Системы управления ИБ

Система управления информационной безопасностью (СУИБ) Организации - часть общей системы управления Организации, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

Главным преимуществом создания СУИБ является четкое соотнесение стоимости информационных ресурсов, рисков информационной безопасности и расходов на их снижение (закупка средств защиты, изменение бизнес-процессов и т.д.). Создание СУИБ особенно актуально для крупных Организаций, в работе которых используется процессный подход. Как правило, такие Организации стремятся соответствовать серии стандартов ISO 9000 систем.

Создание СУИБ в Организации – комплексный вопрос, включающий следующие этапы:

Разработка концепции оценки рисков ИБ
Выявление рисков ИБ

Определение информационных активов и их владельцев
Выявление опасности для этих активов
Выявление уязвимых мест в системе защиты
Выявление воздействий, которые нарушают конфиденциальность, целостность и доступность активов

Оценка рисков

Оценка ущерба бизнесу Организации, который может быть нанесён вследствие несостоятельности системы защиты
Оценка уровней риска
Определение приемлемости риска

Выявление и оценка инструментов для сокращения рисков ИБ
Отбор средств управления для сокращения рисков ИБ
Внедрение средств управления рисками ИБ
Разработка и внедрение правил оценки эффективности и мониторинга средств управления рисками ИБ
Разработка и внедрение правил периодического пересмотра СУИБ