Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Разработка системы менеджмента информационной безопасности рекламного холдинга



Соболев Е.А.
выпускник группы MBA CIO-22
Школа IT-менеджмента
РАНХиГС при Президенте РФ


О компании

Рекламный холдинг – лидирующий российский медиаселлер. На национальном и региональном уровнях холдинг обслуживает крупнейшие российские телеканалы с совокупной долей аудитории 57%, привлекая на них более 60% всех ТВ-рекламных бюджетов в России. Доля проходящих через холдинг бюджетов рекламодателей, включая продажи рекламы в других технологических сегментах – таких, как Интернет, радио, пресса, индор, достигает почти 25% совокупного отечественного рынка рекламных контактов.

Сущность бизнеса холдинга – обеспечение эффективного взаимодействия рекламодателей и рекламоносителей, оптимизация продажи рекламных контактов, т.е. максимально эффективное распределение всех имеющихся у Клиента холдинга возможностей контакта с аудиторией («нарезка» аудиторий, определение рыночной цены в зависимости от баланса спроса и предложения, поиск покупателя для всех типов контактов и осуществление продаж).

Для предоставления Услуг в холдинге используется специфический инструментарий собственной разработки, охватывающий всю цепочку бизнес-процессов оказания Услуги холдинга, характеризующийся крайне высоким уровнем использования ИТ-систем. Холдинг проводит значительные инвестиции в разработку новых и совершенствование имеющихся инструментов оказания услуг, научно-исследовательские работы, с целью достижения стратегических целей Компании. Бизнес-процессы холдинга поддерживаются большим количеством разнородных ИТ-систем, имеющих собственные механизмы обеспечения информационной безопасности (далее – ИБ). В настоящее время в холдинге происходит внутренняя реорганизация и изменение бизнес-процессов, связанное с изменением законодательства РФ.

Цель создания СМИБ

Защита субъектов информационных отношений от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования информационных сервисов холдинга, информационные отношения субъектов или несанкционированного доступа к циркулирующей в них информации и ее незаконного использования.

Задачи

  1. Обеспечение доступности информационных отношений (устойчивого функционирования информационных систем холдинга, при котором субъекты ИБ имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время).
  2. Обеспечение конфиденциальности определенной части информации, хранимой, обрабатываемой в информационных системах и передаваемой по каналам связи в рамках информационных отношений субъектов.
  3. Обеспечение целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в информационноых системах холдинга и передаваемой по каналам связи.

Планируемые результаты создания СМИБ

  1. Создание эффективного механизма менеджмента ИБ, согласованного со стратегической целью холдинга (создание системы с "низким трением" при оказании информационных услуг), т.е. эффективной системы менеджмента, максимально прозрачной для субъектов и при этом позволяющей эффективно контролировать аспекты ИБ оказания Услуг холдинга и при этом способной адаптироваться к изменениям условий ведения бизнеса.
  2. Согласование СМИБ с действующими механизмами управления в Компании (стратегический и оперативный менеджмент, управление проектами, управление разработкой программного обеспечения (далее – ПО)).
  3. Создание эффективных исполнительных механизмов СМИБ.
  4. Документирование политики ИБ, согласно требованиям стандарта ISO:27001

Описание постановки задачи и особенностей ее реализации в данном проекте

  • Выделение Службы Информационной Безопасности (далее СИБ) в отдельную организационную структуру с задачей выстраивания "прозрачных" для бизнеса отношений между внуренними заказчиками.
  • Признание бизнесом "де факто" ведущей роли ИТ в организации бизнеса холдинга.
  • ПО обеспечения основных операционных информационных сервисов собственной разработки (силами собственных разработчиков с 1996 г.). Сложная система выдачи прав и привилегий, унаследовавшая все ограничения разработки платформы 1996 г. и непрерывных модификаций и доработок.
  • Большое количество субъектов информационных отношений, сильно различающихся по объемам обязательств холдинга, возникающих в процессе оказания услуг.
  • Сильная кастомизация ИТ сервисов под нужды каждого конкретного субъекта (как продолжение политики "низкого трения").
  • Постоянная модификация основных операционных информационных сервисов и НИР (реализация стратегической цели лидерства по инновациям и стремления стать "законодателем мод" в реламном бизнесе). В связи с привлечением сторонних разработчиков требуется четкая координация исполнения политики ИБ, начиная с процесса инициации проектов.
  • Отсутствие документированных регламентов ИБ.

Основные решения

  1. Для обеспечения доступности информационных отношений:
    • Разделение ответственности между подразделениями за эксплуатацию и техническую поддержку (далее – ТП) защищаемых активов, создание регламентов взаимодействия подразделений для выполнения задач обеспечения ИБ.
    • Создание и ввод в действие регламентов ИБ для внутренних заказчиков.
    • Создание матрицы бизнес-сервисов, использования оборудования и влияния отказов элементов инфраструктуры на бизнес-сервисы.
    • Создание плана обеспечения непрерывности бизнеса (contingency plan).
    • Обеспечение требуемого уровня готовности ИС (обеспечение непрерывности предоставления услуг холдинга).
    • Создание и ввод в действие регламентов ИБ для подключения заказчиков и клиентов холдинга к единому программному пространству Компании.
  2. Для обеспечения конфиденциальности информации:
    • Разработка методики управления рисками.
    • Классификация защищаемых активов.
    • Классификация рисков.
    • Аудит имеющихся механизмов защиты активов.
    • Внедрение недостающих механизмов защиты.
  3. Для обеспечения целостности и аутентичности информации:
    • Определение границ применимости политики ИБ холдинга.
    • Разработка системы показателей ИБ, их измерения и контроля.
    • Создание эффективных исполнительных механизмов управления ИБ.

Планируемые результаты реализации на предприятии

1) Согласованый Глоссарий и информационная модель холдинга
2) Утвержденная руководством "Методика управления рисками ИБ".
3) Утверждение "Методики инвентаризации и классификации активов".
4) Инвентаризация активов согласно "Методике".
5) Создание стандартов и регламентов ИБ (приоритет – по результатам инвентаризации активов).
6) Создание подразделения в рамках СИБ, контролирующего аспекты ИБ процессов управления проектами разработок новых и модернизации имеющихся информационных сервисов.
7) Создание подразделения в рамках СИБ, контролирующего соблюдение политики и регламентов ИБ в повседневной деятельности холдинга.

Исполнение на 24.02.2011 г.

1) Выполнен проект – Согласованый Глоссарий и информационная модель холдинга.
2) Выполнены проекты документации, согласованной с требованиями ISO:27001: "Политика СМИБ", "Границы применения СМИБ", "Методика инвентаризации и классификации активов", "Методика управления рисками ИБ", "План реагирования на риски", "Положение о применимости контролей", "Процедуры обеспечения безопасности компьютерной сети", "Управление документацией и данными".
3) Создано специальное подразделение в рамках ИБ (начат набор персонала) – Инвентаризация активов согласно "Методике".
4) Создано специальное подразделение в рамках ИБ (начат набор персонала) – Создание стандартов и регламентов ИБ (приоритет – по результатам инвентаризации активов).
5) Создано, начат набор персонала – Создание подразделения в рамках СИБ, контролирующего контролирующего аспекты ИБ процессов управления проектами разработок новых и модернизации имеющихся информационных сервисов.
6) Создано, начат набор персонала – Создание подразделения в рамках СИБ, контролирующего соблюдение политики и регламентов ИБ в повседневной деятельности холдинга.

Copyright © 2011 Соболев Е.А.

К оглавлению >>

Рубрика: 
Информационная безопасность
Автор: 
Соболев Е.А.
Ваша оценка: Пусто Средняя: 5 (1 голос)
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009