29.09.2009ДиалогНаука: система управления ИБ в ЗАО «Депозитарно-Клиринговая Компания»
Компания «ДиалогНаука», системный интегратор, консультант и дистрибьютор в области информационной безопасности, завершила проект в Закрытом Акционерном Обществе «Депозитарно-Клиринговая Компания» (Группа РТС) по созданию и внедрению системы управления информационной безопасностью в соответствии с требованиями международного стандарта ISO/IEC 27001. Международный стандарт ISO/IEC 27001:2005 является определяющим документом для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования документированных систем управления информационной безопасностью (СУИБ). Для Депозитарно-Клиринговой Компании (ДКК), одной из ключевых компаний рынка ценных бумаг, надежная и защищенная информационная структура является залогом успешной деятельности и деловой репутации. По итогам анализа предложений на рынке специалисты ДКК остановили свой выбор на ЗАО «ДиалогНаука», как на поставщике комплексных услуг в области информационной безопасности. В соответствии с заключенным соглашением компания «ДиалогНаука» реализовала проект по созданию и внедрению системы управления информационной безопасностью в соответствии с требованиями международного стандарта ISO/IEC 27001. Проект по созданию СУИБ для Депозитарно-Клиринговой Компании состоял из нескольких этапов. На первом этапе был проведен аудит информационной безопасности, то есть анализ существующего уровня информационной безопасности, в том числе функционала и достаточности используемых средств защиты информации, а также качества внутренних документов компании по информационной безопасности. На основании полученных данных были определены рекомендации по повышению эффективности обеспечения ИБ. Следующий этап – инвентаризация информационных активов компании и их классификация, на основе полученных данных оценка рисков и их обработка, и в конечном итоге разработка комплекта документов, регламентирующих необходимые направления информационной безопасности и рекомендаций по внедрению технических контролей. В числе многих других, был разработан и новый высокоуровневый документ – Политика информационной безопасности Компании, который устанавливает цели, задачи, принципы и направления деятельности в области защиты информации, носит долгосрочный характер и является обязательным к исполнению всеми сотрудниками компании. Целью создания и введения в организации этого документа является нормативное утверждение всех процессов, как организационных, так и программно-технических, для документальной регламентации работы с информацией. Также были созданы такие документы как положение о применимости контролей, частные политики информационной безопасности, процедуры и инструкции по информационной безопасности, и др. Третьим этапом работ стала разработка технических проектов для внедрения выбранных средств защиты информации, направленных на выполнение требований, содержащихся в разработанных нормативных документах. В результате были подготовлены технические проекты по внедрению подсистем обеспечения ИБ.
