Основные этапы создания СУИБ

 

Способ построения СУИБ в организации зависит от присутствия в ней категорированной информации. В организациях, в которых обращается информация, составляющая государственную, процесс создания СЗИ заключается в удовлетворении нормативным требованиям с применением специального оборудования, ПО и привлечением специализированных организаций. В коммерческих организациях (в которых присутствует информация, составляющая коммерческую и профессиональную (например, банковскую) тайны, а также персональную информацию) процесс построения СУИБ должен основываться на анализе рисков.

 

ЭТАП ПЛАНИРОВАНИЕ СУИБ

Установите политику, цели, процессы и процедуры, относящиеся к менеджменту рисков и улучшению защиты информации для выдачи результатов в соответствии с общей политикой и целями организации.

a) Определение области применения и границ СУИБ:

Описание вида деятельности и бизнес-целей организации;

Указание местоположения систем, охватываемых СУИБ;

Описание активов организации (виды информационных ресурсов, программно-технические средства, персонал и организационная структура);

Описание бизнес-процессов, использующих защищаемую информацию.

Пример области деятельности

b) Определение политики в отношении СУИБ организации (расширенная версия ПБ).

Содержание политики СУИБ:

· Цели, направления и принципы действия в отношении защиты информации;

· Ссылки на законодательные, нормативные и деловые требования, а также договорные обязательства по защите;

· Описание стратегии управления рисками в организации;

· Критерии значимости риска;

· Позиция руководства.

 

c) Определение подхода к оценке риска в организации.

Методология оценки риска (в зависимости от СУИБ, установленным деловым требованиям защиты информации, законодательным и нормативным требованиям).

Необходимо подобрать такую методику анализа рисков, которую можно было бы использовать с минимальными изменениями на постоянной основе. Есть два пути: использовать существующие на рынке методики и инструментарий для оценки рисков или же разработать свою собственную методику, которая наилучшим образом будет подходить к специфике компании и охватываемой системой управления информационной безопасности области деятельности.

 

d) Выявление рисков.

Идентификация ресурсов и их владельцев

- Информационные ресурсы (конфиденциальная и критичная информация компании);

- Программные ресурсы (ОС, СУБД, критичные приложения, например ERP);

- Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);

- Сервисные ресурсы (электронная почта, www и т.д.).