Применение принципов процессного подхода к ИБ в организации финансового сектора
Задача
Внедрить процессный подход к управлению информационной безопасностью на основе требований ГОСТ Р 57580.1-2017, объединив их с лучшими мировыми практиками ISO 2700х и принципами менеджмента качества ISO 900х
65 рабочих дней
Финансовая отрасль (кредитная организация)
Что сделали
Эксперты провели комплексный аудит системы ИБ, оценив её соответствие ключевым процессам защиты информации из ГОСТ Р 57580.1-2017. Для каждого процесса (управление доступом, защита сетей, контроль целостности инфраструктуры и др.) разработали детальные регламенты, интегрирующие:
- Требования к базовому составу мер защиты в соответствии с 7 разделом ГОСТ Р 57580.1-2017;
- Принципы PDCA (Plan-Do-Check-Act) соответствующие ISO 900х для непрерывного улучшения;
- Подходы к управлению рисками основанные на ISO 2700х;
- Опыт реализации компенсирующих мер при технических ограничениях.
Результат работы
После внедрения система ИБ организации получила:
- Структурированную модель управления, заключённую в Политику информационной безопасности и чёткое разделение на отдельные процессы защиты с KPI для каждого (например, время реакции на инциденты);
- Документированные политики. Комплект из регламентов, включая политики для реализации каждого из процессов ГОСТ Р 57580.1-2017, в том числе требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.
Теперь CISO организации может в режиме реального времени:
- Отслеживать зрелость каждого из 8 процессов ИБ через систему метрик;
- Быстро адаптировать меры защиты при изменениях в регуляторных требованиях;
- Обоснованно выбирать между базовыми и компенсирующими мерами защиты.
Подготовленные материалы
Наши специалисты ответят на любой интересующий вопрос