Все больше организаций признают, что функции информационной безопасности не ограничиваются лишь защитой корпоративных активов.  Появляются новые важные задачи: совершенствование информационных технологий, повышение операционной эффективности и улучшение показателей деятельности компании в целом.

Результаты различных российских и международных исследований в области информационной безопасности показывают, что степень интеграции информационной безопасности в общую структуру управления рисками год от года повышается.

 

Приведение системы информационной безопасности в соответствие с бизнес-целями становится все более важной задачей для компаний.  Согласно нашим прогнозам, интеграция будет усиливаться по мере влияния внешних и внутренних угроз на результаты деятельности, бренд и репутацию компании.

При том, что в целом руководство компаний уделяет все большее внимание вопросам информационной безопасности, многие организации по-прежнему сталкиваются с проблемой обеспечения баланса между традиционными мероприятиями по информационной безопасности и растущей потребностью решения задач, направленных на повышение эффективности деятельности организации.

 

Компаниям необходимо определить баланс между обеспечением, с одной стороны, адекватного уровня защиты, с другой – доступа и функциональности для повышения эффективности деятельности.  Для достижения этой цели вопросы информационной безопасности должны решаться в совокупности с задачами оперативного управления компанией и учитываться в процессе принятия руководством стратегических решений.

 

Благодаря информационной безопасности организации получают дополнительные преимущества для бизнеса: лучше обеспечивают соответствие нормативным требованиям, а также повышают эффективность в области информационных технологий и операционной деятельности.

 

Тем не менее, руководители многих компаний до сих пор не относятся к вопросам информационной безопасности с должной серьезностью.  Многие сотрудники, занимающиеся информационной безопасностью, ни разу не участвовали во встречах с членами совета директоров или комитета по аудиту, а некоторые даже не встречаются с руководителями отделов в своих компаниях.

 

Компаниям необходимо постоянно отслеживать и оценивать уровень информационной безопасности организации, проводя самостоятельную оценку, внутренние и внешние аудиторские проверки, а также сравнительный анализ.

 

Основная сложность при реализации проектов в области информационной безопасности - дефицит квалифицированных и подготовленных специалистов в области информационных технологий и информационной безопасности.

 

Организациям необходимо определить приоритетность результатов, которые могут быть достигнуты с использованием ограниченных ресурсов, и/или привлекать третьи лица для устранения слабых мест в процессе управления бизнес-рисками, а также улучшения работы по направлениям, где требуется узкоспециальная техническая квалификация.

 

Большое значение имеет также выявление и управление рисками, связанными с действиями третьих сторон, путем выполнения официально закрепленных и единообразных процедур, постоянный мониторинг и оценка уровня информационной безопасности организации посредством проведения самостоятельной оценки, внутренних и внешних аудиторских проверок, а также сравнительного анализа.

 

Полезно также изучить альтернативные варианты комплектования службы информационной безопасности с целью решения растущей проблемы поиска опытных и обученных кадров.

 

Наши сотрудники имеют богатейший опыт работы в области информационной безопасности, подтвержденный успешно реализованными проектами и международными сертификатами CISSP (ISC)2, CISM (ISACA) и т.д..  Мы являемся основателями и самыми активными членами российской ассоциации профессионалов в области безопасности информационных систем (www.RISSPA.ru), которая, в свою очередь, является аффилированным подразделением международного консорциума по сертификации профессионалов в области ИБ - (ISC)2.

 

• построить функцию информационной безопасности, определить требуемый подход, организационную структуру и необходимый штат сотрудников;
• провести оценку ИТ и ИБ рисков;
• разработать политики и процедуры по информационной безопасности;
• оценить достаточность принятых технических мер;
• протестировать компьютерные сети и узлы на предмет несанкционированного проникновения (на устойчивость к взлому);
• провести классификацию данных;
• правильно ограничить доступ персонала;
• подготовиться к аудиту на соответствие требованиям общепринятых стандартов:
• ISO 27001:27005;
• Стандарт Банка России СТО БР ИББС-1.0.