управления информационной безопасностью выстраивается в соответствии с международным стандартом BS ISO/IEC 27001 и обеспечивает Заказчику ряд выгод от внедрения СУИБ и прохождения сертификационного аудита. 

Выгоды Заказчика от внедрения СУИБ:

  • выявление угроз безопасности для бизнес-процессов;
  • снижение финансовых рисков и рисков прямых потерь Компании, повышение текущего уровня защищенности;
  • управляемая и контролируемая система менеджмента ИБ;
  • систематизация процессов обеспечения ИБ;
  • достижение адекватности системы ИБ существующим рискам;
  • расстановка приоритетов Компании в области ИБ;
  • оптимизация и обоснование расходов на информационную безопасность;
  • снижение операционных затрат за счет формализации процессов ИБ;
  • достижение «прозрачности» в обеспечении ИБ и управлении информационными системами Компании;
  • обеспечение соответствия уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса;
  • повышение доверия партнеров и клиентов Компании за счет демонстрации высокого уровня зрелости обеспечения ИБ всем заинтересованным сторонам;
  • снижение операционных рисков (повышение экономической эффективности);
  • снижение рисков для инвесторов (повышение прозрачности процессов внутри Компании);
  • СУИБ – поставщик информации для всех заинтересованных сторон;
  • повышение стоимости акций при выходе на IPO;
  • повышение доверия клиентов, партнеров и заказчиков за счет демонстрации сертификата;
  • меньше ресурсов и вложений в ИБ при слиянии компаний;
  • проще пройти финансовый аудит ( ИТ- аудит сопровождения);
  • экономия времени, ресурсов и затрат на начальной стадии сбора информации при проведении любых внешних аудитов (в т.ч. аудитов Центробанка и финансовых аудитов).

Выгоды от сертификации СУИБ на соответствие требованиям ISO 27001:2005

  • акционерам и собственникам сертификация демонстрирует способность организации  вне зависимости от обстоятельств продолжать оказывать ключевые сервисы и выпускать основную продукцию, кроме этого сертификация доказывает соответствие компании требованиям действующего законодательства, регулирующих положений и контрактных условий;
  • сертификация глобально подтверждает последовательность и устойчивость внедренных практик менеджмента;
  • защищает интересы акционеров и собственников;
  • повышает репутацию бренда;
  • позволяет снизить расходы по оценке надежности поставщиков;
  • помогает разработать, внедрить, обслуживать и совершенствовать систему менеджмента — испытанный подход предупреждающего характера к снижению рисков;
  • постоянное совершенствование достигается благодаря регулярной экспертной оценке системы менеджмента;
  • демонстрирует, что организация совершенствует и оттачивает действия персонала в случае возникновения чрезвычайной ситуации;
  • ставит цели, к которым можно и необходимо стремиться;
  • упрощает процесс внутренних и внешних аудитов;
  • добавляет ценность бизнесу, помогая идентифицировать области и возможности для улучшения;
  • помогает снижать расходы благодаря меньшему количеству аудитов и проверок
  • снижает размер страховой премии по страхованию операционных рисков;
  • сертификация демонстрирует приверженность организации принципам непрерывности бизнеса (защиты информации) и является инвестицией в выживание организации и повышение ее конкурентоспособности.
 

В рамках построения системы управления информационной безопасностью мы оказываем следующие услуги: 

  • обследование на соответствие требованиям ISO 27001:2005;
  • построение систем управления информационной безопасностью (СУИБ) в соответствии с ISO 27001:2005; 
  • построение процессов управления ИБ: 
    • система управления рисками ИБ;
    • система управления инцидентами ИБ;
    • система внутреннего аудита и контроля соответствия; 
    • система управления уязвимостями; 
    • система управления активами и т.д.; 
  • подготовка СУИБ к сертификации на соответствие требованиям ISO 27001:2005;
  • пакет поддержки СУИБ.
 
Спектр услуг СУИБ
 

Обследование на соответствие требованиям ISO 27001:2005 позволяет

определить, насколько текущая система управления организации соответствует требованиям ISO 27001:2005, при этом для каждого процесса обеспечения или управления ИБ определяется степень зрелости, а также разрабатываются рекомендации для соответствия требованиям ISO 27001:2005. На основании полученных результатов формируется план-график разработки и внедрения СУИБ. 
 

