Стратегия информационной безопасности

Стратегия ИБ — это структурированная и взаимосвязанная совокупность действий, нацеленная на улучшение в долгосрочном плане защищенности конфиденциальной информации организации. Имея перед собой цель в виде системы обеспечения информационной безопасности (СОИБ), стратегия определяет оптимальный путь движения к ней. При разработке стратегии ИБ необходимо использовать различные подходы (базовый, детальный, экспертный).

Для чего нужна разработка стратегии ИБ

Стратегия ИБ необходима недавно созданной организации для построения СОИБ и задания вектора развития и совершенствования защиты информации (ЗИ) организации, либо крупной и стабильной организации у которой есть «уверенность в завтрашнем дне», готовой строить планы на годы вперед.

В обоих упомянутых случаях рекомендуется разрабатывать стратегию ИБ как дорожную карту, как универсальный инструмент планирования и синхронизации мероприятий по построению эффективной СОИБ. Она позволяет сделать достижение цели прозрачным и управляемым за счет установки ограничений и приоритетов принятия тактических, а также стратегических решений для тех, кто отвечает за развитие компании или отдельных её направлений.

Важно подчеркнуть, что стратегия ИБ не должна быть статической и должна пересматриваться и при необходимости корректироваться, задавая новые приоритеты принятия тактических решений в отличие от решений стратегических, которые, как вектор развития, остаются неизменными.

В отличие от общего мнения, что стратегия ИБ необходима только лицам, ответственным за ИБ в организации, очень важно понимать, что стратегия ИБ является неотъемлемой частью стратегии развития всей организации, а именно:

• Для руководства организации стратегия ИБ необходима для понимания роли ИБ в развитии организации и понимание целей и объема затрат при построении СОИБ, а также определение инструментов контроля достижения поставленных целей.
• Для службы информационных технологий (ИТ) организации стратегия ИБ необходима для понимания роли ИБ в развитии ИТ компании, понимания требований со стороны ИБ к информационной инфраструктуре организации, исключение конфликтов между лицами, реализующих ИБ в организации и ИТ службы.
• Для службы ИБ организации, либо лиц, реализующих ИБ в организации стратегия ИБ необходима для понимания установленных единых принципов развития ИБ, понимания построенной системы ИБ организации, наличия подробного плана действий по построению СОИБ, соответствия законодательству и отраслевым стандартам в части обеспечения ИБ.

RTM Group реализует комплекс работ по разработке концепции информационной безопасности, стратегии ИБ, а также иных нормативных и организационно-распорядительных документов, регламентирующих правила и процедуры осуществления процессов управления и обеспечения ИБ.

Как происходит разработка стратегии ИБ

Как происходит разработка стратегии ИБ (вариант 1, если разрабатывается с ноля)

Для разработки стратегии ИБ с нуля необходимо:

• Проанализировать перечень конфиденциальной информации, обрабатываемой в организации;
• Определить ключевые бизнес-процессы организации;
• Проанализировать выстроенную информационной инфраструктуры организации и определить её ключевые элементы;
• Провести анализ рисков ИБ по завершению обработки поступившей информации;
• Провести интервьюирование руководства организации и всех заинтересованных сотрудников (сотрудники ИБ, ИТ, юридическая служба, топ менеджмент);
• Определить вектор развития ИБ организации на установленный срок;
• Разработать внутреннюю организационно распорядительную документацию (ОРД) организации в направлении ИБ;
• Утвердить план совершенствования СОИБ на установленный срок.

Как происходит разработка стратегии ИБ (вариант 2, если есть основа)

Для разработки стратегии ИБ необходимо:

• Проанализировать перечень конфиденциальной информации, обрабатываемой в организации;
• Определить ключевые бизнес-процессы организации;
• Проанализировать выстроенную информационную инфраструктуру организации и определить её ключевые элементы;
• Провести анализ рисков ИБ по завершению обработки поступившей информации;
• Проанализировать выстроенную СОИБ организации;
• Провести интервьюирование руководства организации и всех заинтересованных сотрудников (сотрудники ИБ, ИТ, юридическая служба, топ менеджмент);
• Уточнить вектор развития ИБ организации на установленный срок;
• Проанализировать внутреннюю организационно распорядительную документацию (ОРД) организации в направлении ИБ и при необходимости разработать;
• Утвердить план совершенствования СОИБ на установленный срок.

Результат разработки стратегии ИБ

Как результат разработки стратегии ИБ позволит в будущем:

• выполнить требования по ИБ (законодательства, регуляторов, партнеров и т.п.);
• свести риски нарушения ИБ к минимуму;
• обеспечить соответствие целям бизнеса с учетом предполагаемых изменений бизнес и IT-процессов;

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Разработка проводятся экспертами обладающих большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты