Евгений Дружинин, "Крок"

Структуризация процессов
управления информационной
безопасностью для крупных
предприятий или холдингов
Евгений Дружинин,
ведущий системный инженер
компании КРОК
Объекты анализа – крупные предприятия и
холдинги
• Укрупнение предприятий
– эволюционное усложнение ИБ от базовых элементов
защиты к высокоуровневым
– назревшая необходимость формализации/улучшения
процессов обеспечения и управления ИБ
• Формирование холдингов (слияние компаний)
– наличие компаний с разным уровнем зрелости в плане
обеспечения ИБ
– отсутствие единой структуры управления и несения
ответственности за ИБ
– различия в нормативно-методических документах,
регламентирующих процессы управления ИБ
Цели проведения структуризации процессов
ИБ
• устранение противоречий в управленческих и
организационных составляющих процессов обеспечения ИБ
• достижение полноты в нормативно-методических документах
(НМД)
• улучшение механизмов обеспечения ИБ в свете постоянного
появления новых угроз
• создание/совершенствование единой функционирующей
системы управления информационной безопасностью
(СУИБ)
Задачи структуризации
• выбор ориентиров. Российские (ГОСТ Р ИСО/МЭК 270012006, СТО БР ИББС-1.0) и международные (ISO 2700X, ISO
13335, ISM3 и др.) стандарты
• эффективное достижение выбранных ориентиров. Опора
на рекомендации по внедрению стандартов от
сертифицирующих организаций, внедрение лучших практик,
внешняя независимая оценка и консалтинг
• выход на сертификацию/пересертификацию на
соответствие стандартам ИБ
Этапы проведения структуризации
• обследование и анализ структуры управления, НМД,
информационных активов, технических механизмов и
организационных процессов
• выделение наиболее эффективных из имеющихся
наработок и формирование предложений по
совершенствованию ИБ с целью достижения выбранных
ориентиров
• разработка/доработка НМД (в т.ч. методики анализа
рисков)
• проведение анализа рисков, ранжирование рисков, выбор
организационных и технических механизмов защиты
• формирование плана работ по
созданию/совершенствованию СУИБ (внедрение защитных
механизмов, запуск организационных процессов)
• реализация планов
Структура НМД
Структура СУИБ
Планирование и организация
• определение границ СУИБ
• определение политики
• идентификация рисков
• оценка рисков
• выбор задач управления
Plan
• декларация применимости
• внедрение механизмов
контроля
• внедрение улучшений
• корректирующие
и превентивные действия
Act
Непрерывное
улучшение
Внедрение и
эксплуатация
• разработка и
реализация плана по
минимизации рисков
Сопровождение
и улучшение
Do
Check
• обсуждение
и согласование
результатов
• подтверждение
достижения задач
управления
Мониторинг и аудит
• процедуры
мониторинга
• регулярная проверка
эффективности
• внутренний аудит
Практический опыт компании КРОК
• наработан опыт разработки нормативно-методической
документации, учитывающей специфику Заказчика и
соответствующей ISO 27001
• наработан опыт создания, эксплуатации и сертификации
СУИБ в собственной компании в соответствии с ISO 27001
• выполнен ряд проектов в крупных компаниях/холдингах по
подготовке базиса СУИБ и выходу на сертификацию по ISO
27001
Преимущества КРОК в области консалтинга по ИБ
• наличие сертифицированных ИТспециалистов по многим направлениям
деятельности в области ИБ
• наличие собственного сертификата на
соответствие стандарту ISO 27001
• партнерство с ведущими производителями
программного и аппаратного обеспечения, в
том числе с BSI
• большой практический опыт реализации
крупных комплексных проектов по
информационной безопасности, в т.ч. в
области консалтинга ИБ
Партнеры КРОК в области ИБ
Спасибо за внимание !
Евгений Дружинин,
ведущий системный инженер
компании КРОК
Тел.: (495)974-2274
E-mail: edruzhinin@croc.ru