Русский   |   English
Россия Украина Казахстан

Новости

22 сентября 2014г.

«Газпром нефть» первой внедряет отказоустойчивую платформу хранения данных Hitachi VSP G1000 с помощью «Астерос»

08 сентября 2014г.

Группа «Астерос» построила систему мониторинга баз данных в Сибирском филиале ОАО «МегаФон»

01 сентября 2014г.

«Облако» для металлургического комбината принесло победу «Астерос» в конкурсе Microsoft Partner Award 2014
Другие новости ››      

Стратегическое планирование – основа эффективного управления ИБ

BIS Journal – информационная безопасность банков

05 августа 2014г.

В настоящее время, в условиях замедления роста экономики и финансового сектора, многие банки вынуждены актуализировать стратегии развития основных и вспомогательных направлений своего бизнеса. Стоит заметить, что в них обозначены такие аспекты как развитие информационных технологий, управление рисками, оптимизация расходов, совершенствование корпоративной системы управления и многое другое, однако, как правило, отсутствует упоминание о деятельности в области обеспечения информационной безопасности банка.

КОРЕНЬ ПРОБЛЕМ

Прежде всего это связано с тем, что высшее руководство финансовых организаций зачастую не уделяет должного внимания данному виду деятельности, поскольку не осознает важности обеспечения информационной безопасности (ИБ) для успешного ведения и развития бизнеса.

В то же время инициативы службы ИБ, направленные на развитие и повышение эффективности обеспечения ИБ банка, часто не содержат результаты оценки их значимости для достижения целей бизнеса и возврата инвестиций (ROI). В результате большинство предложений по развитию и повышению эффективности обеспечения ИБ не находят должной поддержки и блокируются топ-менеджментом на этапе выделения ресурсов.

Данную тенденцию подтверждает статистика – согласно результатам всемирного исследования в области ИБ финансовых организаций, проведенного компанией PricewaterhouseСoopers, недостаточная поддержка и финансирование деятельности по обеспечению ИБ со стороны высшего руководства компании, недостаточное понимание взаимосвязи ИБ и бизнеса, отсутствие или неэффективность стратегии ИБ, по мнению респондентов, являются основными препятствиями для повышения эффективности обеспечения ИБ в финансовых организациях (Илл. 1).

ИЛЛЮСТРАЦИЯ 1. Основные препятствия для повышения эффективности обеспечения ИБ в финансовых организациях.
Источник: PwC 2013 Financial Services.Key findings from The Global State of Information Security Survey, 2014

ПУТИ ВЫХОДА: РАЗРАБОТКА СТРАТЕГИИ ИБ

На наш взгляд, наиболее эффективным решением перечисленных выше проблем является стратегическое планирование деятельности по обеспечению ИБ, а именно – разработка и утверждение стратегии ИБ и плана по её реализации.

Основная цель стратегии ИБ – определить, что и каким образом должно быть сделано в области обеспечения ИБ для реализации бизнес-стратегии банка. Стратегия должна определять цели, задачи и стратегические инициативы, обоснование экономической целесообразности их внедрения, ключевые показатели достижения целей, позволяющие контролировать реализацию предложенных инициатив и эффективность стратегии ИБ в целом. Затем должен быть разработан план («дорожная карта») реализации предлагаемых инициатив с указанием ответственных лиц, состава проектов, последовательности реализации проектов, сроков и их стоимости.

Накопленный опыт позволил нам выработать собственный подход к разработке стратегии ИБ, сочетающий преимущества известных методологий стратегического планирования, управления и обеспечения ИБ.

ACTION PLAN

Условно, в рамках стратегического планирования в области обеспечения ИБ банка, мы выделяем следующие этапы.

1. Сбор исходных данных для разработки стратегии ИБ:

  • определение всех заинтересованных сторон, формирование рабочей группы;
  • анализ принятых/разрабатываемых в банке стратегий с точки зрения их влияния на развитие ИБ: бизнеса, ИТ, управления рисками и другие;
  • сбор и анализ информации о существующих потребностях в обеспечении ИБ;
  • сбор и анализ информации о текущем состоянии обеспечения ИБ банка на основе результатов оценки соответствия обеспечения ИБ банка требованиям законодательства и регуляторов, лучшим практикам, а также по итогам внутренних и внешних аудитов ИБ;
  • выявление и анализ факторов внутренней и внешней среды банка, оказывающих влияние на обеспечение ИБ банка, например, SWOT-анализ;
  • проведение BIA-анализа и оценки рисков ИБ.

2. Разработка стратегии ИБ:

  • формирование стратегических целей обеспечения ИБ (Илл. 2);
  • определение стратегических задач и инициатив по обеспечению ИБ для перехода из текущего состояния в целевое и соответствующих им показателей;
  • выявление получаемых выгод от реализации стратегических инициатив;
  • согласование стратегии ИБ со всеми заинтересованными сторонами и утверждение руководством банка.

ИЛЛЮСТРАЦИЯ 2. Пример карты стратегических целей обеспечения ИБ.
Источник: «Астерос Информационная безопасность», 2014

3. Разработка плана реализации стратегии ИБ:

  • формирование портфеля проектов ИБ;
  • оценка проектов ИБ и их приоритезация;
  • разработка «дорожной карты» поэтапной реализации стратегии ИБ;
  • разработка агрегированной оценки ежегодных инвестиций в ИБ.

СЕКРЕТ УСПЕХА

Секрет успеха разработки эффективной стратегии ИБ, на наш взгляд, заключается в применении интегрированного подхода, при котором учитываются стратегические инициативы банка, потребности бизнеса, а также выявленные по результатам анализа направления совершенствования обеспечения ИБ. Это позволяет гарантировать согласованность целей, задач, требований бизнеса и ИБ банка, повысить эффективность принимаемых решений и получить одобрение и поддержку разрабатываемых планов обеспечения ИБ со стороны руководства банка (Илл. 3).

ИЛЛЮСТРАЦИЯ 3. Стратегия ИБ обеспечивает согласованность ИБ и бизнеса.
Источник: «Астерос Информационная безопасность», 2014

Важно учесть, что стратегия ИБ должна быть сформулирована в терминах, понятных топ-менеджменту банка и остальным заинтересованным сторонам.

НА ПРАКТИКЕ

Разработка стратегии является сложной задачей, которая требует немалых временных затрат и привлечения аналитиков, обладающих знаниями и навыками во многих областях обеспечения ИБ, ИТ, управления рисками и др. Поэтому привлечение к разработке стратегии ИБ сторонних консультантов – распространенная практика, позволяющая снять со службы ИБ ряд наиболее трудоемких задач.

Предлагаемый нашими специалистами подход к разработке стратегии прошел проверку в ряде компаний и показал свою эффективность в решении стоящих перед ними задач в области ИБ. Так, в одном из крупных банков выполнен проект по разработке и реализации стратегии совершенствования обеспечения ИБ. Реализация проекта позволила банку расширить подразделение ИБ, создать корпоративную систему управления ИБ, базирующуюся на подходе управления рисками ИБ и охватывающую головной офис и более 40 филиалов банка. Также удалось реализовать ряд проектов по совершенствованию корпоративной системы обеспечения ИБ банка, что дало возможность значительно повысить эффективность и зрелость деятельности по обеспечению ИБ.

Владимир Кузнецов, Любовь Шорина

Возврат к списку

Твитнуть

Спасибо за интерес к Группе «Астерос»!

Техподдержка мобильных решений

12 мая 2013
«Астерос» вошел в тройку крупнейших поставщиков ИТ для промышленности
Другие отзывы ››