Система управления информационной безопасностью бизнеса от компании ARinteg

При создании систем управления информационной безопасностью специалисты ARinteg руководствуются лучшими мировыми стандартами и практиками, в частности рекомендациям экспертов Института программирования Университета Карнеги-Меллон, согласно которым эффективное управление информационной безопасностью бизнеса должно характеризоваться следующими признаками:

1. Охват всего предприятия

Информационная безопасность управляется в масштабе всего предприятия – всех его горизонтальных, вертикальных и кросс-функциональных организационных структур. Система управления информационной безопасностью бизнеса охватывает людей, продукты, производства, процессы, политики, процедуры, системы, технологии, сети и информацию.

2. Ответственность руководителей

Руководители осознают свою подотчетность и ответственность в сфере информационной безопасности перед организацией, акционерами, сообществами (включая интернет-сообщество) и государством. Топ-менеджеры явно задействованы в процессах управления информационной безопасностью фирмы и поддерживают их адекватными финансовыми ресурсами, эффективными методами контроля, политиками, разработанными с учетом актуальных рисков, а также ежегодным аудитом. В случаях реализации рисков информационной безопасности руководители предприятий принимают на себя ответственность.

3. Информационная безопасность рассматривается в качестве требования бизнеса

Обеспечение информационной безопасности рассматривается как обязательное бизнес-требование, непосредственно влияющее на выполнение стратегических целей, тактических задач, планов управления рисками и высокоуровневых политик, а также на соблюдение требований регуляторов. Все менеджеры понимают, каким образом и почему безопасность выступает в качестве необходимого условия существования и развития бизнеса.

Информационная безопасность рассматривается скорее как стоимость ведения бизнеса и инвестиция, а не расход и произвольная статья бюджета. Политика информационной безопасности бизнеса разрабатывается на верхних уровнях управления и сотрудники не имеют права в одностороннем порядке решать, сколько информационной безопасности они «хотят». При этом гибкие исключения из правил позволяют выполнять необходимые бизнес-процессы, а руководители обеспечены средствами надлежащего контроля.

4. Информационная безопасность обеспечивается с учетом рисков

Оценка достаточности уровня защищенности основана на расчете допустимых информационных рисков, в том числе рисков нарушения требований регуляторов, сбоев в текущей работе, репутационного ущерба и финансовых потерь. Изучается воздействие внутренних и внешних рисков, на основе чего, при необходимости, пересчитываются допустимые уровни информационной безопасности бизнеса. Это неотъемлемая часть риск-менеджмента организации.

5. Определены роли и разделены зоны ответственности

На руководящие должности в области информационной безопасности - директор по информационным технологиям (CIO), директор по информационной безопасности (CISO), руководитель отдела безопасности (CSO), руководитель отдела по управлению рисками (CRO) – назначается квалифицированный персонал. Разные должности имеют четко разграниченные отчетность и обязанности.

6. Адекватная политика информационной безопасности

Требования к информационной безопасности реализуются через ясно и точно сформулированную политику ИБ, поддерживаемую персоналом и обеспеченную всеми необходимыми организационными и техническими мероприятиями.

7. Достаточность выделяемых ресурсов

Производится адекватное и устойчивое финансирование и выделение ресурсов на информационную безопасность. Ключевой персонал, в том числе ИТ-специалисты и офицеры безопасности, имеют достаточные ресурсы, полномочия и время для того, чтобы поддерживать систему информационной безопасности предприятия в требуемом состоянии.

8. Персонал обучен и информирован

Все сотрудники, имеющие доступ к цифровым активам, в курсе своих ежедневных обязанностей по поддержанию достаточного уровня информационной безопасности. Осведомленность, мотивированность и соблюдение принятых правил считаются нормой корпоративной культуры. Персонал проходит регулярные тренинги в области информационной безопасности. Политика ИБ отражена в должностных инструкциях.

9. Безопасный жизненный цикл ПО

Требования к информационной безопасности выполняются на протяжении всего жизненного цикла программного обеспечения, включая его приобретение, проектирование, разработку, тестирование, эксплуатацию, техническое обслуживание и списание.

10. Планируемая, управляемая и измеряемая информационная безопасность

Безопасность является неотъемлемой частью стратегического, финансового и оперативного планирования. В области информационной безопасности у предприятия есть достижимые, измеримые цели, интегрированные в стратегические и оперативные планы. Реализация данных целей контролируется с использованием метрик. Аудит существующих планов позволяет определять слабые места системы информационной безопасности, требования непрерывности бизнес-процессов и выполнение запланированного. Уровень информационной безопасности бизнеса является одним из показателей работы менеджеров и всегда учитывается при запуске новых проектов, во взаимоотношениях с другими участниками рынка, а также в ходе текущего управления проектами.

11. Регулярный аудит

Проводится регулярный аудит и, при необходимости, пересмотр корпоративной системы информационной безопасности. Это позволяет поддерживать желаемый уровень информационной безопасности в организации.

Поделиться: