Управление информационной безопасностью и отчетность

Стратегия информационной безопасности должна стать инструментом, направленным на построение диалога между функцией ИБ и бизнесом.

Развитие информационных технологий и рост объемов обрабатываемой информации меняют ландшафт киберугроз, для противодействия которым требуется комплексная стратегия информационной безопасности, управляемая исполнительным руководством организации.

Мы предлагаем вам ознакомиться с нашим подходом к разработке бизнес-ориентированной стратегии информационной безопасности, включая дорожную карту развития и модель управления информационной безопасностью.

В современном мире в условиях растущей конкуренции организациям становится все труднее удерживать свои позиции в занятой отрасли. Они вынуждены демонстрировать свою устойчивость к участившимся и более сложным по своей природе кибератакам. Правильное понимание состояния информационной безопасности организации по сравнению с лидерами отрасли с учетом международных стандартов является важной частью системы управления информационной безопасностью.

Специалисты ДРТ в области информационной безопасности помогут провести сравнительный анализ функции и процессов информационной безопасности с лидерами отрасли, включая:

• оценку текущего уровня зрелости процессов информационной безопасности;
• определение областей информационной безопасности организации, требующих внимания;
• разработку программы для повышения уровня зрелости процессов ИБ.

Разработка процессной модели информационной безопасности позволяет компаниям структурировать подход к выполнению задач в области информационной безопасности, назначить ответственных лиц за их выполнение и определить метрики оценки эффективности.

Внедрив процессную модель информационной безопасности, компания получит инструмент управления информационной безопасностью, основанный на потребностях бизнеса.

По мере цифровой трансформации бизнеса компании растет многообразие задач подразделений информационной безопасности.

Переход на использование сервисной модели обеспечения информационной безопасности позволяет компаниям структурировать текущие задачи информационной безопасности, отслеживать затраты на их выполнение и создаваемые результаты.

В основе нашего подхода лежат удовлетворение потребности компаний в гибкости при принятии бизнес решений, через трансформацию роли функции информационной безопасности из ограничителя в помощника при управлении киберрисками. Внедрив данный подход, компании смогут своевременно привлекать специалистов информационной безопасности для управления киберрисками, а также лучше понимать затраты своих подразделений на информационную безопасность.

Внедрение отчетности по информационной безопасности поможет выстроить эффективное взаимодействие между функцией информационной безопасности и высшим руководством компании, а также определить области, на которые стоит обратить особое внимание, и сделать процессы и задачи информационной безопасности прозрачными.

Кроме этого, внедрение отчетности может сопровождаться разработкой метрик информационной безопасности, направленных на оценку эффективности информационной безопасности и определение общего уровня защищенности компании.

Применяемый нами подход предусматривает агрегацию имеющихся в распоряжении функции информационной безопасности данных в зависимости от уровня лиц принимающих решения, исходя из их потребностей и ожиданий. Такой подход позволяет в наибольшей степени учитывать потребности пользователей отчетности по информационной безопасности и выявлять дефицит собираемых данных.

Мы помогаем руководству компаний выстроить систему управления информационной безопасностью на основе стандарта ISO/IEC 27 001 и определить задачи и приоритеты информационной безопасности в соответствии с потребностями бизнеса. В зависимости от целей проекта мы проводим оценку соответствия и разрабатываем дорожную карту по приведению в соответствие со стандартом ISO/IEC 27 001, помогаем в разработке документов и внедрении процессов, а также в подготовке к сертификации и ее прохождении.

Мы помогаем компаниям интегрировать информационную безопасность в процессы взаимодействия с поставщиками таким образом, чтобы на протяжении всего жизненного цикла (от идеи до завершения сотрудничества) была обеспечена защита данных, активов и репутации компании.