ЦЕЛЬ
Внедрение в банках Украины стандартов по управлению информационной безопасностью (ИБ) позволит:
- снизить и оптимизировать стоимость построения и поддержки системы ИБ;
- постоянно отслеживать и оценивать риски с учетом целей бизнеса;
- эффективно определять наиболее критические риски и избегать их реализации;
- разработать эффективную политику ИБ и обеспечить ее исполнение;
- эффективно разрабатывать, внедрять и тестировать планы восстановления бизнеса;
- обеспечить понимание вопросов ИБ всеми сотрудниками банка;
- обеспечить рост репутации и рыночной привлекательности банков;
- обеспечить защиту от рейдерских атак.
Следует отметить, что приведенные выше преимущества не будут достигнуты путем лишь «формального» подхода к разработке, внедрению и функционированию системы управления информационной безопасности (СУИБ) и незаинтересованности руководства и сотрудников банка в повышении уровня информационной безопасности.
ПЛАН ДЕЙСТВИЙ
1. Подготовка к внедрению СУИБ
1.1. Обязательства руководства по управлению ИБ:
1.1.1. назначение ответственных лиц за внедрение и функционирование СУИБ;
1.1.2. определение требований по информационной безопасности банка.
1.2. Описание существующей инфраструктуры и мер безопасности:
1.2.1. классификация информации;
1.2.2. описание критических бизнес-процессов и программно-технических комплексов,
обеспечивающих их функционирование;
1.2.3. описание организационной структуры банка, которую охватывает СУИБ;
1.2.4. описание структуры сети банка;
1.2.5. описание физической среды; банк должен иметь следующие документы:
- описание географического и территориального расположения помещений банка для
определения угроз со стороны окружающей среды;
- описание принципов пропускного режима;
- приказ по определению помещений с ограниченным доступом и описание соответствующей
защиты этих помещений с обеспечением контроля доступа к таким помещениям;
- описание принципов построения систем видеонаблюдения;
- описание системы электропитания и заземления;
- описание охранной и пожарной сигнализации;
- описание условий хранения носителей информации.
1.2.6. Описание принципов обеспечения непрерывности работы;
1.3. Оценка рисков и планирование обработки рисков
1.3.1. анализ угроз и уязвимости;
1.3.2. оценивание рисков
1.3.3. обработка рисков
1.3.4. определение целей дополнительных мер безопасности
1.3.5. подготовка Положения о применимости
2. Внедрение и функционирование СУИБ
Внедрение и функционирование СУИБ требует не только деятельности, связанной с внедрением мер безопасности, а также специфической деятельности для поддержки функционирования СУИБ в дальнейшем.
По результатам деятельности, описанной в предыдущих разделах, создается политика управления ИБ, где определяются основные виды деятельности по внедрению и функционированию СУИБ со ссылками на все документы низшего уровня. В этой политике должны быть также определены процедуры и сроки выполнения специфических для СУИБ видов деятельности, а именно:
- мониторинг функционирования СУИБ;
- измерение эффективности СУИБ;
- внутренний аудит СУИБ;
- обучение персонала;
- управление инцидентами ИБ;
- просмотр СУИБ руководством банка;
- корректируя и предупреждающие действия.
3. Перечень документов, которые должны быть созданы при подготовке к внедрению СУИБ в банках Украины
- Приказ о создании специального руководящего органа по вопросам ИБ
- Приказ о назначении руководителя проекта внедрения и функционирования СУИБ;
- Перечень законодательных, регуляторных и нормативных требований ИБ;
- Обязательства работников банка по сохранению информации с ограниченным доступом;
- Перечень сведений, содержащих информацию с ограниченным доступом;
- Ограничение специального делопроизводства для документов, содержащих информацию с ограниченным доступом.
- Перечень критичных бизнес-процессов;
- Краткое описание каждого бизнес-процесса;
- Блок-схема связей между бизнес-процессами;
- Перечень организационных структур банка, который охватывается СУИБ;
- Положение о сети банка;
- Положение (политики) по различным вопросам управления сетью;
- Описание географического и территориального расположения помещений банка;
- Описание принципов пропускного режима;
- Приказ по определению помещений с ограниченным доступом;
- Описание принципов построения систем видеонаблюдения;
- Описание системы электропитания и заземления;
- Описание охранной и пожарной сигнализации;
- Описание условий хранения носителей информации.
- План обеспечения непрерывной деятельности и действий в случае возникновения чрезвычайных ситуаций;
- Перечень угроз и уязвимостей;
- Описание методологии оценки рисков;
- Отчет по оценке рисков;
- Описание методологии обработки рисков;
- Документы о принятии остаточных рисков;
- План обработки рисков;
- Политика управления информационной безопасностью;
- Описание процедуры мониторинга СУИБ;
- Описание методики измерений эффективности СУИБ;
- Описание процедуры регистрации и обработки инцидентов информационной безопасности;
- Описание процедуры внутреннего аудита;
- Программа внутреннего аудита;
- Описание процедуры просмотра СУИБ со стороны руководства;
- Программа и планы обучения и тренингов персонала;
- Описание процедуры корректирующих действий;
- Описание процедуры предупреждающих действий;
- И некоторые другие.
Хотите получить детальный «План внедрения отраслевого стандарта ISO/IEC 27001:2005 MOD»? Наши консультанты готовы не только бесплатно предоставить вам такой План, но и просчитать для Вас рабочий график внедрения Стандарта, с указанием основных этапов, их результата, ожидаемой продолжительности и стоимости!
Для этого необходимо:
- Заполнить регистрационную форму;
- Скачать «План внедрения отраслевого стандарта ISO/IEC 27001:2005 MOD»;
- Заполнить «Анкету предварительного исследования» и выслать ее на skarpenko@sibis.com.ua;
- Получить на электронную почту рабочий график, подготовленный нашими консультантами!
