Применение принципов процессного подхода к ИБ в организации финансового сектора

Задача

Внедрить процессный подход к управлению информационной безопасностью на основе требований ГОСТ Р 57580.1-2017, объединив их с лучшими мировыми практиками ISO 2700х и принципами менеджмента качества ISO 900х.

Срок

65 рабочих дней

Сфера заказчика

Финансовая отрасль (кредитная организация)

Что сделали

Эксперты провели комплексный аудит системы ИБ, оценив её соответствие ключевым процессам защиты информации из ГОСТ Р 57580.1-2017. Для каждого процесса (управление доступом, защита сетей, контроль целостности инфраструктуры и др.) разработали детальные регламенты, интегрирующие:

• Требования к базовому составу мер защиты в соответствии с 7 разделом ГОСТ Р 57580.1-2017;
• Принципы PDCA (Plan-Do-Check-Act) соответствующие ISO 900х для непрерывного улучшения;
• Подходы к управлению рисками основанные на ISO 2700х;
• Опыт реализации компенсирующих мер при технических ограничениях.

Результат работы

После внедрения система ИБ организации получила:

• Структурированную модель управления, заключённую в Политику информационной безопасности и чёткое разделение на отдельные процессы защиты с KPI для каждого (например, время реакции на инциденты);
• Документированные политики. Комплект из регламентов, включая политики для реализации каждого из процессов ГОСТ Р 57580.1-2017, в том числе требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.

 

Теперь CISO организации может в режиме реального времени:

• Отслеживать зрелость каждого из 8 процессов ИБ через систему метрик;
• Быстро адаптировать меры защиты при изменениях в регуляторных требованиях;
• Обоснованно выбирать между базовыми и компенсирующими мерами защиты.

Подготовленные материалы