Модель системы менеджмента информационной безопасности

Зрелая система менеджмента информационной безопасности (СМИБ) обеспечивает эффективное управление ИБ — отсутствие неприемлемых рисков со стороны ИТ-систем для организации и поддержание баланса между рисками и затратами на обеспечение ИБ, с учетом требований бизнеса, законодательной и нормативной базы.

Современная СМИБ представляет собой процессно-ориентированную систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие «взгляды» на СМИБ: процессный, документальный и зрелостный.

Процессы СМИБ созданы в соответствии с требованиями стандарта ISO/IEC 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним, жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование. Документированные процессы СМИБ обеспечивают выполнение всех требований стандарта 27001.

Документация СМИБ состоит из политик, документированных процедур, стандартов и записей и делится на две части: документация менеджмента СМИБ и эксплуатационная документация СМИБ.

Зрелостная модель СМИБ определяет детализацию разрабатываемой документации и степень автоматизации процессов менеджмента и эксплуатации СМИБ. При оценке и планировании используется модель зрелости CobiT. В Программе повышения зрелости СМИБ приводятся состав и сроки мероприятий по совершенствованию процессов менеджмента ИБ и управления эксплуатацией средств ИБ.

При построении СМИБ выполняются следующие работы:

· организация управления проектом, формирование проектной группы со стороны заказчика и исполнителя;

· определение области деятельности (ОД) СМИБ;

· обследование организации в ОД СМИБ и т.д.

Сертификация СМИБ проводится по решению высшего руководства организации. Она обеспечивает конкурентное преимущество организации в случае, если соответствующие требования являются значимыми на целевых рынках. Сертификация СМИБ включает:

выбор сертифицирующей организации;

организацию предсертификационного аудита и т.д.

Методологическая основа построения СМИБ

Привлечение к сертификационному аудиту СМИБ зарубежных аудиторов диктует использование в ходе построения СМИБ оригинальных англоязычных версий современных стандартов в области управления ИБ и ИТ.

Перечень подсистем, состав средств каждой подсистемы и их поставщик определяются на этапе разработки и реализации технических проектов на основании результатов оценки и обработки рисков и принятия решения по их обработке высшим руководством компании.

В общий перечень подсистем входят:

подсистема антивирусной и антиспам защиты;

подсистема обнаружения и предотвращения вторжений т.д.

Результатом данных работ является функционирующая СМИБ целевого уровня зрелости.