Что такое система менеджмента информационной безопасности
Система менеджмента информационной безопасности (СМИБ) — это одна из систем управления организацией, направленная на защиту информации от потери, несанкционированного доступа, искажения и других угроз.
В условиях цифровизации и удалённого доступа к данным, информационная безопасность становится неотъемлемой частью стратегии устойчивого развития. Потеря коммерческой тайны, атаки на инфраструктуру, компрометация персональных данных — риски, которые нельзя игнорировать.
Требования к СМИБ описаны в международном стандарте ISO/IEC 27001:2022.
На территории Республики Беларусь действует национальный стандарт СТБ ISO/IEC 27001-2024, устанавливающий требования к системе менеджмента информационной безопасности.
Данный стандарт определяет чёткие требования к построению эффективной СМИБ на уровне процессов, технологий и ответственности.
Порядок разработки системы менеджмента информационной безопасности
Ниже рассмотрим основные этапы разработки системы менеджмента информационной безопасности, после которых с уверенностью можно заявить, что СМИБ внедрена и готова к прохождению сертификационного аудита.
1. Первичный аудит и GAP-анализ
На первом этапе производится:
• оценка текущего уровня защиты информации;
• анализ соответствия требованиям СТБ ISO/IEC 27001-2024;
• выявление пробелов, подготовка отчёта и плана улучшений.
2. Формирование проектного плана и назначение ответственных
На втором этапе определяются границы СМИБ (scope), формируется рабочая группа, а также назначаются владельцы рисков, контролей и процедур.
3. Разработка документации СМИБ
Документация СМИБ включает базовые документы, которые тесно связаны с системой менеджмента качества, а специфические, присущи непосредственно СМИБ:
• Политики, процедуры, реестры, регламенты;
• Реестр активов, рисков, угроз и уязвимостей;
• Методика оценки рисков;
• Планы реагирования на инциденты, восстановления, резервного копирования;
• Контекст организации, заинтересованные стороны, цикл PDCA и др.);
• Внутренние аудиты;
• Инструкции по шифрованию, доступу, резервному копированию и т.д.
4. Оценка рисков и внедрение мер контроля
На данном этапе происходит построение реестра активов, угроз и уязвимостей;
• Применение Annex A (Приложение A стандарта 2024 года — обновлённый список контролей);
• Назначение ответственных за исполнение контролей.
5. Обучение персонала
После разработки основной части документации СМИБ необходимо ознакомить и обучить сотрудников как работать по новым процедурам и стандартам, какие записи заполнять и с какой периодичностью. Для высшего руководства обычно проводиться отдельное обучение, где разбирается методология СМИБ.
По результатам обучения проводится проверка эффективности всех внедрённых элементов.
6. Проведение внутренних аудитов
После внедрения документации СМИБ, необходимо провести внутренние аудиты в каждом подразделении организации, которое входит в область СМИБ. Это позволяет на начальном этапе выявить несоответствия в работе, разработать корректирующие действия и убедиться, что все требования стандарта выполняются.
7. Оценка результативности СМИБ
Заключительным этапом внедрения СМИБ является оценка ее результативности. Методика оценки подбирается при разработке документации, однако выполняется после определенного времени работы системы, чтобы было время на оценку. Оценивая результативность организация сможет понять, в какой степени внедрение СМИБ помогло достичь тех целей, которые ставились перед ее разработкой, а также разработать мероприятия, направленные на улучшение СМИБ.
Кому нужна система менеджмента информационной безопастности
В основном СМИБ необходима компаниям:
• Работающим с персональными данными, конфиденциальной или коммерческой информацией;
• Участвующим в госзакупках или тендерах, где требуется наличие сертификата;
• Ведущим B2B-контракты с крупными заказчиками, в том числе международными;
• ИТ-компаниям и SaaS-сервисам, обрабатывающим клиентские данные;
• Производственным и дистрибутивным организациям, где важна стабильность ИТ-процессов.
