Разработка ВНД на базе ГОСТ 57580 и процессного подхода
Срок выполнения: 3 месяца
Заказчик: небольшая организация финансового сектора (до 100 сотрудников).
Запрос: сделать работу Службы ИБ прозрачной и управляемой, сократить операционную нагрузку на сотрудников и минимизировать сложность работ в рамках семейства ГОСТ Р 57580.
Специалисты РАД КОП использовали процессный подход, в духе стандартов ISO 900х, на основе требований и структуры ГОСТ Р 57580.1-2017:
- Был проведен аудит границ проекта, выделены бизнес-процессы и технологические процессы Заказчика.
- Определены и описаны несколько уровней процессов обеспечения ЗИ, составлен полный реестр процессов обеспечения ЗИ Заказчика и закреплен на уровне специально разработанной Политики ИБ Заказчика (политика 1-го уровня).
- Для каждого из процессов обеспечения ЗИ составлено подробное описание действий, входящих в процесс, карточку процесса и матрицу распределения ответственности по процессу, что было закреплено в частных Политиках по процессу (политики и процедуры 2-го уровня).
- Заложены принципы PDCA (цикл Деминга-Шухарта), описывающие конкретные действия по планированию, реализации, контролю (обучению на недостатках) и совершенствованию (внедрению нового опыта) деятельности службы ИБ в Политику ИБ и частные Политики, описывающие процессы.
Результат:
В итоге, РАД КОП удалось перестроить работу Службы ИБ Заказчика: распределить ответственность за обеспечение ЗИ, снизить операционную нагрузку на сотрудников, а главное, сделать работу Службы ИБ прозрачной и измеримой для руководства за счёт внедрения процессного подхода к обеспечению ЗИ, основанного на лучших мировых практиках и ГОСТ Р 57580 Банка России. В результате Служба ИБ была интегрирована в систему управления организацией в целом.