Главная » Тезисы » MBA CIO, Весна 2016


Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь

Менеджмент информационной безопасности в соответствии с международным стандартом информационной безопасности ISO/IEC 27001:2013 на примере организации ООО УК «МИ»

Posted Март 17th, 2016 by admin

Карелин А.В.
выпускник группы MBA CIO-42
Школы IT-менеджмента
РАНХиГС при Президенте РФ

 

Вопрос потребности в адекватных мерах по обеспечению информационной безопасности и защите информации в бизнесе является одним из самых актуальных в условиях увеличения значимости информационных технологий в ХХI веке.

Любая деятельность, направленная на извлечение прибыли, т.е. бизнес, порождает риски в той или иной сфере, которые могу привести бизнес к неблагоприятным последствиям. Риски, связанные с информационной безопасностью, могут принести к следующим негативным последствиям для бизнеса:

  • потери доходов от продаж;

  • потери репутации и уверенности клиентов в бизнесе;

  • несоответствию требованиям регуляторов с вытекающими последствиями для бизнеса в виде штрафов;

  • нарушению контрактных обязательств;

  • упущенной бизнес возможности;

  • разглашению конфиденциальной информации;

  • приостановке деятельности Компании.

    • В данной работе рассматривается система менеджмента информационной безопасности (далее – СМИБ) на примере ООО УК «МИ», описываются ключевые проблемы СМИБ, выдвигаются рекомендации по организации СМИБ в соответствии с международным стандартом по информационной безопасности ISO/IEC 27001:2013 (далее – ISO 27001).

    Целью данной работы является анализ СМИБ в ООО УК «МИ», вынесение рекомендаций по модернизации СМИБ в ООО УК «МИ» на основании проведенного анализа. Для этого необходимо было решить следующие задачи:

  • изучить содержание стандарта ISO 27001;

  • провести внутренний аудит с целью определения текущего состояния СМИБ ООО УК «МИ»;

  • выявить несоответствия стандарту ISO 27001, определить причины несоответствия;

  • внести предложения по модернизации СМИБ с учетом требований стандарта.

    • При проведении исследований были использованы методы анализа и сравнения, позволившие, опираясь на существующие стандарты и рекомендации в области защиты информации, оценить существующее положение ИБ в ООО УК «МИ», а также предложить меры по совершенствованию СМИБ.

    В целях оценки текущего состояния системы менеджмента информационной безопасности ООО УК «МИ», были сформулированы и описаны критерии оценки СМИБКомпании и проведен аудит СМИБ. На основании проведенного аудита, был сделан вывод о том, что в настоящее время в Компании СМИБлишь формально соответствует требованиям ISO 27001.

    В работе делается вывод о том, что значительная часть недостатков, выявленных в СМИБ Компании и являющихся причинами потенциальных угроз безопасности ООО УК «МИ», является следствием отсутствия описанных, утвержденных и реализуемых процедур ИБ, соответствующих ключевым требованиям стандарта ISO 27001:

  • не определена область применения СМИБ;

  • отсутствует процедура оценки и обработки рисков ИБ и как следствие не управляются риски ИБ;

  • не осуществляется мониторинг, измерение, анализ и оценка результативности СМИБ;

  • не проводится внутренний аудит и т.д.

    • Для формирования соответствия СМИБ ООО УК «МИ»требованиям стандарта, выдвигаются следующие предложения:

  • описать область применения СМИБ (документ должен содержать обоснование выбора данной области);

  • разработать и внедрить процедуру оценки и обработки рисков ИБ;

  • разработать методику инвентаризации и оценки критичности информационных активов;

  • пересмотреть и актуализировать внутренние нормативные документы.

  • разработать положение о применимости;

  • провести внутренний аудит и оценку СУИБ с учетом проведенной работы по внедрению организационных и технических мер.

    • В практической части работы:

  • разработана методика инвентаризации и оценки критичности информационных активов по подразделениям Компании;

  • разработана процедура оценки и обработки рисков ИБ;

  • разработан перечень угроз и уязвимостей ИБ;

  • разработана форма для занесения параметров угроз и уязвимостей ИБ

  • описан процесс выбора приемлемогоуровня риска ИБ для Компании;

  • определены меры по обработке рисков для ресурсовКомпании;

  • определен алгоритм внедрения мер по обработке рисков;

  • разработана форма положения о применимости.

    • В работе приведены примеры по реализацииразработанныхпроцедур и положений, вносятся рекомендации по внедрению процедуры в Компании.

    В ходе реализации предложенных мероприятийпо модернизации СМИБ компании, в настоящий момент удалось выполнить следующие мероприятия:

  • была определена область применения СМИБ;

  • были переработаны политики;

  • проведена инвентаризация информационных активов;

  • организован процесс анализа СМИБ со стороны руководства.

    • В Компании планируется проводить следующие работы по ИБ:

  • провести оценку рисков;

  • разработать план обработки рисков;

  • внедрить положение о применимости;

  • внедрить процесс оценки результативности СМИБ.

    • Предложенные рекомендации по усовершенствованию СМИБ в Компании должны способствовать повышению эффективности работы как управления информационной безопасности, так и ООО УК «МИ» в целом.

    Ожидается, что внедрение СМИБ в соответствии с ISO 27001 сократит риск потенциальных угроз информационной безопасности в ООО УК «МИ» и позволит подготовить СМИБ компании для прохождения сертификации, чтопредоставит преимущество над конкурентами в глазах клиентов и поспособствует проведению IPO.

     

    Ваша оценка: Пусто Средняя: 9.5 (2 голосов)
    Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009