Большая библиотека по информационной безопасности и защите ИТ-систем

Информация об авторе

Имя
Роман Исаев

Должность

• Эксперт по организационному развитию, процессному управлению, информационным технологиям в бизнесе;
• Партнёр ГК «Современные технологии управления»;
• Руководитель проектов, бизнес-тренер, сертифицированный специалист Business Studio;
• Автор 11 книг и более 60 публикаций в научно-практических журналах;
• Автор и разработчик моделей и модулей для системы Business Studio, которые на протяжении многих лет активно используются в ведущих российских и международных организациях.

Модели и решения

• Цифровая модель банка и группы финансовых организаций;
• Risk Manager: система управления операционными рисками;
• Task Manager: система управления задачами (с поддержкой Agile);
• IT Architect: система управления ИТ‑архитектурой;
• Process Optimizer: система анализа и оптимизации бизнес-процессов;
• Business Studio Toolset Addon: многофункциональное дополнение.

Книги:

• 60 примеров успешных и проблемных проектов организационного развития;
• Банк 3.0: стратегии, бизнес-процессы, инновации;
• Секреты успешных банков: бизнес-процессы и технологии;
• 22 практических метода для достижения совершенства процессов и бизнес-архитектуры;
• Управление операционными рисками: процессы, технологии, практика;
• Практика управления процессами и проектами с применением Agile (Scrum, Kanban);
• Практика организационного развития и оптимизации бизнес-архитектуры банка.
• 1200 показателей KPI бизнес-процессов и примеры оптимизации. 
• Управление операционными рисками. надёжность бизнес-процессов и ИТ-систем. 

Общие сведения о продукте

Стоимость продукта — 89 000 руб.

Описание

«Большая библиотека по информационной безопасности и защите ИТ-систем» (далее Библиотека) включает документы и материалы, требующиеся многим сотрудникам и руководителям, которые работают в следующих областях:

1. Информационная безопасность и кибербезопасность (как подраздел)
2. Риски информационных систем (ИТ-риски)
3. Операционные риски (в широком определении)
4. Обеспечение непрерывности деятельности (business continuity management), операционная надёжность (киберустойчивость)
5. Управление персональными данными (хранение, обработка, защита)
6. Внутренний аудит, внутренний контроль
7. Управление ИТ-проектами

Библиотека предназначена для решения следующих практических задач:

1. Разработка и развитие системы управления информационной безопасностью, включая всю необходимую документацию.
2. Защита информационных активов и ИТ-систем организации, а также обрабатываемых персональных данных.
3. Проектирование и оптимизация бизнес-архитектуры, ИТ-архитектуры, бизнес-процессов и технологических процессов организации с точки зрения информационной безопасности.
4. Обеспечение исполнения внутренних регламентов в области информационной безопасности, выполнение процедур аудита и контроля.
5. Систематизация и распространение знаний в организации, обучение и вовлечение сотрудников.
6. Исполнение государственных и международных стандартов и требований в области информационной безопасности, киберустойчивости и защиты информации.
7. Применение лучших профессиональных практик и инноваций в данной области.
8. Организация эффективной работы подразделения (управления) информационной безопасности.

Внедрение и использование Библиотеки имеет следующие экономические эффекты и выгоды для организации:

1. Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике.
2. Возможность выполнить большой объём задач собственными силами без привлечения внешних консультантов, т. е. без дополнительных расходов.
3. Минимизация рисков и ошибок за счёт готовых проверенных на практике материалов и решений.
4. Улучшение показателей KPI бизнес-процессов и ИТ-систем, безопасности и надёжности работы организации в целом. Снижение операционных убытков (потерь).

Пользователи

Библиотека будет полезна для всех подразделений организации, в первую очередь для следующих: управление информационной безопасности, управление экономической безопасности, управление операционных рисков, управление информационных технологий, управления внутреннего контроля и внутреннего аудита, управление процессов (процессный офис).

Структура и материалы Библиотеки

1. Нормативные документы

Общие документы (код IB) 29 документов

• Инструкция категорирования информационных ресурсов (конфиденциальность, целостность)
• Методика проведения анализа рисков информационной безопасности
• Памятка сотруднику по правилам обеспечения информационной безопасности
• Политика информационной безопасности
• Политика тестирования информационной безопасности
• Положение о бесперебойной и безопасной работе информационно-вычислительной сети
• Положение о ролях по обеспечению информационной безопасности
• Положение о системе менеджмента информационной безопасности
• Положение о технических средствах защиты информации
• Положение об анализе и улучшениях системы обеспечения информационной безопасности
• Положение об информационной безопасности
• Положение об информационной безопасности при обеспечении непрерывности бизнеса
• Положение об обучении и проверке знаний сотрудников по информационной безопасности
• Положение об оценке рисков нарушения информационной безопасности
• Порядок проведения аудитов и самооценок информационной безопасности
• Порядок проведения интервью при самооценке информационной безопасности
• Регламент тестирования информационной безопасности
• Методика оценки и анализа рисков информационной безопасности и ИТ-рисков
• Положение о защите конфиденциальной информации
• Положение о конфиденциальном документообороте
• Политика информационной безопасности по работе в сети Интернет
• Политика информационной безопасности по работе с электронной почтой
• Положение об обучении и проверки знаний по информационной безопасности
• Положение об управлении информационными потоками для обеспечения безопасности
• Порядок мониторинга и контроля защитных мер в области ИТ и ИБ
• Порядок обеспечения информационной безопасности при работе в Интернет и с электронной почтой
• Порядок организации расследования инцидентов информационной безопасности
• Процедура поиска несанкционированно функционирующих беспроводных точек доступа
• Рекомендации по обеспечению безопасной работы за компьютером