Построение системы управления информационной безопасностью (СУИБ) в соответствии с ISO 27001:2005

предполагает проведение полного комплекса работ от планирования СУИБ до сертификационного аудита, а именно: 
  • разработку и внедрение процессов управления ИБ и, при необходимости,  процессов обеспечения ИБ;
  • разграничение ответственности между подразделениями ИТ и ИБ в рамках выполнения процессов СУИБ; 
  • разработку полного комплекта документации по ИБ в соответствии с требованиями стандарта; 
  • проведение анализа рисков ИБ и разработку плана-графика снижения рисков ИБ до приемлемого уровня;
  • обучение персонала процессам и документации ИБ; 
  • подготовку системы к прохождению сертификационного аудита, включая взаимодействие с сертификационным органом, оказание консалтинга при устранении несоответствий, выявленных в ходе аудита. 
В ходе проектирования СУИБ – этапа с основным объемом работ – определяется матрица видов и форматов информации и применяемых к ним защитных мер. Результаты этапа (положения о применимости контролей, план обработки рисков) позволяют перейти к завершающей стадии проекта построения СУИБ – внедрению.  
 
 
Этапы построения системы управления информационной безопасностью 
 
Рисунок. Этапы построения системы управления информационной безопасностью
 

После построения СУИБ комплекс разработанных мер запускается в промышленную эксплуатацию. Результатом проекта для заказчика является СУИБ, готовая к сертификации на соответствие требованиям стандарта BS ISO/IEC 27001.

 

Построение процессов управления ИБ

производится в случае необходимости выстроить внутри компании отдельные элементы СУИБ. Каждый процесс повторяет по своей организации саму систему управления и включает в себя контрольные механизмы, распределение ответственности в рамках процесса, документирование с различной степенью детализации в зависимости от потребности Заказчика, обучение персонала, поставку и внедрение технических средств. 
 

Подготовка СУИБ к сертификации

на соответствие требованиям ISO 27001:2005 особенно актуальна, если Заказчик уже начинал своими силами строить систему, но по различным причинам в процессе выполнения проекта принял решение пригласить внешних консультантов. При этом нашими специалистами проводится анализ текущий ситуации и определяется степень необходимых доработок.  В зависимости от глубины и детальности доработок формируется план-график подготовки СУИБ к сертификации на соответствие требованиям ISO 27001:2005. 
 

Пакет поддержки СУИБ

включает в себя работы, индивидуально подобранные для каждого Заказчика, которые позволяют обеспечить работоспособность процессов СУИБ на заданном уровне или повысить уровень зрелости отдельных процессов ИБ. В пакет поддержки могут быть включены работы по ежегодному проведению анализа рисков, оказание консалтинговой поддержки при проведении внутренних аудитов, разработка показателей эффективности для внедренных процессов, документирование отдельных элементов системы, организация курсов по информационной безопасности для сотрудников по области деятельности и т.д. Фактически любой процесс СУИБ может быть передан нашим специалистам на аутсорсинг, при этом индивидуально для Заказчика определяется удобная для него форма взаимодействия: может быть организован центр компетенции, удаленное консультирование, проведение работ на площадке Заказчика и т.д. 
 

Мы оказываем наши услуги мы по двум схемам выполнения работ: 

Консалтинг по схеме «Под ключ»

В соответствии с данной схемой работ наши специалисты проводят все работы на проекте самостоятельно, привлекая сотрудников Заказчика только для согласования результатов и обучения. Данная схема работ обеспечивает максимально качественное и своевременное выполнение проекта. 

Консалтинг с разделением функций

Данная схема работ позволяет разделить работы  проекта между ответственными исполнителями со стороны Заказчика и консультантами компании LETA. Разделение может быть проведено как вертикальное, так и горизонтальное. Вертикальное разделение позволяет ограничить область проведения проекта, горизонтальное разделение позволяет ограничить набор работ, которые будут выполнять на проекте специалисты Заказчика. При этом консультанты компании LETA обеспечивают обучение специалистов Заказчика принципам выполнения работ. Данная схема работ позволяет уменьшить стоимость проекта и получить внутри компании обученных компетентных специалистов.

Годовые отчеты Годовые отчеты
Выполненные проекты Выполненные проекты
LETA на ТВ LETA на ТВ
???????@Mail.ru ???????@Mail.ru
Система Orphus
Leta.ru Компания №1 в области Защиты Информации Текущая категория