Разработка и внедрение СУИБ на основе стандарта ISO/IEC 27001

Область действия СУИБ

Этот этап предусматривает четкое определение области действия и границ систем безопасности учитывается политика безопасности и уровни конфендициальности компании заказчика. На основе этих данных разграничивается зона действия СУИБ.

Здесь следует учитывать информационные активы компании, сюда относятся и физическое обеспечение. В список входит сетевое оборудование рабочие станции, сервера и вспомогательное оборудование.

Учитывается политика компании по использованию программного обеспечения.  Варианты используемых публичных лицензий, поддержка производителем и анализ защищенности программных продуктов.

Анализ рисков

Практически вся работа, связанная с обеспечением безопасности начинается с анализа рисков.  Этот этап довольно трудоемок и в задачу входит, как можно серьезней отнестись к возможным угрозам. Нужно произвести анализ событий имевших место быть выявленными как в своей организации, так и воспользовавшись чужим опытом.

Оценка эффективности СУИБ

Любая внедряемая система должна быть эффективна в своем действии и всегда прогрессировать на улучшение. Для лучшей оценки  используются инструменты мониторинга СУИБ. Для обеспечения полного обзора мониторингом предусматривается наличие следующих областей контроля:

  • Управление документацией и инструментами ведения журналов событий.
  • Информационная безопасность и ее политика.
  • Контроль бизнес процессов.
  • Управление инцидентами и их решение.
  • Внутренние и внешние аудиты.
  • Постоянные корректирующие и предупреждающие действия.

Стандартом ISO 27001 предписывается и рекомендуется еще множество действий для обеспечения информационной безопасности, подробней можно узнать, проконсультировавшись со специалистами компании ООО «ПроТехСтандарт». Компания, изучив инфраструктуру вверенного объекта, предоставит построение макета СУИБ  ориентированного на требования заказчика.

 Документация СУИБ

Документация СУИБ охватывает много положений требуемых стандартом, еще раз их перечислять не имеет смысла. Обозначим только общие положения первостепенного значения.

  • Документально оформленное заявление о политике.
  • Область применения.
  • Процедуры и средства управления.
  • Описание методов определения рисков.
  • Оценка рисков в виде отчетов.
  • Обработка рисков виде планов.
  • Положение о применимости.

Все эти разделы охватывают действия и процессы СУИБ и являются основой обеспечения безопасности на самом высоком уровне.