Защита ИТ-систем (код IS) 22 документа

• Модель угроз безопасности и ИТ-рисков для устройств удаленного доступа
• Модель угроз и нарушителей безопасности информации в ИТ-системах
• Политика по внесению изменений в ИТ-системы в части информационной безопасности
• Политика по обеспечению информационной безопасности технологических процессов и систем
• Политика по управлению доступом к информационным ресурсам и системам
• Положение о защите информации в информационных системах
• Положение о категорировании ИТ-систем и ресурсов в целях защиты
• Положение о механизмах идентификации, аутентификации и авторизации в ИТ-системах и ресурсах
• Положение о проведении контроля защищённости ИТ-систем
• Положение о распределении доступа к ИТ-системам и базам данных
• Положение об обеспечении информационной безопасности процессов в ИТ-системах
• Порядок осуществления контроля за состоянием ИТ-системы и её безопасности
• Порядок предоставления прав доступа к конфиденциальной информации и ИТ-системам
• Порядок проведения тестирования защищенности ИТ-систем
• Порядок разработки систем защиты информации в ИТ-системах
• Порядок эксплуатации систем защиты информации в ИТ-системах
• Типовая детальная модель защиты информационной системы
• Инструкция пользователя по защите информации при работе в ИТ-системах
• Порядок проведения инструментального анализа защищенности ИТ-систем
• Специальные требования и рекомендации по защите конфиденциальной информации от утечки
• План защиты ИТ-системы от несанкционированного доступа и вмешательства
• Регламент мониторинга и контроля защитных мер для ИТ-систем организации

Антивирусная защита, кибератаки (код AV) 15 документов

• Методика обнаружения и противодействия атакам на ИТ-системы организации
• Политика антивирусной защиты
• Положение об антивирусной защите
• Положение об организации антивирусной защиты локальной вычислительной сети
• Положение об управлении уязвимостями информационных ресурсов и систем
• Порядок контроля уязвимостей программного обеспечения в организации
• Инструкция по антивирусной защите (вариант 1)
• Инструкция по антивирусной защите (вариант 2)
• Инструкция по защите от воздействия вредоносных программ (приложений)
• Концепция создания и функционирования системы антивирусной защиты
• Памятка по вопросам антивирусной безопасности для сотрудников
• Политика по обеспечению информационной безопасности средствами антивирусной защиты
• Политика управления системой обнаружения вторжений
• Порядок организации антивирусной защиты
• Регламент обеспечения антивирусной защиты

Криптографическая защита и ЭЦП (код CR) 10 документов

• Инструкция по администрированию средств криптографической защиты информации (СКЗИ)
• Политика использования средств криптографической защиты информации
• Положение об организации криптографической защиты информации
• Положение по работе со средствами криптографической защиты информации и ключевой информацией
• Положение по учету, хранению и использованию носителей ключевой информации (ЭЦП)
• Регламент использования электронной цифровой подписи (ЭЦП) в организации
• Положение по организации и обеспечению безопасности применения криптографических средств
• Положение об Удостоверяющем центре
• Порядок обращения с шифровальными средствами (криптографической защиты информации)
• Порядок учета и хранения носителей ключевой информации

Защита персональных данных (код PD) 11 документов

• Классификация информационных систем для обеспечения безопасности персональных данных
• Методы и способы защиты персональных данных от несанкционированного доступа
• Модель угроз информационной системы персональных данных
• Положение о защите персональных данных работников
• Положение о персональных данных
• Порядок доступа к персональным данным, обрабатываемым в ИТ-системах
• Регламент тестирования информационной системы персональных данных
• Система защиты персональных данных — техническое задание 1
• Система защиты персональных данных — техническое задание 2
• Политика обеспечения безопасности персональных данных в ИТ-системах
• Регламент обработки и защиты персональных данных

2. Положения о подразделениях и должностные инструкции (7 файлов)

• Должностная инструкция Начальника отдела по защите информации
• Должностная инструкция Специалиста отдела по защите информации
• Положение о Комитете по информационной безопасности
• Положение об Органе криптографической защиты
• Положение об Отделе безопасности информационных технологий
• Положение об Отделе информационной безопасности
• Положение об Управлении информационной безопасности

3. Формы документов (12 файлов)

• Акт проверки безопасности информационной инфраструктуры
• Анализ соответствия ИТ-системы требованиям безопасности и рекомендации
• Информационная безопасность и операционная надёжность ИТ-оборудования
• Информационная безопасность и операционная надёжность ИТ-систем
• Отчёт о проверке безопасности информационной системы (ИС)
• Отчёт о результатах обследования процессов обработки персональных данных
• Отчёт о результатах проверки обеспечения защиты персональных данных в ИС
• Отчёт об уровне зрелости системы информационной безопасности
• План действий при возникновении внештатных ситуаций в ИТ-инфраструктуре
• План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам
• Программа оценки системы информационной безопасности
• Техническое задание — разработка комплексной системы обеспечения безопасности в ИТ-системе

4. Разные материалы (3 файла)

• Модель процесса «Управление информационной безопасностью» (Information Security Management)
• Показатели KPI процесса «Обеспечение безопасности»
• Статья «Операционная надёжность и операционные риски»