Что такое СУИБ: система управления информационной безопасностью
СУИБ: определение и назначение
СУИБ (система управления информационной безопасностью, англ. ISMS — Information Security Management System) — это совокупность политик, процедур, процессов и технических средств, направленных на обеспечение конфиденциальности, целостности и доступности информации.
Международный стандарт ISO/IEC 27001 определяет требования к СУИБ и является основой для сертификации. В России аналогичные требования содержатся в ГОСТ 57580, 152-ФЗ и приказах ФСТЭК.
Ключевые компоненты СУИБ
- Политика информационной безопасности — верхнеуровневый документ, определяющий цели и принципы ИБ
- Управление рисками — идентификация, оценка и обработка рисков ИБ (ISO 27005)
- Управление активами — инвентаризация ИТ-ресурсов и классификация информации
- Контроль доступа — управление правами пользователей и привилегиями
- Управление инцидентами — обнаружение, реагирование и анализ инцидентов ИБ
- Аудит и мониторинг — проверка соответствия требованиям и эффективности мер защиты
- Непрерывное улучшение — цикл PDCA (Plan-Do-Check-Act) для совершенствования СУИБ
СУИБ и SGRC: в чём разница
СУИБ — это концепция и набор процессов (ISO 27001 описывает «что»).
SGRC (Security Governance, Risk, Compliance) — это класс программных продуктов, которые автоматизируют процессы СУИБ (инструмент, отвечающий на «как»).
КиберОснова — SGRC-платформа, которая автоматизирует все ключевые процессы СУИБ: от управления рисками до аудита ИБ.
Часто задаваемые вопросы о СУИБ
Связанные статьи
Автоматизируйте СУИБ с КиберОснова
Единая SGRC-платформа для всех процессов системы управления ИБ.