04 Июля 2008 13:07 | 04 Июл 2008 13:07 | |

Поделиться

Эффективность ИБ: смогут ли бизнес и власть договориться?

страницы:   предыдущая   |   1    |   2   |   3    |   4    |   5    |   6    |  следующая

Практический опыт этого крупнейшего отечественного интегратора говорит о том, что сейчас наиболее распространены два сценария развития событий – эволюционное развитие ИБ (в случае органического роста бизнеса) и интеграция компаний с разным уровнем зрелости в плане обеспечения ИБ (в случае строительства холдингов и сделок по слиянию-поглощению).

Первый вариант отличается необходимостью формализации и улучшения процессов обеспечения и управления ИБ. Во втором случае стоят другие задачи – формирование единого управляющего каркаса (поскольку в каждой компании могут существовать свои собственные схемы управления и несения ответственности за ИБ), а также упорядочение и выравнивание нормативно-технической документации в этой области.

Но общим для обоих вариантов, по мнению экспертов "Крок", является то, что необходима структуризация процессов ИБ. Что это дает? Во-первых, устраняются противоречия в управленческих и организационных составляющих процессов обеспечения ИБ. Во-вторых, достигается полнота в нормативно-методических документах (НМД). В-третьих, улучшаются механизмы обеспечения ИБ в свете постоянного появления новых угроз. И, наконец, создаются все условия для достижения главной цели – создания и совершенствования единой системы управления информационной безопасностью (СУИБ).

Решая данные вопросы и достигая поставленные цели, важно сразу понять, какие задачи будут стоять, чтобы структурно подойти к построению СУИБ. Можно выделить три основные такие задачи: что взять в качестве основных ориентиров, как правильно выбрать метод эффективного достижения поставленных ориентиров и нужен ли выход на сертификацию/пересертификацию на соответствие стандартам ИБ.

Основной ориентир, рекомендуемый компанией "Крок", - это требования законодательства, отраслевые нормативные акты и общие стандарты, например, ISO 27001. Он представляет собой каркас требований к СУИБ. В качестве конкретных методик для реализации положений ISO 27001 могут быть использованы иные стандарты ISO, NIST, BSI и т.д., которые привносят в практику компаний элементы риск-менеджмента, оценки эффективности, а также непрерывности бизнеса.

После того, как выбор сделан и понятно к чему стремиться, важно понять, каким образом эти цели можно эффективно достичь. Встает и вопрос: где черпать информацию и к кому обратиться за помощью и консультациями.

Можно ориентироваться на те рекомендации, которые выдаются сертифицирующими организациями и разработчиками стандартов. Хотя эти документы отличаются своей академичностью и теоретическим характером, тем не менее, они могут пригодиться и помочь в понимании того, что стоит за тем или иным положением стандарта.

Второй ориентир – лучшие мировые практики, носителями которых могут быть, например, системные интеграторы и консалтинговые компании. Но надо помнить, что они не смогут помочь, если на предприятии существуют внутренние специфические проблемы, о которых больше всего известно только сотрудникам компании.

Кульминационной точкой задачи структуризации ИБ является сертификация или пересертификация. Бизнес в данном случае сам может определять: надо это ему или нет. Однако опыт показывает, что выгоды от этого этапа налицо.

Противостояние между функциональностью и безопасностью нарастает

Статьев Вячеслав в своем докладе обобщил опыт работы своей компании на российском рынке ИБ и, в частности, остановился на проблеме противостояния между функциональностью и безопасностью информационных систем. В этой ситуации специалисты РНТ, впрочем, как и большинство ИБ-шников, часто оказываются между "молотом и наковальней".

страницы:   предыдущая   |   1    |   2   |   3    |   4    |   5    |   6    |  следующая

Поделиться

Короткая ссылка