Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Внедрение в Компании лучших практик по Информационной безопасности

Хлыстов Д.С.
Выпускник группы MBA СSO-09
Школа IT-менеджмента
РАНХиГС при Президенте РФ

В настоящее время в большинстве Российских компаний, имеют место многочисленные угрозы в области информационных технологий, такие как: атаки хакеров, эпидемий компьютерных вирусов, кража конфиденциальной информации, кража денежных средств компании, несанкционированное использование информационных ресурсов компании третьими сторонами и всевозможные способы мошенничества.  Если вовремя не выявить и  устранить угрозу, это может привести к необратимым последствиям, таким как:  остановка функционирования бизнеса, к серьезным финансовым потерям и потери  имиджа компании.

 

Объект проектного исследования:

Компания АО «ТК»Мегаполис» (далее Компания) в которой будет применен и реализован подход к организации информационной безопасности, на основе лучших мировых практик в области информационной безопасности (на основе стандарта ISO 27001:2013 Informationtechnology — Securitytechniques — Informationsecuritymanagementsystems —Requirements).

Данный подход может быть реализован в любой организации: коммерческой или некоммерческой, частной или государственной компании, в маленьком или большом бизнесе.

 

Практическая значимость для Компании:

            Сейчас процесс обеспечения информационной безопасности в Компании начинает все более проникать в другие (более значимые с точки зрения выручки) бизнес процессы компаний. Это связано, в первую очередь, с все большей автоматизацией (и при построении и при работе) этих бизнес-процессов. Это приводит к тому, что у бизнес-подразделений возникает все больше взаимодействий с сотрудниками подразделения информационной безопасности (далее ИБ). Это нужно для согласования требований к новым решениям, оценки разного рода бизнес рисков, с точки зрения информационной безопасности, особенностями внутренних бизнес-процессов, таких как документооборот, внешняя переписка, проверка новых и уже работающих сотрудников и т.д. В результате, подразделение информационной безопасности начинает принимать участие в работе не только над рисками информационной безопасности, но и другими, зачастую более значимыми для компании (напримертаких как: план восстановления данных после аварии – DisasterRecoveryPlan – DRP и план непрерывности бизнеса – BusinessContinuityPlan – BCP).

            На определенном этапе развития ИБ в Компании, возникла необходимость унификации требований и применении определенного системного подхода к развитию процессов по ИБ и его встраиванию в работу компании. На этом этапе была выявлена необходимость внедрения в Компании любого из стандартов, например ISO 2700x.

            В течение последних двух лет в АО «ТК»Мегаполис» проводится внедрение стандарта ISO 27001:2013, часть работ уже сделана, что позволяет уже сейчас  уменьшить количество серьезных инцидентов связанных с рисками информационной безопасности.

 

Предмет проектного исследования

            Достижение приоритетных, для любой коммерческой организации, бизнес-преимуществ,   которые компания может достичь в реализации подхода к организации информационной безопасности на основе лучших мировых практик.

 

            В мировом бизнесе сформировался подход к обеспечению информационной безопасности, на основе международных стандартов, таких как например ISO 27001 - опубликованный Международной организацией по стандартизации (ISO). Стандарт информационной безопасности – это прежде всего система правил поведения ответственных лиц, участвующих в принятии и реализации решений по построению системы обеспечения информационной безопасности компании. Стандарт описывает, как управлять информационной безопасностью и включает в себя комплекс организационно-технических-правовых мер, в центре внимания которых является защита конфиденциальности, целостности и доступности информации в компании. Управление информационной безопасностью достигается путем выявления потенциальных проблем (т.е., оценки рисков), последующем их определении, понимании, что должно быть сделано, чтобы определить предотвратить такие проблемы (т.е. уменьшить риски или их устранить).

 

Основные цели работы:

1.      Улучшение организации;

2.      Снижение затраты на устраните рисков информационной безопасности;

3.      Соответствии с требованиями законодательства;

4.      Добиться маркетинговое преимущество.

 

Основные задачи работы при внедрении ISO 27001 в АО «ТК «Мегаполис»:

 

1.      Получить поддержку руководства в организации информационной безопасности компании;

2.      Организовать внедрение ISO 27001 в Компании как проект;

3.      Определить объем работ (охват);

4.      Создать единую политику по информационной безопасности;

5.      Определить методологию оценки рисков;

6.      Создать методику оценки и обработки рисков:

7.      Внедрить   (положение о применимости - SoA):

8.      Сформулировать план по обработке рисков информационной безопасности (план реализации):

9.      Определить, как измерить эффективность управления:

10.  Реализовать обучающие и информационные программы:

11.  Эксплуатировать и контролировать систему менеджмента информационной безопасности:

12.  Производить мониторинг системы менеджмента информационной безопасности:

13.  Внутренний аудит:

14.  Осуществлять анализ со стороны руководства:

15.  Корректирующие и предупреждающие действия:

 

В основной части работы:

Рассмотрены примеры реализуемых в Компании рисков;

Определена необходимость внедрения в компании плана восстановления данных после аварии – DisasterRecoveryPlan – DRP и плана непрерывности бизнеса – BusinessContinuityPlan – BCP;

Рассмотрены пути реализации поставленных задач и проведен анализ лучших мировых практик на основе международного стандарта ISO27001:2013.

 

В практической части работы

 

-Рассмотрен качественный метод оценки и обработки рисков;

-Разработан план проекта по внедрению СУИБ;

-Разработан реестр ресурсов (активов);

-Разработан лист проверки для определения области деятельности СУИБ;

-Разработано и внедрено Положение о применимости (созданное на основе результатов обработки рисков);

-Разработана политика по ИБ и нижестоящие политики ИБ;

-Сформирован план по обработке и устранению рисков;

-Определен эффект управления от внесенных в СУИБ изменений;

-Создан план обучения и проводятся информационные программы с персоналом по вопросам ИБ, созданы справочники с выдержками ключевых моментов из политик и процедур ИБ;

 

В ходе реализации проекта по внедрению лучших практик ИБ (по мере того как отдельные части проекта выполнялись), в компании удалось организовать постоянно действующие процессы:

-Процесс измерения эффективности СУИБ;

-Процесс обучения и развития информационных программ ИБ;

-Процесс Эксплуатации и контроля СУИБ;

-Процесс мониторинга системы менеджмента информационной безопасности;

-Процесс внутреннего аудита;

-Процесс анализа состояния СУИБ со стороны руководства

 

В Компании планируется проводить следующие работы по ИБ:

-Систематически выполнять корректирующие и предотвращающие действия вопросов ИБ;

-Подготовить инфраструктуру Компании и провести сертифицированный аудит по ISO27001:2013.

 

В заключительной части работ:

1.Приведены примеры реализуемых мероприятий по ИБ;

2.Определены преимущества применяемого подхода в Компании, что позволило:

-Организовать в компании бизнес-процессы, которые сократили потерянное время, своих сотрудников и минимизировали влияние рисков ИБ на бизнес-процессы компании.

-Контролировать существующие риски в Компании, проводить работы в области ИБ на опережение и закрывать выявленные угрозы до того как ими воспользуются злоумышленники.

-Реализовать большинство обновленных требований законодательства, правил и условий договорных отношений, связанных с ИБ;

-Подготовить инфраструктуру компании для прохождения сертификации, чтопредоставит преимущество над конкурентами в глазах клиентов и поспособствует выйти Компании на рынок IPO.

Рубрика: 
Информационная безопасность
Ваша оценка: Пусто Средняя: 10 (1 голос)
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009