8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400074, г. Волгоград, ул. Козловская, д. 71
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Партнеры
  • Карта партнера
  • Конфиденциальность
  • Политика
  • Доверенности
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Партнеры
    • Карта партнера
    • Конфиденциальность
    • Политика
    • Доверенности
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Партнеры
        • Карта партнера
        • Конфиденциальность
        • Политика
        • Доверенности
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400074, г. Волгоград, ул. Козловская, д. 71
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      Стратегии построения СУИБ

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • Стратегии построения СУИБ
      4 апреля 2022
      // Информационная безопасность

      Система управления информационной безопасностью — это элемент общей системы управления организации.

      Получить оценку защищенности

      Понятие

      В основе СУИБ заложен анализ рисков, с помощью которого организация реализует и контролируют общую систему защиты информации. Основной задачей СУИБ является защита предприятия, бизнес-процессов, данных и систем от несанкционированного вмешательства.

      К задачам СУИБ традиционно относят защиту персональных и конфиденциальных данных, а также контроль доступа к информации отдельных лиц или организаций. Обеспечение должного уровня защиты достигается путем грамотного распределения ресурсов, специалистов и экспертов, отвечающих за бесперебойное функционирование системы.

      Базовые шаги, которые компания должна пройти на первом этапе:

      1. Распределение обязанностей между специалистами, которые отвечают за информационную безопасность.
      2. Анализ рисков и бизнес-процессов.
      3. Экспертная оценка состояния информационной безопасности.
      4. Разработка политики информационной безопасности.
      5. Контроль соблюдения регламента по уровням доступа к информации среди сотрудников.
      6. Свод правил и методик, регламентирующих управление рисками, в том числе введение и соблюдение отчетности.

      Основным документом по реализации систем информационной безопасности является политика информационной безопасности. Данный документ включает ряд принципов, которые необходимо соблюдать во всей иерархической структуре компании. За основу принципов и правил политики берутся ключевые цели и задачи компании, а также ряд законопроектов, обеспечивающих соблюдение стандартов в области информационной безопасности.

      Существуют международные стандарты, при соблюдении которых вы сможете выстроить успешную систему управления информационной безопасности, а именно в ISO/IEC 17799:2005 и ISO/IEC 27001:2005

      Читайте также: Безопасность КИИ: как определить, что делать и что делать если не делать.

      Объекты защиты

      Для того, чтобы выстраивать эффективную систему управления информационной безопасности, необходимо знать перечень объектов защиты. К объектам защиты относятся как массивы данных, так и материальные ресурсы.

      К данным относятся:

      • персональные данные;
      • коммерческая и служебная тайна;
      • любая информация, касающаяся обеспечения работы предприятия и другие данные.

      К материальным ресурсам относятся:

      • аппаратное обеспечение;
      • USB-носители;
      • бумажные копии и оригиналы документов;
      • материальные носители информации.

      Виды угроз

      Традиционно угрозы, с которыми сталкиваются предприятия, можно разделить на две большие группы: естественные и искусственные угрозы. К естественным угрозам безопасности можно отнести любую деятельность, которая не зависит от воли и действий человека. Например, непреодолимая сила или стихийные бедствия - наводнения, пожары, ураганы и другие. Искусственные угрозы делятся еще на две категории: преднамеренные и непреднамеренные угрозы.

      Преднамеренные угрозы:

      1. Внешние
        • злоумышленники;
        • конкуренты;
        • сторонние компании и организации;
        • правительственные организации.
        • Внутренние
        • намеренное распространение нелицензированного ПО;
        • действия специалистов, направленные на причинение вреда.

      Непреднамеренные угрозы:

      • низкая квалификация сотрудников;
      • ошибки в ПО;
      • человеческий фактор.

      Виды нарушений

      В зависимости от типа угрозы и возможного ущерба, специалисты классифицируют следующие виды нарушений:

      1. Организационно-правовые нарушения.

      Этот вид нарушений возникает по причине отсутствия единого документа, регламентирующего работу с информацией, Например, нарушение режима доступа, несогласованная передача данных.

      2. Информационные нарушения.

      Нарушения, связанные с информационным воздействием, включают неправомерный доступ к базам данных, сетевому оборудованию или проникновение на серверы, обходя при этом специализированные средства защиты.

      3. Физические нарушения

      К этому виду нарушений относятся физические повреждения. Виды нарушений включают физическое повреждение компьютеров, программного обеспечения и средств коммуникации. Кроме прямого физического воздействия, к физическим нарушениям можно отнести и кражу носителей.

      4. Радиоэлектронные нарушения

      К радиоэлектронному виду нарушений относятся несанкционированный перехват информации при ее передаче внутри предприятия или за ее пределы. Перехватывая критические данные компании, злоумышленник использует их для нанесения ущерба компании.

      Читайте также: GDPR - как подготовить сайт чтобы защититься от жалоб со стороны конкурентов?

      Построение систем управления ИБ

      Эффективная система управления ИБ включает в себя целый комплекс мер, направленных на сокращение потенциальных угроз и минимизацию ущерба. Для того, чтобы построить СУИБ необходимо описать жизненный цикл предприятия, бизнес-процессы и выявить возможные риски.

      С учетом анализа и оценки рисков возможно определить уровень риска, приемлемый для конкретной организации, а также рассчитать технологические и финансовые возможности компании для обработки рисков и дальнейшей подготовки программы совершенствования СУИБ.

      Процесс построения СУИБ можно представить в виде схемы.

      Процесс построения СУИБ
       

      Каждый блок в данной схеме отображает конкретный этап подготовки и внедрения СУИБ, от инициирования до сертификации по международным стандартам.

      Стоит упомянуть об измерении эффективности СУИБ. Ключевые показатели должны регулярно отслеживаться и внедряться в систему управления рисками. Таким образом, вы сможете поддерживать должный уровень функционирования СУИБ в компании.

      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных13
      • Пентест7
      • КИИ28
      • Информационная безопасность21
      • АСУ3
      • Средства защиты информации6
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • Информационная безопасность: Полное руководство
        16 октября 2023
      • Кибербезопасность: как защитить себя и свой бизнес
        30 сентября 2022
      • Проектирование ЦОД
        26 мая 2022
      • Управление IT инфраструктурой компании
        20 мая 2022
      • Инцидент информационной безопасности
        26 апреля 2022
      • Угрозы безопасности информации
        19 апреля 2022
      • Информационная безопасность в образовательной организации
        29 марта 2022
      • Анализ и оценка информационной безопасности
        22 марта 2022
      • Кибер атаки на сервисы гос предприятий! Что делать в новых реалиях?!
        15 марта 2022
      • Защитим от проникновения вирусов-шифровальщиков в сеть
        9 марта 2022
      Подписывайтесь на новости и акции:
      Компания
      О компании
      Лицензии
      Партнеры
      Карта партнера
      Конфиденциальность
      Политика
      Доверенности
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400074, г. Волгоград, ул. Козловская, д. 71
      resp@ec-rs.ru
      © 2025 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.