Вебинар «Построение системы управления информационной безопасностью»

YOUTUBE · 22.11.2025 04:14

Ключевые темы и таймкоды

Введение

0:04

Обсуждение темы построения системы управления информационной безопасностью (СУИБ).
Упоминание о стандартах и фреймворках для построения СУИБ.

Система менеджмента информационной безопасности

3:58

Система менеджмента - комплекс мер, позволяющий получить функцию информационной безопасности в управляемом и предсказуемом виде.
Мотивация для построения СУИБ: обеспечение защиты активов организации, законодательные требования, требования клиентов и партнеров.

Эволюция управления информационной безопасностью

9:33

Четыре шага эволюции: осознание рисков, точечные меры управления, формализация процессов, планирование и управление рисками.
Цель построения СУИБ - управляемость и предсказуемость ситуации, риски под контролем, культура организации и осведомленность людей.

Определение уровня информационной безопасности

13:52

Видео обсуждает вопрос определения уровня информационной безопасности в компании.
Существуют международные стандарты, отраслевые стандарты, корпоративные требования, законодательные требования, контрактные требования и специфические технические стандарты.
Международные стандарты, такие как ISO 27001, могут быть использованы в качестве основы для построения системы управления информационной безопасностью.

Структура ISO 27001

17:39

ISO 27001 состоит из двух частей: основной части, которая описывает цикл постоянного улучшения, и приложения, содержащего 14 тематических разделов с 114 мерами управления и контроля.
ISO 27001 рассматривает информационную безопасность максимально широко, включая аспекты управления персоналом, управления поставщиками и непрерывности деятельности.

Примеры из практики

20:43

В видео обсуждаются примеры из практики, связанные с управлением рисками, стратегическим планированием, управлением несоответствиями и другими аспектами системы менеджмента.
Упоминаются проблемы, связанные с недостаточной осведомленностью персонала, разработкой программного обеспечения, управлением внешними поставщиками и непрерывностью деятельности.

Безопасная разработка программного обеспечения

25:53

Обсуждается проблема безопасной разработки программного обеспечения, включая требования к инфраструктуре, инструментарию, правам доступа и гибким методам разработки.
Упоминается, что безопасная разработка включает в себя не только написание безопасного кода, но и требования к архитектуре, функциональным и регуляторным требованиям, а также тестирование и перенос кода.

Примеры из практики и ISO

30:38

Приводятся примеры из практики, где компания использует ряд публичных сервисов, не уделяет достаточного внимания безопасности и не имеет четкого распределения обязанностей и ответственности.
Описывается, как компания внедрила меры управления, такие как единая точка аутентификации, процедуры управления доступом, разграничение доступа внутри репозитория и распределение обязанностей и ответственности.

Примеры систем менеджмента информационной безопасности

31:56

В видео обсуждаются примеры систем менеджмента информационной безопасности, которые включают в себя полностью облачную инфраструктуру, водопадную разработку и поддержку инфраструктуры.
В этих примерах, информационная безопасность не является обязательным требованием, но она может быть важным конкурентным преимуществом.

Начало работы с системами менеджмента

35:18

Важно определить цель и мотивацию для работы с системами менеджмента, например, получение международного сертификата или выстраивание процессов до конца определенного года.
Поддержка руководства и начало работы с малого являются ключевыми моментами для успеха.

Планирование и декомпозиция задач

37:18

Планирование и декомпозиция задач являются важными этапами работы с системами менеджмента.
Важно определить измеряемые ресурсы и бюджетирование для поддержки руководства.

Обучение и объяснение разработчикам

41:02

Обучение и объяснение разработчикам о важности информационной безопасности является ключевым моментом для включения их в процесс.
Важно объяснить, почему это важно, почему это важно и почему это важно.

Аудит информационной безопасности

42:58

Аудит информационной безопасности может быть проведен по стандартам или на основе опыта аудитора.
Опыт аудитора является ключевым, так как он позволяет определить потенциальные проблемы в организации.

Отсутствие документированных процессов

45:49

Если в компании нет документированных процессов, можно использовать таблицы, матрицы и другие инструменты для управления информационной безопасностью.

Экономическое обоснование

48:39

Нет единой методики для экономического обоснования, каждый случай индивидуален.
Важно начать с минимальных вещей и постепенно улучшать ситуацию.

Управление информационной безопасностью

52:04

Управление информационной безопасностью включает в себя все работники организации, а также определение измеримой области охвата и бизнес-процессов.
Конечная цель - распространить управление на всю организацию.

Обсуждение подходов к управлению рисками

56:50

Александр задает вопрос о возможности создания отдельного документа по рискам и отчета по рискам для существующих активов.
Сергей отвечает, что сначала необходимо идентифицировать активы, область оценки и требования к защите, а затем переходить к рискам.
Он подчеркивает, что в первую очередь это информация, затем информационная система, инфраструктура, люди и подразделения.

Заключение и приглашение к сотрудничеству

58:00

Сергей благодарит всех за активное участие и приглашает к сотрудничеству в области управления безопасностью, развертывания систем, составления документов и подготовки к сертификации.
Он призывает обращаться за помощью и обещает стараться помочь.