Внимание финансовых организаций к вопросам обеспечения информационной безопасности неуклонно растет. C увеличением числа внедряемых средств защиты возникают проблемы роста, связанные с обслуживанием этих систем, определением целесообразности использования средств для защиты различных категорий данных.
Для многих крупных российских банков на первый план вышли вопросы выбора и адаптации методик использования инструментальных средств, а также разработки моделей управления безопасностью и живучестью защищаемых объектов.
Процессный подход
Сегодня передовой опыт построения систем управления основывается на использовании процессного подхода. Смысл его заключается в непрерывном улучшении системы защиты через переоценку рисков, анализ, постоянное совершенствование моделей защиты и обеспечения непрерывности бизнеса.
Таким образом, система управления информационной безопасностью должна включать процедуры анализа и переоценки рисков, сравнение показателей по периодам и внесение соответствующих изменений в процедуры обеспечения информационной безопасности.
В частности, периодической оценке должны подлежать следующие позиции:
- состояние информационной системы, определение номенклатуры информационных ресурсов и правила их объединения в рабочие группы;
- категории данных, обрабатываемых информационной системой, материальная оценка ущерба в случае дискредитации данных;
- организация работы пользователей информационной системы, определение принадлежности групп пользователей к определенным информационным ресурсам, виды и права доступа к информации, определение режима доступности информации (время простоя при попытке доступа к информации в каждой из групп пользователей);
- описание бизнес-процессов и их привязки к информационным ресурсам и категориям обрабатываемой информации;
- эффективность организационных мер защиты информации, организация физической защиты доступа к информационным ресурсам, защита рабочих мест, безопасность персонала, управление коммуникациями и процессами, процедуры контроля доступа, возможность внесения изменений в исполняемые файлы и библиотеки информационных ресурсов, функционирование и актуальность плана обеспечения непрерывности бизнеса, соответствие документированным требованиям политики безопасности.
Поддержка процессов управления
Следующим шагом в управлении рисками видится переход к интегрированной системе менеджмента (ИСМ) банка. Система основывается на гармонизации различных систем управления (IТ, информационной безопасностью, качеством, физической безопасностью, обеспечением бесперебойной работы ключевых сервисов) и внедрении интегрированного подхода к управлению рисками.
Традиционно риски оцениваются на уровне активов (IТ-ресурсы, персонал, репутация, чувствительные данные), и карта рисков заполняется с точки зрения информационной безопасности. ИСМ предлагает расширить область оценки и рассматривать активы как рискообразующие факторы для целого набора систем управления. Таким образом, карта рисков дополняется сведениями и со стороны других систем управления.
Миграция в сторону ИСМ на базе процессного управления позволяет рассматривать риски безопасности банковских структур с учетом всех аспектов деятельности. ИСМ, несомненно, будет служить дальнейшему развитию качества работы профильных подразделений банков
Начать дискуссию