Обеспечение высокого уровня информационной безопасности (ИБ) и защиты информации на предприятии зависит в первую очередь от эффективности созданной структуры управления. В предыдущих статьях мы уже рассмотрели вопросы определения и оценки рисков ИБ и управления рисками ИБ. Настоящее описание затрагивает документальную сторону процесса построения системы управления информационной безопасностью (СУИБ) в целом и процедуры управления риском в частности. Этот материал особенно актуален для предприятий оборонно-промышленного комплекса (ОПК), к которым в соответствии с пунктом 4.3 национального стандарта ГОСТ РВ 0015-002-2012 «Система разработки и постановки на производство военной техники. Системы менеджмента качества. Общие требования» предъявляются требования по внедрению и документальному оформлению порядка соблюдения информационной безопасности для участия в государственном оборонном заказе. В целях подтверждения выполнения данного требования предприятиям необходимо построить и сертифицировать СУИБ согласно национальному стандарту ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

В начале, как правило, на предприятии формируется обособленное подразделение по обеспечению информационной безопасности (отдел ИБ), которое подчинено первым лицам компании. Именно через такую иерархию достигается независимость данного отдела от IT-подразделений компании, работу которых собственно и контролирует отдел ИБ. Работники, обеспечивающие информационную безопасность, должны иметь соответствующее профильное образование или пройти профессиональную переподготовку.

Национальный стандарт ИСО 27002 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», содержащий лучшие практические подходы к управлению информационной безопасностью, рекомендует создание коллегиального органа «Совет по информационной безопасности». Совет представляет собой группу сотрудников, ответственных за поддержание различных сфер ИБ. Формирование Совета возможно с включением в него уполномоченных сотрудников из задействованных структурных подразделений предприятия, таких как: отдел ИБ, производственные службы, отделы экономической безопасности (ЭБ) и информационных технологий (ИТ), кадровая служба, отдел стандартизации, правовая служба и др. Распределение ответственности и ролей по обеспечению информационной безопасности отражается в локальной нормативной документации предприятия. В компетенцию Совета передают вопросы утверждения нормативных документов в области информационной безопасности, формирования методологии управления рисками, планирования мероприятий и отчетности.

Для анализа рисков на предприятии рекомендуется создать Экспертный совет под председательством владельца процесса управления информационной безопасностью. В состав Экспертного совета включаются владельцы связанных ключевых процессов управления, представители отделов ИБ, ИТ и ЭБ. Под владельцами процессов мы понимаем лиц, ответственных за определение и оценку рисков процессов, а также осуществляющих управление этими рисками. В функции Экспертного совета входит:

  • определение активов ИБ и их критичности;
  • определение потенциальных угроз;
  • определение потенциальных уязвимостей активов ИБ;
  • оценка рисков;
  • разработка и корректировка планов по предупреждению и реагированию на риски;
  • мониторинг и контроль осуществления мероприятий по предупреждению и реагированию на риски;
  • регулярный анализ рисков.

Основной формой работы Экспертного совета являются заседания, которые проводятся в соответствии с определенной периодичностью. Экспертный совет может проводить внеочередные заседания при необходимости проведения внеплановой оценки рисков.

Важнейшей задачей Экспертного совета становится организация и актуализация процесса управления рисками. Начинается процесс управления традиционно с планирования. Формируются планы по предупреждению и реагированию на риски, как части общего «Плана обработки рисков». Планы предупреждения и планы реагирования (ограничения последствий) риска содержат и структурируют основную информацию по риску:

  • формулировка риска (угрозы);
  • объекты уязвимости – группы активов ИБ, на которые действует риск;
  • категория риска (высокая/средняя/низкая);
  • пакеты продукции/услуг, на которые действует угроза;
  • источник угрозы;
  • последствия реализации угрозы;
  • триггер (проявление риска) – признак, по которому можно определить проявление риска;
  • цель действий по предупреждению риска;
  • стратегия по обеспечению информационной безопасности, используемая при реализации плана.

План мероприятий по предупреждению рисков должен содержать формулировку действия, ответственное лицо и условие выполнения действия. При этом предупреждающие действия могут иметь либо постоянную периодичность: ежемесячно, еженедельно и т.п., либо выполняться при определенном условии, например, при внедрении новой системы, при приеме нового сотрудника и т.п. План мероприятий по реагированию на риск должен содержать последовательность действий при срабатывании триггера, а также ответственных за выполнение действий и их роль.

Главным итогом выполнения плана обработки рисков становится реагирование на риски и совершенствование самого плана в результате анализа проведенных действий. Таким образом, получаем цикл управления, который соответствует принципу процессного подхода и обеспечивает эффективность системы риск-менеджмента. Отметим, благодаря единым базовым принципам, положенным в основу всех стандартов ИСО, система управления на предприятии строится комплексно, интегрируя в себе подсистемы управления разных направлений. Более подробно мы останавливались на этом в статье посвященной взаимосвязи стандартов.

Следственно, для организаций, выпускающих военную продукцию, СУИБ интегрируется с общей системой управления, которая строится согласно стандарту ГОСТ РВ 0015-002, применяемому при создании и оценке системы менеджмента качества, используя совокупность требований национального стандарта ГОСТ Р ИСО 9001 «Системы менеджмента качества. Требования» и отраслевых дополнений к ним. Более того, для получения предприятием ОПК лицензии МинПромТорга (сокращенно – лицензии ВВТ) обязательна сертификация по стандарту ГОСТ РВ 0015-002.

В целях подтверждения соответствия СУИБ нормативным требованиям рекомендуем предприятию заблаговременно пройти сертификацию системы менеджмента ИБ на соответствие стандарту ИСО 27001:2013. Надеемся, представленный материал принес практическую пользу. Если у Вас есть другие вопросы по данной тематике, наши специалисты готовы помочь разобраться в них. Закажите консультацию по управлению рисками системы менеджмента вашего предприятия прямо сейчас.

 

Лицензия на деятельность в сфере государственного оборонного заказа

arrows

Подробнее

Сертификация ГОСТ РВ 0015-002-2012 для получения лицензии МинПромТорга (ВВТ)

arrows

Подробнее

Сертификация по стандарту ISO 27001 (ГОСТ Р ИСО 27001)

arrows

Подробнее